Bộ Thông tin và Truyền thông MINISTRY OF INFORMATION AND COMMUNICATIONS

Giải pháp cập nhật tri thức an ninh mạng cảnh báo sớm nguy cơ

Theo các chuyên gia an toàn thông tin (ATTT), việc xây dựng các giải pháp Threat Intelligence sẽ giúp đi trước, phát hiện ra những mối nguy hại, cũng như sớm tìm ra các sự cố lọ, lọt thông tin dữ liệu, để giảm thiểu thiệt hại cho doanh nghiệp (DN).

Mô hình chia sẻ thông tin cho các DN

Trong thời đại cách mạng công nghiệp lần thứ tư (CMCN 4.0), thừa hưởng những thành quả phát triển của CNTT, các kỹ thuật tấn công mạng của tin tặc cũng trở nên tiên tiến, khó lường và bài bản hơn, đặc biệt là các dạng tấn công có chủ đích nhắm vào đầu não quan trọng trong hệ thống CNTT của tổ chức, DN. Do đó, việc nắm bắt và cập nhật sớm những thông tin liên quan về các mối đe doạ mới là một chiến lược cần thiết cho các tổ chức, doanh nghiệp trong nhiệm vụ phòng ngừa, bảo đảm ATTT. Sự ra đời của Cyber Threat Intelligence (Threat Intelligence) là một trong số những giải pháp giúp các DN nắm được sớm các mối đe dọa an ninh mạng,

Theo ông Trần Minh Quảng, Giám đốc Trung tâm Phân tích và chia sẻ nguy cơ an ninh mạng (Công ty An ninh mạng Vietttel), giải pháp "Threat Intelligence" sẽ giúp các tổ chức chia sẻ thông tin, nguy cơ với nhau, đồng thời cung cấp thông tin phân tích về các mục đích, cơ hội và khả năng của các kẻ tấn công có thể gây ảnh hưởng cho doanh nghiệp mình.

Từ đó, ông Quảng đề xuất mỗi DN nên có một Threat Intelligence, đóng vai trò là nơi quản lý, điều hành, cung cấp, phân phối các tri thức tập trung cho toàn bộ các giải pháp bảo mật mà các đơn vị đã triển khai ở trong tổ chức. Đây không chỉ là công cụ mà còn là quy trình vận hành của mỗi DN. Nó phù hợp với các tổ chức khác nhau, giúp tập hợp tri thức từ các nhà cung cấp dịch vụ cho đến cơ quan nhà nước liên quan.

"Mặc dù mô hình này không mới nhưng tại Việt Nam mới chủ yếu tập hợp các thông tin liên quan đến dấu hiệu nhận biết, nên vẫn còn tương đối bị động khi xử lý sự cố", ông Quảng nhận định.

Trên cơ sở đó, ông Quảng đề nghị, ngoài dấu hiệu nhận biết, mô hình chia sẻ này nên có cả các thông tin cảnh báo, các nguy cơ mới xuất hiện được đánh giá một cách kỹ lưỡng sao cho bất kì DN nào cũng có thể xử lý được. Đồng thời, giúp phân loại những nguy cơ thực sự hiện hữu trên môi trường không gian mạng Việt Nam.

Bởi vì, trên thế giới, có hàng trăm nghìn các lỗ hổng bảo mật được cảnh báo mỗi năm nhưng chỉ khoảng vài trăm lỗ hổng thực sự nghiêm trọng. Tương tự, hàng trăm nhóm tin tặc trên thế giới nhưng các DN, tổ chức Việt chỉ cần chú trọng kỹ thuật phòng thủ, tối ưu các hệ thống để có thể chống lại từ 5-7 nhóm tin tặc (hacker) đang hoạt động trên môi trường Internet Việt Nam.

Đâu là sự khác biệt của giải pháp Viettel Threat Intelligence?

Chia sẻ về giải pháp Viettel Threat Intelligence, theo đại diện Công ty An ninh mạng Vietttel, đây là giải pháp thu thập, phân tích, đưa ra các cảnh báo sớm về nguy cơ an ninh mạng, giúp các tổ chức nhanh chóng phản ứng và phòng thủ với các nguy cơ. Những thông tin này còn có thể được sử dụng để bổ sung dữ liệu phân tích cho các giải pháp đảm bảo ATTT như SIEM, IDS/IPS, EDR, SOAR,… thông qua các API tiêu chuẩn quốc tế. Từ đó, các tổ chức, DN được cập nhật cảnh báo một cách nhanh chóng, kịp thời và đưa ra các quyết định chiến lược trước các nguy cơ an ninh mạng.

Về vấn đề thông tin dữ liệu liên quan đến tấn công mạng, ông Quảng cho rằng, mỗi ngày hệ thống của Viettel xử lý khoảng vài TB dữ liệu bao gồm: Dữ liệu từ nhà mạng ISP toàn cầu; Dữ liệu từ các tổ chức bên ngoài; Dữ liệu thu được từ quá trình thực hiện các dịch vụ ATTT; Dữ liệu thu được từ quá trình cung cấp dịch vụ giám sát ATTT 24/7. Đặc biệt là nguồn dữ liệu từ các nghiên cứu nội bộ do các chuyên gia hàng đầu của Viettel thực hiện.

Việc xử lý dữ liệu thông qua 2 bước chính, đầu tiên là xử lý bằng máy như AI, học máy… để đọc hiểu ngôn ngữ tự nhiên, phân loại dữ liệu phù hợp, về lỗ hổng mới, các cuộc tấn công mạng... Từ đó, xếp hạng dữ liệu thông qua các nguy cơ.

Sau đó các chuyên gia ATTT của Viettel sẽ phân tích cụ thể các nguy cơ, hay phân tích kĩ hơn các dấu hiệu nhận biết, cách phòng chống…ứng với từng ngành khác nhau, để có thể phân phối đến các cơ quan chia sẻ thông tin.

"Như với lỗ hổng Log4J, nếu các DN chỉ có thông tin chung chung là lỗ hổng nghiêm trọng cần cập nhật bản vá thì sẽ gây khó khăn cho họ trong quá trình phản ứng sự cố, vì lỗ hổng nằm trong phần mềm hệ thống lõi nên thời gian cập nhật sẽ phải lên đến vài tuần. Tuy nhiên, với giải pháp Viettel Threat Intelligence, ngoài cập nhật bản vá lỗ, chúng tôi sẽ đưa các thông tin cần thiết khác như thiết kê mô hình chặn lọc/đặt rule (luật) phù hợp để giảm thiểu rủi ro bị tấn công", ông Quảng chia sẻ.

Quy trình triển khai và cách xử lý vấn đề của Viettel Threat Intelligence được vận hành theo 4 giai đoạn: Giai đoạn đầu là xác định mục tiêu, thu thập, phân tích và phát hiện. Viettel Threat Intelligence xác định các mục tiêu cần cảnh báo. Sau đó, sử dụng thông tin thu thập từ hệ thống mạng lưới rộng khắp và áp dụng công nghệ học máy để phát hiện các trang giả mạo của doanh nghiệp.

Giai đoạn tiếp theo là "Cảnh báo", khi đó, toàn bộ thông tin cảnh báo sau đó được đẩy lên hệ thống Viettel Threat Intelligence để cảnh báo tới DN.

Giai đoạn 3 là "Xử lý". Viettel Threat Intelligence tiến hành gỡ bỏ các trang lừa đảo giúp khách hàng ngăn chặn các nguy cơ trong thời gian ngắn, đảm bảo hạn chế tối đa ảnh hưởng tiêu cực tới ngân hàng và khách hàng.

Giai đoạn cuối là "Ngăn chặn". Tại giai đoạn này, các khuyến nghị của chuyên gia Viettel Cyber Security sẽ cung cấp cái nhìn chi tiết về một nguy cơ và mối liên hệ giữa các nguy cơ. Từ đó, DN có thể sớm nắm bắt, kịp thời xử lý sự cố và hoạch định các giải pháp đảm bảo ATTT trong tương lai.

Cũng theo thông tin từ Công ty An ninh mạng Viettel, dịch vụ Viettel Threat Intelligence có các tính năng chính như: Targeted threat intelligence giúp thu thập, cảnh báo các thông tin về các nguy cơ ảnh hưởng trực tiếp đến tổ chức, DN gồm thông tin về các nguy cơ lạm dụng thương hiệu, thông tin về dữ liệu bị đánh cắp, rò rỉ của tổ chức; Threat feeds giúp các giải pháp đảm bảo ATTT được cập nhật dấu hiệu nhận diện các nguy cơ, mã độc mới nhất, không có độ trễ và không cần sự can thiệp của con người.

Đối với một hệ thống Threat Intelligence, khả năng thu thập thông tin nhanh, chính xác, giá trị cao là đặc biệt quan trọng. Vì vậy, Viettel Threat Intelligence có khả năng thu thập thông tin về nguy cơ an ninh mạng từ nhiều nguồn, đặc biệt từ các nguồn riêng, bí mật, không phổ biến để phân tích và cảnh báo.

Các tính năng tiêu biểu khác bao gồm: Threat alert với có khả năng cảnh báo các mối đe dọa ATTT mới nhất, ngay cả khi cuộc tấn công chưa diễn ra, cùng với đầy đủ phân tích kỹ thuật, đánh giá chi tiết của chuyên gia, cách phát hiện và phòng chống; Threat investigation cung cấp các thông tin cơ bản về các mối đe dọa, đồng thời đánh giá và cho điểm để xác định mức độ nguy hiểm cho mỗi mối đe dọa; Keyword monitoring: Cho phép tổ chức, DN thiết lập các từ khóa cần theo dõi, quan tâm; Global threat report, cung cấp bức tranh toàn cảnh, giúp doanh nghiệp nhận thức và nắm được tình hình an ninh mạng đang diễn ra trên toàn cầu.

Về sự khác biệt của giải pháp Threat Intelligence do Viettel phát triển, theo ông Quảng, có 3 đặc điểm chính, đầu tiên là các tri thức đặc trưng cho Việt Nam, bằng cách theo dõi chặt chẽ các nhóm tấn công APT, tài khoản ngân hàng, mã hoá dữ liệu, ăn cắp dữ liệu… ở Việt Nam. Các sản phẩm nước ngoài sẽ không "local" (địa phương hoá) đặc thù của Việt Nam vì thị trường chưa đủ lớn. Các hãng nước ngoài cũng sẽ chủ yếu kinh doanh diện rộng nên sẽ khó có đội ngũ chuyên sâu cho một quốc gia nào đó, tìm kiếm các nguy cơ chuyên sâu dành riêng cho thị trường Việt Nam.

Bên cạnh đó, giải pháp của Viettel sở hữu nguồn dữ liệu rất phong phú nên có thể phát hiện sớm các cuộc tấn công ngay khi nó xuất hiện.

Điểm lợi thế cuối cùng là yếu tố con người. Công ty An ninh mạng Viettel là một trong số ít các đơn vị ở Việt Nam đầu tư nghiêm túc về nhân sự ATTT nên các giải pháp được nghiên cứu, các dịch vụ chuyên nghiệp, giải quyết được các sự cố từ đơn giản đến phức tạp. Trong khi các giải pháp nước ngoài sẽ khó khăn hơn khi liên hệ, chưa kể các chuyên gia cao cấp của hãng thông thường là các nhân sự kỹ thuật hỗ trợ tại quốc gia đó, và có thể không ngồi tại Việt Nam để có thể xử lý sự cố trực tiếp.

Ông Nguyễn Lê Thành, Phó Tổng Giám đốc VNG cho biết, các DN cần có các công cụ để theo dõi các diễn đàn hay nền tảng chia sẻ dữ liệu khác nhau để từ đó cảnh báo sớm các cuộc tấn công hay những vụ lộ lọt dữ liệu. Tuy nhiên, việc xây dựng công cụ như vậy không dễ dàng, tốn nhiều thời gian, công sức. Do đó, ông Thành khuyến nghị các DN có thể sử dụng các dịch vụ Threat Intelligence của các đơn vị bên ngoài như của Viettel, để có thể phát hiện được các dữ liệu bị lộ lọt hay mua bán, phát hiện sớm và có các biện pháp xử lý, bảo vệ thông tin người dùng của đơn vị mình.

Về lợi thế của giải pháp Viettel Threat Intelligence, theo ông Thành, đó là việc là sở hữu các dữ liệu ATTT gần nhất với nguy cơ của các DN, tổ chức Việt Nam, điều mà các hãng nước ngoài không thể có được. Tuy nhiên, do nguy cơ ATTT có thể từ các đối tượng bên ngoài nên các phần mềm của các hãng nước ngoài sẽ có những thông tin sớm hơn, hay lĩnh vực tài chính, ngân hàng sẽ có những dữ liệu, nguy cơ chuyên biệt hơn./.