Với mục tiêu diễn tập nhằm Nâng cao năng lực bảo vệ an toàn thông tin, sẵn sàng ngăn chặn, xử lý và ứng cứu sự cố tấn công trên không gian mạng cho cán bộ chuyên trách CNTT của các quan, đơn vị trên địa bàn tỉnh. Trang bị những kỹ năng cần thiết để kịp thời phối hợp ứng phó, giải quyết các vấn đề thông qua tình huống tấn công vào hệ thống thực khi khai thác các hệ thống thông tin trên môi trường mạng cho đội ngũ cán bộ tại các: Sở, ban, ngành, UBND các huyện, thị xã, Thành phố, Đoàn thể và Tổ chức chính trị xã hội trên địa bàn tỉnh Điện Biên. Thực hiện đúng văn bản quy định, hướng dẫn của cấp trên về hoạt động diễn tập an toàn thông tin (Quy định tại Điều 1, mục II, khoản 4 của Quyết định số 1622/QĐ-TTg ngày 25 tháng 10 năm 2017: “Hàng năm mỗi bộ, tỉnh, thành phố tổ chức ít nhất 01 cuộc diễn tập chuyên đề an toàn thông tin, ứng cứu sự cố mạng trong phạm vi của bộ, ngành, hình bầu cua tôm cá
mình; phối hợp, tham gia các cuộc diễn tập quốc gia và quốc tế do Cơ quan điều phối quốc gia, Bộ Thông tin và Truyền thông tổ chức).
Tình huốn diễn tập, Đội tấn công gồm: Đơn vị chuyên gia ATTT của đơn vị thực hiện tấn công qua Internet.
Các đội tham gia diễn tập thực chiến đảm bảo an toàn thông tin tỉnh Điện Biên năm 2022, theo Quyết định số số 1721/QĐ-BTC ngày 24/10/2022 của BTC diễn tập thực chiến đảm bảo an toàn thông tin tỉnh Điện Biên năm 2022 bao gồm 8 Đội phòng thủ gồm: Đội ứng cứu sự cố an toàn thông tin mạng tỉnh Điện Biên; Cán bộ công chức, viên chức, chuyên trách, phụ trách công nghệ thông tin các Sở, ban, ngành, UBND các huyện, thị xã, thành phố; VNPT Điện Biên, Viettel Điện Biên; thành viên đội ứng cứu sự cố an toàn thông tin trong Cụm thành viên Mạng lưới ứng cứu sự cố số 2.
Phase 1: Tiếp cận hiện trường, xử lý tạm thời
- Tổ giám sát tại Trung tâm điều hành an toàn, an ninh thông tin (SOC) nhận được email cánh báo và tin nhắn SMS có hành vi truy cập bất thường vào máy chủ Cổng TTĐT, tiến hành xác minh nhận thấy Cổng TTĐT đã bị thay đổi giao diện, đăng tải các bài viết lạ. Lập tức tổ giám sát trực hệ thống SOC thông báo đến Đội ứng cứu sự cố ứng phó với tình huống.
Đội ứng cứu sự cố cần tiến hành các bước: Rà soát tình trạng của hệ thống để có nhận định ban đầu về sự cố, đồng thời đưa ra phương án xử lý tạm thời tránh ảnh hưởng đến các đơn vị khác đang sử dụng dịch vụ, uy tín của đơn vị.
Yêu cầu:
- Chỉ ra hiện trạng
- Đưa ra hướng xử lý tạm thời
- Thời gian thực hiện: 20’
Phase 2: Điều tra, phân tích hiện trạng, xác nhận nguyên nhân
Sau khi đã đánh giá được sơ bộ về sự cố và triển khai các phương án tạm thời, Đội ứng cứu sự cố tiến hành rà quét máy chủ, mã nguồn để xác định các thành phần độc hại, khoanh vùng cách thức hacker xâm nhập hệ thống, thu thập mẫu mã độc.
Yêu cầu:
- Liệt kê các tiến trình độc hại
- Kiểm tra tiến trình độc hại do user nào tạo ra
- Tên các file mà hacker đã tải lên server
- Thời gian: 20’
Lưu ý: Ban tổ chức đã hỗ trợ Đội ứng cứu sự cố cấu hình Firewall để tránh các đội cấu hình nhầm có thể ảnh hưởng kết nối đến máy ảo làm gián đoạn buổi diễn tập
Phase 3: Phân tích, xử lý các thành phần độc hại
Sau khi đã xác định được nguyên nhân, thu thập mẫu mã độc, các Đội ứng cứu sự cố tiến hành phân tích các thành phần mã độc, xác định chính xác mức độ nguy hiểm, hành vi của mã độc, lỗ hổng bị khai thác, cách thức tấn công để tấn công và xử lý các thành phần mã độc.
Trong bất kỳ một cuộc tấn công nào, việc Đội ứng cứu sự cố có thể tìm ra chi tiết thông tin server điều khiển, địa chỉ tải mã độc để từ đó có thể kết hợp với các cơ quan chuyên môn tìm ra nguồn gốc kẻ tấn công là rất quan trọng.
Yêu cầu:
- Phân tích hành vi mã độc, dựa vào thông tin từ file tự động chạy, Đội phòng thủ hãy chỉ ra đầy đủ thông tin của cuộc tấn công: IP Server điều khiển, địa chỉ tải mã độc?
- Từ các hành vi của mã độc, chỉ ra mục đích của mã độc xâm nhập vào hệ thống?
- Dựa vào nhật kí hệ thống, các thông tin thu thập được từ pha trước, chỉ ra lỗ hổng mà hacker đã sử dụng để khai thác.
- Thời gian thực hiện: 40’
Phase 4: Xử lý hệ thống, đề xuất các giải pháp phòng chống
Sau khi tiến hành phân tích các thành phần mã độc, xác định chính xác lỗ hổng bị khai thác, các Đội ứng cứu sự cố thực hiện triển khai các giải pháp khắc phục lỗ hổng, đề xuất các giải pháp đảm bảo an toàn, phòng chống tấn công.
Đồng thời, Đội phòng thủ cần liên hệ với các đơn vị hoạt động trong cùng lĩnh vực để cảnh báo kịp thời đến đơn vị bạn.
Yêu cầu:
- Đưa ra phương án khắc phục sự cố.
- Đề xuất các phương án đảm bảo an toàn thông tin, phòng chống tấn công vào hệ thống.
- Liệt kê tên các cơ quan chức năng để liên hệ phối hợp hỗ trợ khi gặp sự cố?
- Liệt kê tên các đơn vị hoạt động trong cùng lĩnh vực để kịp thời cảnh báo?
- Thời gian thực hiện: 20’
Phase 5: Tổng hợp báo cáo
Các Đội ứng cứu sự cố tổng hợp, viết báo cáo các pha xử lý diễn tập cũng như đề xuất các giải pháp đảm bảo an toàn an ninh, phòng chống tấn công tại hệ thống và các hệ thống khác nếu có.
Yêu cầu:
- Đội phòng thủ hãy viết báo cáo kỹ thuật để gửi lãnh đạo về quá trình lây nhiễm của mã độc, cơ chế hoạt động và các biện pháp để tránh bị tấn công trở lại (báo cáo càng chi tiết càng được đánh giá cao).
- Thời gian thực hiện: 20’.
Thực chiến có 8 Đội tham gia theo Quyết định của Ban Tổ chức. Đội số 3 theo Quyết định của Ban Tổ chức diễn tập có 7 người tham gia, đồng chí
Nguyễn Văn Bách - Chánh văn phòng HĐND&UBND hình bầu cua tôm cá
làm Đội trưởng, toàn Đội đã phát huy hiệu quả làm việc nhóm, năng lực, sở trường của mỗi cá nhân trong Đội, với chiến thuật, đấu pháp hợp lý trong thực chiến. Việc chấm kết quả được thực hiện trực tiếp trên môi trường mạng. Kết quả cuối cùng Đội số 3 đã dành dành hạng nhất Diễn tập thực chiến đảm bảo an toàn thông tin tỉnh Điện Biên Năm 2022.