Bộ Thông tin Truyền thông Trung tâm VNCERT TĂNG CƯỜNG GIÁM SÁT AN TOÀN MẠNG TRONG PHÁT TRIỂN CHÍNH PHỦ ĐIỆN TỬ Trình bày: Vũ Quốc Khánh TP.HCM, 23-07-2015 Bài toán giám sát an toàn mạng (GSATM) cảnh báo sớm • Sự cố ATTT bao gồm nguy xác thực xảy thời điểm • Bài toán GSATM = giám sát phát cảnh báo cố ATTT mạng, khâu trình đối phó với nguy an toàn thông tin mạng Phát cố Xác định điểm báo cáo Trao đổi thông tin Xác thực báo cáo Hoạt động sửa chữa Bài học kinh nghiệm Biện pháp phòng ngừa • Các vấn đề lớn liên quan đến: Phát cố, Báo cáo cố, Phát nguy tinh vi (APT), Cung cấp thông tin xác thực chuẩn hóa • Giải pháp: Hệ thống giám sát an toàn mạng (HT GSATM) Giám sát ATM gì? Giám sát ATM gì? • GSATM = hoạt động kiểm soát, phân tích dấu hiệu công mạng, kiện ATTT nhằm phát sớm nguy cố hệ thống thông tin mạng • GSATM không phân tích nội dung ngữ nghĩa mà phân tích nội dung kỹ thuật luồng thông tin mạng Cơ sở pháp lý: • Nghị định 72/2013/NĐ-CP: Điều 41 đặt tảng pháp lý cho dịch vụ GSATM • Quy hoạch Phát triển ATTT số quốc gia đến 2020 phê duyệt QĐ 63/QĐ-TTg ngày 13/01/2010 rõ nhiệm vụ theo dõi, phát cảnh báo sớm cố nhiệm vụ đào tạo đội ngũ chuyên gia thực việc • Dự thảo Luật An toàn thông tin trình Quốc hội • Dự thảo Thông tư giám sát an toàn mạng, hướng dẫn cho Nghị định 72/2013/NĐ-CP • ISO/IEC 27002:2005 Giám sát ATM để làm gì? Mục đích cần đạt được: • Nhận biết sớm: – nguy bị thám, có hoạt động lạ, mã độc, – quy trình, chế công (như APT), – khởi đầu công cường độ công • Cảnh báo sớm: – hoạt động công ngầm, – nguy dấu hiệu công Khả thực: • Công nghệ đại, mức tự động hóa cao • Có khả tích hợp, kết nối mở • Xu hướng chuẩn hóa quốc tế chia sẻ thông tin Khả giám sát ATM? • Giám sát đối tượng: – Luồng tin • lưu lượng • nguồn, đích – Dịch vụ • cổng dịch vụ • giao thức – Hệ thống • • • • CSDL, xử lý văn bản, QLĐH, Thư điện tử, Trang tin điện tử, … Giám sát nào? Giám sát mục tiêu (hệ thống nhỏ) Giám sát vòng Mạng Giám sát HT Mạng Xử lý giám sát TT xử lý giám sát LAN LAN MT … MT MT … MT Giám sát nào? Giám sát nhiều mục tiêu (hệ thống lớn) Xử lý cấp Xử lý đa cấp SOC TT xử lý giám sát S S S TT XLGS S S TT XLGS S S XLGS S S S S Giám sát nào? Giám sát hệ thống mạng quốc gia Hệ thống lớn, mở, phân tán, đa cấp, kết nối quốc tế CERT quốc tế Cảnh báo chia sẻ thông tin SOC XLGS XLGS S S XLGS S S S S Nguyên tắc ưu tiên chọn điểm giám sát: • Bảo vệ hệ thống theo mức độ quan trọng  HT trọng yếu quốc gia, HT an ninh quốc gia  HT ảnh hưởng đến số đông, HT có giá trị kinh tế cao • Bảo vệ điểm xung yếu hệ thống S S XLGS S S S Công nghệ giám sát ATM? Thu thập kiện Xử lý chuẩn hóa Đánh giá độ rủi ro Xử lý tương quan Xác định cố Phân tích cố Thông tin, cảnh báo Quan điểm đại: Một hệ thống phát cố tốt hệ thống cho phép thu thập thông tin tự động, hoạt động phân tán có chủ ý, sử dụng tốt kết phát bên thứ ba hỗ trợ chia sẻ thông tin dễ dàng • Đảm bảo khả tương thích cao toàn quốc • Cần có hệ thống hỗ trợ tiếp nhận nguồn tin chia sẻ từ khắp giới, hệ thống hóa cung cấp thông tin cố (kiểu Abuse Helper) • Báo cáo phải chuẩn hóa hỗ trợ xử lý tự động (Các chuẩn mô tả trao đổi thông tin: chuẩn truyền thống IODEF IDMEF, chuản khuyến cáo STIX TAXII, ngôn ngữ CybOX, khung OpenIOC) CPĐT cần giám sát ATM? • Hạ tầng CNTT cho CPĐT HTTYQG, • Lõi thông tin Chính phủ thông tin cần bảo mật cao, • Dịch vụ công CPĐT phục vụ số đông • Xã hội thông minh, Thành phố thông minh gắn liền với Chính quyền điện tử Mạng máy tính hệ thống thần kinh CQĐT Vai trò ATM quan trọng Nhu cầu GSATM phục vụ CPĐT tất yếu khách quan Đầu tư giám sát ATM? Bao gồm: Trang thiết bị giải pháp phần mềm GSATM (một cấp hay nhiều cấp): – SOC + Lab + CSDL TT cảnh báo, – Mạng thu tin: sensors, thiết bị bảo vệ mạng, log-files, – Cần có HT hỗ trợ như: HT xử lý tự động, HT nhận báo cáo, HT thu thập & phân tích thư rác, HT thu thập & phân tích mã độc, HT tạo số tìm kiếm thông tin, HT quản lý chia sẻ TT kỹ thuật chuẩn QT Đào tạo, trì đội ngũ chuyên gia giám sát, theo dõi, phát hiện, cảnh báo sớm phản ứng với hiểm họa ATTT Hệ thống giám sát an toàn mạng Internet quốc gia Trung tâm kỹ thuật an toàn mạng quốc gia (VNCERT) Hệ thống phân tán Quản lý đa cấp Xử lý tập trung Hệ thống giám sát an toàn mạng QG HT phân tích xử lý trung tâm Theo dõi phân tích thời gian thực So sánh xử lý tương quan Cảnh báo HT chia sẻ TT HT Qlý trung tâm Quản trị từ xa HT quản lý tập trung Sensor Quản trị từ xa HT thu thập Log tập trung Chuyên gia theo dõi, phân tích Hệ thống lưu trữ trung tâm Quản trị cấu hình HT Điều tra, phân tích Lập báo cáo Lưu trữ kiện chuẩn hóa Tra cứu kiện Đẩy liệu CERTs DN Qtế Đẩy liệu Hệ thống quản lý tập trung Sensor Hệ thống quản lý tập trung Sensor i Hệ thống thu thập Log tập trung Hệ thống thu thập Log tập trung k Chuẩn hóa liệu Chuẩn hóa liệu - Chuẩn hóa liệu - Chuẩn hóa liệu Thu thập kiện Sensor Thiết bị phát hiện/ ngăn chặn xâm nhập trái phép Thu thập kiện Thu thập Log Sensor n Thiết bị mạng Thiết bị phát hiện/ ngăn chặn xâm nhập trái phép (Router, Switch, Firewall…), máy chủ dịch vụ Public Thu thập Log Thiết bị mạng m (Router, Switch, Firewall…), máy chủ dịch vụ Public • Hệ thống giám sát an toàn mạng Internet quốc gia Nguyên lý: - Không công cụ thám nội dung, - Hoạt động chủ động, xử lý số liệu lớn tự động hóa cao, - Cấu trúc mở, tích hợp theo chuẩn thông dụng, - Thu thập thông tin phân tán, quản lý đa cấp, xử lý tập trung, - Phối kết hợp thông tin quốc tế • • Phạm vị áp dụng: Một số Bộ, ngành, tỉnh, thành ISP Khả tại: - Phát nguy APT, xâm nhập Hacker, - Giám sát dịch vụ hệ thống - Phát hoạt động mã độc, botnet - Phát công từ chối dịch vụ DoS/DDoS - Phát kỹ thuật tin tặc sử dụng - Phát địa công / bị công - Tổng hợp toàn cảnh tranh ATTT BÁO CÁO ĐỊNH KỲ ATTT 17 Số kiện mức nguy hiểm cao (đèn đỏ) Số kiện cảnh báo số kiện đèn đỏ TRUNG BÌNH TRÊN MỘT ĐIỂM GIÁM SÁT TỪ TUẦN 13 ĐẾN TUẦN 24 NĂM 2015 20.000 2.000 17.782 18.000 17.383 17.389 1.800 16.119 14.892 16.000 Số lượng kiện phát 17.929 15.270 14.903 14.692 14.779 1.600 13.885 14.000 1.400 12.000 10.248 1.200 10.000 1.000 8.000 6.000 2.000 807 767 626 4.000 800 860 634 577 600 671 656 528 494 479 400 200 290 - - thời gian Biểu đồ giám sát dịch vụ Giám sát phát cố, nguy APT Biểu đồ giám sát lưu lượng phát DoS/DDoS Bức tranh tổng hợp Quý -2015 - Trong quí I 2015 phát 1.276.051 (IP) mã độc Quý II có thêm 300.000 địa IP nước liên quan đến mạng mã độc, 783 địa IP CQNN - Top kỹ thuật tin tặc sử dụng nhiều là: # Tên kỹ thuật công OS-WINDOWS Microsoft Windows UPnP malformed advertisement APP-DETECT failed FTP login attempt PROTOCOL-DNS potential dns cache poisoning attempt mismatched txid INDICATOR-SCAN SSH brute force login attempt SERVER-WEBAPP content-disposition file upload attempt Bức tranh tổng hợp Quý -2015 (2) Danh sách 10 cổng dịch vụ bị công nhiều Tỉ lệ (%) STT Cổng dịch vụ 80 (http)/tcp 21.55 53 (domain)/tcp 9.31 1900/udp 4.50 22 (ssh)/tcp 2.51 8080/tcp 1.57 443 (https)/tcp 1.53 21 (ftp)/tcp 1.12 1433 (ms-sql-s)/tcp 0.63 3389/tcp 0.43 10 25 (smtp)/tcp 0.35 Bức tranh tổng hợp Quý -2015 (3) 24 Bức tranh tổng hợp Quý -2015 (4) Một số loại tình hình công đặc biệt nguy hiểm điển hình quý II: Tấn công thay đổi giao diện hệ thống website Tấn công gây từ chối dịch vụ cách sử dụng dịch vụ Google cung cấp phục vụ cho việc tìm kiếm thông tin Tấn công vét cạn để phát mật dịch vụ điều khiển chia sẻ tệp tin từ xa SSH FTP Tấn công nhằm tải trái phép tệp tin điều khiển nguy hiểm (Shell) lên máy chủ Web Mạng mã độc có máy chủ điều khiển sử dụng tên miền nước sau quản lý: Hoa Kỳ, Trung Quốc, Cộng hòa Ai-xơ-len, Hà Lan, Pháp Nga Tấn công gây từ chối dịch vụ phân giải tên miền (DNS) phát có số lượng lớn tăng nhanh hai tuần cuối tháng 6/2015, chưa gây tác hại lớn Hoàn thiện HT thống giám sát an toàn mạng Internet quốc gia (giai đoạn 2) • • • • • • Tăng cường lực xử lý trung tâm, Bổ sung lực phân tích mã độc, thư rác, Mở rộng khả tích hợp với hệ thống giám sát tổ chức nhà nước, doanh nghiệp, Thiết lập hệ thống tiếp nhận báo cáo tự động theo chuẩn (STIX, TAXII,…), Xây dựng hệ thống tiếp nhận chia sẻ thông tin tự động, Phối hợp với VNISA DN đẩy mạnh phát triển áp dụng công nghệ nội địa (dựa mã nguồn mở, tự phát triển) lĩnh vực giám sát chia sẻ thông tin cố an toàn mạng Xin trân trọng cảm ơn Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam, Bộ Thông tin Truyền thông 18 Nguyễn Du, Hà Nội, Việt Nam Tel: (84) 90 343 4470 Fax: (84) 43 640 4425 Email: vqkhanh@vncert.vn 27