An ninh thông tin Việt Nam trước xu thế tấn công trên không gian mạng

Lê Công Phú | phulc@cmcinfosec.com

NỘI DUNG

Khái quát về các xu thế tấn công thời gian gần đây

Xu hướng tấn công trên không gian mạng

Thực trạng an ninh an toàn thông tin trong nướcHiện trạng hệ thống công nghệ thông tin trong nước, những vấn đề đáng quan tâm

Kết luận và hướng giải quyếtĐưa ra nhận định về tình hình ATTT trong nước, đồng thời đề xuất các phương án giải quyết cho thực trạng hiện nay

III

II

I

Phần I. Xu hướng tấn công trên không gian mạng

Tấn công APT Tấn công vào điểm yếu nhất của hệ thống

• Tấn công APT được phát hiện tại Việt Nam

Spear-Phishing Email

Mobile Malware | More Phones, More Bots, More Profit

POS Attack

Tấn công sử dụng Exploit kits

• Black Hole, Neutrino, RedKit...• Dễ dàng mua được ở chợ đen, bởi bất cứ ai, sử dụng mà không cần yêucầu cao về kỹ thuật, được hỗ trợ cập nhật thường xuyên.• Khai thác lỗ hổng trong Adobe- Reader, Adobe Flash, Java…• Sử dụng một số payload phổ biếnthời gian gần đây như: Scareware,Zeus, TDSS rootkit, ZeroAccess-Rootkit, Ransomware.

DDoS attacks | Smarter, bigger, faster and stronger

NTP Amplification

Những lỗ hỗng mới lần lượt được công bố

Một thống kê nhỏ Cyber Attacks Statistic (hackmageddon.com)

Phần II: Thực trạng an ninh an toàn thông tin trong nước

Ở Việt Nam “mọi thứ đều miễn phí”?

Và “Trái đắng” chúng ta nhận được

Việt Nam thuộc

TOP 5

quốc gia có tỉ lệ nhiễm mã độc

cao nhất thế giới

Microsoft security intelligence report

Top 10 countries with the highest risk of computer infection via Internet -- Kaspersky

Trong 9 tháng đầu năm 2014 thống kê từ Zone-h ước lượng cho thấy

Hơn 3000 website *.vn của Việt Nam bị tấn cống trong đó có

195 website .gov.vn

607 website .edu.vn

1275 website .com.vn

60 website .net.vn

41 website .org.vn

925 Website .vn

.gov.vn6%

.edu.vn20%

.com.vn41%.net.vn

2%

.org.vn1%

.vn30%

Tỉ lệ tên miền bị tấn công

.gov.vn .edu.vn .com.vn .net.vn .org.vn .vn

Tính đến 30/9

15%12%

70%

3%

Tỉ lệ hệ điều hành bị tấn công

Win2k3 Win2k8 Linux Other

Con số trên liệu có dừng ở đó?

Cao điểm

Hơn 200 website Việt Nam bị tin tặcTQ tấn công xoay quanh vụ dàn khoan HD981 vi phạm lãnh thổ Việt Nam

Hơn 700 website Việt Nam bị tin tặc tấn công dịp nghĩ lễ 02/09

Hơn 790 trang web sử dụng wordpressdính lỗi Revolution Slider Plugin

Những lỗ hổng cho phép tin tặc tấn công nhiều tổ chức trong nước thời gian qua phần lớn nằm trong OWASP Top 10

A1: Injection

A2: Broken Authentication and

Session Management

A3: Cross-Site Scripting (XSS)

A4: Insecure Direct Object References

A5: Security Misconfigurati

on

A6: Sensitive Data Exposure

A7: Missing Function Level Access Control

A8: Cross Site Request

Forgery (CSRF)

A9: Using Known Vulnerable

Components

A10: Unvalidated Redirects and

Forwards

• Injection

• Business Logic

• Security Misconfiguration

• Using Components with Known Vulnerabilities

Điều đặc biệt

• Tất cả những lỗ hổng trên không phải là Zero-day, nhưng lại là nguyên nhân chính của nhiều hệ thống trong nước bị khai thác được phát hiện gần đây.• Trong đợt tấn công của tin tặc TQ nhằm vào Việt Nam, gần như hầu

hết website bị khai thác thông qua các lỗi trên• Ngay cả những tổ chức được trang bị đầy đủ các thiết bị, giải pháp

bảo mật nhưng hệ thống của họ vẫn bị tấn công.

Nguyên nhân của vấn đề

Dữ liệu khảo sát nhanh của CMC InfoSec về tình hình bảo mật và rà soát, đánh giá an ninh thông tin trên 170 tổ chức trong

nước cho thấy.

20%

80%

Có bộ phận chuyên trách? Thiếu bộ phận phụ trách ATTT

25%

75%

Hiểu biết về các lỗi bảo mật Thiếu kiến thức về bảo mật

• Thiếu đội ngũ chuyên trách về ATTT trong các tổ chức • Hiểu biết về bảo mật của đội ngũ phát

triển ứng dụng, vận hành hệ thống

• Tỉ lệ đầu tư cho an ninh an toàn thông tin ở các tổ chức

16%

58%

27%

Có ngân sách dành cho ATTT Chưa chú trọng đầu tư cho ATTTĐầu tư hời hợt

14%

52%

12%

22%

Thiết bị bảo mật tồn tại lỗ hổng chưa được update

Thiết bị đảm bảo an toàn

Thiết bị được cấu hình mặc định

Thiết bị bảo mật khôngsử dụng hết chức năng

• Tỉ lệ các mối đe dọa từ bản thân các thiết bị bảo mật

15%

18%

27%

13%

8%

6%

5%

9%

Sql injection

Xss

Misconfiguration

CSRF

File Upload

Using Components with Known Vulnerabilities

Slow Http Dos

Other

• Những lỗ hổng thường gặp ở các tổ chức

38%

42%

20%

Khối chính phủ Khối doanh nghiệp Khối ngân hàng

40%

35%

25%

Không nhận biết được sự tồn tại của lỗ hổng

Nhận biết nhưng không có giải pháp khắc phục

Nhận biết và có giải pháp xử lý

• Tỉ lệ tồn tại lỗ hổng ở các khối

• Tỉ lệ nhận biết sự tồn tại của lỗ hổng

Phản ứng của các tổ chức khi bị tấn công?

Chúng ta cần làm gì?

Động thái từ chính phủ

• Thúc đẩy dự luật liên quan đến ATTT• Thành lập cục ATTT trực thuộc bộ TTTT• Thành lập trung tâm giám sát an ninh mạng trực thuộc BCY• Thành lập cục an ninh mạng trực thuộc bộ công an

Vậy nếu thực sự một cuộc chiến tranh mạng diễn ra, Việt Nam hoàn toàn đủ sức ứng phó?

Phần III: Kết luận và hướng giải quyết

Nhận định • Vấn đề an ninh an toàn thông tin trong các tổ chức chưa được quan tâm, đầu tư

đúng tầm với vai trò của nó.• Nguồn lực làm an ninh an toàn trong nước còn thiếu, đặc biệt là đội ngũ có trình

độ chuyên môn cao.• Nhận thức của người dùng cuối về an toàn thông tin chưa cao, đây cũng là mục

tiêu ưa chuộng được tin tặc nhắm tới.• Các tổ chức, doanh nghiệp vẫn còn dễ dãi và có thái độ lơ là trước những nguy cơ,

mối đe dọa mà đơn vị mình đang đối mặt.• Tình hình hiện nay cho thấy nếu một cuộc chiến tranh mạng bùng nổ thì Việt Nam

hoàn toàn rơi vào thế ứng phó bị động.

Chúng ta cần làm gì

Thực hiện dò quét, đánh giá bảo mậtCác hệ thống ứng dụng, hệ thống máy chủ

Rà soát, kiểm định ATTTXác định các vấn đề tồn tại trong hạ tầng, hệ thống, thiết bị, những sai sót trong cấu hình để kiện toàn.

Để đảm bảo an toàn thông tin cho tổ chức

Đào tạo nâng caonhận thức ATTT cho cho mọi

đối tượng trong tổ chức

Xem xét lại kiến trúc an ninhQuy hoạch lại các quy trình, chính sách và thiết kế hạ tầng

Năng lực phụ trách ATTTChú trọng đầu tư vào con người, nâng cao năng lực đảm nhiệm các vấn đề liên quan đến ATTT

Đầu tư gia cố thiết bị bảo mậtCác giải pháp bảo mật chống

thất thoát dữ liệu và xâm nhập

10

Tham khảo

• OWASP Top-10 2013• Microsoft security intelligence report• Kaspersky Report• A special report on attacks on Point of Sales Systems – Symantec • Nhìn lại xu hướng tấn công 2014 – Viện Công nghệ an toàn thông tin• Báo cáo đánh giá tình hình ATTT một số tổ chức trong nước – CMC InfoSec

Q & A