Tường thuật Diễn tập an ninh mạng WhiteHat Drill 07 - Bảng A - Ngày 7/7

Ginny Hà

VIP Members
04/06/2014
88
689 bài viết
Tường thuật Diễn tập an ninh mạng WhiteHat Drill 07 - Bảng A - Ngày 7/7
Chủ đề: GIÁM SÁT VÀ ỨNG PHÓ SỰ CỐ AN NINH MẠNG SỬ DỤNG TRUNG TÂM ĐIỀU HÀNH SOC

Thời gian: 14:00 - 17:00 ngày 07-08-09/07/2020
Bảng điểm WhiteHat Drill 07 - Ngày 07/07/2020: https://drill.whitehat.vn/LeaderBoard

==============​
17:00 Ngày diễn tập đầu tiên của WhiteHat Drill 07 đã kết thúc.
Ban tổ chức xin gửi lời cảm ơn tới tất cả các đội đã tham gia chương trình diễn tập ngày hôm nay.
Theo kết quả ghi nhận, Sở TTTT Bắc Ninh là đội thi xuất sắc nhất, hoàn thành toàn bộ các Phase diễn tập trong thời gian ngắn nhất. Đứng thứ 2 và thứ 3 là Sở TTTT Đà NẵngSở TTTT Bình Thuận.
Ban tổ chức sẽ tổng kết kiểm tra lại kết quả của các đội trong ngày hôm nay và gửi cho các đội cũng như thông báo trên các kênh của Ban tổ chức.

Bảng xếp hạng ngày 7/7:
15.png
16:55 Sở TTTT Đà Nẵng vừa giành lại vị trí quán quân. Tuy nhiên, chỉ vài phút sau, Sở TTTT Bắc Ninh tiếp tục submit các Phase còn lại và trở thành đội đầu tiên hoàn thành toàn bộ các Phase của Diễn tập. Đội thi đang nắm giữ vị trí dẫn đầu với 2.200 điểm.
Chỉ còn 5 phút cuối cùng để các đội thi hoàn thành nhiệm vụ.
16:45 Ban tổ chức hỗ trợ giải đề Phase 5 và Phase 6. Đây là 2 Phase được đánh giá là "hóc búa". Đặc biệt Phase 5 mới chỉ có 3/13 đội submit thành công.
IMG-2990.jpg
16:20 Bảng xếp hạng vừa có thay đổi thứ hạng lớn khi ngôi vị quán quân mà Sở TTTT Đà Nẵng nắm giữ suốt từ đầu Diễn tập đã thuộc về Sở TTTT Bình Thuận. Liền sau đó là Bắc Ninh, Lai Châu. Sở TTTT Đà Nẵng đứng vị trí số 4, ngay trước Sở TTTT Tiền Giang.
Top 5 Bảng xếp hạng hiện tại gồm:
14.png
16:10 10 phút sau khi tất cả các Phase được mở, Sở TTTT Đà Nẵng vẫn đang nắm giữ vị trí dẫn đầu với 1.500 điểm. Phía dưới Bảng xếp hạng có chút thay đổi, Sở TTTT Bình ThuậnSở TTTT Bắc Ninh đang vươn lên lần lượt ở vị trí thứ 2 và 3.
Ban Tổ chức nhắc nhở các đội cần cung cấp ID của CVE khi submit đáp án Phase 5.
13.png

Bảng xếp hạng lúc 16:20
16:00 Ban tổ chức mở toàn bộ các Phase còn lại, gồm: Phase 7 "Khôi phục hệ thống", Phase 8 "Hoạt động sau sự cố" và Phase 9 "Feedback".
12.png

11.png

Ban tổ chức hỗ trợ giải đề Phase 2 và Phase 3
Sau khi loại bỏ được tận gốc vấn đề, đội ứng cứu phải xác định xem dữ liệu có bị thất thoát hay không (phục hồi lại dữ liệu từ bản Backup nếu dữ liệu bị mất), khởi động lại hệ thống, dịch vụ để duy trì hoạt động liên tục cho đơn vị. Đây cũng là nội dung của Pha 7: Khôi phục hệ thống là giúp các đội.
Mục đích của Pha 7 là giúp các đội:
1. Biết cách khôi phục lại các hệ thống, dịch vụ bị ảnh hưởng và phục hồi lại dữ liệu.
2. Kiểm tra và xác định tất cả dữ liệu bị thất thoát, khôi phục từ bản Backup.
3. Đảm bảo Backup không còn tồn tại mã độc.
4. Sau khi khôi phục tất cả dữ liệu bị mất, đội ứng cứu cần phải khởi động lại tất cả tiến trình, dịch vụ đã bị gián đoạn.
5. Thực hiện kiểm thử sau khi khôi phục
Pha 8 có tên gọi: Hoạt động sau sự cố. Để kết thúc một quy trình xử lý sự cố, đội ứng cứu cần thực hiện các công việc cụ thể để cải thiện năng lực ứng cứu sự cố của đơn vị, chuẩn hóa quy trình và đưa ra các biện pháp phòng chống tấn công trong tương lai.
Đồng thời, đội ứng cứu cần liên hệ, chia sẻ thông tin với các đơn vị hoạt động trong cùng lĩnh vực để cảnh báo kịp thời. Ngoài ra, đội ứng cứu cấn tổng hợp báo cáo.
Mục đích của Pha 8 này là giúp các đội:
1. Đánh giá thiệt hại sự cố gồm: chi phí liên quan đến thất thoát thông tin bí mật, luật pháp, nhân công, thời gian gián đoạn dịch vụ, cài đặt.
2. Phân tích mục đích, động cơ của kẻ tấn công.
3. Sửa đổi quy trình, chính sách, quy định nếu cần.
4. Đào tạo nhận thức toàn đơn vị.

15:40 Đến thời điểm hiện tại vẫn chưa có đội thi nào giải thành công Phase 5 - Thu thập bằng chứng và truy tìm thủ phạm. 11 Sở TTTT đã ghi danh trên Bảng điểm.
9.png
Ban tổ chức hỗ trợ giải đề cho Phase 0 và Phase 1
7.jpg
Trên Bảng xếp hạng, Sở TTTT Đà Nẵng liên tục nắm giữ vị trí dẫn đầu. Đứng thứ 2 và 3 hiện đang là Sở TTTT Trà VinhSở TTTT Bắc Ninh.
7.png

Top 3 trên Bảng xếp hạng
Diễn tập an ninh mạng WhiteHat Drill 07 cũng hướng tới thể hiện rõ mô hình “4 lớp” nhân sự trong giám sát, đảm bảo an toàn thông tin mạng, bao gồm: (1) Lực lượng tại chỗ, (2) Tổ chức hoặc doanh nghiệp giám sát, bảo vệ chuyên nghiệp, (3) Tổ chức hoặc doanh nghiệp độc lập kiểm tra, đánh giá định kỳ, (4) Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia.

15:10 Ban tổ chức mở thêm Phase 5 và 6. Đây là hai Phase chính, dự kiến sẽ "gây khó dễ" và ngốn nhiều thời gian của các đội.
Bảng xếp hạng hiện tại có sự góp mặt của 8 Sở TTTT:
6.png
Phase 5 có tên Thu thập bằng chứng và phân tích. Trong pha này, đội ứng cứu phải thu thập bằng chứng liên quan đến sự cố. Tiến hành điều tra trên máy tính đã được xác định nghi ngờ bị tấn công để điều tra, thông qua việc kiểm tra trực tiếp máy tính để chỉ ra bằng chứng tấn công.
Mục đích của Pha 5 là giúp các đội:
1. Biết cách xác định được nguồn gốc tấn công.
2. Bảo vệ hiện trường và đảm bảo an toàn bằng chứng trong quá lưu trữ và vận chuyển.
3. Biết cách phân tích log, đánh giá tương quan sự kiện và thông tin lưu lượng mạng.
4. Tạo báo cáo điều tra rồi gửi cho phụ trách.
5. Tùy vào từng trường hợp có thể xem xét xử lý nội bộ hoặc đưa ra pháp luật
Thời gian thực hiện pha này là 30 phút

Sau khi đã thu thập bằng chứng và phân tích, đội ứng cứu sẽ có được thông tin cụ thể về sự cố, từ đó loại bỏ được tận gốc vấn đề. Đây cũng là công việc của các đội trong Pha 6: Xử lý nguyên nhân gây ra tấn công.
Mục đích của Phase 6 là giúp các đội:
1. Biết cách tìm ra nguyên nhân gốc rễ của sự cố.
2. Cảnh báo cho đơn bị cung cấp và phát triển của đơn vị bị ảnh hưởng.
3. Đưa ra phương án để giảm thiểu thiệt hại.
4. Kiểm tra các hệ thống tương tự có bị khai thác hay không.
5. Kiểm thử hệ thống trước khi bắt đầu quá trình khôi phục.
Thời gian thực hiện pha này là 20 phút.

WhiteHat Drill 07 có chủ đề "Giám sát và ứng phó sự cố an ninh mạng sử dụng Trung tâm điều hành SOC". Chia sẻ về chủ đề Diễn tập, ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng của Bkav cho biết: “Đối với các cuộc tấn công APT, phát hiện sớm là yêu cầu tối quan trọng để giảm thiểu rủi ro cho hệ thống. Bên cạnh đó, việc điều tra, phân tích nguyên nhân, đề xuất các biện pháp cải tiến… để tránh lặp lại sự cố tương tự trong tương lai cũng cần đặt ra. Tham gia diễn tập, các đội sẽ được sử dụng Trung tâm điều hành an toàn, an ninh mạng SOC trong việc phát hiện sớm và thực hiện các quy trình ứng phó (SOP – Standard Operating Procedures) để xử lý kịp thời các cuộc tấn công”.
15:00 Ban tổ chức mở Phase 3 và 4.
Phase 3 có tên gọi Thông báo.
Thông tin liên lạc đóng một vai trò quan trọng quá trình xử lý sự cố. Việc có quy trình thông báo chuẩn sẽ giúp giảm thiểu tác động của cuộc tấn công và giúp các đơn vị phối hợp nhuần nhuyễn với nhau.
Đội ứng cứu sau khi phân tích xong và đánh giá đây là sự cố an ninh ở mức độ nghiêm trọng cần phải thực hiện theo một quy trình thông báo chuẩn.
Mục đích của Phase 3 này là giúp các đội biết cách xác định các nơi cần nhận thông báo. Sau khi thực hiện xong phase này, đội diễn tập cần phải cập nhật đầy đủ các thông tin đã xử lý lên trên hệ thống.
Phase 4 có tên gọi Ngăn chặn. Mục đích của Pha 4 này là giúp các đội ứng cứu đưa ra được phương án ngăn chặn tạm thời. Thời gian thực hiện pha này là 10 phút
14:50 Đã có 5 đội ghi danh trên Bảng xếp hạng thời điểm hiện tại:
4.png
Sở TTTT Điện Biên Sở TTTT Đăk Lăk cũng vừa lần lượt ghi được 100 điểm đầu tiên. Liền sau đó Sở TTTT Đà Nẵng hoàn thành thêm 1 Phase và vươn lên dẫn đầu với 300 điểm.
Ban Tổ chức thông báo mở thêm Phase 2: Ngay sau khi tiếp nhận thông tin phối hợp từ đội giám sát trên, đội ứng cứu vào cuộc để phân tích chi tiết và đánh giá cảnh báo từ hệ thống.
3.png
14:32 Sở TTTT Bình Thuận vừa trở thành đội đầu tiên ghi được điểm tại WhiteHat Drill 07. Đội thi hoàn thành Phase 1 và giành được 100 điểm.
Chỉ 1 phút sau đó, Sở TTTT Đà Nẵng ghi tên trên bảng điểm. Đội thi giành được 200 điểm nhờ việc hoàn thành Phase 0.
image (1).png
14:10 Ban tổ chức thông báo mở Phase 1 - Ghi nhận sự cố và phân công xử lý.
Tình huống đưa ra là: 14h ngày 07/07/2020, hệ thống cảnh báo sớm của Trung tâm giám sát an toàn, an ninh mạng SOC tự động gửi tin nhắn SMS khi phát hiện dấu hiệu bất thường đến đội giám sát. Đội giám sát nhận được thông tin và tiến hành ghi nhận, xử lý.
Mục đích của Phase 1 này là giúp các đội:

1. Biết cách kiểm tra cảnh báo trên hệ thống.
2. Biết cách đánh giá sơ bộ mức độ ưu tiên của một sự cố.
3. Biết cách thực hiện chuyển xử lý công việc theo quy trình xử lý


Thời gian thực hiện pha này là 20 phút

Trước đó, các đội đã có thời gian chuẩn bị làm quen hệ thống.
14:00 WhiteHat Drill 07 chính thức bắt đầu.
IMG_0155.JPG
IMG_0133.JPG

5.JPG

Đội Hỗ trợ kỹ thuật tại WhiteHat Drill 07
Ngày diễn tập đầu tiên (7/7) sẽ có sự tham gia của 15 đội sau:
DSdoi_Day1.png

1.jpg

IMG_0108.JPG
13:30 Diễn ra Lễ khai mạc WhiteHat Drill 07.
2.jpg

Ông Nguyễn Thành Phúc - Cục trưởng Cục An toàn thông tin (Bộ Thông tin và Truyền thông) phát biểu tại Diễn tập
Phát biểu tại sự kiện, Cục trưởng Nguyễn Thành Phúc nhấn mạnh, an toàn thông tin là vấn đề hiện hữu, luôn thu hút sự quan tâm của mọi tổ chức. Trong bối cảnh ấy, Cục An toàn thông tin đã và đang nỗ lực cùng các cơ quan, tổ chức để chuyển từ tình thế bị động đối phó với mỗi cuộc tấn công mạng sang chủ động và tích cực xử lý. Chỉ thị số 14 năm 2019 của Thủ tướng Chính phủ cũng yêu cầu các cơ quan, tổ chức, doanh nghiệp nhà nước tự thực hiện giám sát, ứng cứu sự cố an toàn thông tin mạng, bảo vệ hệ thống thông tin thuộc quyền quản lý. Để làm được điều đó, việc triển khai Trung tâm điều hành an toàn, an ninh mạng SOC là điều hết sức cần thiết. Cục An toàn thông tin hoan nghênh và đánh giá cao Bkav trong nhiều năm qua đã thường xuyên tổ chức diễn tập giúp nâng cao năng lực các đội ứng cứu an ninh mạng của các cơ quan, tổ chức.
DSC09804.JPG

Ông Ngô Tuấn Anh - Phó chủ tịch phụ trách an ninh mạng của Bkav phát biểu tại sự kiện

IMG_0128.JPG

WhiteHatDrill07.jpg

Kịch bản diễn tập

WhiteHat Drill 07 bao gồm các tình huống mô phỏng kịch bản hệ thống của đơn vị bị tấn công APT (có chủ đích, sử dụng mã độc). Các đội sẽ trực tiếp vận hành hệ thống SOC để giám sát, phát hiện dấu hiệu tấn công, chủ động ứng cứu, bảo vệ hệ thống thông tin thuộc quyền quản lý, từ đó giảm thiểu các thiệt hại.
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên