Tường thuật Diễn tập An ninh mạng WhiteHat Drill 07 - Bảng B - Ngày 8/7

Thảo luận trong 'Diễn tập An ninh mạng' bắt đầu bởi WhiteHat News #ID:2112, 08/07/20, 09:07 AM.

  1. WhiteHat News #ID:2112

    WhiteHat News #ID:2112 WhiteHat Support

    Tham gia: 16/06/15, 03:06 PM
    Bài viết: 602
    Đã được thích: 81
    Điểm thành tích:
    48
    Chủ đề: GIÁM SÁT VÀ ỨNG PHÓ SỰ CỐ AN NINH MẠNG SỬ DỤNG TRUNG TÂM ĐIỀU HÀNH SOC

    Thời gian: 14:00 - 17:00 ngày 07-08-09/07/2020

    Bảng điểm WhiteHat Drill 07 - Ngày 08/07/2020: https://drill.whitehat.vn/LeaderBoard

    -----------------------------------
    17:05 Ngày diễn tập thứ hai của WhiteHat Drill 07 đã kết thúc.

    Ban tổ chức xin gửi lời cảm ơn tới tất cả các đội đã tham gia chương trình diễn tập ngày hôm nay.
    Theo kết quả ghi nhận, Sở TTTT Cao Bằng là đội thi xuất sắc nhất, hoàn thành toàn bộ các Pha diễn tập trong thời gian ngắn nhất. Đứng thứ 2 và 3 là Sở TTTT Lâm Đồng và Sở TTTT Gia Lai.

    Ban tổ chức sẽ tổng kết kiểm tra lại kết quả của các đội trong ngày hôm nay và gửi cho các đội cũng như thông báo trên các kênh của Ban tổ chức.

    Bảng xếp hạng ngày 8/7:

    Drill_0807_19.jpg

    16:45
    Còn 15 phút nữa, ngày diễn tập thứ hai của WhiteHat Drill 07 sẽ chính thức kết thúc. Hiện tại Sở TTTT Cao Bằng vẫn đang là đội dẫn đầu bảng điểm với 2.200 điểm.

    Trong chương trình diễn tập, Ban tổ chức cũng khảo sát các đội về chủ đề diễn tập lần này, về hỗ trợ của đội ngũ kỹ thuật... và nhận được những phản hồi rất tích cực từ phía các đội chơi.

    Về chủ đề diễn tập, các đội chơi trong Bảng B đều nhận xét chủ đề rất hữu ích, thiết thực. Các đội đều rất ấn tượng với đội ngũ hỗ trợ kỹ thuật của Ban tổ chức. Rất chuyên nghiệp, rất nhiệt tình, tận tình, chu đáo, nhanh chóng... là nhận xét của các đội.

    16:30 Sở TTTT Cao Bằng
    đã trở thành đội đầu tiên hoàn thành toàn bộ các pha của ngày diễn tập thứ 2. Đội hiện đang dẫn đầu với 2.200 điểm.

    Drill_0807_18.jpg

    16:25
    Ban tổ chức hướng dẫn các đội cách giải Pha 5 và Pha 6.

    Drill_0807_17.jpg

    16:15
    Ngay sau khi Ban tổ chức vừa mở các pha tiếp theo, Sở TTTT Cao Bằng nhanh chóng hoàn thành Pha 7: Khôi phục hệ thống, ghi thêm 200 điểm.

    Sở TTTT Gia Lai,
    Sở TTTT Sóc Trăng, Sở TTTT Vĩnh Phúc cũng theo sát gót với cùng 2.000 nhưng vì submit sau nên lần lượt ở các vị trí 2,3,4.

    Drill_0807_16.jpg

    16:10 Sở TTTT Cao Bằng
    vừa vươn lên vị trí số 1 sau khi giải được Pha 5. Đội hiện có 1.800 điểm và hiện đang là đội duy nhất giải được Pha này.

    Sau khi Sở TTTT Cao Bằng hoàn thành hết các Pha đã được mở, Ban tổ chức cũng thông báo mở tiếp 3 pha cuối của chương trình diễn tập.

    Drill_0807_15.jpg

    16:00 Top 4 bảng điểm WhiteHat Drill 07 hiện đều đang có 1.300 điểm, dẫn đầu là Sở TTTT Sóc Trăng, theo sau là Sở TTTT Vĩnh Phúc, Cao Bằng, Lâm Đồng và Gia Lai. Cả 4 đội đều chưa giải được Pha 5: Thu thập bằng chứng và truy tìm thủ phạm.

    Bảng điểm cũng vừa ghi nhận điểm số của các đội Sở TTTT Lâm Đồng, Sở TTTT Thừa Thiên Huế, và Sở TTTT Thanh Hóa.

    Drill_0807_14.jpg

    15:50
    Bảng điểm của WhiteHat Drill 07 ghi nhận sự góp mặt của Sở TTTT TP. HCM với việc giải thành công Pha 1. Đội hiện có 200 điểm.
    Bảng điểm của WhiteHat Drill 07 hiện đang có tên của 10/15 đội tham gia ngày diễn tập thứ hai.

    Drill_0807_13.jpg
    Nhận thấy Pha 2 và Pha 3 chưa có nhiều đội làm được, Ban tổ chức tiến hành hướng dẫn các đội thực hiện các pha này. Các đội có thể theo dõi hướng dẫn qua hệ thống eMeeting tại https://emeeting.vn/WhiteHatDrill07.

    15:40 Sở TTTT Long An
    vừa vươn lên vị trí số 1 sau khi hoàn thành Pha 6, ghi thêm 400 điểm. Đội hiện đang có 1.000 điểm. Trong khi đó, 4 đội còn lại thuộc Top 5 đều đang có 900 điểm.

    Drill_0807_12.jpg

    Sau khi đã thu thập bằng chứng và phân tích, đội ứng cứu sẽ có được thông tin cụ thể về sự cố, từ đó loại bỏ được tận gốc vấn đề. Đây cũng là công việc của các đội trong Pha 6: Xử lý nguyên nhân gây ra tấn công.

    Mục đích của Pha 6 là giúp các đội:

    1. Biết cách tìm ra nguyên nhân gốc rễ của sự cố.

    2. Cảnh báo cho đơn bị cung cấp và phát triển của đơn vị bị ảnh hưởng.

    3. Đưa ra phương án để giảm thiểu thiệt hại.

    4. Kiểm tra các hệ thống tương tự có bị khai thác hay không.

    5. Kiểm thử hệ thống trước khi bắt đầu quá trình khôi phục.

    15:30
    Ban tổ chức mở thêm Pha 5 và 6.

    Trong Pha 5: Thu thập bằng chứng và phân tích, đội ứng cứu phải thu thập bằng chứng liên quan đến sự cố. Tiến hành điều tra trên máy tính đã được xác định nghi ngờ bị tấn công để điều tra, thông qua việc kiểm tra trực tiếp máy tính để chỉ ra bằng chứng tấn công.

    Mục đích của Pha 5 là giúp các đội:

    1. Biết cách xác định được nguồn gốc tấn công.

    2. Bảo vệ hiện trường và đảm bảo an toàn bằng chứng trong quá lưu trữ và vận chuyển.

    3. Biết cách phân tích log, đánh giá tương quan sự kiện và thông tin lưu lượng mạng.

    4. Tạo báo cáo điều tra rồi gửi cho phụ trách.

    5. Tùy vào từng trường hợp có thể xem xét xử lý nội bộ hoặc đưa ra pháp luật

    Thời gian thực hiện pha này là 30 phút.

    Bảng điểm lúc này đang có tên của 9 đội. Trong đó Sở TTTT Sóc Trăng đang là đội dẫn đầu với 900 điểm. Có cùng số điểm nhưng ở vị trí thứ 2 là Sở TTTT Vĩnh Phúc. Sở TTTT Cao BằngSở TTTT Long An cùng có 600 điểm, lần lượt xếp vị trí thứ 3 và thứ 4.

    Drill_0807_11.jpg

    15:25 Sở TTTT Cà Màu
    là đội thứ 6 ghi tên mình trên bảng điểm của WhiteHat Drill 07 sau khi hoàn thành Pha 4 với 200 điểm.

    Lúc này, Sở TTTT Sóc Trăng đang là đội dẫn đầu với 800 điểm, đội đã hoàn thành các Pha 1, 2, 3, 4. Theo sau là Sở TTTT Long An với 500 điểm.

    Drill_0807_09.jpg

    Không lâu sau đó, bảng điểm của WhiteHat Drill 07 có thêm tên của Sở TTTT Nghệ An và Sở TTTT Gia Lai.

    Drill_0807_10.jpg

    15:10
    Ngay sau khi Sở TTTT Quảng Trị ghi tên mình trên bảng điểm sau khi hoàn thành Pha 4, ghi 200 điểm, Sở TTTT Long An cũng submit thành công đáp án cho Pha 4 này và tăng điểm số của mình lên 500 điểm.

    Bảng điểm của WhiteHat Drill 07 ngày 8/7 hiện đang có tên 5 đội.

    Drill_0807_08.jpg

    15:00
    Ban tổ chức thông báo mở Pha 4: Ngăn chặn. Mục đích của Pha 4 này là giúp các đội ứng cứu đưa ra được phương án ngăn chặn tạm thời. Thời gian thực hiện pha này là 10 phút

    14:50
    Bảng điểm của WhiteHat Drill 07 có thêm tên của hai đội là Sở TTTT Long An với 300 điểm và Sở TTTT Sóc Trăng với 100 điểm.

    Sở TTTT Long An
    hiện đang dẫn đầu với việc hoàn thành Pha 1 và Pha 3.

    Drill_0807_07.jpg

    Các đội tham dự WhiteHat Drill 07 sẽ được trao chứng nhận và quà tặng từ Ban tổ chức. Đội có kết quả diễn tập tốt nhất sẽ được tặng một smartphone Bphone B86 trị giá 8.990.000 đồng.

    14:50
    Ban tổ chức thông báo mở Pha 3: Thông báo.

    Thông tin liên lạc đóng một vai trò quan trọng quá trình xử lý sự cố. Việc có quy trình thông báo chuẩn sẽ giúp giảm thiểu tác động của cuộc tấn công và giúp các đơn vị phối hợp nhuần nhuyễn với nhau.

    Đội ứng cứu sau khi phân tích xong và đánh giá đây là sự cố an ninh ở mức độ nghiêm trọng cần phải thực hiện theo một quy trình thông báo chuẩn.

    Mục đích của Pha 3 này là giúp các đội biết cách xác định các nơi cần nhận thông báo. Sau khi thực hiện xong phase này, đội diễn tập cần phải cập nhật đầy đủ các thông tin đã xử lý lên trên hệ thống

    Thời gian thực hiện pha này là 5 phút.

    Ban tổ chức cũng hỗ trợ các đội giải Pha 0 và Pha 1. Các đội có thể theo dõi nội dung hướng dẫn qua hệ thống eMeeting tại https://emeeting.vn/WhiteHatDrill07.

    Drill_0807_06.jpg

    14:45
    Ban tổ chức thông báo mở Pha 2: Phân tích và xác nhận sự cố.

    Kịch bản là: Ngay sau khi tiếp nhận thông tin phối hợp từ đội giám sát trên, đội ứng cứu vào cuộc để phân tích chi tiết và đánh giá cảnh báo từ hệ thống. Thời gian thực hiện pha này là 30 phút.

    Drill_0807_05.jpg

    Mục đích của Pha 2 này là giúp các đội:

    1. Biết cách thu thập thông tin để xác thực sự cố và quyết định các hệ thống bị ảnh hưởng.

    2. Biết cách phân loại sự cố tùy theo tài nguyên bị ảnh hưởng hoặc công cụ được sử dụng để tấn công.

    3. Biết cách phân loại mức độ ưu tiên (cao, trung bình, thấp)

    4. Biết cách đánh giá sự cố nào có mức độ ảnh hưởng cao cần được ưu tiên xử lý.

    14:35 Sở TTTT Vĩnh Phúc là đội thứ hai ghi tên trên bảng điểm của WhiteHat Drill 07. Mặc dù ghi điểm sau nhưng Sở TTTT Vĩnh Phúc hiện đang dẫn đầu với 200 điểm sau khi hoàn thành Pha 1. Sở TTTT Cao Bằng ở vị trí thứ hai với 100 điểm

    Drill_0807_04.jpg

    14:30
    Trong quá trình diễn tập, các đội có thể trao đổi thảo luận qua các kênh hỗ trợ BTC gồm Slack, eMeeting, Facebook hoặc số hotline 0914 352 028.

    Hiện tại, đội hỗ trợ kỹ thuật của WhiteHat Drill 07 vẫn đang liên tục hỗ trợ các đội qua các kênh trao đổi này.

    14:15 BTC thông báo mở Pha 1: Ghi nhận sự cố và phân công xử lý.

    Kịch bản đặt ra là: 14h ngày 08/07/2020, hệ thống cảnh báo sớm của Trung tâm giám sát an toàn, an ninh mạng SOC tự động gửi tin nhắn SMS khi phát hiện dấu hiệu bất thường đến đội giám sát. Đội giám sát nhận được thông tin và tiến hành ghi nhận, xử lý.

    Thời gian thực hiện của Pha 1 này là 20 phút.

    Mục đích của Pha 1 là giúp các đội:

    1. Biết cách kiểm tra cảnh báo trên hệ thống.
    2. Biết cách đánh giá sơ bộ mức độ ưu tiên của một sự cố.
    3. Biết cách thực hiện chuyển xử lý công việc theo quy trình xử lý

    Sở TTTT Cao Bằng là đội đầu tiên ghi điểm với việc thành công hoàn thành Pha 0. Đội có 100 điểm và hiện đang là đội duy nhất có tên trên bảng điểm của WhiteHat Drill 07

    Drill_0807_03.jpg
    14:00 BTC mở Pha 0 để các đội làm quen với hệ thống SOC.

    Để các đội nhanh chóng làm quen các tính năng của hệ thống SOC, anh Phạm Thành Trung Hiếu – Thành viên Đội kỹ thuật của WhiteHat Drill 07 đã giới thiệu về hệ thống SOC cùng các tính năng thao tác trên đó.

    Drill_0807_02.jpg

    13:50 Ông Nguyễn Văn Cường - Đội trưởng Đội ứng cứu sự cố an ninh mạng của Bkav lên giới thiệu về kịch bản diễn tập.

    Map 1.jpg
    Mô hình hệ thống diễn tập​

    Drill_0807_00.jpg
    Đội hỗ trợ kỹ thuật của WhiteHat Drill 07 sẵn sàng để hỗ trợ các đội diễn tập Bảng B ngày 8/7.
    ---------------------------

    Đúng 14h chiều nay sẽ diễn ra Diễn tập an ninh mạng WhiteHat Drill 07 của Bảng B. WhiteHat Drill 07 được Cục An toàn thông tin (Bộ Thông tin và Truyền thông) và Tập đoàn công nghệ Bkav phối hợp tổ chức

    Danh sách các đơn vị tham gia diễn tập trong Bảng B gồm:

    [​IMG]

    Chủ đề: GIÁM SÁT VÀ ỨNG PHÓ SỰ CỐ AN NINH MẠNG SỬ DỤNG TRUNG TÂM ĐIỀU HÀNH SOC

    Thời gian: 14:00 - 17:00 ngày 08/07/2020

    Địa điểm: Trực tuyến trên hệ thống WhiteHatDrill, tường thuật trực tiếp tại WhiteHat.vn

    Chủ đề “Giám sát và ứng phó sự cố an ninh mạng sử dụng Trung tâm điều hành SOC” đưa ra tình huống hệ thống mạng của một cơ quan tổ chức đã bị tấn công có chủ đích APT, có sử dụng mã độc. Mã độc đã “nằm vùng” trong hệ thống và tiến hành các hành vi nhằm lây lan rộng ra toàn bộ hệ thống, từ đó đánh cắp các thông tin quan trọng của tổ chức.

    Nhiệm vụ của các đội tham gia diễn tập là làm quen với hệ thống giám sát an toàn, an ninh mạng (SOC) được Ban tổ chức cung cấp, sử dụng các công cụ của hệ thống SOC để phát hiện các dấu hiệu tấn công, từ đó từ ghi nhận, phân tích, thông báo, xử lý, điều tra đến đánh giá nguồn gốc cuộc tấn công, khôi phục hệ thống và đưa ra các biện pháp phòng chống trong tương lai. Các đội cũng sẽ được làm quen với quy trình xử lý chuẩn SOP (Standard Operation Producres), đảm bảo các quy trình được thực hiện đầy đủ, chất lượng và được ghi nhận đầy đủ trong nhật ký xử lý.

    Buổi diễn tập cũng hướng tới thể hiện rõ mô hình “4 lớp” nhân sự trong giám sát, đảm bảo an toàn thông tin mạng, bao gồm: (1) Lực lượng tại chỗ, (2) Tổ chức hoặc doanh nghiệp giám sát, bảo vệ chuyên nghiệp, (3) Tổ chức hoặc doanh nghiệp độc lập kiểm tra, đánh giá định kỳ, (4) Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia.

    WhiteHat
     
    Chỉnh sửa cuối: 08/07/20, 05:07 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan