WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Tường thuật Diễn tập An ninh mạng WhiteHat Drill 07 - Bảng C - Ngày 9/7
17:00 Ngày diễn tập cuối cùng của WhiteHat Drill 07 đã kết thúc.
Ban tổ chức xin gửi lời cảm ơn tới tất cả các đội đã tham gia chương trình diễn tập ngày hôm nay.
Theo kết quả ghi nhận, Cục Bưu điện TW là đội thi xuất sắc nhất, hoàn thành toàn bộ các Pha diễn tập trong thời gian ngắn nhất. Đứng thứ 2 và 3 là Trung tâm Điều độ hệ thống điện miền Trung và Sở TTTT Hưng Yên
Ban tổ chức sẽ tổng kết kiểm tra lại kết quả của các đội và gửi cho các đội cũng như thông báo trên các kênh của Ban tổ chức.
Bảng xếp hạng ngày 9/7:
16:20 Phản hồi về chương trình diễn tập WhiteHat Drill 07, nhiều đội tham gia trong Bảng C đều nhận xét chủ đề rất hữu ích, thiết thực. Các đội đều rất ấn tượng với đội ngũ hỗ trợ kỹ thuật của Ban tổ chức. Rất chuyên nghiệp, rất nhiệt tình, tận tình, chu đáo, nhanh chóng...
Bộ phận hỗ trợ của WhiteHat Drill 07 nhận được nhiều phản hồi tích cực 16:15: Đội Cục Bưu điện TW đã xuất sắc hoàn thành tất cả các Pha của Chương trình diễn tập giành vị trí dẫn đầu trên Bảng xếp hạng.
16:05 Bước sang giờ diễn tập cuối cùng, các đội đang tích cực gửi báo cáo. Đội hỗ trợ kỹ thuật của BTC cũng đang nhiệt tình hỗ trợ các đội hoàn thành những pha cuối của Chương trình diễn tập.
Đội hỗ trợ kỹ thuật15:45: Ban Tổ chức thông báo mở Pha 7 - Pha 7: Khôi phục hệ thống; Pha 8: Hoạt động sau sự cố và Pha 9: Feedback (Phản hồi).
Đồng thời BTC cũng hỗ trợ các đội giải Pha 3 và Pha 4. Các đội có thể theo dõi nội dung hướng dẫn qua hệ thống eMeeting tại https://emeeting.vn/WhiteHatDrill07.
15:41 Sở TTTT Tuyên Quang xuất sắc vươn lên vị trí thứ nhât trên Bảng xếp hạng. Càng về cuối buổi diễn tập các đội tham gia càng tạo nhiều bất ngờ
15:30 Phía cuối Bảng xếp hạng các đội vẫn đang rất nỗ lực thực hiện diễn tập.
15:15 Ban tổ chức cũng hỗ trợ các đội giải Pha 0 và Pha 1. Các đội có thể theo dõi nội dung hướng dẫn qua hệ thống eMeeting tại https://emeeting.vn/WhiteHatDrill07.
BTC hỗ trợ các đội giải Pha 0 và Pha 115:05 Ban tổ chức mở thêm Pha 5 và 6.
Trong Pha 5: Thu thập bằng chứng và phân tích, đội ứng cứu phải thu thập bằng chứng liên quan đến sự cố. Tiến hành điều tra trên máy tính đã được xác định nghi ngờ bị tấn công để điều tra, thông qua việc kiểm tra trực tiếp máy tính để chỉ ra bằng chứng tấn công.
Mục đích của Pha 5 là giúp các đội:
1. Biết cách xác định được nguồn gốc tấn công.
2. Bảo vệ hiện trường và đảm bảo an toàn bằng chứng trong quá lưu trữ và vận chuyển.
3. Biết cách phân tích log, đánh giá tương quan sự kiện và thông tin lưu lượng mạng.
4. Tạo báo cáo điều tra rồi gửi cho phụ trách.
5. Tùy vào từng trường hợp có thể xem xét xử lý nội bộ hoặc đưa ra pháp luật
Sau khi đã thu thập bằng chứng và phân tích, đội ứng cứu sẽ có được thông tin cụ thể về sự cố, từ đó loại bỏ được tận gốc vấn đề. Đây cũng là công việc của các đội trong Pha 6: Xử lý nguyên nhân gây ra tấn công.
Mục đích của Pha 6 là giúp các đội:
1. Biết cách tìm ra nguyên nhân gốc rễ của sự cố.
2. Cảnh báo cho đơn bị cung cấp và phát triển của đơn vị bị ảnh hưởng.
3. Đưa ra phương án để giảm thiểu thiệt hại.
4. Kiểm tra các hệ thống tương tự có bị khai thác hay không.
5. Kiểm thử hệ thống trước khi bắt đầu quá trình khôi phục.
Thời gian thực hiện pha này là 30 phút.
Sau hơn 1 tiếng diễn tập, Sở TTTT Thái Nguyên đã xuất sắc vươn lên đứng đầu Bảng xếp hạng.
15:00 Ban tổ chức thông báo mở Pha 4: Ngăn chặn. Mục đích của Pha 4 này là giúp các đội ứng cứu đưa ra được phương án ngăn chặn tạm thời. Thời gian thực hiện pha này là 10 phút
14:55 Đã có 12 đội có tên trên Bảng Xếp Hạng. Ở vị trí đầu tiên là Sở TTTT Hà Tĩnh
Top 5 đội tạm thời dẫn đầu14:50 BTC thông báo mở Pha 3 - Thông báo.
Thông tin liên lạc đóng một vai trò quan trọng quá trình xử lý sự cố. Việc có quy trình thông báo chuẩn sẽ giúp giảm thiểu tác động của cuộc tấn công và giúp các đơn vị phối hợp nhuần nhuyễn với nhau.
Đội ứng cứu sau khi phân tích xong và đánh giá đây là sự cố an ninh ở mức độ nghiêm trọng cần phải thực hiện theo một quy trình thông báo chuẩn.
Mục đích của Pha 3 này là giúp các đội biết cách xác định các nơi cần nhận thông báo. Sau khi thực hiện xong phase này, đội diễn tập cần phải cập nhật đầy đủ các thông tin đã xử lý lên trên hệ thống
Thời gian thực hiện pha này là 5 phút.
14:45 Các đội đang tham gia rất tích cực. Chưa đầy 1 tiếng trôi qua đã 10 đội có tên trên Bảng xếp hạng. Ghi nhận tại khu vực kỹ thuật của BTC, Không khí diễn tập đang rất sôi nổi.
Màn hình dashboard tại khu vực kỹ thuật của WhiteHat Drill 0714:35 Đã 7 đội có tên trên Bảng xếp hạng. Sở TT&TT Quảng Ngãi đang đứng đầu với 300 điểm
14:30 Pha 2 - Phân tích và xác nhận sự cố chính thức được mở.
Kịch bản là: Ngay sau khi tiếp nhận thông tin phối hợp từ đội giám sát trên, đội ứng cứu vào cuộc để phân tích chi tiết và đánh giá cảnh báo từ hệ thống.
Thời gian thực hiện pha này là 30 phút.
Kịch bản là: Ngay sau khi tiếp nhận thông tin phối hợp từ đội giám sát trên, đội ứng cứu vào cuộc để phân tích chi tiết và đánh giá cảnh báo từ hệ thống. Thời gian thực hiện pha này là 30 phút.
14:25 Sở TT&TT Phú Yên và Sở TT&TT Quảng Ngãi đã hoàn thành Pha 0. 2 đội có 100 điểm và hiện đang là 2 đội có tên trên bảng điểm của WhiteHat Drill 07 chiều 09/07.
14:20 Ban tổ chức thông báo mở pha 1 - Ghi nhận sự cố và phân công xử lý
Kịch bản đặt ra là: 14h ngày 09/07/2020, hệ thống cảnh báo sớm của Trung tâm giám sát an toàn, an ninh mạng SOC tự động gửi tin nhắn SMS khi phát hiện dấu hiệu bất thường đến đội giám sát. Đội giám sát nhận được thông tin và tiến hành ghi nhận, xử lý.
Mục đích của Pha 1 là giúp các đội:
1. Biết cách kiểm tra cảnh báo trên hệ thống.
2. Biết cách đánh giá sơ bộ mức độ ưu tiên của một sự cố.
3. Biết cách thực hiện chuyển xử lý công việc theo quy trình xử lý
Thời gian thực hiện của Pha 1 này là 20 phút.
14:10 Nếu như chiều qua Sở TTTT Cao Bằng vượt qua pha 0 chỉ vài phút sau khi hệ thống mở thì hôm nay đã 10 phút đầu tiên qua nhưng chưa đội nào hoàn thành pha 0 - làm quen với hệ thống.
14:00 BTC thông báo đã mở Pha 0 để các đội làm quen với hệ thống SOC.
13:55 Để các đội nhanh chóng làm quen các tính năng của hệ thống SOC, anh Phạm Thành Trung Hiếu – Thành viên Đội kỹ thuật của WhiteHat Drill 07 đã giới thiệu về hệ thống SOC cùng các tính năng thao tác.
13: 50: Ông Nguyễn Văn Cường - Đội trưởng Đội ứng cứu sự cố an ninh mạng của Bkav lên giới thiệu về kịch bản diễn tập.
13:45: Hệ thống WhiteHat Drill 07 đã sẵn sàng cho các đội truy cập. Đội hỗ trợ kỹ thuật đang tích cực trợ giúp để các đội sẵn sàng trước giờ Hệ thống diễn tập chính thức mở.
--------------------------------------------
14 giờ chiều nay, Bảng đấu cuối cùng của WhiteHat Drill 07 sẽ thực hành diễn tập. Đây là buổi diễn tập cuối cùng trong WhiteHat Drill 07 năm nay.
Danh sách các đơn vị tham gia diễn tập trong Bảng C gồm:
Chủ đề: GIÁM SÁT VÀ ỨNG PHÓ SỰ CỐ AN NINH MẠNG SỬ DỤNG TRUNG TÂM ĐIỀU HÀNH SOC
Thời gian: 14:00 - 17:00 ngày 09/07/2020
Địa điểm: Trực tuyến trên hệ thống WhiteHatDrill, tường thuật trực tiếp tại WhiteHat.vn
Chủ đề “Giám sát và ứng phó sự cố an ninh mạng sử dụng Trung tâm điều hành SOC” đưa ra tình huống hệ thống mạng của một cơ quan tổ chức đã bị tấn công có chủ đích APT, có sử dụng mã độc. Mã độc đã “nằm vùng” trong hệ thống và tiến hành các hành vi nhằm lây lan rộng ra toàn bộ hệ thống, từ đó đánh cắp các thông tin quan trọng của tổ chức.
Nhiệm vụ của các đội tham gia diễn tập là làm quen với hệ thống giám sát an toàn, an ninh mạng (SOC) được Ban tổ chức cung cấp, sử dụng các công cụ của hệ thống SOC để phát hiện các dấu hiệu tấn công, từ đó từ ghi nhận, phân tích, thông báo, xử lý, điều tra đến đánh giá nguồn gốc cuộc tấn công, khôi phục hệ thống và đưa ra các biện pháp phòng chống trong tương lai. Các đội cũng sẽ được làm quen với quy trình xử lý chuẩn SOP (Standard Operation Producres), đảm bảo các quy trình được thực hiện đầy đủ, chất lượng và được ghi nhận đầy đủ trong nhật ký xử lý.
Buổi diễn tập cũng hướng tới thể hiện rõ mô hình “4 lớp” nhân sự trong giám sát, đảm bảo an toàn thông tin mạng, bao gồm: (1) Lực lượng tại chỗ, (2) Tổ chức hoặc doanh nghiệp giám sát, bảo vệ chuyên nghiệp, (3) Tổ chức hoặc doanh nghiệp độc lập kiểm tra, đánh giá định kỳ, (4) Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia.
Ban tổ chức xin gửi lời cảm ơn tới tất cả các đội đã tham gia chương trình diễn tập ngày hôm nay.
Theo kết quả ghi nhận, Cục Bưu điện TW là đội thi xuất sắc nhất, hoàn thành toàn bộ các Pha diễn tập trong thời gian ngắn nhất. Đứng thứ 2 và 3 là Trung tâm Điều độ hệ thống điện miền Trung và Sở TTTT Hưng Yên
Ban tổ chức sẽ tổng kết kiểm tra lại kết quả của các đội và gửi cho các đội cũng như thông báo trên các kênh của Ban tổ chức.
Bảng xếp hạng ngày 9/7:
Bộ phận hỗ trợ của WhiteHat Drill 07 nhận được nhiều phản hồi tích cực
Đội hỗ trợ kỹ thuật
Đồng thời BTC cũng hỗ trợ các đội giải Pha 3 và Pha 4. Các đội có thể theo dõi nội dung hướng dẫn qua hệ thống eMeeting tại https://emeeting.vn/WhiteHatDrill07.
15:41 Sở TTTT Tuyên Quang xuất sắc vươn lên vị trí thứ nhât trên Bảng xếp hạng. Càng về cuối buổi diễn tập các đội tham gia càng tạo nhiều bất ngờ
BTC hỗ trợ các đội giải Pha 0 và Pha 1
Trong Pha 5: Thu thập bằng chứng và phân tích, đội ứng cứu phải thu thập bằng chứng liên quan đến sự cố. Tiến hành điều tra trên máy tính đã được xác định nghi ngờ bị tấn công để điều tra, thông qua việc kiểm tra trực tiếp máy tính để chỉ ra bằng chứng tấn công.
Mục đích của Pha 5 là giúp các đội:
1. Biết cách xác định được nguồn gốc tấn công.
2. Bảo vệ hiện trường và đảm bảo an toàn bằng chứng trong quá lưu trữ và vận chuyển.
3. Biết cách phân tích log, đánh giá tương quan sự kiện và thông tin lưu lượng mạng.
4. Tạo báo cáo điều tra rồi gửi cho phụ trách.
5. Tùy vào từng trường hợp có thể xem xét xử lý nội bộ hoặc đưa ra pháp luật
Sau khi đã thu thập bằng chứng và phân tích, đội ứng cứu sẽ có được thông tin cụ thể về sự cố, từ đó loại bỏ được tận gốc vấn đề. Đây cũng là công việc của các đội trong Pha 6: Xử lý nguyên nhân gây ra tấn công.
Mục đích của Pha 6 là giúp các đội:
1. Biết cách tìm ra nguyên nhân gốc rễ của sự cố.
2. Cảnh báo cho đơn bị cung cấp và phát triển của đơn vị bị ảnh hưởng.
3. Đưa ra phương án để giảm thiểu thiệt hại.
4. Kiểm tra các hệ thống tương tự có bị khai thác hay không.
5. Kiểm thử hệ thống trước khi bắt đầu quá trình khôi phục.
Thời gian thực hiện pha này là 30 phút.
Sau hơn 1 tiếng diễn tập, Sở TTTT Thái Nguyên đã xuất sắc vươn lên đứng đầu Bảng xếp hạng.
14:55 Đã có 12 đội có tên trên Bảng Xếp Hạng. Ở vị trí đầu tiên là Sở TTTT Hà Tĩnh
Top 5 đội tạm thời dẫn đầu
Thông tin liên lạc đóng một vai trò quan trọng quá trình xử lý sự cố. Việc có quy trình thông báo chuẩn sẽ giúp giảm thiểu tác động của cuộc tấn công và giúp các đơn vị phối hợp nhuần nhuyễn với nhau.
Đội ứng cứu sau khi phân tích xong và đánh giá đây là sự cố an ninh ở mức độ nghiêm trọng cần phải thực hiện theo một quy trình thông báo chuẩn.
Mục đích của Pha 3 này là giúp các đội biết cách xác định các nơi cần nhận thông báo. Sau khi thực hiện xong phase này, đội diễn tập cần phải cập nhật đầy đủ các thông tin đã xử lý lên trên hệ thống
Thời gian thực hiện pha này là 5 phút.
14:45 Các đội đang tham gia rất tích cực. Chưa đầy 1 tiếng trôi qua đã 10 đội có tên trên Bảng xếp hạng. Ghi nhận tại khu vực kỹ thuật của BTC, Không khí diễn tập đang rất sôi nổi.
Màn hình dashboard tại khu vực kỹ thuật của WhiteHat Drill 07
Kịch bản là: Ngay sau khi tiếp nhận thông tin phối hợp từ đội giám sát trên, đội ứng cứu vào cuộc để phân tích chi tiết và đánh giá cảnh báo từ hệ thống.
Thời gian thực hiện pha này là 30 phút.
Kịch bản là: Ngay sau khi tiếp nhận thông tin phối hợp từ đội giám sát trên, đội ứng cứu vào cuộc để phân tích chi tiết và đánh giá cảnh báo từ hệ thống. Thời gian thực hiện pha này là 30 phút.
14:25 Sở TT&TT Phú Yên và Sở TT&TT Quảng Ngãi đã hoàn thành Pha 0. 2 đội có 100 điểm và hiện đang là 2 đội có tên trên bảng điểm của WhiteHat Drill 07 chiều 09/07.
Kịch bản đặt ra là: 14h ngày 09/07/2020, hệ thống cảnh báo sớm của Trung tâm giám sát an toàn, an ninh mạng SOC tự động gửi tin nhắn SMS khi phát hiện dấu hiệu bất thường đến đội giám sát. Đội giám sát nhận được thông tin và tiến hành ghi nhận, xử lý.
Mục đích của Pha 1 là giúp các đội:
1. Biết cách kiểm tra cảnh báo trên hệ thống.
2. Biết cách đánh giá sơ bộ mức độ ưu tiên của một sự cố.
3. Biết cách thực hiện chuyển xử lý công việc theo quy trình xử lý
Thời gian thực hiện của Pha 1 này là 20 phút.
14:10 Nếu như chiều qua Sở TTTT Cao Bằng vượt qua pha 0 chỉ vài phút sau khi hệ thống mở thì hôm nay đã 10 phút đầu tiên qua nhưng chưa đội nào hoàn thành pha 0 - làm quen với hệ thống.
14:00 BTC thông báo đã mở Pha 0 để các đội làm quen với hệ thống SOC.
13:55 Để các đội nhanh chóng làm quen các tính năng của hệ thống SOC, anh Phạm Thành Trung Hiếu – Thành viên Đội kỹ thuật của WhiteHat Drill 07 đã giới thiệu về hệ thống SOC cùng các tính năng thao tác.
--------------------------------------------
14 giờ chiều nay, Bảng đấu cuối cùng của WhiteHat Drill 07 sẽ thực hành diễn tập. Đây là buổi diễn tập cuối cùng trong WhiteHat Drill 07 năm nay.
Danh sách các đơn vị tham gia diễn tập trong Bảng C gồm:
Thời gian: 14:00 - 17:00 ngày 09/07/2020
Địa điểm: Trực tuyến trên hệ thống WhiteHatDrill, tường thuật trực tiếp tại WhiteHat.vn
Chủ đề “Giám sát và ứng phó sự cố an ninh mạng sử dụng Trung tâm điều hành SOC” đưa ra tình huống hệ thống mạng của một cơ quan tổ chức đã bị tấn công có chủ đích APT, có sử dụng mã độc. Mã độc đã “nằm vùng” trong hệ thống và tiến hành các hành vi nhằm lây lan rộng ra toàn bộ hệ thống, từ đó đánh cắp các thông tin quan trọng của tổ chức.
Nhiệm vụ của các đội tham gia diễn tập là làm quen với hệ thống giám sát an toàn, an ninh mạng (SOC) được Ban tổ chức cung cấp, sử dụng các công cụ của hệ thống SOC để phát hiện các dấu hiệu tấn công, từ đó từ ghi nhận, phân tích, thông báo, xử lý, điều tra đến đánh giá nguồn gốc cuộc tấn công, khôi phục hệ thống và đưa ra các biện pháp phòng chống trong tương lai. Các đội cũng sẽ được làm quen với quy trình xử lý chuẩn SOP (Standard Operation Producres), đảm bảo các quy trình được thực hiện đầy đủ, chất lượng và được ghi nhận đầy đủ trong nhật ký xử lý.
Buổi diễn tập cũng hướng tới thể hiện rõ mô hình “4 lớp” nhân sự trong giám sát, đảm bảo an toàn thông tin mạng, bao gồm: (1) Lực lượng tại chỗ, (2) Tổ chức hoặc doanh nghiệp giám sát, bảo vệ chuyên nghiệp, (3) Tổ chức hoặc doanh nghiệp độc lập kiểm tra, đánh giá định kỳ, (4) Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia.
WhiteHat.VN
Chỉnh sửa lần cuối: