Đăng xuất
Việc làm Hồ Chí Minh
Công văn 889/CNTT-HT-ATTT năm 2023 về Quy trình, phương án ứng cứu, khắc phục sự cố an ninh mạng và an toàn thông tin tại Bộ Tư pháp do Cục Công nghệ Thông tin ban hành
| Số hiệu | 889/CNTT-HT-ATTT |
| Ngày ban hành | 05/12/2023 |
| Ngày có hiệu lực | 05/12/2023 |
| Loại văn bản | Công văn |
| Cơ quan ban hành | Cục Công nghệ thông tin |
| Người ký | Tạ Thành Trung |
| Lĩnh vực | Công nghệ thông tin |
|
BỘ
TƯ PHÁP |
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: 889/CNTT-HT&ATTT |
Hà Nội, ngày 05 tháng 12 năm 2023 |
ỨNG CỨU, KHẮC PHỤC SỰ CỐ AN NINH MẠNG VÀ AN TOÀN THÔNG TIN TẠI BỘ TƯ PHÁP
Luật An toàn thông tin mạng;
Luật An ninh mạng;
Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Nghị định số 53/2022/NĐ-CP ngày 15/8/2022 của Chính phủ quy định chi tiết một số điều của Luật An ninh mạng;
Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
Thông tư 20/2017/TT-BTTTT ngày 12/9/2017 quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc;
Chỉ thị 18/2022/CT-TTg ngày 13/10/2022 của Thủ tướng Chính phủ về đẩy mạnh triển khai các hoạt động ứng cứu sự cố an toàn thông tin mạng Việt Nam;
Quyết định 2216/QĐ-BTP ngày 11/11/2022 của Bộ trưởng Bộ Tư pháp về việc Ban hành Quy chế Hoạt động của Đội ứng cứu sự cố an toàn thông tin mạng Bộ Tư pháp.
1. Mục đích, phạm vi áp dụng
a, Mục đích:
Cục Công nghệ thông tin xây dựng quy trình hướng dẫn các bước thực hiện xử lý sự cố an toàn, an ninh mạng đối với các hệ thống thông tin tại Trung tâm dữ liệu điện tử Bộ Tư pháp.
b, Phạm vi áp dụng
Quy trình này hướng dẫn các bước thực hiện ứng cứu sự cố an toàn, an ninh mạng cho các hệ thống thông tin tại Trung tâm dữ liệu điện tử Bộ Tư pháp.
2. Sơ đồ quy trình
Hình 1. Quy trình xử lý sự cố
Mô tả quy trình
Phát hiện, tiếp nhận thông tin sự cố: Việc phát hiện, tiếp nhận sự cố mã độc trong hệ thống mạng được thực hiện bởi cá nhân, đơn vị, tổ chức vận hành hệ thống. Công tác tiếp nhận, phát hiện thường được phối hợp bởi nhiều lực lượng và phương tiện kỹ thuật hỗ trợ gồm phân tích các nguồn từ bên trong hệ thống như: hệ thống giám sát, thông tin từ phía người dùng cung cấp và kết quả phân tích thông tin do cơ quan chức năng, mạng lưới ứng cứu an toàn thông tin cung cấp...
Bộ phận tiếp nhận tiếp nhận: Bộ phận Thường trực Đội ứng cứu sự cố an toàn thông tin mạng Bộ Tư pháp được đặt tại Cục Công nghệ thông tin; địa chỉ: 60 Trần Phú, Ba Đình, Hà Nội; số điện thoại Bộ phận thường trực: 024.62739717; email: [email protected].
Triển khai các bước ưu tiên ứng cứu ban đầu: Cần xác định mức độ ưu tiên xử lý, căn cứ vào bản chất, dấu hiệu của sự cố để xử lý sự cố theo kế hoạch ứng phó sự cố đã được phê duyệt hoặc hướng dẫn của cơ quan điều phối.
Lựa chọn phương án ứng cứu: Dựa trên kế hoạch ứng phó sự cố đã được phê duyệt để xây dựng, lựa chọn phương án ứng cứu phù hợp với từng sự cố và hệ thống mạng cụ thể. Các phương án ứng cứu cần được xây dựng linh hoạt dựa trên các điều kiện, mức độ đáp ứng, mức độ ưu tiên của từng hệ thống.
Báo cáo sự cố: Báo cáo thông tin về sự cố, đề xuất phương án ứng cứu để lãnh đạo phê duyệt, chỉ đạo xử lý.
Chỉ đạo xử lý sự cố: Đội ứng cứu sự cố an toàn thông tin mạng Bộ Tư pháp (Đội ứng cứu) tham gia xử lý sự cố; Chỉ đạo, phân công hoạt động phát ngôn, cung cấp thông tin sự cố trên các phương tiện truyền thông; Phối hợp với các đơn vị chuyên trách ứng cứu sự cố, các doanh nghiệp viễn thông, nhà cung cấp dịch vụ (ISP)...
Ngăn chặn sự cố: Đội ứng cứu phối hợp với cơ quan điều phối quốc gia, thành viên mạng lưới ứng cứu sự cố an toàn thông tin thực hiện thu thập dữ liệu điện tử, phân tích, xác định phạm vi, đối tượng bị ảnh hưởng, phân tích xác định nguồn gốc tấn công, triển khai các biện pháp ngăn chặn, giảm thiểu rủi ro đối với hệ thống thông tin.
|
BỘ
TƯ PHÁP |
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: 889/CNTT-HT&ATTT |
Hà Nội, ngày 05 tháng 12 năm 2023 |
ỨNG CỨU, KHẮC PHỤC SỰ CỐ AN NINH MẠNG VÀ AN TOÀN THÔNG TIN TẠI BỘ TƯ PHÁP
Luật An toàn thông tin mạng;
Luật An ninh mạng;
Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;
Nghị định số 53/2022/NĐ-CP ngày 15/8/2022 của Chính phủ quy định chi tiết một số điều của Luật An ninh mạng;
Quyết định số 05/2017/QĐ-TTg ngày 16/3/2017 của Thủ tướng Chính phủ quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia;
Thông tư 20/2017/TT-BTTTT ngày 12/9/2017 quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc;
Chỉ thị 18/2022/CT-TTg ngày 13/10/2022 của Thủ tướng Chính phủ về đẩy mạnh triển khai các hoạt động ứng cứu sự cố an toàn thông tin mạng Việt Nam;
Quyết định 2216/QĐ-BTP ngày 11/11/2022 của Bộ trưởng Bộ Tư pháp về việc Ban hành Quy chế Hoạt động của Đội ứng cứu sự cố an toàn thông tin mạng Bộ Tư pháp.
1. Mục đích, phạm vi áp dụng
a, Mục đích:
Cục Công nghệ thông tin xây dựng quy trình hướng dẫn các bước thực hiện xử lý sự cố an toàn, an ninh mạng đối với các hệ thống thông tin tại Trung tâm dữ liệu điện tử Bộ Tư pháp.
b, Phạm vi áp dụng
Quy trình này hướng dẫn các bước thực hiện ứng cứu sự cố an toàn, an ninh mạng cho các hệ thống thông tin tại Trung tâm dữ liệu điện tử Bộ Tư pháp.
2. Sơ đồ quy trình
Hình 1. Quy trình xử lý sự cố
Mô tả quy trình
Phát hiện, tiếp nhận thông tin sự cố: Việc phát hiện, tiếp nhận sự cố mã độc trong hệ thống mạng được thực hiện bởi cá nhân, đơn vị, tổ chức vận hành hệ thống. Công tác tiếp nhận, phát hiện thường được phối hợp bởi nhiều lực lượng và phương tiện kỹ thuật hỗ trợ gồm phân tích các nguồn từ bên trong hệ thống như: hệ thống giám sát, thông tin từ phía người dùng cung cấp và kết quả phân tích thông tin do cơ quan chức năng, mạng lưới ứng cứu an toàn thông tin cung cấp...
Bộ phận tiếp nhận tiếp nhận: Bộ phận Thường trực Đội ứng cứu sự cố an toàn thông tin mạng Bộ Tư pháp được đặt tại Cục Công nghệ thông tin; địa chỉ: 60 Trần Phú, Ba Đình, Hà Nội; số điện thoại Bộ phận thường trực: 024.62739717; email: [email protected].
Triển khai các bước ưu tiên ứng cứu ban đầu: Cần xác định mức độ ưu tiên xử lý, căn cứ vào bản chất, dấu hiệu của sự cố để xử lý sự cố theo kế hoạch ứng phó sự cố đã được phê duyệt hoặc hướng dẫn của cơ quan điều phối.
Lựa chọn phương án ứng cứu: Dựa trên kế hoạch ứng phó sự cố đã được phê duyệt để xây dựng, lựa chọn phương án ứng cứu phù hợp với từng sự cố và hệ thống mạng cụ thể. Các phương án ứng cứu cần được xây dựng linh hoạt dựa trên các điều kiện, mức độ đáp ứng, mức độ ưu tiên của từng hệ thống.
Báo cáo sự cố: Báo cáo thông tin về sự cố, đề xuất phương án ứng cứu để lãnh đạo phê duyệt, chỉ đạo xử lý.
Chỉ đạo xử lý sự cố: Đội ứng cứu sự cố an toàn thông tin mạng Bộ Tư pháp (Đội ứng cứu) tham gia xử lý sự cố; Chỉ đạo, phân công hoạt động phát ngôn, cung cấp thông tin sự cố trên các phương tiện truyền thông; Phối hợp với các đơn vị chuyên trách ứng cứu sự cố, các doanh nghiệp viễn thông, nhà cung cấp dịch vụ (ISP)...
Ngăn chặn sự cố: Đội ứng cứu phối hợp với cơ quan điều phối quốc gia, thành viên mạng lưới ứng cứu sự cố an toàn thông tin thực hiện thu thập dữ liệu điện tử, phân tích, xác định phạm vi, đối tượng bị ảnh hưởng, phân tích xác định nguồn gốc tấn công, triển khai các biện pháp ngăn chặn, giảm thiểu rủi ro đối với hệ thống thông tin.
Xử lý, gỡ bỏ: Thực hiện loại bỏ sự cố ra khỏi hệ thống, triển khai các biện pháp đảm bảo an ninh, an toàn thông tin bổ sung như rà quét, đánh giá, loại bỏ, khắc phục các điểm yếu, lỗ hổng bảo mật trong hệ thống. Thực hiện khôi phục hệ thống khi cần thiết.
Khôi phục: Thực hiện việc khôi phục dữ liệu, kết nối, cấu hình, bổ sung thiết bị, phần mềm cho hệ thống.
Kiểm tra, phân tích hệ thống: Thực hiện đánh giá hệ thống thông tin sau khi khắc phục hệ thống. Nếu hệ thống chưa hoạt động ổn định, đội ứng cứu cần tiếp tục điều tra, phân tích, xử lý triệt để, khôi phục để hệ thống trở lại hoạt động bình thường.
Tổng kết, đánh giá: Tổng hợp các thông tin, báo cáo sự cố cho ban chỉ đạo ứng cứu sự cố, cơ quan điều phối; Thực hiện phân tích, đánh giá sự cố để rút kinh nghiệm; Đề xuất biện pháp bổ sung nhằm ngăn ngừa sự cố trong tương lai. Việc tổng kết và rút kinh nghiệm là đặc biệt quan trọng đối với doanh nghiệp, giúp hạn chế việc xảy ra các sự cố tương tự trong tương lai và dự báo các sự cố sắp xảy ra trong hệ thống.
III. PHƯƠNG ÁN ĐỐI PHÓ, ỨNG CỨU, KHẮC PHỤC SỰ CỐ
Phân tích mã độc là một công việc quan trọng trong hoạt động ứng cứu sự cố. Việc phân tích mã độc trong hoạt động ứng cứu nhằm:
- Cung cấp thông tin về sự cố, cách thức tấn công của mã độc: Xác định các thông tin về thay đổi của hệ thống, hành vi tấn công, nguy cơ đe dọa an toàn thông tin để từ đó đưa ra phương án ngăn chặn, khắc phục hiệu quả.
- Cung cấp thông tin truy tìm, điều tra tấn công, cách thức khai thác, tấn công để đưa ra cảnh báo và cách thức khắc phục, phòng chống tấn công trong tương lai.
- Nhận biết xu hướng, kỹ thuật tấn công mới.
Quy trình phân tích mã độc bao gồm các bước sau:
Hình 2. Quy trình phân tích mã độc
Bước 1: Nhận diện hệ thống bị nhiễm mã độc
Nhận diện hệ thống bị nhiễm mã độc là bước quan trọng trong quy trình, có nhiều dấu hiệu cho biết một hệ thống bị nhiễm mã độc như dựa trên các bất thường của hệ thống, dựa trên các thông báo, báo cáo của hệ thống phần mềm bảo mật.
Sau khi nhận diện được hệ thống bị nhiễm mã độc, người phân tích cần thực hiện những công việc khoanh vùng xử lý hoặc cô lập các máy tính có dấu hiệu nghi ngờ nhiễm mã độc; ghi lại nhật ký ngày giờ và các thông tin liên quan; giữ nguyên hiện trạng của phần cứng, phần mềm liên quan đến hệ thống bị nhiễm; xác định thông tin về hệ điều hành, trình duyệt, phần mềm bảo mật, các tiến trình đang sử dụng nhằm xác định nguồn gốc và nguyên nhân lây lan mã độc vào hệ thống.
Bước 2: Thu thập mẫu mã độc
Thu thập mẫu mã độc là quá trình tìm ra các thiết bị, tập tin bị nhiễm mã độc, hoặc nghi ngờ bị nhiễm mã độc trong hệ thống nhằm mục đích nghiên cứu, phân tích và xử lý.
Có nhiều phương pháp thu thập mẫu, tuy nhiên, để đảm bảo các máy tính được thu thập được nguyên vẹn, khách quan nhằm phục vụ việc điều tra sự cố sau này thì người phân tích thường thực hiện sao lưu (clone) ổ cứng của máy tính bị nhiễm ra một thiết bị khác và phân tích trên bản sao đó.
Bước 3: Phân tích sơ lược
Dựa trên các thông tin đặc điểm, phân loại thuộc tính của tập tin, kích thước tập tin hoặc thông tin đơn giản khác để tiến hành phân loại sơ bộ mã độc hại. Việc xác định các thông tin này có thể thực hiện bằng cách gửi mã độc hại lên các cơ sở dữ liệu online như Virustotal hoặc quét tập tin bằng các chương trình Antivirus. Phân tích sơ lược thường được thực hiện tuần tự như sau:
- Phân tích đặc trưng kiểm tra đặc điểm tệp tin, giá trị băm, các chuỗi ký tự.
- Phân tích file nén, để kiểm tra xem tệp tin có bị nén hay không. Nếu bị nén thì có thể sử dụng các công cụ giải nén sau đó quay trở lại bước 1, nếu không giải nén được thì chuyển sang bước sau.
- Kiểm tra tương quan kết quả, tại đây thu nhận các kết quả, người phân tích lấy giá trị băm của tệp tin phân tích, tìm kiếm trên các cơ sở dữ liệu online để xem mẫu này đã được phân tích hay chưa? Nếu đã có kết quả phân tích thì lưu lại làm tài liệu để so sánh kết quả phân tích sau này.
Bước 4: Phân tích tĩnh
Phương pháp phân tích tĩnh là phương pháp phân tích mã độc dựa trên những đặc trưng của các tập tin mà không cần thực thi chúng để phát hiện mã độc. Người phân tích thường thực hiện bằng cách đọc mã thực thi của mã độc sử dụng một bộ phân tích (Disassembler) để dịch ngược các đoạn mã bên trong một chương trình mã độc thành dạng hợp ngữ, từ đó tìm hiểu các chỉ lệnh nhằm xác định hành vi độc hại của chương trình. Việc thực hiện phân tích tĩnh đòi hỏi người phân tích phải có các kiến thức chuyên sâu về ngôn ngữ lập trình, hợp ngữ và kiến trúc vi xử lý.
Bước 5: Phân tích động
Đây là phương pháp phân tích dựa trên việc quan sát, theo dõi hành vi mã độc khi thực thi mẫu trong môi trường phù hợp, nhằm tìm hiểu các hành động mà mã độc thực hiện, nhằm phục vụ cho quá trình xử lý, ngăn chặn. Phương pháp phân tích động thường được người phân tích thực hiện quan sát các tiến trình (processes), các DLL được tải cùng với file phân tích, thông tin về Registry, thay đổi các tệp, thư mục, lưu lượng mạng và các kết nối TCP/IP.
Bước 6: Viết báo cáo phân tích.
Sau khi phân tích xong mẫu mã độc, người phân tích cần tổng hợp thành một báo cáo hành vi hoạt động của mã độc.
2. Quy trình xử lý tấn công APT
Bước 1: Tiếp nhận sự cố
Tiếp nhận thông cảnh báo trên hệ thống máy chủ, dấu hiệu sự cố trên máy tính người dùng hoặc server.
Bước 2: Thông báo xử lý sự cố
Người giám sát hệ thống thông tin tạo kênh trao đổi, thông báo tới nhóm ứng cứu sự cố của bộ (chát group trên zalo, facebook, viber hoặc kênh trao đổi chung đã có). Nhờ sự hỗ trợ từ nhà cung cấp dịch vụ bảo mật nếu cần.
Cập nhật sự kiện lên nhật ký để theo dõi xử lý.
Bước 3: Xác định máy tính có hành vi độc hại
- Xác định máy tính có hành vi độc hại thông độc và phân tích log trên hệ thống giám sát.
- Các máy tính bị tấn công APT thường có kết nối với C & C Server nên có thể phát hiện thông qua hệ thống giám sát.
Bước 4: Ngăn chặn và cách ly
Trên máy chủ quản trị của hệ thống thực hiện lệnh ứng phó: có thể chọn cách ly hoặc chặn kết nối máy tính với mạng internet.
Bước 5: Rà soát mã độc
- Rà soát các thành phần khởi động cùng hệ thống: Sử dụng Autorun kiểm tra, liệt kê các chương trình lạ, có dấu hiệu nghi ngờ.
- Rà soát kết nối mạng: Tìm tiến trình kết nối tới IP C & C Server, nếu là virus thì xóa bỏ.
- Sử dụng phần mềm wireshark capture dữ liệu trên card mạng đang sử dụng trong ngày hôm đó đến hết ngày làm việc. Lưu lại file pcap phục vụ phân tích.
- Rà soát các tiến trình, liệt kê các tiến trình lạ, nếu là virus thì xóa bỏ.
Bước 6: Phân tích và loại bỏ mã độc
- Cài phần mềm phòng chống mã độc quản lý tập trung có bản quyền lên máy tính, máy chủ (trường hợp máy chưa được cài) sau đó tiến hành quét để loại bỏ mã độc.
Cũng có một số dịch vụ quét virus trực tuyến như: http://www.virustotal.com hay http://virusscan.jotti.org để phát hiện mã độc.
- Xử lý xóa, sửa key, file mã mã độc đã tạo ra (phải backup trước khi xóa, sửa). Khi xóa bắt buộc phải dùng “delete” không được dùng “shift + delete”.
- Kiểm tra, sửa lại các cấu hình đã chỉnh trong quá trình rà soát (hiện file ẩn, file hệ thống ...) về trạng thái ban đầu.
- Check security cho máy tính sau khi xử lý.
- Yêu cầu chủ nhân máy tính kiểm tra lại sự toàn vẹn của máy tính (dữ liệu, chương trình, cấu hình).
Bước 7: Khôi phục và theo dõi
Khôi phục hoạt động và theo dõi về sau.
Trên đây là quy trình, phương án khắc phục sự cố an toàn thông tin mạng tại Bộ Tư pháp.
|
|
KT.
CỤC TRƯỞNG |
