20:31 ICT Thứ năm, 13/08/2020
English

Diễn tập Giám sát và ứng phó sự cố an minh mạng sử dụng Trung tâm điều hành SOC

Thứ tư - 08/07/2020 07:47
DIC – Ngày 07/07, Đội ứng cứu sự cố Sở Thông tin và Truyền thông Điện Biên tham gia diễn tập trực tuyến an toàn thông tin mạng WhiteHat Drill 07 trực tuyến với chủ đề “Diễn tập Giám sát và ứng phó sự cố an ninh mạng sử dụng Trung tâm điều hành SOC” do Công ty Bkav tổ chức.

Đội ứng cứu sự cố Sở TTTT đang thực hiện kịch bản diễn tập trực tuyến.
 Kịch bản diễn tập là hệ thống của đơn vị bị tấn công APT (có chủ đích, sử dụng mã độc) do Công ty cổ phần Bkav xây dựng. Đối với các cuộc tấn công APT, việc phát hiện sớm là yêu cầu tối quan trọng để giảm thiểu rủi ro cho hệ thống. Bên cạnh đó, việc điều tra, phân tích nguyên nhân, đề xuất cá biện pháp cải tiến,… để tránh lặp lại các sự có tương tự trong tương lai; với mong muốn nâng cao khả năng ứng phó, sẵn sàng trong việc xử lý các sự cố an ninh mạng, tăng cường trao đổi giữa các đơn vị hoạt động trong lĩnh vực an toàn thông tin. Các đội được sử dụng Trung tâm điều hành an toàn, an ninh mạng SOC (Security Operations Center) trong việc phát hiện sớm và thực hiện các quy trình ứng phó để xử lý kịp thời cuộc tấn công.

Buổi diễn tập được diễn ra trực tuyến trên hệ thống diễn tập Whitehat Wargame 2.0 từ 14h00 đến 17h00 các ngày 07-08-09/07. Sở Thông tin và Truyền thông Điện Biên tham gia diễn tập ngay sau lễ khai mạc ngày 07/07 với sự tham gia của 15 đội thuộc bảng A tham gia đến từ các Sở Thông tin và Truyền thông các tỉnh Bắc Ninh, Đà Nẵng, Bình Thuận, Tiền Giang, Lai Châu,....

Tình huống đặt ra là thành viên của đội ứng cứu, nhận được thông tin từ phòng Giám sát về việc tiếp nhận được thông tin hệ thống cảnh báo sớm của SOC phát hiện dấu hiệu rò quét bất thường từ IP: 192.168.2.6 qua port 445 lúc 14 giờ. Phòng giám sát nhận định hacker đã khai thác lỗ hổng hệ điều hành của máy bị tấn công. Đội ứng cứu sự cố tiếp nhận, báo cáo Lãnh đạo đơn vị và các bên liên quan. Sau khi đã đánh giá sơ bộ về sự cố, đội ứng cứu đã tiến hành cô lập máy tính bị tấn công bằng cách tiến hành ngắt kết nối thiết bị, thay đổi tài khoản, mật khẩu quản trị và cá nhân sở hữu thiết bị. Tiếp theo, đội ứng cứu tiến hành rà quét các tiến trình bất thường, file thực hiện chạy tiến trình đáng nghi ngờ, tên lỗ hổng và thông tin mà hacker khai thác. Sau khi đã thu thập bằng chứng và phân tích, đội ứng cứu tiến hành cập nhật phiên bản AV, cài đặt bản vá mới nhất của hệ điều hành và phần mềm, kiểm soát cài đặt trên máy tính và tiến hành chuyển sang hệ điều hành khác nếu cần thiết; đồng thời khôi phục dữ liệu người dùng từ bản sao lưu tin cậy. Cuối pha thực hiện, đội tiến hành tổng hợp, báo cáo về sự cố và gửi kết quả thực hiện về ban tổ chức.

Kết quả diễn tập đội Sở TTTT đứng thứ 4/15 đội tham gia.
 
Kết thúc buổi diễn tập, Đội ứng cứu Sở Thông tin và Truyền thông tỉnh Điện Biên đã hoàn thành tất cả 09 pha thực hiện và xếp thứ 04 chung cuộc./.
 

Tin, ảnh: Nguyễn Mai

Tin đã đăng