AN NINH AN TOÀN THÔNG TIN

TRONG KHÔNG GIAN SỐ

Tổ 4: Đồng chí .....

TRUNG TÂM DỮ LIỆU QUỐC GIA VỀ DÂN CƯ

Ngày: 12/06/2023
 NỘI DUNG

1. TÌNH HÌNH AN NINH MẠNG THẾ GIỚI VÀ VIỆT NAM

2. MỘT SỐ PHƯƠNG THỨC, THỦ ĐOẠN TẤN CÔNG TRÊN
KHÔNG GIAN SỐ
3. THÁCH THỨC TRONG ĐẢM BẢO AN TOÀN THÔNG
TIN TRÊN KHÔNG GIAN SỐ
4. XU HƯỚNG TỘI PHẠM AN NINH MẠNG
5. CÔNG TÁC ĐẢM BẢO AN TOÀN THÔNG TIN TRÊN
KHÔNG GIAN SỐ TẠI TRUNG TÂM DỮ LIỆU QUỐC GIA

2 12-Jun-23
 1. TÌNH HÌNH AN NINH MẠNG
THẾ GIỚI VÀ VIỆT NAM

3
 1.1 TÌNH HÌNH AN NINH MẠNG

THẾ GIỚI

4
 Không gian mạng hình thành từ sự kết hợp của những công nghệ

đột phá đã làm thay đổi thế giới, tác động đến mọi lĩnh vực của đời
sống kinh tế - xã hội, công tác quản lý và điều hành của các quốc
gia; đồng thời đặt ra nhiều thách thức như tội phạm mạng, khủng bố
mạng, chiến tranh mạng.

 Khả năng kết nối vô hạn, không bị giới hạn bởi không gian, thời

gian và bản chất xã hội của không gian mạng đang đặt ra nhiều
thách thức an ninh mang tính toàn cầu như chiến tranh mạng, khủng
bố mạng, tội phạm mạng, nhiễu loạn thông tin.

5 12-Jun-23
  Theo báo cáo của Tổ chức Cảnh sát Hình sự quốc tế, tội phạm sử

dụng công nghệ cao đứng thứ 2 trong các loại tội phạm nguy hiểm
nhất, sau tội phạm khủng bố. Do đặc thù của loại tội phạm này là
hoạt động trên môi trường mạng, mọi tổ chức, cá nhân có kết nối
với mạng internet đều có thể trở thành nạn nhân.
 Trên phạm vi toàn cầu, tội phạm mạng gây thiệt hại lên tới

khoảng 600 tỷ USD mỗi năm, tương đương 0,8% GDP toàn cầu.
Trong đó, khu vực Đông Á thiệt hại ước tính từ 120 – 200 tỷ
USD, tương đương 0,53 – 0,89% GDP khu vực.

6 12-Jun-23
  Hoạt động tấn công mạng gồm 02 hình thức chính:

 Tấn công phá hoại: do cá nhân hay tổ chức tin tặc phi chính phủ thực
hiện các cuộc tấn công mạng, hoặc do một quốc gia tấn công hệ
thống mạng một quốc gia khác. Mục đích có thể vì lý do chính trị, tôn
giáo, tài chính…

7 12-Jun-23
  Tấn công đánh cắp thông tin tình báo thực hiện nhiệm vụ chính
trị: diễn ra phức tạp, bí mật, thường xuyên; đối với cơ quan thu
thập thông tin tình báo thì thu được kết quả to lớn; còn các
nước, các tổ chức bị lấy cắp thông tin chịu hậu quả lớn về kinh
tế, chính trị, ngoại giao.

8 12-Jun-23
 Nhận thức được tầm quan trọng của an ninh mạng, các nước đã
đưa ra các biện pháp bảo đảm an ninh mạng:
 Theo số liệu thống kê của Liên Hợp Quốc, 138 quốc gia (trong đó có
95 nước đang phát triển) đã ban hành Luật An ninh mạng.
 Ngày 01/5/2019, Tổng thống Nga đã ký ban hành luật "Internet chủ
quyền", theo đó cho phép nước này ngắt truy cập Internet khỏi các
máy chủ nước ngoài, được coi là bước đi cần thiết nhằm đảm bảo an
ninh cho hệ thống mạng của Nga.
 Ngày 15/5/2019, Tổng Thống Mỹ đã ký sắc lệnh hành pháp tuyên bố
trình trạng khẩn cấp quốc gia về việc cấm các công ty công nghệ
trong nước được sử dụng thiết bị viễn thông nước ngoài có nguy cơ
đối với an ninh quốc gia của Mỹ.
9 12-Jun-23
 1.2 TÌNH HÌNH AN NINH MẠNG

VIỆT NAM

10
 Năm 2018, thiệt hại do virus máy tính gây ra đối với người dùng
Việt Nam đã lên mức kỷ lục 14.900 tỷ đồng, tương đương 642
triệu USD, nhiều hơn 21% so với mức thiệt hại của năm 2017.
 Theo thống kê, có tới hơn 60% cơ quan,
doanh nghiệp tại Việt Nam bị nhiễm mã độc
đào tiền ảo. Trung bình cứ 10 cơ quan, doanh
nghiệp, có 6 nơi bị mã độc chiếm quyền điều
khiển máy tính đào tiền ảo, gây mất an ninh
thông tin.
 Mã độc đào tiền ảo còn có khả năng cập nhật
và tải thêm các mã độc khác nhằm xoá dữ
liệu, ăn cắp thông tin cá nhân hay thậm chí
thực hiện tấn công có chủ đích APT.
11 12-Jun-23
  Hơn 1,6 triệu lượt máy tính tại Việt Nam bị mất dữ liệu.

 Hai dòng mã độc phổ biến tại Việt Nam khiến người dùng bị mất
dữ liệu là dòng mã độc mã hóa tống tiền ransomware và dòng
virus xóa dữ liệu trên USB.
 Các mã độc mã hóa tống tiền
lây chủ yếu qua email.
 Số máy tính bị nhiễm mã
độc lây qua USB luôn ở mức
cao. Có tới 77% USB tại
Việt Nam bị nhiễm mã độc ít
nhất 1 lần trong năm.

12 12-Jun-23
 Năm 2018 nổi lên hiện tượng lấy cắp tài khoản Facebook thông
qua các comment dạo (bình luận). Hơn 83% người sử dụng mạng
xã hội Facebook đã gặp các bình luận kiểu này.

13 12-Jun-23
 Lỗ hổng an ninh mạng tăng đột biến về số lượng: Trong hai năm 2017 và
2018, số lượng lỗ hổng an ninh trong các phần mềm, ứng dụng được công
bố tăng đột biến với hơn 15.700 lỗ hổng, gấp khoảng 2,5 lần những năm
trước đó.
 Đặc biệt, nhiều lỗ hổng nghiêm trọng xuất hiện trên các phần mềm phổ
biến như Adobe Flash Player, Microsoft Windows… và cả trong nhiều
dòng CPU của Intel, Apple, AMD...
 Đáng chú ý, trong tháng 3/2023, số địa chỉ IP nằm trong mạng botnet là
392.108 địa chỉ (giảm 50,3% cùng kỳ năm ngoái và tăng 2,5% so với
tháng 02/2023).

14 12-Jun-23
 Ngày 14/4/2023, Cục An toàn thông tin (Bộ Thông tin và Truyền
thông) phát thông báo liên quan tình hình an toàn mạng quý I/2023.
Theo đó, ghi nhận, cảnh báo, hướng dẫn xử lý hơn 3.400 cuộc tấn
công mạng, giảm 6,3% so với cùng kỳ.
 Theo Cục An toàn thông tin, riêng trong tháng 3, đã ghi nhận, cảnh
báo và hướng dẫn xử lý 525 cuộc tấn công mạng gây ra sự cố vào
các hệ thống thông tin tại Việt Nam, giảm 68,9 % so với tháng
2/2023, giảm 49,3% so với cùng kỳ tháng 3/2022.

15 12-Jun-23
  Theo Cục An toàn thông tin, trong 525 cuộc tấn công mạng gây
ra sự cố vào các hệ thống thông tin tại Việt Nam có 407 cuộc
phishing (tấn công lừa đảo), 65 cuộc deface (tấn công sửa đổi
nội dung), 53 cuộc malware (tấn công thông qua phần mềm
độc hại), giảm 68,9 % so với tháng 2/2023 (1.687 cuộc), giảm
49,3% so với cùng kỳ tháng 3/2022 (1.035 cuộc).

 Theo các chuyên gia, số lượng các cuộc tấn công mạng giảm
nhờ chiến dịch càn quét mã độc và việc cung cấp thông tin
cảnh báo kịp thời tới các cơ quan, tổ chức và người dùng mạng
Internet.

16 12-Jun-23
 Những vụ tấn công mạng và rò rỉ thông tin lớn nhất:

 Facebook liên tiếp gây rò rỉ thông tin người dung.

 Khai tử Google+ do tồn tại lỗ hổng bảo mật gây rò rỉ dữ liệu

người dùng.
 Tin tặc đánh cắp 90 GB dữ liệu của Apple.

 Rò rỉ thông tin dữ liệu của 5,4 triệu khách hàng Thế Giới Di
Động.
 Lộ dữ liệu thông tin khách hàng của FPT Shop.

 275 nghìn dữ liệu Ngân hàng Hợp tác xã Việt Nam bị tin tặc
khai thác…

17 12-Jun-23
  Nhận thức được tầm quan trọng của an ninh mạng, nước ta
đã đưa ra các biện pháp bảo đảm an ninh mạng trên không
gian số:

 Nghiên cứu, xây dựng và ban hành nhiều văn bản, thông tư,
nghị định về lĩnh vực an ninh, an toàn thông tin: Quốc hội ban
hành Luật an toàn thông tin mạng, có hiệu lực từ ngày
1/7/2016; thông qua Luật An ninh mạng, có hiệu lực từ ngày
01/01/2019.

 Thành lập các cơ quan chuyên trách thực hiện công tác bảo
đảm an ninh, an toàn thông tin của Bộ Thông tin truyền thông,
Bộ Công an, Bộ Quốc phòng.

18 12-Jun-23
 2. MỘT SỐ PHƯƠNG THỨC
TẤN CÔNG CỦA KẺ ĐỊCH

19
  Trong quá trình thực hiện nhiệm vụ đấu tranh với tội phạm
mạng; nhận định một số phương thức, thủ đoạn kẻ địch lợi
dụng để thu thập thông tin như sau:

20 12-Jun-23
Thông qua các Website
 Kẻ địch tạo lập hoặc lợi dụng các website có nội dung hấp dẫn
thu hút người dùng, khi người dùng truy cập sẽ âm thầm cài cắm
mã độc vào máy tính và các thiết bị thông minh mà người dùng
không hề hay biết để thu thập thông tin.
 Ví dụ: có gần 170 trang về giáo dục có tên miền .edu.vn bị tấn
công, cài nội dung liên quan đến cá độ, cờ bạc,...
Hậu quả: Đã có rất nhiều người dân nhầm lẫn, thậm chí bị lừa
đảo thông qua những trang web bị tấn công đó.

21 12-Jun-23
Thông qua phần mềm miễn phí trên mạng
 Một số phần mềm bị tin tặc cài cắm mã độc, khi người dùng tải

về máy và tiến hành cài đặt thì vô tình cài đặt mã độc lên thiết
bị của người dùng.
 Ví dụ: các chương trình crack, patch phần mềm; một số phần

mềm diệt virus giả mạo như AntivirusGold, Antivirus PC 2009,

AntiSpyware Shield Pro, DoctorTrojan, …
Hậu quả: hacker sẽ kiểm soát được hoàn toàn máy tính của
người dân, mọi thông tin mà người dân truy xuất, tìm kiếm
trên Internet đều bị hacker theo dõi.

22 12-Jun-23
 Tấn công qua hòm thư điện tử
 Các mẫu virus mới thường giả mạo địa chỉ email của cán bộ,
đồng nghiệp trong cơ quan để gửi file cho cán bộ khác bằng
tiếng Việt với nội dung như liên quan tiền lương, xin ý kiến,
chương trình công tác… Kẻ địch thường tìm hiểu kỹ tên tuổi,
chức vụ của người trong cơ quan trước khi tiến hành phát tán mã
độc qua email.
Hậu quả: Có thể gây thất thoát dữ liệu, tạo tiền đề cuộc tấn công
có chủ đích

23 12-Jun-23
 Tấn công sử dụng USB là vật trung gian
 Đây là các mã độc được viết riêng, có chủ định, không bị các

chương trình diệt vi rút phát hiện. Các mã độc này sử dụng USB
làm vật trung gian. Đặc biệt tin tặc có thể cài cắm các mã độc này
vào cả những USB mới, được bán trôi nổi trên thị trường.
 Khi các USB đã nhiễm mã độc cắm vào máy tính, chúng tiến

hành thu gom dữ liệu do kẻ địch quy định (file tài liệu, file
ảnh…), dữ liệu được nén và mã hóa trong các thư mục mà bình
thường không phát hiện được. Khi có điều kiện kết nối Internet sẽ
gửi ra máy chủ đặt ở nước ngoài.

24 12-Jun-23
 Tấn công sử dụng USB là vật trung gian
Ví dụ: BadUSB có thể làm bất kỳ hành động nào có thể thực hiện từ
bàn phím hoàn toàn tự động với thời gian rất ngắn.
Hậu quả: Máy nạn nhân có thể mất dữ liệu

7 12-Jun-23
Tấn công khai thác lỗ hổng Website
 Các webiste tồn tại lỗ hổng bảo mật
nghiêm trọng, kẻ địch có thể từ xa tấn
công thay đổi nội dung, hình ảnh của các
bài viết trên website; thay đổi đường dẫn
bất kỳ khi người dùng truy cập website;
hoặc lừa người dùng cài phần mềm gián
điệp… Từ đó, tấn công vào mạng máy
tính nội bộ nhằm thu thập thông tin.

Hậu quả: Nguy cơ mất an toàn thông tin

đang là mối đe dọa lớn và ngày càng gia
tăng đối với an ninh quốc gia.

26 12-Jun-23
 Tấn công có chủ đích (APT)
 Đây là kiểu tấn công dai dẳng và có chủ đích vào một đối tượng
cụ thể (cá nhân, tổ chức). Kẻ tấn công có thể được hỗ trợ bởi
chính phủ của một nước nào đó nhằm tìm kiếm thông tin tình báo
từ một chính phủ nước khác. Tấn công APT thường được dùng
với mục đích:
 Thu thập thông tin tình báo có tính chất thù địch.

 Đánh cắp dữ liệu và bán lại bí mật kinh doanh cho các đối thủ.

 Làm mất uy tín của cơ quan tổ chức.

 Phá hoại, gây bất ổn hạ tầng CNTT, hàng không, ngân hàng,
viễn thông, điện lực,....

27 12-Jun-23
  Sự kiện Hàng không Việt Nam bị tấn công cuối năm 2016 là ví dụ điển
hình của hình thức tấn công APT.

Hậu quả: Ngoài việc thay đổi nội dung trên website của Vietnam Airlines
bằng cách chiếm quyền domain và chuyển sang trang web xấu ở nước
ngoài, nhóm hacker 1937CN còn tung ra danh sách các khách hàng của
hãng hàng không này.

28 12-Jun-23
Tấn công các thiết bị thông
minh (IoT)
 Các thiết bị thông minh có kết
nối internet (IoT- Internet of
Things) như: Router Wifi,
Camera an ninh, điện thoại
thông minh… là tiêu điểm của
các cuộc tấn công mạng trong
năm 2023 và dự báo sẽ hết sức
phức tạp trong thời gian tới.

29 12-Jun-23
  Kẻ địch tiến hành rà quét nhằm phát hiện và lợi dụng các lỗ hổng
an ninh phổ biến trên các thiết bị này như: sử dụng tài khoản và
mật khẩu mặc định của nhà sản xuất, không cập nhật các bản vá
lỗi thường xuyên… Từ đó, cài cắm mã độc nhằm theo dõi, thu
thập dữ liệu, đe dọa hoặc tống tiền người dùng.

30 12-Jun-23
Thu thập thông tin bằng các thiết bị chuyên dụng

 Kẻ địch còn kết hợp lợi dụng rất nhiều thiết bị nghe lén tinh vi
khác để tiến hành thu thập thông tin:

31 12-Jun-23
 05 nguy cơ an ninh mạng trong năm 2023

 Tấn công mạng, đặc biệt là tấn công lây nhiễm mã độc sử dụng
trí tuệ nhân tạo AI;
 Tấn công mạng vào các hệ thống thương mại điện tử, tài chính -
ngân hàng... với mục tiêu đánh cắp thông tin, dữ liệu cá nhân
của người dùng;
 Tấn công vào hạ tầng, thiết bị IoT, đô thị thông minh, đồng thời
lợi dụng các hạ tầng, thiết bị này để thực hiện tấn công mạng;
 Tấn công mạng có chủ đích vào các cơ quan, tổ chức nhà nước
nhằm lấy cắp thông tin, dữ liệu;
 Giả mạo các cơ quan, tổ chức, cá nhân để bôi nhọ, nói xấu và
phát tán thông tin độc hại trên mạng.

32 12-Jun-23
 3. THÁCH THỨC TRONG ĐẢM
BẢO AN TOÀN THÔNG TIN
TRONG KHÔNG GIAN SỐ

33
 Việt Nam đang đứng trước những cơ hội lớn trong công cuộc
chuyển đổi số với hơn 50% dân số sở hữu hơn 130 triệu thuê bao di
động, dân số dưới tuổi 35 chiếm hơn 50%, thuê bao Internet khoảng
67%, thời gian sử dụng điện thoại thông minh trung bình của người
Việt Nam là 2 giờ/ ngày; tăng trưởng thương mại điện tử đạt tốc độ
30%/năm.

 Đáng chú ý, dịch COVID-19 đã tác động trực tiếp tới mọi mặt của
đời sống xã hội, tới mọi quốc gia nhưng đồng thời cũng là nhân tố
quan trọng góp phần thúc đẩy ngành kỹ thuật này tạo ra các đột phá
nổi bật trong thời gian qua, các ứng dụng, dịch vụ khai thác thế
mạnh của CNTT đang là “chìa khóa” mở ra các giải pháp mới mẻ.
Trong đó, phải kể đến lộ trình số hóa, chuyển đổi số, tiến hành xây
dựng mô hình chính phủ điện tử, chính phủ số.

34 12-Jun-23
 Mô hình số sẽ tạo ra sự thay đổi trong hệ thống điều hành, quản
lý, hướng đến mối liên kết chặt chẽ giữa Nhà nước với nhân dân,
Chính phủ với doanh nghiệp, tạo ra sự đồng bộ, nhất quán giữa
các cơ quan bộ, ban, ngành, đoàn thể, góp phần đổi mới kinh tế,
cải cách hành chính... số lượng dịch vụ hành chính công giảm đi,
số lượng dịch vụ công mới, mang tính sáng tạo phục vụ xã hội
tăng lên, nhờ công nghệ số và dữ liệu.

 Chỉ tính riêng năm 2020, thông qua các phần mềm quản lý mà
các cơ quan nhà nước đã đưa 46,4% dịch vụ công trực tuyến lên
mức độ 4 đăng tải lên Cổng dịch vụ công của các địa phương với
chi phí thấp, dữ liệu không còn sử dụng bản giấy. Bên cạnh đó,
cải thiện khả năng hợp tác từ xa thông qua các ứng dụng di
động…
35 12-Jun-23
 NGUYÊN NHÂN GÂY MẤT AN
TOÀN THÔNG TIN

36
 Nhận thức của cán bộ, nhân viên về nguy cơ mất an ninh, an toàn
thông tin còn hạn chế, tác phong làm việc còn tùy tiện.

 Cơ quan, đơn vị chưa có đủ nhân lực, vật lực để thực hiện công
tác đảm bảo an ninh, an toàn thông tin; chưa kiểm soát hết khả
năng mất an ninh, an toàn thông tin do các phần mềm, thiết bị
phần cứng nhập ngoại.

37 12-Jun-23
 Nhu cầu trao đổi thông tin qua USB, thư điện tử ngày càng nhiều
nhưng chưa có các biện pháp cụ thể và toàn diện để đảm bảo an
ninh, an toàn thông tin trong toàn quân.
 Chưa có một quy định cụ thể phân loại và sử dụng máy tính trong
mỗi cơ quan, đơn vị: máy tính kết nối Internet; máy tính chuyển
nhận tài liệu từ các đơn vị khác; máy tính kết nối mạng LAN cơ
quan; máy tính độc lập không kết nối mạng

38 12-Jun-23
 4. XU HƯỚNG TỘI PHẠM AN
NINH MẠNG

39
  Với tốc độ phát triển và ứng dụng công nghệ thông tin nhanh

chóng như hiện nay, tình hình an ninh mạng của Việt Nam sẽ tiếp
tục có nhiều diễn biến phức tạp, tội phạm mạng tiếp tục gia tăng,
hoạt động rộng khắp trên mọi lĩnh vực. Trong 6 tháng đầu năm
2022, Bộ Công an đã phát hiện, xử lý 840 chuyên án, vụ việc liên
quan tội phạm lừa đảo, chiếm đoạt tài sản qua mạng (tăng 42% so
với 6 tháng cuối năm 2021).

40 12-Jun-23
  Dự báo 6 tháng cuối năm 2022 và năm 2023, tình hình an ninh

mạng và tội phạm mạng có những xu hướng sau:

 Một là, tin tặc gia tăng hoạt động tấn công mạng có chủ đích

(APT) nhằm chiếm quyền điều khiển; tấn công DDoS; tấn công
bằng mã độc, nhất là mã độc tống tiền nhằm vào các hệ thống
thông tin trọng yếu. Mục tiêu tấn công là các cơ quan, ban
ngành, tập đoàn kinh tế lớn, trọng yếu, nhằm đánh cắp dữ liệu
cá nhân, dữ liệu khách hàng, thông tin tài liệu bí mật nhà
nước,...

41 12-Jun-23
  Hai là, hoạt động phát tán thông tin xấu, độc hại, thông tin sai sự
thật trên không gian mạng tiếp tục tác động đến mọi mặt của đời
sống xã hội; xâm phạm nghiêm trọng đến quyền, lợi ích hợp pháp
của các tổ chức, cá nhân. Trong thời gian tới, hoạt động này sẽ
tiếp tục gia tăng, đòi hỏi người dùng nâng cao cảnh giác, thận
trọng khi tiếp cận với những thông tin trên không gian mạng,
tránh trở thành nạn nhân của tin giả.
 Ba là, tội phạm lừa đảo chiếm đoạt tài sản qua mạng có xu hướng
gia tăng, diễn biến ngày càng phức tạp với nhiều phương thức,
thủ đoạn tinh vi, có tính chất xuyên quốc gia, gây thiệt hại lớn và
bức xúc trong nhân dân.

42 12-Jun-23
 Qua đấu tranh, xử lý các vụ việc thời gian qua, Cục
ANM&PCTPCNC phát hiện một số phương thức, thủ đoạn phổ biến
được các đối tượng lừa đảo thường sử dụng:

 Nhắn tin, gọi điện hoặc thông qua các trang mạng xã hội để quảng

cáo, giới thiệu việc làm tại nhà, tuyển giúp việc theo giờ, tuyển
người giao hàng,... nhưng phải chuyển trước một khoản tiền phí
nhằm lừa đảo, chiếm đoạt số tiền đặt cọc, môi giới ban đầu mà
người dân chuyển cho các đối tượng.

43 12-Jun-23
  Sử dụng dịch vụ VoIP mạo danh cán bộ trong các cơ quan thực thi

pháp luật (Công an, Viện Kiểm sát, Tòa án,...) gọi điện thông báo
nạn nhân bị kiện vì nợ tiền hoặc có liên quan đến vụ án đang giải
quyết và yêu cầu khai báo thông tin tài khoản, mật khẩu ngân
hàng trên trang thông tin giả mạo, từ đó thu thập thông tin, chiếm
đoạt tiền trong tài khoản của nạn nhân.

44 12-Jun-23
 Thông qua hoạt động thương mại điện tử, như: Tạo lập các
website, sàn giao dịch, ứng dụng kiếm tiền trên mạng, giả mạo các
trang quảng cáo, rao bán các mặt hàng trực tuyến sau đó chiếm
đoạt số tiền đặt cọc của khách hàng hoặc chuyển mặt hàng không
đúng giá trị thực tế như quảng cáo; Giả mạo người nước ngoài mua
hàng để yêu cầu người bán thực hiện “giao dịch quốc tế giả”
nhằm đánh cắp thông tin, tài khoản của người bán.

45 12-Jun-23
 Lừa đảo thông qua hình thức kinh doanh đa cấp hoặc qua các sàn
giao dịch ảo (sàn chứng khoán, vàng, ngoại tệ, bất động sản) tự lập
hoặc đứng ra làm đầu mối cho sàn giao dịch nước ngoài để lôi kéo
khách hàng mở tài khoản giao dịch để chiếm đoạt tiền đầu tư.
 Thực hiện hành vi tấn công mạng, chiếm quyền điều khiển tài
khoản mạng xã hội để nhắn tin lừa đảo đến danh sách bạn bè; giả
mạo thông tin, tài khoản, hộp thư điện tử của các công ty, doanh
nghiệp, sau đó thay đổi nội dung các thư điện tử, nội dung các giao
dịch, hợp đồng thương mại để chiếm đoạt tài sản; hoặc giả mạo các
trang thông tin điện tử, các dịch vụ trực tuyến nhằm lấy cắp thông
tin tài khoản của khách hàng để rút tiền.

46 12-Jun-23
 Bốn là, hoạt động tổ chức đánh bạc và đánh bạc qua hình thức đặt cược
tài chính qua quyền chọn nhị phân BO... Người chơi sẽ chọn cặp ngoại
hối, tiền kỹ thuật số để đặt cược dự đoán cặp tỉ giá đó tăng hay giảm
trong một đơn vị thời gian; nếu dự đoán sai, người chơi sẽ mất toàn bộ
tiền đã đặt cược. Người chơi có thể đăng ký làm đại lý (hay còn gọi là
đầu Line IB) của sàn, kêu gọi, lôi kéo người chơi mới tham gia vào sàn
theo mô hình đa cấp để hưởng tiền thưởng, hoa hồng.

47 12-Jun-23
 Năm là, hoạt động cho vay “tín dụng đen” trên không gian mạng với

lãi suất cao để thu lời bất chính tiềm ẩn nhiều nguy cơ đe dọa đến an
ninh trật tự tại nhiều địa phương trên cả nước. Hiện nay, trên không
gian mạng có khoảng trên 200 ứng dụng cho vay trực tuyến (thông
qua website, qua các ứng dụng trên GooglePlay, AppStore).

48 12-Jun-23
 Sáu là, hoạt động vi phạm pháp luật trên lĩnh vực thương mại điện tử

tiếp tục diễn biến phức tạp, các đối tượng sử dụng mạng xã hội, sàn
thương mại điện tử để rao bán hàng giả, hàng nhái, hàng lậu, vũ khí,
vật liệu nổ, công cụ hỗ trợ, chất gây nghiện, giấy tờ giả; lợi dụng
hoạt động thương mại điện tử để thực hiện hành vi lừa đảo, chiếm
đoạt tài sản, gây bức xúc trong xã hội.

49 12-Jun-23
 Bảy là, sự bùng nổ của các thiết bị thông minh, trí tuệ nhân tạo (AI), nhất

là ứng dụng trên smartphone sẽ là một mối đe dọa an ninh mạng, trật tự an
toàn xã hội, do người dùng cấp quá nhiều quyền truy cập, cũng như cung
cấp thông tin cá nhân trên mạng xã hội, ứng dụng,... dẫn đến tình trạng bị
chiếm đoạt, lợi dụng vi phạm pháp luật. Đặc biệt, mối đe dọa đến từ các
thiết bị IoT vẫn là vấn đề lớn, hiện chưa có giải pháp tổng thể đảm bảo an
toàn, an ninh mạng, bảo vệ bí mật nhà nước cho các thiết bị IoT, do đó
nhiều vụ lộ, lọt thông tin cá nhân nhạy cảm, riêng tư,... đã bị phát tán trên
mạng.

50 12-Jun-23
 5. CÔNG TÁC ĐẢM BẢO AN
TOÀN THÔNG TIN TRÊN
KHÔNG GIAN SỐ TẠI TRUNG
TÂM DỮ LIỆU QUỐC GIA

51 12-Jun-23
 5.1. CÔNG TÁC PHÒNG CHỐNG
LỘ, LỌT THÔNG TIN

52 12-Jun-23
 Về chính sách

 Tiếp tục quán triệt và triển khai thực hiện nghiêm túc các văn bản
quy định về công tác bảo đảm an ninh, an toàn thông tin.
 Kiểm tra và xây dựng các văn bản chính sách bảo mật đặc thù đối
với của từng cơ quan, đơn vị. Các quy định này phải được tuyệt đối
tuân thủ và quán triệt trực tiếp tới người sử dụng (có quy chế, chế
tài cụ thể đối với từng vi phạm).
 Nâng cao hiệu quả quản lý về bảo đảm an ninh an toàn thông tin,
thường xuyên tổ chức phối hợp giữa các cơ quan chức năng kiểm
tra thực tế việc chấp hành các quy định bảo đảm an ninh an toàn
thông tin mạng.

53 12-Jun-23
 Giải pháp kỹ thuật tổng quan:

 Tiến hành kiểm tra rà soát tất cả các hệ thống mạng, hệ thống

thông tin của các cơ quan, đơn vị thuộc phạm vi quản lý để phát
hiện các nguy cơ mất an ninh an toàn.

 Tăng cường theo dõi giám sát mạng máy tính, cổng/trang thông

tin điện tử, máy chủ, hệ thống tác nghiệp điều hành quản lý để
ghi nhận các hình thức bị tấn công.

 Khi phát hiện bị tấn công phải tổng hợp báo cáo tình hình về cơ

quan chuyên trách để phân tích và đánh giá tình hình.

54 12-Jun-23
  Tiến hành kiểm tra quét vi rút, làm sạch máy và vá các lỗ hổng

hệ thống. Các máy tính cần cài đặt phần mềm diệt vi rút thường
xuyên cập nhật. Việc cài đặt các phần mềm cần đảm bảo an
ninh, an toàn. Đối với các máy tính có chứa dữ liệu quan trọng
nên có biện pháp mã hóa dữ liệu trên ổ cứng.

55 12-Jun-23
 Tiến hành vô hiệu hóa wifi, micro, camera của máy tính được

lắp đặt và triển khai trong cơ quan trọng yếu, cơ mật tránh bị kẻ
dịch lợi dụng thu thập thông tin bí mật từ xa.
 Đầu tư thiết lập hạ tầng, xây dựng đội ngũ chuyên trách về bảo

đảm an ninh mạng. Khi mua các trang thiết bị phải được kiểm tra
ANAT thông tin trước khi đưa vào sử dụng. Hạn chế sử dụng các
thiết bị xuất xứ Trung Quốc như ZTE, HUAWEI.
 Chấp hành nghiêm quy định của đơn vị khi mang thiết bị công

nghệ thông tin ra nước ngoài công tác.

56 12-Jun-23
 Sử dụng tổ hợp máy tính an toàn. Hệ thống máy đồng bộ có hiệu
năng cao được cấu hình và cài đặt các phần mềm bản quyền,
ngoài ra máy không thể cài đặt bất cứ phần mềm nào khác để
đảm bảo hiệu năng và phòng ngừa vi rút lây lan vào máy tính
thông qua các phần mềm không rõ nguồn gốc.

Mô hình tổ hợp máy tính an toàn

57 12-Jun-23
  Xây dựng hệ thống phát hiện, cảnh báo và ngăn chặn lộ lọt thông
tin và chống gián điệp mạng để đảm bảo an ninh an toàn thông
tin cho toàn bộ hệ thống mạng máy tính và máy tính độc lập.

58 12-Jun-23
 5.2. MỘT SỐ CÁCH BẢO VỆ
AN TOÀN THÔNG TIN KHÁC

59 12-Jun-23
• Cảnh giác trước khi Click vào một file

 Đầu tiên, hacker sẽ gửi file hình ảnh, nội dung gửi qua bạn dưới
dạng đường link hoặc tệp đính kèm. Dưới dạng file nén .zip
hoặc .rar, đôi khi có mật khẩu kèm theo để mở file giải nén.
 Sau khi mở ra thì thường những file có đuôi như .exe, .bat, .scr, .lnk,
.rtf, .pdf, .doc, .xls
 Kế đến sau khi nạn nhân click vào sẽ kích hoạt mã độc và lúc này
toàn bộ thông tin bị đánh cắp ngay lập tức như mật khẩu, cookies...
trên các trình duyệt của máy tính.

60 12-Jun-23
 Cách đảm bảo an toàn:

+ Luôn để chế độ hiện phần mở rộng (đuôi) của file;

+ Không mở, tải về các file đính kèm từ các trang web lạ, các email

không rõ nguồn gốc hoặc các email nghi ngờ.

+ Không Click đúp để mở Usb mà dùng Explorer;

+ Tắt tính năng autorun nếu có thể.

61 12-Jun-23
• Thường xuyên cập nhật hệ điều hành và các chương trình diệt
virus, spyware.
 Bật chế độ Automatic Update trong các chương trình này (nếu
có).
• Tiến hành quét virus, spyware một cách định kỳ, thường
xuyên
• Hạn chế truy cập vào các trang web có nội dung không lành
mạnh, hay các trang cung cấp crack, serial…
 Vì hơn 90% các trang web này có virus, spyware…

62 12-Jun-23
• Thường xuyên sao lưu các dữ liệu quan trọng ra nhiều nơi an
toàn một cách thường xuyên như: Copy ra Usb; Ổ cứng di
động; Ghi ra CD, DVD…
• Sử dụng các phần mềm có bản quyền:

 Không sử dụng các phần mềm, hệ điều hành crack sẵn;

 Không chạy các phần mềm tạo key;

 Không copy đè các file chạy crack lên phần mềm trên máy.

63 12-Jun-23
 • Sử dụng và bảo vệ mật khẩu an toàn
 Sử dụng mật khẩu khó đoán:

+ Độ dài tối thiểu 8 ký tự;

+ Kết hợp chữ in hoa, chữ in thường, chữ số và ký tự đặc biệt;

+ Không sử dụng các từ có trong từ điển;

+ Không sử dụng mật khẩu dạng đồ hình trên bàn phím;

+ Không sử dụng thông tin cá nhân.

64 12-Jun-23
  Không cung cấp mật khẩu tài khoản trong mọi trường hợp;

 Kiểm tra cẩn thận các đường dẫn nhận được từ tin nhắn hoặc
email;
 Không lưu trữ mật khẩu bằng các cách thức không an toàn;

 Chỉ truy cập trên các kết nối an toàn bảo mật (WPA2, Https…).

• Tuân thủ các chính sách an ninh của hệ thống, của cơ quan
đơn vị có liên quan.

65 12-Jun-23
 5.3. THIẾT LẬP, QUẢN LÝ VẬN
HÀNH HỆ THỐNG GIÁM SÁT

66 12-Jun-23
 Phạm vi giám sát

 Về cơ bản, phạm vi giám sát có thể là một hệ thống thông tin,

nhiều hệ thống thông tin, một vùng mạng hoặc một đối tượng
giám sát cụ thể.
 Phạm vi giám sát được xác định dựa vào thẩm quyền, phạm vi
quản lý các đối tượng giám sát của cơ quan, tổ chức.
 Trường hợp phạm vi giám sát là một hệ thống thông tin là trường
hợp hệ thống được triển khai tập trung tại một khu vực địa lý bao
gồm các kết nối mạng nội bộ và mạng Internet mà không có kết
nối mạng diện rộng đi các mạng khác thuộc phạm vi quản lý của

67
cơ quan, tổ chức. 12-Jun-23
 Trường hợp phạm vi giám sát là nhiều hệ thống thông tin là
trường hợp một hệ thống thông tin tổng thể thuộc phạm vi quản
lý của cơ quan, tổ chức nhưng có các hệ thống thành phần khác
nhau ở khu vực địa lý khác nhau và có kết nối mạng diện rộng về
hệ thống trung tâm.
 Trường hợp phạm vi giám sát là một vùng mạng như vùng DMZ,
vùng Cơ sở dữ liệu, vùng quản trị.. .thì các máy chủ, ứng dụng
trong đó sẽ được coi là đối tượng thành phần trong đối tượng
giám sát là vùng mạng.
 Trường họp phạm vi giám sát là một đối tượng giám sát cụ thể.
Ví dụ: toàn bộ máy chủ, máy người dùng, thiết bị mạng trong
trung tâm DLDC QG
68 12-Jun-23
  Đối tượng giám sát:

 Giám sát lớp mạng

 Giám sát lớp máy chủ

 Giám sát lớp ứng dụng

 Giám sát đầu cuối

69 12-Jun-23
  Triển khai giám sát lớp mạng
Việc triển khai giám sát ở lớp mạng cho phép phát hiện:
- Các kết nối, truy vấn tới các máy chủ điều khiển mạng botnet
(C&C Server);
- Các file mã độc, URL nguy hiểm được truyền qua môi trường
mạng (với các giao thức không mã hóa) bằng cách giải mã giao
thức, bóc tách dữ liệu dạng file, URL đưa vào các hệ thống phân
tích tự động;
- Các Shellcode, payload tấn công khai thác lỗ hổng phần mềm,
dịch vụ trong dữ liệu truyền tải trên mạng thông qua phân tích các
dấu hiệu đặc trưng;
- Các hành vi bất thường như dò quét mạng, dò quét tài khoản mật
khẩu mặc định, mật khẩu yếu...

70 12-Jun-23
  Giám sát lớp máy chủ:
Việc triển khai giám sát ở lớp máy chủ cho phép phát hiện:
- Các hành vi vi phạm chính sách truy cập, quản lý, thiết lập cấu
hình hệ điều
hành, các dịch vụ hệ thống;
- Các kết nối của máy chủ ra các địa chỉ IP độc hại;
- Các hình thức tấn công mạng như tấn công khai thác điểm yếu, tấn
công dò quét và các dạng tấn công tương tự khác;
- Sự thay đổi trái phép của các tệp tin hệ thống;
- Các tiền trình có dấu hiệu bất thường về hành vi và việc sử dụng
tài nguyên máy chủ;

71 12-Jun-23
  Giám sát lớp ứng dụng:

Việc triển khai giám sát lóp ứng dụng cho phép phát hiện:

- Các dạng tấn công vào lớp ứng dụng như SQLi, xss...;

- Tấn công dò quét, vét cạn mật khẩu, thư mục và khai thác thông
tin;

- Tấn công thay đối giao diện;

- Tấn công Phishing và cài cắm mã độc trên ứng dụng;

- Tấn công từ chối dịch vụ.

72 12-Jun-23
 Giám sát thiết bị đầu cuối:
- Các thiết bị đầu cuối ngoài máy tính người sử dụng thì các thiết bị
khác không hỗ trợ cài đặt các phần mềm bảo vệ trên thiết bị. Việc
giám sát bảo vệ máy tính của người sử dụng có thể thực hiện tương
tự như đối với máy chủ.
- Các thiết bị đầu cuối khác không hỗ trợ cài đặt phần mềm bảo vệ
thì có thể triển khai giám sát theo hai hình thức sau: bật chức năng
gửi Syslog trên thiết bị hoặc kết nối, lấy dữ liệu về để phân tích sử
dụng giao thức SNMP (hoặc giao thức có chức năng tương đương).
- Việc giám sát thiết bị đàu cuối nên kết hợp với giám sát thiết bị
quản lý truy cập NAC để phát hiện các thiết bị đầu cuối vi phạm
chính sách của hệ thống. Ngoài ra cần đồng bộ với việc cấp phát địa
chỉ IP của máy chủ DHCP để có thể xác định các thiết bị đầu cuối vi
phạm chính sách dựa vào địa chỉ MAC.

73 12-Jun-23
  Hệ thống quản lý tập trung:
Yêu cầu đối với hệ thống quản lý tập trung cần đáp ứng các yêu cầu
theo quy định tại Điều 5, khoản 1 Thông tư số 31/2017/TT-BTTTT
và các yêu cầu cụ thể dưới đây:

74 12-Jun-23
 Thiết lập hệ thống

 Cài đặt hệ thống:

 Việc cài đặt thành phần xử lý tập trung phụ thuộc vào gói giải
pháp được đầu tư. Đối với các giải pháp được đầu tư tích hợp
cùng phần cứng của hãng dưới dạng thiết bị chuyên dụng thì
không yêu cầu quá trình cài đặt mà chỉ cần thiết lập cấu hình để
sử dụng.
 Đối với gói giải pháp dưới dạng phần mềm được cài đặt trên hệ
điều hành thì trước hết cần lựa chọn hệ điều hành phù hợp và tiến
hành cài đặt.

75 12-Jun-23
 Căn cứ vào yêu cầu về năng lực xử lý của phần mềm giám sát đối
với máy chủ để lựa chọn máy chủ và không gian lưu trữ phù hợp.
Khuyến khích cơ quan, tổ chức triển khai cài đặt giải pháp trên
nền tảng ảo hóa để dễ dạng mở rộng, nâng cấp và sao lưu dự
phòng.
 Sau khi cài đặt thiết lập hệ thống thì cần nâng cấp phiên bản, cập
nhật các bản vá và thực hiện kiểm tra đánh giá an toàn thông tin
cho hệ thống trước khi đưa vào sử dụng. Thông tin về các điểm
yếu an toàn thông tin có thể được tham khảo tại địa chỉ:
https://ti.khonggianmang.vn/, https://www.cvedetails.com/...

76 12-Jun-23
 Thiết lập cấu hình hệ thống

- Để đưa hệ thống giám sát vào hệ thống, thì người quản trị cần quy
hoạch địa chỉ IP, vùng mạng và các chính sách truy cập trên các thiết
bị bảo vệ trước khi kết nối hệ thống giám sát vào hệ thống.

- Hệ thống giám sát cần được đưa vào một vùng mạng riêng (vùng
quản trị thiết bị hệ thống). Vùng mạng này sẽ được quy hoạch địa chỉ
IP cho giao diện quản trị trên các thiết bị/máy chủ và giao diện của hệ
thống giám sát cho phép việc gửi/nhận log được gửi trực tiếp giữa các
giao diện trong vùng mạng này mà không qua các thiết bị mạng trung
gian để không ảnh hưởng đến các kết nối mạng khác trong hệ thống.

77 12-Jun-23
- Hệ thống giám sát cần được bảo vệ với các thiết bị bảo mật và được
thiết lập cấu hình bảo mật tối thiểu bao gồm: Kiểm soát truy cập từ
các vùng mạng khác đi vào vùng quản trị thiết bị hệ thống; Kiểm soát
truy cập từ vùng quản trị thiết bị hệ thống đi ra các vùng mạng khác;
Phòng chống xâm nhập; Phòng chống phần mềm độc hại trên môi
trường mạng.

- Vùng mạng quản trị cần được thiết lập riêng để đặt các máy tính
quản trị, vận hành hệ thống giám sát. Các thiết bị bảo mật cần được
thiết lập chỉ cho phép các máy tính quản trị được truy cập, quản lý hệ
thống giám sát.

78 12-Jun-23
 Kiểm thử nghiệm thu hệ thống giám sát

- Hệ thống giám sát cần được cài đặt trên môi trường độc lập, sau khi
cài đặt và kiểm thử hệ thống thì mới đưa vào khai thác, vận hành
trong môi trường thực tế.

- Căn cứ vào các yêu cầu đối với hệ thống giám sát, cơ quan, tổ chức
yêu cầu đơn vị cung cấp giải pháp xây dựng kịch bản kiểm thử để
đánh giá khả năng đáp ứng của hệ thống.

79 12-Jun-23
Trong đó, kịch bản kiểm thử cần đáp ứng tối thiểu các nội dung sau:
 Các hình thức tiếp nhận log từ các thiết bị giám sát, trực tiếp qua
các giao thức mạng hoặc gián tiếp qua việc tải tệp tin log lên hệ
thống;
 Khả năng nhận và chuẩn hóa định dạng log của các thiết bị, máy
chủ, ứng dụng và dịch vụ khác nhau (đối với định dạng hệ thống đã
hỗ trợ) và khả năng tùy biến để chuẩn hóa định dạng log mới (đối
với định dạng hệ thống chưa hỗ trợ);
 Số lượng sự kiện tối đa mà hệ thống có thể tiếp nhận và xử lý trong
một giây;
- Các chức năng của hệ thống để đáp ứng các yêu cầu về mặt chức
năng như được như: Lọc, phân tích tương quan, thiết lập luật trên
thành phần quản lý tập trung; phân tích thống kê; cảnh báo và báo
cáo.

80 12-Jun-23
 Quản lý, vận hành hệ thống

- Để đưa hệ thống giám sát vào vận hành, khai thác hiệu quả thì cơ
quan, tổ chức cần xây dựng quy định, quy trình quản lý vận hành hệ
thống giám sát. Các quy định này có thể được đưa vào Quy chế bảo
đảm an toàn thông tin của tổ chức để triển khai thực hiện.

- Cơ quan, tổ chức có thể tham khảo tiêu chuẩn quốc gia TCVN
11930:2017.

81 12-Jun-23
 Để xây dựng các quy định và quy trình liên quan đến quản lý, vận
hành hệ thống giám sát bao gồm:
 Quản lỷ, vận hành hoạt động bình thường của hệ thống.

 Kết nối và gửi log từ đối tượng giảm sát về hệ thống quản lỷ
tập trung.
 Lưu trữ và bảo vệ log hệ thống.

 Theo dõi, giám sát, cảnh báo và xử lý tấn công mạng.

 Bố trí nguồn lực và tồ chức giám sát.

82 12-Jun-23
  Quản lý, vận hành hoạt động bình thường của hệ thống

Các quy định, quy trình liên quan đến quản lý, vận hành hoạt động
bình thường của hệ thống giám sát là các quy định, quy trình nhằm
bảo đảm hệ thống giám sát hoạt động ổn định, có tính chịu lỗi cao
và sẵn sàng khôi phục lại trạng thái bình thường khi xảy ra sự cố.

83 12-Jun-23
 Các quy định, quy trình cần tối thiểu bao gồm các nội dung:

- Khởi động và tắt hệ thống giám sát;

- Thay đổi cấu hình và các thành phần của hệ thống giám sát;

- Quy trình xử lý các sự cố liên quan đến hoạt động của hệ thống
giám sát;

- Quy trình sao lưu, dự phòng cấu hình hệ thống và log của hệ
thống;

- Quy trình bảo trì, nâng cấp hệ thống giám sát;

- Quy trình khôi phục hệ thống sau sự cố.

84 12-Jun-23
  Kết nối và gửi log từ đối tượng giảm sát về hệ thống quản lỷ
tập trung
 Đối tượng giám sát của hệ thống có nhiều loại khác nhau, mỗi
loại có định dạng log và chức năng hỗ trợ gửi log GŨng khác
nhau. Thêm nữa, đối tượng giám sát có thể nằm phân tán ở nhiều
vị trí khác nhau.
 Do đó, cần có quy định và quy trình gửi log từ đối tượng giám sát
về hệ thống quản lý tập trung.

85 12-Jun-23
 Quy định, quy trình liên quan đến nội dung này có thể bao gồm:

- Loại log mà hệ thống có thể tiếp nhận;

- Giao thức gửi nhận log hệ thống hỗ trợ;

- Quy định về quy tắc xác định nguồn gửi log như đặt tên thiết bị
theo quy tắc;

- Số lượng sự kiện tối đa từ một đối tượng giám sát có thể gửi;

- Chính sách hệ thống để quản lý các nguồn log gửi về;

- Quy định về chuẩn mã hóa, nén dữ liệu.

86 12-Jun-23
  Lưu trữ và bảo vệ log hệ thống

 Log hệ thống là dữ liệu quan trọng của cơ quan, tổ chức cần bảo
vệ. Việc lộ lọt dữ liệu log hệ thống có thể là cơ sở để tin tặc khai
thác thông tin của hệ thống phục vụ việc thực hiện các cuộc tấn
công mạng.
 Do đó, việc lưu trữ và bảo về log hệ thống cần được quy định và
có quy trình để thực hiện.

87 12-Jun-23
 Các quy định, quy trình liên quan đến nội dung này có thể bao gồm:

- Loại log và thông tin cấu hình hệ thống cần lưu trữ;

- Tần suất sao lưu, dự phòng tập tin cấu hình và log hệ thống;

- Gán nhãn dữ liệu (quy cách đặt tên, nơi lưu trữ...), mã hóa, nén dữ
liệu log;

- Khôi phục và bảo vệ log hệ thống khi xảy ra sự cố theo phương án

và năng lực xử lý của cơ quan, tổ chức.

88 12-Jun-23
  Theo dõi, giám sát, cảnh báo và xử lý tấn công mạng

 Một trong những nội dung quan trọng liên quan đến quản lý, vận
hành hệ thống giám sát là quy định, quy trình theo dõi, giám sát,
cảnh báo và xử lý tấn công mạng.
 Các hình thức tấn công mạng tùy thuộc vào mức độ nghiêm trọng
sẽ có các phương án xử lý khác nhau. Đe chủ động đối phó với
các dạng tấn công mạng được ghi nhận trên hệ thống, cơ quan tổ
chức cần quy định và có quy trình xử lý.

89 12-Jun-23
 Các quy định, quy trình liên quan đến nội dung này có thể bao gồm:

- Quy định trách nhiệm của cán bộ trong việc thực hiện theo dõi,
giám sát, cảnh báo và xử lý tấn công mạng;

- Quy trình thực hiện theo dõi, giám sát, cảnh báo và xử lý tấn công
mạng;

- Quy trình thu thập thông tin và quản lý, cập nhật xử lý các sự cố
mới;

90 12-Jun-23
  Bố trí nguồn lực và tổ chức giám sát
Về cơ bản các nhiệm vụ trong quá trình quản lý vận hành hệ thống
giám sát được phân làm các nhóm công việc sau:
a) Nhóm quản lý vận hành hệ thống giám sát
- Có nhiệm vụ quản lý vận hành bảo đảm các hoạt động bình thường
của hệ thống giám sát. Nhóm này có thể nằm trong nhóm quản lý
vận hành chung cho toàn bộ hạ tầng của hệ thống.
- Có kiến thức về mạng, nắm được thiết kế hệ thống, thiết lập cấu
hình bảo mật trên các thiết bị, máy chủ.
- Phải theo dõi, thường xuyên, liên tục trạng thái hoạt động của hệ
thống, tài nguyên, băng thông, trạng thái kết nối để bảo đảm hệ
thống hoạt động bình thường, có tính sẵn sàng cao.
91 12-Jun-23
 b) Nhóm theo dõi và cảnh báo
- Có nhiệm vụ theo dõi, giám sát các sự kiện, tấn công mạng ghi
nhận được trên hệ thống. Xác định và phân loại mức độ sự cố và
xác định hành động phù hợp tiếp theo hoặc cảnh báo cho nhóm xử
lý sự cố thực hiện.
- Có kiến thức về các lỗ hổng mới, mã độc mới, chiến dịch, hình
thức tấn công mới; có thể phân loại và xác định mức độ của các sự
cố và tìm kiếm, truy vấn thông tin từ các nguồn dữ liệu bên ngoài
như hệ thống Threat Intelligence.
- Thực hiện định kỳ phân tích bộ luật, cảnh báo sai thực hiện
whitelist, chỉnh sửa luật không cho những cảnh báo sai lập lại để tối
ưu khả năng phát hiện tấn công, sự cố của hệ thống, giảm thiểu
nhận diện nhầm.

92 12-Jun-23
 c) Nhóm xử lý sự cố

- Có nhiệm vụ tiếp nhận cảnh báo, xác minh và thực hiện các hành
động để xử lý sự cố, bao gồm một số hành động cụ thể như sau:

- Xác định các hành động ứng cứu khẩn cấp: Phản ứng chặn kênh
kết nối điều khiển, bổ sung luật ngăn chặn sớm tấn công hoặc cô lập
hệ thống.

- Xử lý các lỗ hổng, điểm yếu, cập nhật bản vá và bóc gỡ mã độc

trên hệ thống;

- Nâng cấp hoặc khôi phục hệ thống sau sự cố.

93 12-Jun-23
 d) Nhóm điều tra, phân tích

- Có nhiệm vụ phân tích chuyên sâu các cảnh báo, các sự cố để tìm
ra nguồn gốc, nguyên nhân và các dấu hiệu nhận biết tấn công.

- Kết quả đàu ra của nhóm này là chứng cứ số, các dấu hiệu cho
phép thiết lập các tập luật trên hệ thống để ngăn chặn các dạng tấn
công tương tự tiếp theo đến hệ thống.

94 12-Jun-23
 Mô hình ví dụ xây dựng hệ thống giám sát:

95 12-Jun-23