VNISA cho biết đến thời điểm này có thể khẳng định cuộc tấn công vào hệ thống Vietnam Airlines là dạng tấn công APT, có chủ đích rõ ràng, được chuẩn bị kỹ lưỡng, diễn tiến kéo dài trước khi bùng phát vào ngày 29.7. Có dấu hiệu cho thấy có thể hệ thống đã bị tin tặc xâm nhập từ giữa năm 2014, tuy nhiên mã độc sử dụng trong đợt tấn công hoàn toàn mới, được thiết kế riêng cho cuộc tấn công ngày 29.7 và đã vượt qua được các công cụ giám sát an ninh thông thường (như các phần mềm chống virus).
Cuộc tấn công diễn ra trên diện rộng với 2 điểm chính là cảng hàng không Nội Bài và Tân Sơn Nhất, cùng với nhiều sân bay nhỏ khác cũng bị ảnh hưởng do hệ thống CNTT phục vụ khách hàng được kết nối liên thông với nhau. Ngoài ra website của Vietnam Airlines và Hệ thống điều khiển màn hình, loa phát thanh của các sân bay trên cũng bị xâm nhập và thay đổi dữ liệu.
Cần nói rõ là những dấu vết để lại hiện trường chưa đủ cơ sở để kết luận chính xác đối tượng tấn công là ai. Tuy nhiên có thể khẳng định đối tượng am hiểu hệ thống CNTT của các cụm cảng hàng không cả ở mức cấu trúc thông tin lẫn cơ chế vận hành thiết bị và có ý định khống chế vô hiệu hóa hoàn toàn dữ liệu hệ thống.
Qua bài học sự cố tại Vietnam Airlines và cụm cảng hàng không, các hệ thống thông tin tương tự Vietnam Airlines như hệ thống đảm bảo hạ tầng điện nước; hệ thống quản lý nhà nước có ứng dụng CNTT như hải quan, thuế, tài chính ngân hàng, dịch vụ công điện tử; giao thông vận tải và cấp thoát nước; các hệ thống viễn thông... cần được rà soát nhằm tăng cường khả năng phát hiện sớm mã độc đang âm thầm hoạt động thông qua các hành vi bất thường.
|
Các tổ chức doanh nghiệp cần làm gì để phòng tránh tấn công mạng
- Cần có nhân viên/bộ phận chuyên trách hoặc thuê ngoài dịch vụ giám sát an ninh thông tin cho tổ chức. Các sự kiện hệ thống cần được lưu trữ tập trung ra một hệ thống độc lập nhằm thuận tiện cho việc theo dõi, đồng thời lưu trữ thông tin cần thiết hỗ trợ cho việc truy vết sự cố, hạn chế việc tin tặc xâm nhập hệ thống sau đó cố tình xóa dấu vết.
- Thực hiện sao lưu các dữ liệu hệ thống đầy đủ, định kỳ và bản lưu trữ phải ở vị trí an toàn về mặt vật lý nhằm đảm bảo khả năng phục hồi dữ liệu trong tình huống xấu nhất khi hệ thống dữ liệu chính bị phá hủy hoàn toàn.
- Đối với các hệ thống quan trọng cần thay đổi thường kỳ mật khẩu đăng nhập của các tài khoản đặc quyền - các tài khoản hệ thống có quyền hạn cao. Tránh sử dụng chung các định danh truy cập hệ thống.
- Thường xuyên tiến hành các diễn tập, đào tạo công tác bảo mật để nâng cao tính sẵn sàng và tinh nhuệ của đội ngũ quản trị hệ thống CNTT.
|
Bình luận (0)