CIO Vietnam: Tấn công mạng và giải pháp tăng sức đề kháng cho Doanh nghiệp Việt

Cộng đồng CIO VIETNAM đã tổ chức Hội nghị An ninh mạng diễn ra vào ngày 27/06/2024 tại Khách sạn Pullman Saigon Centre đã thu hút hơn 300 lãnh đạo trong lĩnh vực Công nghệ thông tin và CxO

Đây là sự kiện kết nối 230 nhà lãnh đạo công nghệ, các chuyên gia và nhà cung cấp giải pháp hàng đầu về an ninh mạng, và các lãnh đạo doanh nghiệp, cùng nhau chia sẻ những kinh nghiệm thực tiễn trong hoạt động phòng chống các rủi ro an toàn thông tin và tấn công trên môi trường số, trong đó phòng chống rủi ro với các tấn công ransomware là một chủ đề quan trọng.

Sự kiện mở đầu bằng phần chia sẻ của anh Dương Ngọc Thái. Tại hội nghị, anh Thái đã chia sẻ những trải nghiệm thực tế trong cuộc chiến chống lại ransomware, cung cấp những bài học quý giá và giải pháp ứng phó hiệu quả với cộng đồng CIO VIETNAM.

Trước đây, anh Dương Ngọc Thái từng có kinh nghiệm làm việc trong lĩnh vực mật mã học, đặc biệt là liên quan đến Ransomware . Trong bài trình bày lần này có tiêu đề “ Một câu chuyện về mã hóa đòi tiền chuộc”, anh đã chia sẻ cho khán giả về hai góc nhìn đối với sự cố Ransomware: góc nhìn của Hacker và góc nhìn của từ phía chuyên gia xử lý sự cố của doanh nghiệp, cũng như chia sẻ với người tham dự về bốn điểm xâm nhập hàng đầu: máy chủ thư điện tử Microsoft Exchange, phần mềm thư điện tử đầu cuối Outlook, phần mềm hỗ trợ truy cập từ xa VPN, và tường lửa Firewall.

Các biến thể về Ransomware hiện nay ở Việt Nam bao gồm:

• Crytox: Mã hóa 1MB đầu tiên và chạy trên hệ điều hành Windows. Crytox sử dụng thuật toán AES-CBC, dễ giải mã;
• Babuk: Mã nguồn mở và chạy được trên nhiều nền tảng. Babuk mã hóa 500MB đầu tiên và có nhiều biến thể để hoạt động riêng trên từng nền tảng khác nhau. Đặc biệt, Babuk có khả năng phục hồi lại dữ liệu mà không cần khóa giải mã trong một số trường hợp;
• Lockbit3: 
  Mã nguồn đóng với công cụ xây dựng công khai. Lockbit3 có thể chạy trên nhiều nền tảng và có khả năng thực hiện nhiều chức năng khác nhau.

Theo góc nhìn từ phía người chịu trách nhiệm xử lý sự cố (Incident Commander), việc không hoảng sợ khi rơi vào tình huống bị tấn công mã hóa là bước đầu tiên quan trọng để tránh ảnh hưởng đến tinh thần của các thành viên trong đội. Người chịu trách nhiệm xử lý sự cố cũng thường được thuê từ bên ngoài để tránh sự ảnh hưởng bởi cảm xúc như đội ngũ in-house. Bước tiếp theo là nắm quyền chỉ huy, đảm bảo rằng đội ngũ cơ bản bao gồm các vai trò chính: Người chịu trách nhiệm xử lý sự cố, người chịu trách nhiệm về hoạt động (Ops Lead), người chịu trách nhiệm về truyền thông (Communication Lead), và cuối cùng là người chịu trách nhiệm về các vấn đề pháp lý  (Legal Lead). Các bước tiếp theo tập trung vào ba nguyên tắc quan trọng: chỉ đạo nỗ lực phản ứng sự cố, duy trì kiểm soát, và truyền thông giữa trong tổ chức và với bên ngoài.

Người chịu trách nhiệm xử lý sự cố cũng cần phải kiểm soát đội ngũ tham gia hỗ trợ, xậy dựng quy trình bàn giao công việc một cách hiệu quả, và theo dõi các vấn đề nhỏ để tránh chúng trở thành vấn đề lớn. Việc thiết lập một khu vực riêng gần đội ngũ kỹ thuật hoặc có kênh liên lạc trực tiếp, có đủ không gian để tổ chức các cuộc họp là rất cần thiết. Các tài liệu liên quan đến sự cố cần được lưu hành trực tuyến, bao gồm các thông tin đầy đủ về những gì đã xảy ra, ai đã làm gì, và mỗi đội cần có tài liệu riêng.

Duy trì hoạt động vận hành bảo mật (OpSec) bằng cách tổ chức các cuộc họp và thảo luận trực tiếp khi có thể, xác định các kênh giao tiếp an toàn và đảm bảo các quy tắc bảo mật được tuân thủ. Sau khi thực hiện các bước này, người chịu trách nhiệm xử lý sự cố có thể cân nhắc kết hợp ba lựa chọn: trả tiền chuộc, phân tích ransomware và phục hồi từ bản sao lưu. Việc chọn kế hoạch phục hồi cần xác định dữ liệu tối thiểu cần thiết, đề ra các hành động rõ ràng, và bắt đầu từ những vấn đề có kết quả cụ thể ngay để nâng cao tinh thần đội ngũ.

Quy trình phản ứng sự cố bao gồm bốn bước: giải mã, làm sạch, cách ly và phục hồi. Truyền thông trong khủng hoảng cần được chú trọng. Điều quan trọng là đội ngũ phải được nghỉ ngơi để có đủ sức khỏe giải quyết sự cố. Cuối cùng, việc di chuyển các hệ thống quan trọng lên cloud là cần thiết để đảm bảo có thể sao lưu khi có sự cố.

Tiếp theo là phiên thảo luận mang đến những khai thác chuyên sâu, thiết thực với sự tham gia các nhà lãnh đạo:

• Mr. Robert Trần Trọng - Cybersecurity Technology Risk Leader & Partner | EY Vietnam Cybersecurity
• Mr. Dương Ngọc Thái - Founder & CEO | Calif
• Mr. Nguyễn Lê Thành - Vice President, CTO | VNG & Founder | Verichains
• Mr. Đào Hữu Phúc - Chief Technology & Operations Officer | FWD Insurance
• Mr. Nguyễn Bảo Trí - Country Head of IT | Unilever Vietnam
• Mr. Luân Lai - CISO | VP Bank

Tại sao giờ tấn công mạng càng ngày càng nhiều?

Trước đây các cuộc tấn công mạng diễn ra âm thầm nên ít người biết đến. Hiện nay, với sự xuất hiện của nhiều vụ tấn công lớn, nhiều người đã chú ý và nhận thức rõ hơn về các mối đe dọa mạng. Trước đây, khi Hacker lấy dữ liệu, người dùng thường không để ý hoặc không biết. Tuy nhiên, các vụ ransomware gần đây đã ảnh hưởng nghiêm trọng đến hầu hết các doanh nghiệp, điều này cho thấy nhận thức của mọi người về an ninh mạng đã được nâng cao.

Việc tấn công  từ trước đến nay không có nhiều khác biệt. Tuy nhiên, hiện nay có một số thay đổi đáng chú ý, đặc biệt là về cách thức rút tiền: sử dụng Bitcoin. Thứ hai là hiện nay việc sử dụng máy móc trong các cuộc tấn công cũng đã trở nên phổ biến hơn.

Giải pháp để thị trường bảo mật ở Việt Nam phát triển?

Tại Việt Nam, cũng như nhiều khu vực khác, lập trình viên thường tập trung vào việc viết mã mà bỏ qua vấn đề bảo mật. Kỹ năng về bảo mật khác biệt so với kỹ năng lập trình thông thường. Thị trường bảo mật ở Việt Nam còn hạn chế, cầu nhiều nhưng cung ít dẫn đến chi phí cao hơn. Nếu mức lương cho nhân lực trong lĩnh vực này tăng lên, nhu cầu học về an ninh mạng sẽ gia tăng. Anh Nguyễn Bảo Trí nhấn mạnh rằng tác động của an ninh mạng đến doanh nghiệp là rất lớn và quan trọng. Đối với Anh Nguyễn Lê Thành, khi thị trường có nhu cầu thì nguồn cung sẽ xuất hiện, miễn là mọi người nhận thấy tầm quan trọng của việc đó

Theo các diễn giả, khi xây dựng chiến lược về an toàn thông tin, để xây dựng một chiến lược bền vững cần phải đánh giá các rủi ro tiềm ẩn đối với doanh nghiệp. Những điểm dễ bị tấn công sẽ là cơ sở để đề xuất các kế hoạch phòng thủ, xây dựng chính sách về  bảo mật và bảo vệ dữ liệu. Đồng thời, cần thành lập một đội ngũ chuyên trách phản ứng sự cố và đào tạo người dùng về tầm quan trọng của việc tuân thủ các biện pháp bảo mật. Cuối cùng là việc đánh giá và cải tiến các phương pháp sao lưu và phục hồi dữ liệu, những điểm then chốt trong lĩnh vực bảo mật mạng.

Trong các công ty lớn, họ thường rất chuyên nghiệp trong việc tổ chức và quản lý bảo mật thông tin. Hiện nay, chúng ta cần phải thay đổi suy nghĩ, không chỉ ở an ninh thông tin truyền thống. Để đảm bảo an toàn thông tin, cả doanh nghiệp của mình và đối tác đều phải cam kết và thực hiện các tiêu chuẩn an toàn thông tin. Điều này là cần thiết để xây dựng mối quan hệ đối tác có lợi cho cả hai bên.

Các chuyên gia cũng nhấn mạnh rằng chiến lược của công ty luôn coi trọng hàng đầu về an toàn bảo mật . Lãnh đạo có khả năng đầu tư rất lớn cho an ninh mạng, nhưng đội ngũ thực thi cũng phải nắm rõ lý do tại sao đầu tư như vậy. Chiến lược phải được xây dựng một cách hợp lý, với mục tiêu là giảm thiểu các rủi ro.

Bên cạnh những thông tin có chiều sâu từ những diễn giả trực tiếp tham gia vào công tác lãnh đạo, Hội nghị lần này đồng thời mang đến những chia sẻ từ những giải pháp An ninh bảo mật hàng đầu đến từ các đối tác. Trong bài phát biểu từ IBM, Nguyễn Tuấn Khang - Regional Manager | IBM Security Software, IBM ASEAN với chủ đề IBM Digital Identity cung cấp một bộ giải pháp toàn diện được thiết kế để quản lý và bảo mật danh tính số trên nhiều nền tảng và dịch vụ. Nó đáp ứng nhu cầu ngày càng tăng về quản lý danh tính và truy cập (IAM) mạnh mẽ trong thế giới kỹ thuật số ngày nay với các tính năng chính:

• Quản trị Danh tính (Identity Governance): Đảm bảo tuân thủ và quản trị bằng cách quản lý danh tính người dùng, vai trò và quyền lợi trong suốt vòng đời của họ.
• Quản lý Truy cập (Access Management): Cung cấp truy cập an toàn và liền mạch vào các ứng dụng và dữ liệu bằng cách triển khai đăng nhập một lần (SSO), xác thực đa yếu tố (MFA) và kiểm soát truy cập thích ứng.
• Dịch vụ Thư mục (Directory Services): Dịch vụ thư mục tập trung tích hợp với nhiều hệ thống và ứng dụng, cung cấp cái nhìn thống nhất về danh tính người dùng.
• Quản lý Vòng đời (Lifecycle Management): Tự động hóa việc cấp phát và thu hồi tài khoản người dùng, đảm bảo chỉ những người dùng được ủy quyền mới có quyền truy cập vào các tài nguyên cần thiết.

Ngoài ra, làm thế nào để giúp Doanh nghiệp nâng cao năng lực phòng vệ, điều tra và xử lý hiệu quả các thách thức phòng chống trước các tấn công có chủ đích (ATP), bảo vệ dữ liệu nhanh chóng và hiệu quả cũng là một trong những thách thức. Ông Vũ Ngọc Anh là Kỹ sư bảo mật cấp cao tại hãng Trellix, với hơn 20 năm học hỏi và tích lũy kiến thức sẽ đưa ra những góc nhìn về việc đầu tư xây dựng và vận hành các hệ thống an ninh bảo mật  để phục vụ và bảo vệ an tòan thông tin của doanh nghiệp, song hành cùng sự phát triển của hoạt động sản xuất kinh doanh và cung cấp dịch vụ.

Không chỉ dừng lại ở sự tham gia của các chuyên gia trong nước, Hội nghị còn kết nối với các chuyên gia quốc tế. Ông Mert Musafa, Giám đốc Khu vực APAC của eSentire, đã mang đến những điểm nhấn đáng chú ý về Dịch vụ Giám sát và Phản ứng 24/7 trên nền tảng AI. Ông chia sẻ cách tiếp cận và ứng dụng AI trong phân tích hành vi và ngăn chặn tấn công, đảm bảo an toàn thông tin cho doanh nghiệp. Ông nhấn mạnh rằng tiêu chuẩn mới cho phòng chống tấn công an ninh mạng là phản ứng nhanh trong vòng 15 phút, giúp bảo vệ hiệu quả tài sản số của doanh nghiệp.

Trong thế giới công nghệ đang phát triển nhanh chóng hiện nay, việc bảo mật tài sản số đã trở thành một vấn đề hết sức quan trọng. Phần chia sẻ của ông Muhammad Shakaib hiện là Giám Đốc Công nghệ của Malaysia & Thị trường tiềm năng tại Cloud Kinetics mang đến cách tiếp cận chiến lược và công nghệ cloud mới nhất được sử dụng để bảo vệ tài sản số, cung cấp cho người tham dự hiểu biết sâu hơn về cách hiệu quả để chống lại các mối đe dọa kỹ thuật số.