WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
[Tường thuật] Diễn tập an toàn, an ninh mạng cho các Sở Thông tin và Truyền thông toàn miền Bắc
Diễn tập an toàn, an ninh mạng cho các Sở Thông tin và Truyền thông toàn miền Bắc
14:00 BTC Diễn tập ANM cho các sở TT&TT toàn miền Bắc xin thông báo, Chương trình Diễn tập đã chính thức kết thúc.BTC xin gửi lời cảm ơn tới tất cả các đội đã có mặt tại Thái Bình và tham gia chương trình Diễn tập ngày hôm nay.
Theo kết quả ghi nhận, Đội 9: Thái Bình 1 là đội diễn tập xuất sắc nhất. Ngoài 6 Pha ban đầu, BTC đã bổ sung thêm 1 Pha nâng cao, nhưng đội 9 cũng rất nhanh chóng vượt qua thử thách của BTC và xứng đáng đứng vị trí cao nhất trên bảng điểm.
Các thành viên trong Đội 9: Thái Bình 1
13:55 5 phút trước khi chương trình Diễn tập an ninh mạng chính thức khép lại, 8/10 đội đã diễn tập thành công, ghi được số điểm tuyệt đối.
2 đội còn lại Đội 5: Lai Châu - Hà Giang - Cao Bằng và Đội 6: Bắc Kan - Quảng Ngãi vẫn đang nỗ lực để hoàn thành các Pha yêu cầu.
------------
13:50 BTC Diễn tập an ninh mạng xin thông báo các đội, Chương trình diễn tập sẽ kết thúc trong vòng 10 phút nữa. Các đội lưu ý nhanh chóng hoàn thành yêu cầu các Pha và gửi về cho BTC. Sau phần diễn tập là phần chữa bài và tổng kết đánh giá.
13:45 BTC Diễn tập an ninh mạng cho biết với mục tiêu nâng cao chất lượng diễn tập, BTC mong muốn nhận được những ý kiến đóng góp từ phía các đội diễn tập qua yêu cầu Pha 7: Khảo sát.
13:40 Tính đến thời điểm hiện tại, 2 đội đã hoàn thành tất cả các yêu cầu mà BTC đưa ra đó là Đội 9: Thái Bình 1 và Đội 10: Thái Bình 2 đồng thời tạm thời dẫn đầu bảng điểm, 900 điểm.
------------------
13:30 Pha 6 Tổng hợp báo cáo
Đội ứng cứu hãy viết báo cáo kỹ thuật để gửi lãnh đạo về quá trình lây nhiêm của mã độc, cơ chế hoạt động và các biện pháp để tránh bị tấn công trở lại (báo cáo càng chi tiết càng được đánh giá cao).
- Tóm tắt thông tin sự cố
- Các công việc đã tiến hành để khắc phục
- Đánh giá thiệt hại, ảnh hưởng
--------------
13:20 Đội 9: Thái Bình 1 là đội đầu tiên gửi đáp án cho Pha 4 về BTC, ghi thêm cho đội 100 điểm. Sau đó không lâu, Đội 7: Yên Bái - Vĩnh Phúc - Nam Định cũng thành công trong việc giải quyết yêu cầu của Pha 4.
-------------
12:45 Pha 4 vừa được BTC mở với chủ đề: Điều tra nguồn tấn công và đánh giá thiệt hại
Trong bất kỳ một cuộc tấn công nào, việc đội ứng cứu có thể tìm ra chi tiết thông tin server điều khiển, địa chỉ tải mã độc để từ đó có thể kết hợp với các cơ quan chuyên môn tìm ra nguồn gốc kẻ tấn công là rất quan trọng.
Đồng thời, đội ứng cứu cần liên hệ với các đơn vị hoạt động trong cùng lĩnh vực để cảnh báo kịp thời đến đơn vị bạn. Đánh giá thiệt hại, xem hacker đã đánh cắp được những thông tin gì để kịp thời ứng phó.
Yêu cầu:
- Dựa vào thông tin từ file tự động chạy, đội ứng cứu hãy chỉ ra đầy đủ thông tin của cuộc tấn công: IP Server điều khiển?
- Từ các hành vi của mã độc, chỉ ra mục đích của mã độc xâm nhập vào hệ thống?
- Qua phân tích mã độc (sơ bộ) đánh giá thiệt hại khi máy bị nhiễm mã độc?
- Liệt kê tên các cơ quan chức năng để liên hệ phối hợp hỗ trợ khi gặp sự cố?
- Liệt kê tên các đơn vị hoạt động trong cùng lĩnh vực để kịp thời cảnh báo?
------------
12:00 7/10 đội đã gửi thành công đáp án cho Pha 3.
Chương trình Diễn tập an ninh mạng có sự tham gia của 10 đối đến từ 24 đơn vị thuộc các Bộ và Sở TT&TT các tỉnh thành miền Bắc.
11:50 Đội 2: Quảng Ninh – Hà Nam – Bắc Giang rất cố gắng giải quyết yêu cầu Pha 3 mà BTC đặt ra. Sau khi xử lý được 1 chút sai sót trong đáp án thì Đội 2 cũng đã có câu trả lời đúng cho pha 3
---------------
11:45 Đội 1: Hải Dương - Lạng Sơn - Bắc Ninh là đội đầu tiên giải đúng yêu cầu từ Pha 3 từ BTC. Đồng nghĩa với việc, Đội 1 đang dẫn đầu Bảng điểm.
-----------------
11:30 Pha 2 đã được các đội giải thành công, BTC tiếp tục mở Pha 3 với chủ đề Điều tra sơ bộ, phân tích và xử lý các thành phần độc hại.
Đề bài Pha 3
11:20 Pha 2 với chủ đề Tiếp cận hiện trường, khắc phục tạm thời vừa được mở.
Là thành viên của đội giám sát, từ thông tin nhận được qua hệ thống cảnh báo an ninh về việc có kết nối từ hệ thống của đơn vị đến IP máy chủ điều khiển mã độc, đội ứng cứu cần phải tiếp cận hiện trường, rà soát tình trạng của hệ thống để có nhận định ban đầu về sự cố an toàn thông tin, đồng thời đưa ra phương án xử lý tạm thời.
Yêu cầu:
Mở máy ảo đã được BTC cấp cho các đội:
- Tiếp cận hiện trường.
Ở pha này, các đội phải Đưa ra hướng xử lý tạm thời?
Các pha 0, 1 và 2 đã được các đội giải yêu cầu thành công.
----------------
11:15 Các đội nhập cuộc rất nhanh, chỉ vài phút sau khi yêu cầu được mở, Đội 9: Thái Bình 1 đã gửi đáp án về cho BTC.
Đội 1: Hải Dương - Lạng Sơn - Bắc Ninh, Đội 2: Hải Quảng Ninh - Bắc Giang - VTV, Đội 10: Thái Bình 2, Đội 5: Lai Châu - Hà Giang - Cao Bằng là các đội tiếp theo ghi điểm cho Pha 1
Đội 9: Thái Bình 1
11:10 Pha 1 của Chương trình Diễn tập vừa được mở.
Ngữ cảnh đặt ra là: Sáng ngày hôm sau, cục ATTT gửi cảnh báo đến Sở TTTT tỉnh X:
Nội dung cảnh báo:
Kính gửi: xxxxx,
Ngày 15/5/2019, Hệ thống tổng hợp, phân tích và giám sát tập trung đã phát hiện nguy cơ tấn công mạng vào hệ thống của Thái Bình. Thông tin chi tiết có trong file đính kèm.
*** Khuyến nghị, cách thức xử lý khắc phục***
- Dựa trên địa chỉ C&C (xxx.xxx.xxx.xx) thực hiện rà soát lại trong toàn bộ vùng mạng có địa chỉ IP public bị cảnh báo để phát hiện các máy tính, thiết bị lây nhiễm mã độc;
- Thực hiện xử lý, bóc gỡ mã độc trên máy tính phát hiện ra.
- Vá các lỗ hổng bảo mật đã biết trên máy tính để chống tái nhiễm.
- Trong trường hợp cần thêm thông tin hoặc hỗ trợ vui lòng liên hệ theo số điện thoại
đường dây nóng xxx để được chuyên viên trợ giúp.
Trân trọng./.
Trung tâm giám sát an toàn không gian mạng quốc gia
Câu hỏi dành cho các đội: Với nội dung cảnh báo từ Cục ATTT, BlueTeam cần phải làm gì?
Hiện tại, Pha 0 đã được tất cả các đội gửi đáp án hoàn thành.
Hình ảnh toàn cảnh khu vực Diễn tập
11:05 Rất nhanh sau khi Pha 0 được mở, các đội diễn tập nhanh chóng đăng nhập hệ thống và giải thành công Pha đầu tiên.
Hiện tại, BTC ghi nhận 8 đội gửi đáp án thành công cho Pha 0.
10:45 BTC chương trình Diễn tập an toàn, an ninh mạng mở Pha 0 Warmup: Mô phỏng tình huống bị lây nhiễm với Yêu cầu:
Đề nghị các đội diễn tập đọc các yêu cầu của pha 0 đã được BTC chuẩn bị trong 1 văn bản theo các bước sau:
- Truy cập vào cổng thông tin https://dichvucongtinhX.whitehat.vn, tải file bieumautt1.rar về máy
- Giải nén file bieumautt1.rar, mo file “bieumautt1.doc”
- Kiểm tra các nội dung yêu cầu trong file
Tắt máy tính kết thúc ngày làm việc/Hoặc sự cố mất điện
--------------------
Chủ đề: GIÁM SÁT, ĐIỀU TRA VÀ XỬ LÝ SỰ CỐ AN TOÀN AN NINH MẠNG CHO HỆ THỐNG CPĐT
Thời gian: 10:45 - 14:00
Tham gia: Các Sở Thông tin và Truyền thông miền Bắc
Thời gian gần đây, bên cạnh mã độc tống tiền ransomware thì phần mềm gián điệp tấn công có chủ đích cũng được các hacker sử dụng rất phổ biến để tấn công đánh cắp thông tin quan trọng, đặc biệt tại các cơ quan trọng yếu. Tiêu biểu như vụ tấn công vào VietnamAirlines mới hồi cuối năm 2016. Cuộc tấn công này hacker đã xâm nhập được sâu vào hệ thống bằng cách sử dụng phần mềm gián điệp (spyware) theo dõi, kiểm soát máy của quản trị viên.
Buổi diễn tập sẽ mô phỏng một cuộc tấn công vào hệ thống hành chính công của tỉnh X. Các đơn vị tham gia sẽ đóng vai trò là đội giám sát an toàn thông tin của tỉnh X (BlueTeam). Trong quá trình làm việc, các đội sẽ nhận được thông tin từ hệ thống cảnh báo của Cục ATTT về việc có máy tính trong hệ thống nội bộ của đơn vị kết nối đến máy chủ điều khiển C&C Server. Các đội cần tiến hành các bước xử lý để đánh giá tình hình, khắc phục sự cố một cách nhanh nhất, đánh giá thiệt hại đồng thời đưa ra các biện pháp phòng chống trong tương lai.
Quá trình diễn tập sẽ bao gồm 6 pha:
Pha 1: Xác định sự cố an toàn thông tin
Pha 2: Tiếp cận hiện trường, khắc phục tạm thời
Pha 3: Điều tra sơ bộ
Pha 4: Xác định và vá lỗ hổng
Pha 5: Điều tra nguồn tấn công và đánh giá thiệt hại
Pha 6: Tổng hợp báo cáo
Mục tiêu của Đội ứng cứu:
- Rà soát và xử lý những thành phần mã độc trên máy bị tấn công.
- Điều tra nguồn gốc tấn công.
- Khôi phục dữ liệu, đưa ra các phương án phòng chống tấn công tương tự.
- Môi trường diễn tập trên máy ảo cloud nên các đội không tự ý thay đổi cấu hình mạng để đảm bảo kết nối tới máy ảo.
- Mẫu mã độc dùng trong quá trình diễn tập có khả năng gây nguy hiểm trong thực tế nên các đội tuyệt đối không chạy mẫu mã độc ngoài môi trường diễn tập tránh gây ra những hậu quả ngoài ý muốn
BTC Diễn tập
Chỉnh sửa lần cuối: