Vũ khí giúp Viettel tìm “địa chỉ” tấn công mạng lưới trong vài phút

Xuất phát từ những bất cập trong công việc hàng ngày, các kỹ sư TT Vận hành Khai thác Toàn cầu đã tạo ra công cụ truy vết địa chỉ mạng IP chỉ trong vài phút thay vì vài tiếng như trước đây, giúp Viettel tiết kiệm hơn 5 tỷ đồng mỗi năm.

Ngày 7/5/2021, Công ty Colonial Pipeline bị hacker tấn công làm tắt đường ống dẫn xăng dầu, mất đi 45% nguồn cung cấp nhiên liệu dành cho hơn 50 triệu khách hàng ở bờ biển phía Đông và miền Nam nước Mỹ. Đây là đơn vị vận hành đường ống dẫn xăng và dầu diesel lớn nhất ở Mỹ. Ngay trong ngày hôm đó, Tổng thống Mỹ đã ký sắc lệnh hành pháp nhằm cải thiện năng lực của an ninh mạng liên bang cũng như các tiêu chuẩn an ninh kỹ thuật số.

Đây là một ví dụ gần đây nhất để thấy mức độ quan trọng của vấn đề an toàn thông tin (ATTT). Không phải ở đâu, vấn đề này cũng được chú trọng, cho đến khi có sự cố đáng tiếc xảy ra. Và trong các cuộc tấn công mạng, việc thu thập thông tin, truy vết, khoanh vùng  IP tấn công là điều kiện kiên quyết và đầu tiên giúp đưa ra các phương án phản ứng tấn công hiệu quả.

“Có thể so sánh việc tìm ra địa chỉ IP tấn công như việc truy vết đối tượng F0 mắc Covid-19 hiện nay. Nếu không kịp thời tìm ra, mức độ, phạm vi ảnh hưởng sẽ tăng lên theo cấp số nhân. Ngoài những thiệt hại gây cho ra cho mạng lưới, khách hàng, chúng ta sẽ tốn rất nhiều thời gian, nguồn lực, chi phí để khắc phục hậu quả” – Bùi Quang Huy, Phó phòng Ứng dụng CNTT, TT Vận hành Khai thác Toàn cầu cho biết.

an ninh mang

Năm 2020, mạng lưới Viettel hứng chịu gần 15.000 cuộc tấn công an ninh mạng, trung bình hơn 40 cuộc/ngày. Thông thường, chỉ cần hơn 1 tiếng, hacker đã có thể để lại những hậu quả khôn lường như mất quyền kiểm soát máy chủ, mất dữ liệu, sập dịch vụ,… Thậm chí, có những hành vi xâm nhập chỉ diễn ra trong hơn 10 phút.

Dựa trên những dữ liệu thống kê thực tế, đối với những hệ thống đặc biệt quan trọng, Tập đoàn yêu cầu phải ngăn chặn các cuộc tấn công an ninh mạng trong vòng 15 phút. Quá trình đó bao gồm xác định địa chỉ IP tấn công, hành vi tấn công, xây dựng phương án ngăn chặn và xử lý sự cố.

Tuy nhiên, trước các cuộc tấn công vào mạng lưới Viettel, đội ngũ kỹ thuật VTNet thường mất từ 1 tiếng đến 3 tiếng chỉ để tìm kiếm nguồn tấn công, những trường hợp phức tạp có thể lên tới vài ngày. Một trong những nguyên nhân là bởi mạng lưới Viettel quá lớn với hàng trăm hệ thống và hơn 100.000 địa chỉ IP, việc số hóa dữ liệu còn sơ khai. Cách làm trước đây của đội ngũ ATTT là rà soát thủ công trên từng hệ thống rời rạc và kho dữ liệu được lưu trữ qua những lần tấn công.

“Để truy vết IP trên các hệ thống lưu trữ thông tin, đòi hỏi người thực hiện phải hiểu biết nghiệp vụ của ứng dụng đó. Không ai có thể thông thạo toàn bộ các ứng dụng. Việc này không chỉ mất thời gian mà còn đòi hỏi gần như toàn bộ lực lượng ATTT vào cuộc vì xử lý sự cố luôn được ưu tiên hàng đầu của VTNet” – Phạm Đình Sơn, Kỹ sư ATTT, TT Vận hành Khai thác Toàn cầu nhớ lại những ngày tháng trước.

3(128)

Đó là lý do mong muốn nhanh chóng xác định IP tấn công và hành vi truy cập của nó từ lâu đã trở thành nỗi “trăn trở” của Huy, Sơn cũng như những kỹ sư ATTT của VTNet. Huy chia sẻ: “Đối với xử lý sự cố, thời gian là vàng. Từ năm 2019, khi tiếp nhận nhiệm vụ này, tôi đã có mong muốn xây dựng công cụ có thể nhìn được toàn bộ các hệ thống CNTT, nhanh chóng phát hiện vị trí bị tấn công. Thế nhưng, nguồn lực thời điểm đó rất hạn chế, công việc luôn quá tải nên đành gác “ước mơ” của mình sang một bên”.

Đến tháng 6/2020, khi bộ phận ATTT được bổ sung nguồn lực cũng là lúc team của Huy quyết tâm xây dựng hệ thống tự động truy vết IP. Thách thức đặt ra là giữa hàng trăm ứng dụng CNTT trên mạng lưới, công cụ cần kết nối với những hệ thống nào, cần lấy dữ liệu gì từ mỗi hệ thống đó, dữ liệu đó nằm ở đâu, lấy như thế nào,…

“Điều đó đòi hỏi chúng tôi phải hiểu rõ về các hệ thống không thuộc chuyên môn của mình. Bên cạnh sự hỗ trợ của các đơn vị chủ quản ứng dụng, anh em phải dành rất nhiều thời gian để tự mình tìm hiểu, nghiên cứu. Sau hơn nửa năm, chúng tôi đã xác định được 8 nguồn dữ liệu tin cậy từ gần 300 hệ thống CNTT của Viettel” – Nguyễn Quang Đăng, 1 thành viên trong team nói.

Sau khi lựa chọn được dữ liệu, việc quan trọng nhất là tích hợp các hệ thống với nhau. Điều này đòi hỏi người thực hiện phải có cả khả năng về lập trình. Vừa học vừa làm, các chàng trai của nhóm đã tự mình nghiên cứu về “code”, tích lũy trong quá trình làm việc, kết hợp với các nghiệp vụ về ATTT.

2(167)

Phạm Đình Sơn cho biết: “Đây là hệ thống lớn nhất từ trước đến nay tôi tự tay code. Trước đó, tôi cũng đã từng tự học và làm những công cụ nhỏ, nhưng chỉ bằng 1/10 ứng dụng này. Anh em cùng chia nhau ra thực hiện, người lập trình phần xử lý dữ liệu, người làm giao diện người dùng”.

Sau 9 tháng nỗ lực, tháng 2/2021, nhóm đã cho ra mắt hệ thống truy vết IP với khả năng tự động định danh địa chỉ IP tấn công và hành vi truy cập của nó. Thay vì tối thiểu 2 người làm trong 1 – 3 tiếng, công cụ mới này chỉ cần 5 phút (tốc độ nhanh nhất được ghi nhận đến thời điểm hiện tại là dưới 1 phút). Đi cùng với tốc độ là sự chính xác vượt trội trong các tác vụ tìm kiếm, truy vết thành phần trên mạng lưới.

Không dừng lại ở đó, trong thời gian sắp tới, đội ngũ ATTT sẽ tiếp tục tìm kiếm thêm các nguồn thông tin để làm phong phú cơ sở dữ liệu của hệ thống. Ngoài việc tìm nhanh, các kỹ sư còn muốn công cụ phản ứng nhanh. Dự kiến, trong năm nay, nhóm sẽ phát triển thêm tính năng tự động ngăn chặn khi mạng lưới bị tấn công. Khi đó, chắc chắn sản phẩm sẽ trở thành tấm lá chắn vững vàng cho mạng lưới Viettel.