DFIR & Compromise Assessment: Sự cần thiết trong giám sát ATTT tại các Doanh nghiệp

Nổi bật Leadership

Xu hướng phòng ngừa nguy cơ từ các cuộc tấn công mạng một cách chủ động trên thế giới đang ngày một phát triển mạnh mẽ khi các hoạt động trên nền tảng số ngày một gia tăng như một nhu cầu tất yếu. Digital Forensic & Incident Response (DFIR) và Compromise Assessment (CA) là 2 cái tên được ưa chuộng trong thế giới bảo mật khi cần đối phó với sự cố cũng như ngăn ngừa từ gốc rễ. 

Thiếu chủ động giám sát sẽ tạo ra lỗ hổng an ninh cho doanh nghiệp. 

Hiện nay, phần lớn các doanh nghiệp vẫn chưa nhận thức đầy đủ về nguy cơ an ninh mạng tiềm ẩn. Phần lớn chỉ quan tâm đến bảo mật khi xảy ra sự cố hoặc phải tuân thủ các yêu cầu của pháp luật, bỏ qua yếu tố giám sát chủ động và đánh giá định kỳ. Điều này vô tình tạo ra “khoảng trống” trong chiến lược bảo mật, để lại nhiều lỗ hổng mà kẻ tấn công có thể khai thác. 

Trên thị trường quốc tế, các tiêu chuẩn như CREST đã trở thành thước đo quan trọng để đánh giá năng lực của các đơn vị cung cấp dịch vụ bảo mật. CREST là tổ chức quốc tế cung cấp chứng nhận cho các dịch vụ bảo mật. Việc một đơn vị đạt được chứng nhận CREST đồng nghĩa với việc họ tuân thủ các quy trình nghiêm ngặt, có năng lực kỹ thuật cao và đáng tin cậy. 

“Giải mã” các cuộc tấn công phức tạp nhờ DFIR 

Digital Forensic & Incident Response (DFIR) là dịch vụ điều tra và ứng phó sự cố mạng, cung cấp giải pháp tức thời cho các vấn đề an ninh. DFIR đóng vai trò như một tấm khiên và một thanh kiếm trong bảo mật an ninh mạng. DFIR không chỉ giúp doanh nghiệp phát hiện kịp thời các cuộc tấn công, mà còn có khả năng phản hồi, xử lý và khôi phục từ các sự cố an ninh mạng một cách nhanh chóng. Khi sự cố xảy ra, các đội ngũ DFIR sẽ sử dụng các công cụ pháp chứng số (Digital Forensic) để xác định nguồn gốc, phạm vi và tác động của cuộc tấn công, đồng thời tiến hành các biện pháp đối phó để giảm thiểu thiệt hại. 

Theo chuyên gia VSEC nhận định trong những thời điểm nguy cấp như khi bị tấn công bởi ransomware, DFIR hiện nay là giải pháp cứu cánh giúp khôi phục dữ liệu và điều tra sâu về cách thức hệ thống bị xâm nhập. Điều này giúp doanh nghiệp không chỉ vượt qua khủng hoảng mà còn tăng cường sức mạnh phòng thủ cho tương lai. 

Những yếu tố chính của dịch vụ DFIR bao gồm: Thu thập chứng cứ số; Phân tích và giải mã tấn công; Ứng phó nhanh chóng. Bằng cách phát hiện sớm, xử lý và phòng ngừa các mối đe dọa mạng, chúng ta có thể đảm bảo rằng dữ liệu và hệ thống của chúng ta luôn được bảo vệ và an toàn. Có thể nói, DFIR là một yếu tố không thể thiếu trong chiến lược bảo mật của mọi tổ chức và cá nhân. 

Hiện nay, nhiều doanh nghiệp đang dần ứng dụng phương pháp xử lý sự cố mất an toàn thông tin mạng theo hướng dẫn của NIST (NIST SP 800-61) nhằm chuẩn hóa quy trình phản ứng và nâng cao khả năng phòng thủ trước các mối đe dọa ngày càng phức tạp. Tuy nhiên, nhiều tổ chức vẫn gặp khó khăn trong việc triển khai đầy đủ bốn giai đoạn chính: chuẩn bị, phát hiện & phân tích, ứng phó và khôi phục. Thiếu hụt chuyên gia và sự phức tạp của các cuộc tấn công khiến việc xử lý sự cố trở thành một thách thức. Sử dụng dịch vụ DFIR từ các nhà cung cấp bảo mật uy tín giúp doanh nghiệp rút ngắn thời gian phản ứng và tối ưu hóa quy trình khắc phục hậu quả sự cố. 

DFIR quy trinh theo NIST

Quy trình điều tra xử lý sự cố an toàn thông tin mạng của NIST 

“Giám sát để phát hiện sớm nguy cơ” 

Trong khi DFIR tập trung vào điều tra sự cố sau khi xảy ra, Compromise Assessment (CA) lại đóng vai trò  tìm kiếm các dấu hiệu xâm nhập hệ thống đã hoặc đang xảy ra trên hệ thống công nghệ thông tin, để xác định hệ thống đã bị tấn công hoặc thỏa hiệp (compromise) hay chưa. Để thực hiện được việc này, các chuyên gia VSEC sẽ thực hiện tìm kiếm, săn tìm dấu hiệu tấn công / thỏa hiệp bằng các công cụ phân tích chuyên sâu theo các kỹ thuật của kẻ tấn công.   

Theo chia sẻ chuyên gia của VSEC: “CA là một quy trình kiểm tra toàn diện hệ thống, tìm kiếm các dấu hiệu nhỏ nhất của sự thỏa hiệp an ninh. Đây chính là lớp phòng thủ mạnh mẽ, giúp doanh nghiệp phát hiện và xử lý những lỗ hổng tiềm ẩn mà kẻ tấn công có thể đang khai thác”. 

Tiêu chuẩn toàn cầu trong bảo mật 

Trên thị trường quốc tế, chứng nhận CREST đã trở thành tiêu chuẩn vàng để đánh giá các nhà cung cấp dịch vụ bảo mật, đặc biệt là trong các lĩnh vực như DFIR và CA. CREST đánh giá nghiêm ngặt khả năng kỹ thuật và quy trình của các đơn vị, đảm bảo rằng các dịch vụ này đạt chuẩn quốc tế và đáng tin cậy. 

Đặc biệt, vào ngày 2/10/2024, tại sự kiện CYBERSEC VIETNAM CONFERENCE 2024 diễn ra tại Hồ Chí Minh, ông Trương Đức Lượng, Chủ tịch HĐQT của VSEC, đồng thời là Đại sứ của CREST tại Việt Nam, đã trình bày về xu hướng và tầm quan trọng của bảo mật chủ động trong môi trường số hiện nay, làm rõ vai trò của CREST trong việc nâng cao tiêu chuẩn an ninh mạng nhằm xây dựng niềm tin số . Đây là cơ hội để các doanh nghiệp hiểu sâu hơn về tầm quan trọng của việc giám sát và đánh giá định kỳ thông qua các dịch vụ như DFIR và CA, đồng thời có cái nhìn tổng quan về những yêu cầu và tiêu chuẩn quốc tế mà CREST mang lại. 

Đại sứ CREST tại Việt Nam – Ông Trương Đức Lượng chia sẻ tại sự kiện

“VSEC không chỉ tiên phong trong việc đạt chứng nhận CREST cho cả hai dịch vụ Pentest và SOC, mà còn là đơn vị đầu tiên tại Việt Nam đưa ra định hướng chuẩn hóa dịch vụ an ninh mạng theo CREST. Điều này không chỉ giúp nội bộ VSEC chuẩn hóa quy trình làm việc mà còn đảm bảo rằng đội ngũ nhân sự được đào tạo bài bản, có đủ năng lực để đáp ứng các tiêu chuẩn cao nhất trong ngành” – Ông Lượng cho biết thêm. 

Nguồn: ICTVietnam

Về VSEC 

Tại Việt Nam, VSEC là đơn vị tiên phong trong việc đạt được chứng nhận CREST cho cả hai dịch vụ SOC (Security Operations Center) và Pentest (kiểm thử xâm nhập). Điều này khẳng định vị thế của VSEC là nhà cung cấp dịch vụ an ninh mạng uy tín, với các tiêu chuẩn bảo mật tuân thủ quy trình quốc tế nghiêm ngặt, có khả năng bảo vệ toàn diện cho hệ thống thông tin của doanh nghiệp. 

Với  đội ngũ nhân sự dày dặn kinh nghiệm, 100% chuyên gia đạt chứng chỉ quốc tế VSEC không chỉ cung cấp các dịch vụ DFIR và CA chất lượng cao mà còn đảm bảo doanh nghiệp tuân thủ các tiêu chuẩn bảo mật quốc tế. Đạt chứng nhận CREST cho thấy năng lực của VSEC trong việc cung cấp các giải pháp bảo mật đáp ứng nhu cầu toàn cầu, giúp doanh nghiệp an toàn trước các mối đe dọa mạng ngày càng tinh vi. 

Email: marcom@vsec.com.vn 

Hotline: 1800 2056 / 091 800 2056 

Company Trip 2024: Hành trình thực thi phiêu lưu ký

Con người VSEC

Ngày 14-16/8/2024 vừa qua, đoàn thám hiểm của Công ty cổ phần An ninh mạng Việt Nam (VSEC) đã vừa trải qua một hành trình khám phá đầy thú vị tại vùng đất Quảng Bình kỳ bí, cùng nhau thực thi – chủ đề của năm, cùng nhau gắn kết. Hãy cùng nhìn lại những khoảnh khắc đáng nhớ và thông điệp sau sắc mà chúng ta đã mang về từ chuyến đi này. 

Thực thi trong từng thử thách 

Ngày đầu tiên của chuyến hành trình, khi cả hai team từ Hồ Chí Minh và Hà Nội hội tụ tại Quảng Bình, bầu không khí đã tràn ngập sự háo hức và mong chờ. Sau bữa trưa “nóng hổi”, cả đoàn thám hiểm đã di chuyển về tới Celina Resort, chính thức bước vào thử thách đầu tiên – Mission 1: Mảnh ghép còn thiếu” – đã được ẩn giấu bên trong “balo thám hiểm” với những bảo bối thần kỳ.  

Đây không chỉ là một trò chơi giải trí, mà còn là một bài học về sự nhanh nhạy, tinh thần làm việc nhóm và kỹ năng “thực thi” mục tiêu một cách chính xác và hiệu quả. Mặc dù không phải là đội đầu tiên gửi đáp án nhưng Đội 2 – Lắng nghe & Chia sẻ là đội đầu tiên gửi đáp án đúng và hợp lệ theo tiêu chí của Ban tổ chức nên đã xuất sắc vượt qua thử thách này, giành lợi thế cho nhiệm vụ tiếp theo. Thành công này không chỉ là kết quả của sự nhanh nhạy, chính xác mà còn là minh chứng rõ nét cho sức mạnh của sự phối hợp và đoàn kết trong đội nhóm. 

Khơi dậy sức mạnh thực thi 

Buổi chiều ngày đầu tiên, năm đoàn thám hiểm đã cùng nhau bước vào các trò chơi teambuilding đầy thử thách. Mỗi chặng là một bài kiểm tra không chỉ về văn hóa doanh nghiệp mà còn là khả năng phối hợp, tinh thần đồng đội và đặc biệt là sức mạnh thực thi của từng thành viên. 

Qua từng trò chơi, các đội không chỉ cạnh tranh để giành chiến thắng mà còn học cách phát huy tối đa khả năng của mình, vượt qua giới hạn và khai thác triệt để sức mạnh tập thể. Những mảnh ghép được thu thập sau mỗi chặng đường không chỉ đơn thuần là thành quả của sự nỗ lực mà còn là biểu tượng cho việc khơi dậy sức mạnh thực thi trong mỗi cá nhân. 

Khi bức tranh cuối cùng được hiện ra, tất cả các nhà thám hiểm VSEC đều nhận ra rằng, mỗi chúng ta đều là một mảnh ghép của tổ chức, dù chỉ khuyết thiếu một mảnh nhỏ cũng sẽ khiến bức tranh không trọn vẹn, cũng như sẽ ảnh hưởng tới vận hành của tổ chức. “Chỉ khi biết cách phát huy và khơi dậy sức mạnh thực thi từ mỗi thành viên, chúng ta mới có thể vượt qua mọi thử thách và hoàn thành nhiệm vụ một cách xuất sắc, sớm về đích năm 2024” – Chị Dương Hồng Nhung (Trưởng phòng HCNS) chia sẻ. Đây chính là bài học quý giá mà các hoạt động teambuilding mang lại, nhắc nhở rằng sức mạnh của VSEC nằm ở khả năng thực thi mạnh mẽ và có kỷ luật của từng cá nhân trong đội ngũ. 

hanh-trinh-thuc-thi-phieu-luu-ky

Kỷ luật để tạo nên thành công 

Đêm Gala Night “Thực thi phiêu lưu ký” là đỉnh cao của hành trình tại Quảng Bình, nơi toàn thể gia đình VSEC cùng nhau nhìn lại những khoảnh khắc đáng nhớ và cảm nhận sâu sắc về giá trị của sự thực thi. Mỗi khoảnh khắc, mỗi nụ cười và từng giọt mồ hôi đều gợi nhớ về tinh thần đồng đội, sự nỗ lực không ngừng và hơn hết là sức mạnh của sự thực thi – điều đã dẫn dắt tất cả chúng ta đến thành công. Anh Trương Đức Lượng -Chủ tịch HĐQT VSEC nhấn mạnh tại bữa tiệc: “Chỉ có thực thi mới tạo ra được kết quả và duy trì được sự tồn tại, tạo ra thành quả xuất sắc và vượt trội”  

Chỉ có thực thi mới tạo ra được kết quả và duy trì được sự tồn tại, tạo ra thành quả xuất sắc và vượt trội” – Chủ tịch HĐQT Trương Đức Lượng chia sẻ

Gala Night cũng là dịp để anh Trần Thanh Long – Tổng giám đốc VSEC tổng kết 7.5 tháng hoạt động đầu năm 2024 của VSEC, những con số vô cùng ấn tượng. Năm 2024 được dự đoán là một năm vô cùng khó khăn nhưng ở thời điểm hiện tại chúng đã đã và đang vượt qua, luôn bám sát kế hoạch để có thể về đích cuối năm. Hai thành quả cực kỳ ấn tượng và đáng tự hào nhất của VSEC chính là: Hiệu suất của toàn công ty tăng 140 lần so với thời điểm cuối năm 2023 và mang về 2 dự án MDR lớn nhất cho dịch vụ SOC lớn nhật tại Việt Nam ở thời điểm hiển tại. Đây là cột mốc đáng nhớ trong lịch sử VSEC. Ban lãnh đạo công ty cũng đã ghi nhận và tri ân toàn thể tất cả thành viên VSEC đã luôn cố gắng, nỗ lực không ngừng nghỉ trong suốt thời gian vừa qua. Anh Long cũng đưa ra lời mời gọi “Không làm gì cả, chúng ta tập trung vào thực thi. Hãy chuyển ý tưởng, kế hoạch thành hành động, chỉ có hành động một cách kỷ luật thì mới tạo nên thành công.” 

Anh Trần Thanh Long – Tổng giám đốc VSEC phát biểu tại Gala Night

Thực thi và trách nhiệm cộng đồng 

Ngày cuối cùng, chúng ta đã cùng nhau đến viếng mộ Đại tướng Võ Nguyên Giáp, một biểu tượng của sự kỷ luật, kiên định và trách nhiệm đối với dân tộc. Đây là một hành động tri ân sâu sắc, đồng thời cũng là lời nhắc nhở về trách nhiệm của mỗi người trong việc thực thi các nhiệm vụ mà mình được giao. 

Hành trình khép lại mới muôn vàn cảm xúc, sự tiếc nuối, bịn rịn không muốn rời xa Quảng Bình. “Thật là tuyệt khi được tham gia chuyến đi này. Mọi người trong team ai cũng có tinh thần chiến đấu 200%, được khám phá những địa điểm du lịch ở Quảng Bình – một nơi tuyệt đẹp” chia sẻ của Nguyễn Quang Hà (PS) chia sẻ sau chuyến đi. 

Kết thúc hành trình, chúng ta trở về không chỉ với những kỷ niệm đẹp mà còn với những bài học quý giá về tinh thần kỷ luật và thực thi. Những giá trị này sẽ là nền tảng vững chắc để VSEC tiếp tục chinh phục những mục tiêu mới, đồng thời giữ vững vị thế hàng đầu trong lĩnh vực an ninh mạng. 

 

Từ hacker bị kỳ thị tới thế hệ tiên phong

Leadership

Khi kích thước màn hình thay đổi thì vẫn đảm bảo được tính responsive của nó 1. Refresh lại màn hình 2. Sau khi refresh, các chức năng vẫn thực hiện đúng” Được hiển thị đúng với design Màu nền của các trang được thiêt kế đúng theo design Hình ảnh được thiết kế theo đúng design Khi kích thước màn hình thay đổi thì vẫn đảm bảo được tính responsive của nó 1. Refresh lại màn hình 2. Sau khi refresh, các chức năng vẫn thực hiện đúng” Được hiển thị đúng với design Màu nền của các trang được thiêt kế đúng theo design Hình ảnh được thiết kế theo đúng design

Khi kích thước màn hình thay đổi thì vẫn đảm bảo được tính responsive của nó 1. Refresh lại màn hình 2. Sau khi refresh, các chức năng vẫn thực hiện đúng” Được hiển thị đúng với design Màu nền của các trang được thiêt kế đúng theo design Hình ảnh được thiết kế theo đúng design

Khi kích thước màn hình thay đổi thì vẫn đảm bảo được tính responsive của nó 1. Refresh lại màn hình 2. Sau khi refresh, các chức năng vẫn thực hiện đúng” Được hiển thị đúng với design Màu nền của các trang được thiêt kế đúng theo design Hình ảnh được thiết kế theo đúng design

Khi kích thước màn hình thay đổi thì vẫn đảm bảo được tính responsive của nó 1. Refresh lại màn hình 2. Sau khi refresh, các chức năng vẫn thực hiện đúng” Được hiển thị đúng với design Màu nền của các trang được thiêt kế đúng theo design Hình ảnh được thiết kế theo đúng design

Khi kích thước màn hình thay đổi thì vẫn đảm bảo được tính responsive của nó 1. Refresh lại màn hình 2. Sau khi refresh, các chức năng vẫn thực hiện đúng” Được hiển thị đúng với design Màu nền của các trang được thiêt kế đúng theo design Hình ảnh được thiết kế theo đúng design

Khi kích thước màn hình thay đổi thì vẫn đảm bảo được tính responsive của nó 1. Refresh lại màn hình 2. Sau khi refresh, các chức năng vẫn thực hiện đúng” Được hiển thị đúng với design Màu nền của các trang được thiêt kế đúng theo design Hình ảnh được thiết kế theo đúng design

Threat Intelligence – Theo dấu kẻ tấn công mạng

Uncategorized

Trong thời đại công nghệ 4.0, an ninh mạng đã trở thành một yếu tố cốt lõi để đảm bảo hoạt động ổn định và an toàn của mọi tổ chức, doanh nghiệp. Một trong những giải pháp quan trọng nhất để bảo vệ hệ thống và dữ liệu là dịch vụ Threat Intelligence (Tri thức an toàn thông tin). Bài viết này sẽ giúp các Anh/Chị có cái nhìn sâu hơn về dịch vụ Threat Intelligence, vai trò và lợi ích của nó, cũng như cách triển khai hiệu quả nhằm nâng cao khả năng bảo mật cho tổ chức của Anh/Chị.

  • Threat Intelligence (Tri thức ATTT) là gì?

Threat Intelligence Service (Dịch vụ cung cấp tri thức ATTT) là dịch vụ cung cấp cho khách hàng các thông tin về các mối đe dọa mới (như lỗ hổng mới, chiến dịch tấn công mới, tên miền giả mạo, trang web giả mạo, fanpage và tài khoản mạng xã hội giả mạo), các dữ liệu bị lộ lọt (thông tin khách hàng, thông tin nội bộ, tài khoản/mật khẩu) của một tổ chức. Hay có thể hiểu đơn giản, Threat Intelligence  là giải pháp về tình báo thông tin, nơi thu thập các mối đe dọa đã, đang và sắp nhắm mục tiêu đến tổ chức trên không gian mạng.

Quy trình vận hành hệ thống Threat Intelligence trong tổ chức

  • Sự cần thiết của Threat Intelligence

Trong thời đại Cách mạng Công nghiệp 4.0, Threat Intelligence trở thành một yếu tố không thể thiếu trong việc đảm bảo an ninh mạng cho các tổ chức, doanh nghiệp. Sự phát triển mạnh mẽ của công nghệ thông tin đã mở ra nhiều cơ hội mới, song đồng thời cũng làm tăng cường quy mô và phức tạp hóa của các mối đe dọa mạng. Các hacker ngày càng tinh vi trong việc tìm ra các lỗ hổng và sử dụng các kỹ thuật mới để tấn công hệ thống.

Trong bối cảnh này, việc sử dụng Threat Intelligence giúp tổ chức nhận biết, đánh giá và đối phó hiệu quả với các mối đe dọa mạng. Nó không chỉ là một công cụ hữu ích mà còn là một phần không thể thiếu của chiến lược an ninh mạng, đóng vai trò quan trọng trong việc đảm bảo sự bền vững và an toàn của các hệ thống thông tin trong thời đại số hóa ngày nay.

  • Dịch vụ VSEC Threat Intelligence

Threat Intelligence là yếu tố quan trọng trong an ninh mạng, giúp các doanh nghiệp, tổ chức nhận biết và đối phó với các mối đe dọa mạng. Threat Intelligence sẽ cung cấp thông tin về các mối đe dọa mới nhất, hỗ trợ phát hiện sớm và phòng ngừa các cuộc tấn công, từ đó giảm thiểu rủi ro và thiệt hại đối với các doanh nghiệp. Với thông tin chi tiết, các nhóm bảo mật có thể phản ứng nhanh chóng và chính xác khi xảy ra sự cố, nâng cao hiệu quả phản ứng và giảm thời gian ngừng hoạt động.

Threat Intelligence cũng giúp tăng cường nhận thức tình huống, cung cấp cái nhìn tổng quan về tình hình an ninh mạng và các nguy cơ tiềm ẩn. Bằng cách xác định và đánh giá các rủi ro theo mức độ nghiêm trọng, tổ chức có thể tập trung nguồn lực vào các mối đe dọa quan trọng nhất. Điều này hỗ trợ ra quyết định chiến lược về đầu tư vào công nghệ và quy trình bảo mật mới.

Ngoài ra, Threat Intelligence cải thiện hệ thống phòng thủ hiện tại bằng cách hiểu rõ kỹ thuật và chiến thuật của tin tặc, giúp tổ chức điều chỉnh biện pháp phòng thủ hiệu quả hơn. Nó cũng giảm thiểu tổn thất tài chính và uy tín bằng cách bảo vệ thông tin quan trọng và duy trì sự tin cậy của khách hàng.

Cuối cùng, Threat Intelligence giúp các tổ chức tuân thủ quy định pháp luật và chính sách bảo mật, đáp ứng yêu cầu của ngành công nghiệp. Tóm lại, threat intelligence là một phần thiết yếu trong chiến lược bảo mật, giúp bảo vệ tài sản, dữ liệu và danh tiếng của tổ chức khỏi các mối đe dọa mạng.

  • Tính năng nổi bật của VSEC Threat Intelligence

Tính năng Mô tả
Phát hiện phishing Phát hiện và cảnh báo các domain phishing, website phishing nhằm lừa đảo người dùng cuối
Phát hiện ứng dụng di động (mobile application) giả mạo Phát hiện các ứng dụng di động giả mạo
Giám sát lỗ hổng có thể bị khai thác Phát hiện các port hoặc dịch vụ được mở ra internet, chứng chỉ SSL chính xác
Phát hiện lộ lọt dữ liệu trên nền tảng lưu trữ online Phát hiện các API key bị lộ trên nền tảng github, gitlab
Phát hiện trang mạng xã hội giả mạo Phát hiện các tài khoản mạng xã hội Facebook, Twitter, Linkedin, Youtube giả mạo tài khoản của chính chủ
Phát hiện dữ liệu được bán trên darkweb Phát hiện các dữ liệu của tổ chức, thông tin tài khoản, mật khẩu được rao bán trên các dark web, darkforums, chợ đen.
IOC feed Cung cấp nguồn IOC cho các nền tảng giám sát (SIEM, EDR) để phát hiệnc các chiến dịch tấn công mới, mã độc mới.
Hỗ trợ gỡ bỏ trang phishing, fanpage và tài khoản giả mạo Hỗ trợ gỡ bỏ các domain phishing, các trang fanpage và tài khoản mạng xã hội giả mạo

“Giải mã cuộc tấn công mạng” với dịch vụ điều tra, xử lý sự cố an toàn thông tin

Uncategorized

Trong thời đại công nghệ số, các mối đe dọa an ninh mạng ngày càng gia tăng và phức tạp, liên tiếp các cuộc tấn công mạng xảy ra nhưng việc xử lý chưa triệt để như mong muốn, thậm chí còn mang lại những kết quả không tốt trong quá trình xử lý. Điều tra, xử lý sự cố An toàn Thông tin (DFIR) chính là dịch vụ tối ưu cho các tổ chức trong việc ứng phó với các sự cố an ninh mạng một cách nhanh chóng và hiệu quả.

  • Tại sao lại cần Điều tra, Xử lý sự cố An toàn Thông tin (Incidence Response)

Khi doanh nghiệp bị tấn công bởi một sự cố an ninh mạng, quá trình Điều tra và Xử lý sự cố là hoạt động bắt buộc nhằm loại bỏ tận gốc nguyên nhân, tránh việc lặp lại hoặc thậm chí bỏ sót những lỗ hổng, vấn đề bảo mật còn tồn tại trong doanh nghiệp. Nếu không điều tra và xử lý triệt để, hệ quả gặp phải sẽ rất lớn.

Bài toán doanh nghiệp phải đối mặt khi xuất hiện sự cố an toàn thông tin đó là không biết cách nào để xử lý bài bản, triệt để và đồng thời không có nhân sự chuyên gia để thực hiện điều tra xử lý sự cố.

Với tri thức được tích lũy qua nhiều năm của chuyên gia VSEC, DFIR đóng vai trò quan trọng trong việc giảm thiểu sự lây lan diện rộng của sự cố, bảo vệ dữ liệu nhạy cảm, và giúp tổ chức nhanh chóng khôi phục hoạt động sau cuộc tấn công. Khi đội ngũ hiện tại của doanh nghiệp thiếu kinh nghiệm, chưa được đào tạo và nắm rõ các quy trình thực hiện của hoạt động ứng cứu sẽ càng tăng thêm rủi ro trong quá trình xử lý sự cố. Đây là lúc doanh nghiệp cần có sự tham gia của các chuyên gia có kinh nghiệm và được đào tạo, cập nhật về các hình thức tấn công mạng. 

Tính cấp thiết của dịch vụ DFIR thể hiện qua tốc độ phản ứng nhanh chóng, giúp giảm thiểu tối đa thời gian gián đoạn hoạt động và ngăn chặn sự lan rộng của các mối đe dọa. Việc triển khai dịch vụ DFIR còn giúp nâng cao khả năng phòng ngừa và ứng phó với các tấn công mạng trong tương lai, đảm bảo an ninh mạng cho tổ chức trong thời đại công nghệ số.

Với những lợi ích thiết thực và tính cấp thiết, dịch vụ DFIR là giải pháp không thể thiếu cho các tổ chức trong việc bảo vệ hệ thống thông tin và dữ liệu của họ khỏi các mối đe dọa an ninh mạng ngày càng gia tăng.

  • Giá trị mang lại cho khách hàng

Thực hiện nhanh chóng: Với quy trình, SLA, năng lực và kinh nghiệm của mình, VSEC sẽ thực hiện tiếp nhận, điều tra xử lý sự cố một cách nhanh chóng, giúp hạn chế rủi ro cuộc tấn công lây lan, leo thang sâu hơn vào hệ thống, cũng như việc kẻ tấn công (attacker) có đủ thời gian để đánh cắp thông tin hoặc gây tổn hại cho hệ thống công nghệ thông tin.

Điều tra, xử lý triệt để sự cố: Với đội ngũ chuyên gia có đầy đủ năng lực chuyên môn như phân tích mã độc, forensic (điều tra số), red/blue team và kinh nghiệm thực chiến qua các sự cố, quy trình thực hiện khoa học VSEC sẽ thực hiệu điều tra, xử lý các sự cố cho khách hàng một cách rõ ràng và triệt để, cung cấp một bức tranh/bản đồ của cuộc tấn công rõ ràng.

Khuyến nghị tăng cường an toàn: Sau khi điều tra, xử lý xong sự cố, VSEC sẽ tiến hành tổng hợp, đánh giá để đưa ra các khuyến nghị phù hợp cho khách hàng nhằm tăng cường an toàn thông tin tổng thể cho toàn bộ hệ thống, tránh lặp lại các sự cố tương tự.

Ngoài ra, Dịch vụ Điều tra và Xử lý sự cố An toàn thông tin của VSEC còn mang lại rất nhiều giá trị khác cho khách hàng như: Bảo vệ hệ thống và dữ liệu, giảm thiểu tối đa nguy cơ bị tấn công mạng hay rò rỉ dữ liệu gây gián đoạn hoạt động kinh doanh của doanh nghiệp. Đồng thời, VSEC sử dụng công nghệ tiên tiến để hỗ trợ khôi phục dữ liệu, đảm bảo tính toàn vẹn của dữ liệu, nâng cao khả năng phòng ngừa rủi ro…

  • Quá trình triển khai dịch vụ Điều tra và Xử lý sự cố An toàn Thông tin

– Tiếp nhận sự cố. Với các khách hàng đã ký hợp đồng dịch vụ từ trước, việc tiếp nhận theo các mốc thời gian SLA đã cam kết. Thời gian tiếp nhận sự cố tối đa trong vòng 2 giờ và có các chuyên gia phân tích khuyến nghị tối đa trong vòng 6 giờ. Với các khách hàng chưa ký hợp đồng chúng tôi cũng tiếp nhận sự cố theo quy trình riêng, để đảm bảo thời gian phản hồi nhanh nhất đến khách hàng.

– Xác định phạm vi, ảnh hưởng hiện tại của sự cố. Căn cứ trên phạm vi và ảnh hưởng đó chuyên gia sẽ xây dựng phương án điều tra xử lý sự có phù hợp nhằm cân bằng giữa việc giữ hiện trường để điều tra và khôi phục hệ thống đảm bảo hoạt động vận hành của doanh nghiệp

– Điều tra sự cố: Liên tục tiếp nhận các dấu hiệu, sự kiện tấn công đã biết, phân tích chi tiết các dấu hiệu sự kiện đó. Điều tra truy vết xác định nguồn gốc, con đường kẻ tấn công đã thực hiện rà quét, xâm nhập, kiểm soát từng tài khoản, hệ thống. Tái hiện lại quá trình, diễn biến của sự cố căn cứ vào các bằng chứng hoặc nhận định của chuyên gia.

– Cô lập, gỡ bỏ và khôi phục lại hệ thống: Chuyên gia VSEC lên phương án cô lập hệ thống hiệu quả, gỡ bỏ mã độc và đưa ra khuyến nghị để khôi phục hệ thống đảm bảo việc khôi phục thành công, ổn định, không tái diễn lại sự cố. Quá trình này có thể thực hiện song song với việc điều tra sự cố tùy theo từng tình huống cụ thể.

– Phân tích, rút kinh nghiệm: Chuyên gia tiến hành phân tích các điểm yếu, lỗ hổng, nguyên nhân đã gây ra sự cố, từ đó khuyến nghị các phương án để tăng cường an toàn thông tin, tránh sự cố lặp lại.

– Báo cáo chi tiết và xóa bỏ các dữ liệu đã thu thập.

  • Kết luận

Tóm lại, Dịch vụ Điều tra và Xử lý Sự cố Bảo mật là một yếu tố không thể thiếu trong chiến lược bảo mật của mọi tổ chức và cá nhân. Bằng cách phát hiện sớm, xử lý và phòng ngừa các mối đe dọa mạng, chúng ta có thể đảm bảo rằng dữ liệu và hệ thống của chúng ta luôn được bảo vệ và an toàn. Hãy đặt niềm tin vào dịch vụ này để bảo vệ thông tin quan trọng của bạn. Liên hệ với chúng tôi ngay hôm nay để biết thêm thông tin và bắt đầu bảo vệ hệ thống của bạn ngay bây giờ! 

Phát hiện các mối đe dọa tiềm tàng bởi Compromise Assessment – Dịch vụ đánh giá xâm nhập hệ thống

Uncategorized

Dịch vụ Compromise Assessment là một công cụ bảo mật, phòng ngừa, giảm thiểu rủi ro trước các mối đe dọa an ninh mạng trong doanh nghiệp. Bài viết này sẽ giúp bạn hiểu rõ hơn về Compromise Assessment và tại sao nó là một phần cần thiết của chiến lược bảo mật trong doanh nghiệp.

Nếu Anh/ Chị đang lo lắng về độ an toàn của hệ thống thông tin doanh nghiệp của mình? Hoặc Anh/ Chị muốn đảm bảo an toàn triệt để cho hệ thống mạng của doanh nghiệp trước những nguy cơ mất an toàn thông tin?

  • Compromise Assessment là gì?

Compromise Assessment là việc tìm kiếm các dấu hiệu xâm nhập hệ thống đã hoặc đang xảy ra trên hệ thống công nghệ thông tin, để xác định hệ thống đã bị tấn công hoặc thỏa hiệp (compromise) hay chưa. Để thực hiện được việc này, các chuyên gia VSEC sẽ thực hiện tìm kiếm, săn tìm dấu hiệu tấn công / thỏa hiệp bằng các công cụ phân tích chuyên sâu theo các kỹ thuật của kẻ tấn công. 

  • Lợi ích của Compromise Assessment

Phát hiện các mối đe dọa đang tiềm tàng đang hoặc đã tồn tại trong hệ thống mà không bị ngăn chặn bởi các giải pháp phòng thủ (WAF, IPS, AV,…), không được phát hiện, được phát hiện nhưng người vận hành không xử lý hoặc xử lý sai. Từ đó nhanh chóng thực hiện xử lý sự cố để hạn chế rủi ro tiềm tàng trong hệ thống, giảm thiểu nguy cơ mất mát dữ liệu, ảnh hưởng uy tín và hoạt động vận hành của doanh nghiệp.

Xác định được hệ thống vẫn đang an toàn nếu kết quả thực hiện không phát hiện ra các dấu hiệu bị thỏa thiệp theo danh sách các kỹ thuật đã định trước.

  • Phương pháp triển khai

– Khảo sát, thu thập thông tin hệ thống công nghệ thông tin và đánh giá mức độ rủi ro.

– Thiết lập phạm vi, phương án kỹ thuật triển khai compromise assessment.

– Triển khai agent, thu thập log, truy cập cập trực tiếp máy chủ, giải pháp bảo mật để săn tìm các dấu hiệu tấn công đã, đang xảy ra.

– Phân tích chuyên sau, giám sát các sự kiện, log, dữ liệu, dấu hiệu bất thường thu thập được.

Báo cáo kết quả. Xóa toàn bộ dữ liệu đã thu thập.

  • Kết quả đạt được

– Báo cáo kết quả chi tiết phạm vi, cách thức thực hiện, kết quả phân tích các bất thường.

– Chứng minh trạng thái hệ thống đã/đang hoặc chưa từng bị xâm nhập, đã/đang bị tấn công hoặc an toàn.

  • Tại sao nên chọn dịch vụ Compromise Assessment VSEC?

Compromise Assessment không chỉ là một phương tiện phòng ngự hiệu quả mà còn là một công cụ định hình chiến lược bảo mật cho doanh nghiệp của bạn. Với khả năng phát hiện sớm các mối đe dọa và cung cấp thông tin chi tiết về hệ thống của bạn, Compromise Assessment là một bước quan trọng để đảm bảo an toàn cho doanh nghiệp của bạn trong một môi trường nguy hiểm và phức tạp.

Nếu bạn quan tâm đến việc cải thiện bảo mật cho doanh nghiệp của mình, hãy ưu tiên sử dụng dịch vụ Compromise Assessment để đạt được mục tiêu đảm bảo an toàn thông tin. Liên hệ với chúng tôi ngay hôm nay để biết thêm thông tin và bắt đầu bảo vệ hệ thống của bạn ngay bây giờ! 

Phải làm gì khi bị Ransomware tấn công?

VSEC - BLOG Xu hướng thế giới mạng

Tháng 2/2024 được cho là tháng hoàn toàn hỗn loạn trong không gian mạng khi liên tiếp xảy ra các vụ tấn công tống tiền bằng mã độc Ransomware. Thiệt hại kinh tế từ các vụ tấn công mạng và các vụ mất dữ liệu lên tới hàng tỷ đô. Ngay cả các doanh nghiệp lớn được cho là có đầu tư vào an toàn thông tin cũng lúng túng

Ransomware đang xuất hiện hàng ngày, hàng giờ

Theo thống kê, năm 2023 là năm “bùng nổ” của các cuộc tấn công ransomware: tổng số tiền các nạn nhân đã trả vượt 1 tỷ đô la, 10% các tổ chức bị nhắm tới bởi ransomware. Có thể thấy rằng, tấn công ransomware vào doanh nghiệp vẫn là một xu hướng chung và Việt Nam cũng không ngoài xu hướng đó, bên cạnh hướng tấn công vào người dùng phổ thông đang dần chững lại.

Trong thời gian gần đây, Ransomware LockBit – LockBit 3.0 cũng đã trở thành mối nguy hại nghiêm trọng nhất mà các doanh nghiệp đang phải đối mặt. Mối đe dọa này đánh dấu một bước tiến đáng kể trong lĩnh vực ransomware, đặc trưng bởi các chiến thuật tinh vi và khả năng toàn diện của nó. LockBit 3.0 không chỉ thể hiện khả năng vượt trội trong việc thích ứng với các biện pháp phòng vệ an ninh mạng đang phát triển mà còn thể hiện mức độ tổ chức và phối hợp cao hơn. LockBit chiếm 27,93% trong tổng số các cuộc tấn công bằng ransomware đã biết từ tháng 7 năm 2022 đến tháng 6 năm 2023. Con số này nhấn mạnh hiệu suất và hiệu quả vượt trội của nhóm trong việc thực hiện các cuộc tấn công mạng, thể hiện mức độ hoạt động chính xác khiến nhóm này trở nên khác biệt trong lĩnh vực hoạt động mạng độc hại.

Điều khiến LockBit 3.0 khác biệt so với các đối tác của nó không chỉ đơn thuần là mức độ phổ biến mà còn là sự phát triển về mặt phương pháp của nó. Nhóm liên tục cải tiến các chiến thuật của mình, kết hợp các công nghệ tiên tiến và thích ứng với bối cảnh an ninh mạng luôn thay đổi. Sự nhanh nhẹn này đã cho phép LockBit 3.0 vượt trội hơn các cơ chế phòng thủ truyền thống, đặt ra thách thức dai dẳng cho các tổ chức thuộc mọi quy mô. Do đó, dòng mã độc này đang được nhiều kẻ tấn công sử dụng.

Nạn nhân thực sự của Ransomware là ai?

Nạn nhân Ransomware là ai?

Theo thống kê của VSEC cho thấy, tất cả các lĩnh vực kinh tế đều đã từng bị Ransomware “ghé thăm”. Trong năm 2023, lĩnh vực chăm sóc sức khỏe đang xếp Top 1 lĩnh vực bị tấn công và rò rỉ dữ liệu nhiều nhất toàn cầu, chi phí trung bình của một cuộc vi phạm dữ liệu trong lĩnh vực này đã tăng 53,3% vượt hơn 3 triệu USD so với chi phí trung bình chỉ là 7,13 triệu USD trong năm 2020. Tại Hoa kỳ, lĩnh vực này được coi là ngành công nghiệp quan trọng, đặc biệt là hệ thống cơ sở hạ tầng. Kể từ khi đại dịch Covid-19 diễn ra, ngành này đã ghi nhận mức chi phí vi phạm dữ liệu trung bình cao hơn đáng kể.

Tại Việt Nam, từ đầu năm tới nay, hệ thống thông tin của hàng loạt đơn vị tài chính, ngân hàng, hành chính công,… đã bị tấn công, gây gián đoạn hoạt động và thiệt hại về vật chất của các doanh nghiệp. Điều này đã làm ngưng trệ trên toàn bộ hệ thống, không chỉ gây ra mức tổn thất nặng nề về kinh tế mà còn tổn hại khá lớn tới uy tín của doanh nghiệp.

Theo Báo cáo an ninh mạng 2024 của Công ty cổ phần An ninh mạng Việt Nam (VSEC) cho biết, có tới 70% các tổ chức SME đã và đang gặp phải các cuộc tấn công Ransomware. Điều này cho thấy, không chỉ các tổ chức, doanh nghiệp lớn mới là đích đến của các nhóm hacker, mà các đơn vị, doanh nghiệp nhỏ cũng là “miếng mồi ngon” đối với tin tặc.

Cái giá phải trả cho một “click chuột” là quá đắt!

Chi phí trung bình của các cuộc tấn công ransomware có thể là một thách thức vì không phải tất cả các báo cáo vi phạm dữ liệu đều được đưa ra ánh sáng. Một số công ty và doanh nghiệp nhỏ thích lặng lẽ thực hiện các khoản thanh toán của họ và quét các sự cố ransomware dưới tấm thảm, thay vì thừa nhận những thiếu sót của họ với các nhà quản lý và giải quyết các vấn đề bảo mật dữ liệu của họ. Chi phí trung bình của các cuộc tấn công ransomware dựa trên dữ liệu của chính họ trong báo cáo hàng năm.

Chi phí tài chính của các cuộc tấn công ransomware

Khi có sẵn các bản sao lưu, chi phí trung bình có phần thấp hơn — nhưng những chi phí này vẫn lên tới hàng triệu đô la.

Chi phí phục hồi trung bình từ một cuộc tấn công ransomware (không bao gồm tiền chuộc) là 1.82 triệu USD. Trong khi đó 2.6 triệu USD là chuộc trung bình để khôi phục dữ liệu bị mất, mặc dù điều này có thể giảm xuống còn 1,6 triệu đô la bằng cách sử dụng các bản sao lưu

Chi phí thời gian của các cuộc tấn công ransomware

Thời gian là tiền bạc. Cần có thời gian phục hồi đáng kể để trở lại đúng hướng, đặc biệt là đối với các công ty đã chọn trả phí chuộc. Có tới 45% các tổ chức có bản sao lưu vật lý đã có thể khôi phục trong vòng 1 tuần, nhưng đối với các tổ chức đã trả phí thì con số chỉ là 39%.

Hành động như thế nào khi bị Ransomware tấn công?

Chuyên gia an ninh mạng từ VSEC chia sẻ khi hệ thống bị tấn công, các doanh nghiệp cần thực hiện các hành động đơn giản sau để đảm bảo thiệt hại thấp nhất. Doanh nghiệp cần đánh giá trạng thái của sự cố để đưa ra phương án phù hợp có 2 hướng thực hiện đồng thời:

Cô lập, giữ nguyên hiện trạng để điều tra chi tiết nguyên nhân sự cố. Một số hình thức xử lý khi bị tấn công ransomware như có thể tạm thời cô lập các kết nối mạng từ vùng mạng bên ngoài vào hệ thống để ngăn chặn rủi ro lây lan, ảnh hưởng. Chuyển sang sử dụng hệ thống dự phòng (nếu có). Thu thập các nhật ký (logs) của thiết bị phục vụ điều tra về sau.

Tiếp theo, không tự ý khôi phục hệ thống bị ảnh hưởng khi chưa xác định được mức độ an toàn của hệ thống. Điều này vô cùng quan trọng trong việc lưu lại các bằng chứng giúp các chuyên gia điều tra gốc rễ của nguyên nhân.

Trong trường hợp không có chuyên môn, tổ chức doanh nghiệp nên liên hệ các công ty chuyên thực hiện xử lý sự cố tấn công mạng để có được khuyến nghị phù hợp. Việc triển khai dịch vụ ứng cứu sự cố an ninh mạng sẽ mang tới cho các doanh nghiệp những lợi ích cụ thể như: Giúp ngăn chặn/khắc phục một cách nhanh chóng những sự cố về an ninh an toàn thông tin của hệ thống; Hạn chế và giảm thiểu tối đa những thiệt hại về kinh tế cũng như sự gián đoạn trong hoạt động của các tổ chức; Hệ thống thông tin luôn được đảm bảo 24/7

Về VSEC

VSEC là đơn vị đánh giá an toàn hàng đầu tại Việt Nam với 20 năm kinh nghiệm triển khai các hoạt động an toàn thông tin trong nước và quốc tế. Là Nhà cung cấp dịch vụ quản trị An toàn thông tin tiên phong tại Việt Nam đạt chứng nhận quan trọng CREST cho dịch vụ SOC (Trung tâm Giám sát và Vận hành an toàn thông tin) và Penetration Testing (Kiểm thử xâm nhập).

Theo Cafef

Webinar: “Những điều cần biết khi xử lý sự cố an ninh mạng”

VSEC - BLOG Sự kiện
Theo số liệu thống kê từ báo cáo an ninh mạng 2024 của VSEC, số lượng và mức độ tinh vi của các cuộc tấn công mạng ngày càng gia tăng thông qua các hình thức tấn công như: Phishing email, Ransomware, 0-day,… Điển hình là hai cuộc tấn công bằng mã độc tống tiền trong thời gian vừa qua nhắm vào VNDirect vs PVOil vừa qua, gây ra hệ quả vô cùng nghiêm trọng. Điều này đã dấy lên hồi chuông cảnh báo về sự nguy hiểm của các cuộc tấn công mạng cũng như tầm quan trọng trong việc bảo vệ hệ thống dữ liệu của doanh nghiệp.
Vậy làm thế nào để có thể xác định được những mối nguy hiểm đang tồn tại trong hệ thống của mình và chúng ta cần làm gì khi doanh nghiệp không may gặp phải sự cố tấn công mạng? Các doanh nghiệp cần phải làm gì khi hệ thống đang bị tấn công? Làm thế nào để phát hiện ra những nguy hại đang tiềm ẩn trong hệ thống dữ liệu – tài sản quan trọng nhất – để đảm bảo an ninh mạng cho hệ thống của doanh nghiệp mình?
Tất cả sẽ được giải đáp tại webinar “Những điều cần biết khi xử lý sự cố An ninh mạng” bởi các chuyên gia của Công ty Cổ phần an ninh mạng Việt Nam

1. Thời gian, hình thức tổ chức
⏰ Thời gian: 10h00 ngày 25/04/2024 (thứ năm)
💻 Hình thức: Zoom Online
🔗 Link đăng ký: https://lnkd.in/gT5v4DYY
2. Nội dung chi tiết
Thời gian Nội dung
10h00 – 10h20 Giới thiệu chung về chương trình
Hướng dẫn truy cập link tài liệu
Hướng dẫn thực hiện khảo sát An toàn thông tin đầu giờ
10h20 – 10h45 Topic: Quy trình và kinh nghiệm xử lý sự cố an toàn thông tin
11h45 – 11h05 Hỏi đáp cùng MC
11h05 – 11h15 Gói tư vấn An toàn thông tin cho doanh nghiệp trong tháng 5/2024
Đối tượng: Các thành viên đã tham gia làm Khảo sát ATTT
11h15 Kết thúc webinar
3. Diễn giả, chủ đề
Tại Webinar lần này, diễn giả Vũ Thế Hải – SOC Manager VSEC sẽ “một lần nói hết” về những rủi ro và tổn thất khi chúng ta “cứu” hệ thống sai cách,  quy trình ứng cứu sự cố an ninh mạng cũng như cách phòng tránh hiệu quả đối với hệ thống của mình. Anh Vũ Thế Hải đã hơn 10 năm hoạt động trong lĩnh vực An toàn thông tin, anh Hải đã đảm nhiệm vai trò quản lý tại nhiều công ty công nghệ tại Việt Nam và hiện tại đang là Trưởng phòng Giám sát và vận hành An toàn thông tin (SOC) tại Công ty Cổ phần An ninh mạng Việt Nam – VSEC.
Anh Hải và các cộng sự đã cùng nghiên cứu và phát triển, đưa SOC VSEC trở thành Trung tâm giám sát và vận hành An toàn thông tin đầu tiên tại Việt Nam đạt chứng chỉ CREST cho dịch vụ này. Anh Vũ Thế Hải cũng được biết đến trong các chương trình hội thảo chuyên ngành, diễn tập An toàn thông tin, và là tác giả của hàng loạt các kịch bản diễn tập phong phú.
Đừng bỏ lỡ sự kiện quan trọng này, hãy luôn giữ hệ thống của doanh nghiệp mình luôn ở trạng thái an toàn nhất! Sẽ rất tiếc nuối khi bạn không tham dự webinar bởi có rất nhiều điều hữu ích tại buổi webinar đang chờ đón bạn. Nhớ đăng ký tại link nhé: https://lnkd.in/gT5v4DYY

Ransomware LockBit – Lockbit 3.0: Mối nguy hại nghiêm trọng nhất

VSEC - BLOG Nổi bật Xu hướng thế giới mạng

Khi nói đến các mối đe dọa an ninh mạng mới nhất và lớn nhất, có một cái tên nổi bật: LockBit 3.0. Vào năm 2022 , LockBit là nhóm ransomware và nhà cung cấp Ransomware-as-a-Service (RaaS) toàn cầu hoạt động tích cực nhất xét về số lượng nạn nhân được xác nhận trên trang web rò rỉ dữ liệu của họ.

Mối đe dọa này đánh dấu một bước tiến đáng kể trong lĩnh vực ransomware, đặc trưng bởi các chiến thuật tinh vi và khả năng toàn diện của nó. LockBit 3.0 không chỉ thể hiện khả năng vượt trội trong việc thích ứng với các biện pháp phòng vệ an ninh mạng đang phát triển mà còn thể hiện mức độ tổ chức và phối hợp cao hơn. Nhóm này sử dụng các thuật toán mã hóa tiên tiến và tận dụng các kỹ thuật kỹ thuật xã hội phức tạp, khiến cho các cuộc tấn công của chúng trở nên đặc biệt khó ngăn chặn.

Trong bài phân tích này, chúng tôi đi sâu vào các đặc điểm và chiến lược chính được LockBit 3.0 sử dụng, trang bị kiến ​​thức cho những người bảo vệ để đối mặt với mối đe dọa mạnh mẽ và luôn thay đổi này. Bằng cách hiểu rõ các sắc thái trong chiến thuật của LockBit 3.0, những người bảo vệ có thể nâng cao khả năng sẵn sàng, phát triển các biện pháp phòng thủ chủ động và góp phần vào khả năng phục hồi chung trước mối đe dọa này.

  • LockBit 3.0 là gì ?

LockBit 3.0 đứng đầu trong các mối đe dọa mạng hiện đại. Nó đại diện cho một nhóm ransomware cực kỳ tinh vi đã nổi tiếng nhờ cách tiếp cận chiến lược và phạm vi tiếp cận toàn cầu. Nó đã phát triển thành một thế lực lớn trong bối cảnh mạng, xây dựng dựa trên chiến thuật của những tổ chức tiền nhiệm để trở thành kẻ thống trị trong thế giới tội phạm mạng.

LockBit chiếm 27,93% trong tổng số các cuộc tấn công bằng ransomware đã biết từ tháng 7 năm 2022 đến tháng 6 năm 2023. Con số này nhấn mạnh hiệu suất và hiệu quả vượt trội của nhóm trong việc thực hiện các cuộc tấn công mạng, thể hiện mức độ hoạt động chính xác khiến nhóm này trở nên khác biệt trong lĩnh vực hoạt động mạng độc hại.  

Điều khiến LockBit 3.0 khác biệt so với các đối tác của nó không chỉ đơn thuần là mức độ phổ biến mà còn là sự phát triển về mặt phương pháp của nó. Nhóm liên tục cải tiến các chiến thuật của mình, kết hợp các công nghệ tiên tiến và thích ứng với bối cảnh an ninh mạng luôn thay đổi. Sự nhanh nhẹn này đã cho phép LockBit 3.0 vượt trội hơn các cơ chế phòng thủ truyền thống, đặt ra thách thức dai dẳng cho các tổ chức thuộc mọi quy mô.

Hơn nữa, phạm vi địa lý hoạt động của LockBit 3.0 rất đáng chú ý. Nhóm thể hiện phạm vi tiếp cận toàn cầu thực sự, với các sự cố được báo cáo trải rộng trên nhiều ngành và khu vực khác nhau. Khả năng tác động quốc tế này nhấn mạnh sự cần thiết phải có phản ứng hợp tác và phối hợp toàn cầu để chống lại mối đe dọa nhiều mặt do LockBit 3.0 gây ra.

  • Sự phát triển của LockBit.

Hành trình của LockBit được đánh dấu bằng sự phát triển không ngừng nghỉ, biến nó thành một thế lực mạnh mẽ trong lĩnh vực ransomware. Nguồn gốc của nó có thể bắt nguồn từ tháng 9 năm 2019, khi những dấu hiệu hoạt động đầu tiên dưới biểu ngữ ransomware ABCD, tiền thân của LockBit, được quan sát thấy. Sự bắt đầu này đã đặt nền móng cho những gì sau này trở thành một loạt các mối đe dọa mạng tinh vi và có tác động mạnh mẽ.

Dòng thời gian sau đây dựa trên thông tin được Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) thu thập :

Tháng 9 năm 2019 Lần đầu ghi nhận Ransomware với tên ABCD ransomware, tiền thân của LockBit
Tháng 1 năm 2020 Phần mềm ransomware có tên LockBit lần đầu tiên xuất hiện trên các diễn đàn tội phạm mạng bằng tiếng Nga
Tháng 6 năm 2021 Xuất hiện LockBit phiên bản 2 (LockBit 2.0), còn gọi là LockBit Red, bao gồm StealBit, một công cụ đánh cắp thông tin được tích hợp sẵn
Tháng 10 năm 2021 Giới thiệu LockBit Linux-ESXi Locker phiên bản 1.0, mở rộng khả năng nhắm mục tiêu đến các hệ thống sang Linux và VMware ESXi
Tháng 3 năm 2022 Sự xuất hiện của LockBit 3.0, còn được gọi là LockBit Black, có điểm tương đồng với ransomware BlackMatter và Alphv (còn được gọi là BlackCat)
Tháng 9 năm 2022 Các chi nhánh không thuộc LockBit có thể sử dụng LockBit 3.0 sau khi trình tạo của nó bị rò rỉ
Tháng 1 năm 2023 Sự xuất hiện của LockBit Green kết hợp mã nguồn từ Conti ransomware
Tháng 4 năm 2023 Các bộ mã hóa ransomware LockBit nhắm mục tiêu vào macOS được thấy trên VirusTotal

Các phiên bản của LockBit đều nhắm vào các mục tiêu Windows như sau:

  • LockBit
  • LockBit 2.0
  • LockBit 3.0 (LockBit Black)
  • Từ năm 2023, hai phiên bản mới đã được xác định: 
    • LockBit Green (Dựa trên ransomware Conti).
    • LockBit Red (Dựa trên LockBit 2.0).

Các cập nhật đáng chú ý:

  • LockBit sang LockBit 2.0:
    • Xoá “Shadow copy” bằng vssadmin
    • Bỏ qua Kiểm soát Tài khoản Người dùng – Bypass UAC (User Account Control)
    • In thông báo tống tiền qua máy in
    • Tự lây nhiễm
  • LockBit 2.0 sang LockBit 3.0:
    • Thực hiện logic của phần mềm độc hại BlackMatter Ransomware
      • Xóa bản sao Shadow thông qua Windows Management Instrumentation (WMI)
      • Bảo vệ bằng mật khẩu
      • Duy trì thông qua Dịch vụ Hệ thống
      • Thu thập API
      • In thông báo chuộc tiền dưới dạng hình nền Desktop

Nhóm ransomware LockBit đã đầu tư mạnh vào việc phát triển công cụ riêng của mình, điều này được thể hiện rõ ràng qua việc thường xuyên cập nhật phiên bản cũng như tạo ra công cụ lấy dữ liệu riêng StealBit.

LockBit cũng mở rộng thị trường bằng cách bổ sung hệ điều hành mục tiêu như LockBit Linux/ESXi nhắm đến máy chạy Linux. Một biến thể MacOS X cũng được phát hành vào tháng 4/2023.

Nhóm này nổi tiếng với chương trình khuyến khích báo lỗi nhằm “nâng cao” hoạt động của nhóm ransomware..

Mỗi giai đoạn phát triển của LockBit đều đưa ra những mức độ phức tạp mới và khả năng nâng cao. Nó nêu bật cam kết của nhóm trong việc đa dạng hóa chiến thuật của mình và nhấn mạnh sự cần thiết của những người bảo vệ phải luôn cảnh giác với câu chuyện liên tục diễn ra về quá trình phát triển của LockBit.

  • Phân tích chiến thuật.

LockBit 3.0, còn được gọi là “LockBit Black”, có tính mô-đun và tính ẩn danh cao hơn các phiên bản trước đó và có những điểm tương đồng với phần mềm tống tiền Blackmatter và Blackcat. LockBit 3.0 được cấu hình khi biên dịch với nhiều tùy chọn khác nhau để xác định hành vi của ransomware. Khi thực thi ransomware thực tế trong môi trường nạn nhân, nhiều đối số khác nhau có thể được đưa ra để sửa đổi thêm hành vi của ransomware. 

Ví dụ: LockBit 3.0 chấp nhận các đối số bổ sung cho các hoạt động cụ thể trong phase Lateral Movement và khởi động lại – Reboot vào Chế độ an toàn – Safe Mode (xem các tham số LockBit Command Line trong Chỉ báo thỏa hiệp – Indicators of Compromise). Nếu đơn vị liên kết của LockBit không có quyền truy cập vào phần mềm ransomware LockBit 3.0 không mật khẩu thì bắt buộc phải có đối số mật khẩu trong quá trình thực thi phần mềm ransomware. Các chi nhánh của LockBit 3.0 không nhập đúng mật khẩu sẽ không thể thực thi ransomware [T1480.001]. Mật khẩu là khóa giải mã tệp thực thi LockBit 3.0. Bảo vệ mã nguồn theo cách này, LockBit 3.0 cản trở phát hiện và phân tích malware khi mã nguồn ở dạng mã hóa và không thể thực thi hay đọc. Phát hiện dựa trên chữ ký có thể không phát hiện được tệp thực thi LockBit 3.0 khi phần mã hóa của nó thay đổi dựa trên khóa mã hóa sử dụng trong khi tạo ra một định danh duy nhất. Khi cung cấp đúng mật khẩu, LockBit 3.0 sẽ giải mã thành phần chính, tiếp tục giải mã hoặc giải nén mã và thực thi ransomware.

LockBit 3.0 chỉ tấn công vào các máy tính không có ngôn ngữ cài đặt khớp với danh sách loại trừ. Tuy nhiên, việc kiểm tra ngôn ngữ hệ thống trong quá trình chạy được quyết định thông qua một cờ cấu hình được thiết lập lúc biên dịch. Các ngôn ngữ được loại trừ bao gồm Romanian (Moldova), Arabic (Syria), và Tatar (Russia), nếu phát hiện một trong số này, LockBit 3.0 sẽ dừng thực thi mà không lây nhiễm vào hệ thống

MITRE ATT&CK TECHNIQUES

1. INITIAL ACCESS

Techniques Title ID Use
Valid Account T1078 Các tác nhân của LockBit 3.0 thu thập và lạm dụng thông tin đăng nhập của các tài khoản đã tồn tại như một cách để đạt được quyền truy cập ban đầu.
Exploit External Remote Services T1133 Các tác nhân của LockBit 3.0 lợi dụng RDP để tiếp cận các mạng của nạn nhân.
Drive-by Compromise T1189 Các tác nhân của LockBit 3.0 lấy được quyền truy cập vào hệ thống thông qua việc người dùng truy cập một trang web trong quá trình duyệt web bình thường.
Exploit Public-Facing Application T1190 Các tác nhân của LockBit 3.0 lợi dụng các lỗ hổng trong các hệ thống đặt trước mặt Internet để đạt được quyền truy cập vào hệ thống của nạn nhân.
Phishing T1566 Các tác nhân của LockBit 3.0 sử dụng các kỹ thuật lừa đảo và lừa đảo cá nhân (spearphishing) để đạt được quyền truy cập vào mạng của nạn nhân.

2. EXECUTION

Techniques Title ID Use
Execution TA0002 LockBit 3.0 thực hiện các lệnh trong quá trình thực thi của nó
Software Deployment Tools T1072 LockBit 3.0 sử dụng Chocolatey, một trình quản lý gói dòng lệnh cho Windows.

3. PERSISTENCE

Techniques Title ID Use
Valid Accounts T1078 LockBit 3.0 sử dụng một tài khoản người dùng bị nhiễm mã độc để duy trì tính liên tục trong mạng mục tiêu
Boot or Logo Autostart Execution T1547 LockBit 3.0 cho phép đăng nhập tự động để thực hiện việc nâng cao đặc quyền

4. PRIVILEGE ESCALATION

Techniques Title ID Use
Privilege Escalation TA0004 LockBit 3.0 sẽ cố gắng nâng cao đặc quyền cần thiết nếu đặc quyền của tài khoản hiện tại không đủ
Boot or Logo Autostart Execution T1547 LockBit 3.0 cho phép đăng nhập tự động để thực hiện việc nâng cao đặc quyền

5. DEFENSE EVASION

Techniques Title ID Use
Obfuscated Files or Information T1027 LockBit 3.0 sẽ gửi thông tin máy chủ và bot được mã hóa đến các máy chủ C2 của nó
Indicator Removal: File Deletion T1070.004 LockBit 3.0 sẽ tự xóa khỏi ổ đĩa
Execution Guardrails: Environmental Keying T1480.001 LockBit 3.0 chỉ giải mã thành phần chính hoặc tiếp tục giải mã và/hoặc nén dữ liệu nếu mật khẩu chính xác được nhập

6. CREDENTIAL ACCESS

Techniques Title ID Use
OS Credential Dumping: LSASS Memory

T1003.001

 LockBit 3.0 sử dụng Microsoft Sysinternals ProDump để dump nội dung của LSASS.exe

7. DISCOVERY

Techniques Title ID Use
Network Service Discovery T1046 LockBit 3.0 sử dụng SoftPerfect Network Scanner để quét các mạng mục tiêu
System Information Discovery T1082 LockBit 3.0 sẽ liệt kê thông tin hệ thống bao gồm tên máy chủ, cấu hình máy chủ, thông tin miền, cấu hình ổ đĩa cục bộ, các chia sẻ từ xa và các thiết bị lưu trữ ngoại vi đã được gắn kết
System Location Discovery: System Language Discovery

T1614.001

 LockBit 3.0 sẽ không lây nhiễm các máy tính có cài đặt ngôn ngữ trùng khớp với danh sách loại trừ được xác định

8. LATERAL MOVEMENT

Techniques Title ID Use
Remote Services: Remote Desktop Protocol

T1021.001

 LockBit 3.0 sử dụng phần mềm Splashtop Remote Desktop để tạo điều kiện cho việc di chuyển dọc theo mạng

9. COMMAND & CONTROL

Techniques Title ID Use
Application Layer Protocol: File Transfer Protocols T1071.002 LockBit 3.0 sử dụng FileZilla cho C2 (Command and Control)
Protocol Tunnel  T1572 LockBit 3.0 sử dụng Plink để tự động hóa các hoạt động SSH trên Windows.

10. EXFILTRATION

Techniques Title ID Use
Exfiltration TA0010 LockBit 3.0 sử dụng Stealbit, một công cụ trộm cắp tùy chỉnh được sử dụng lần đầu tiên cùng với LockBit 2.0, để đánh cắp dữ liệu từ mạng mục tiêu
Exfiltration Over Web Service T1567 LockBit 3.0 sử dụng các dịch vụ chia sẻ tệp có sẵn công khai để trộm cắp dữ liệu của mục tiêu.
Exfiltration Over Web Service: Exfiltration to Cloud Storage

T1567.002

 Các tác nhân của LockBit 3.0 sử dụng (1) rclone, một trình quản lý lưu trữ đám mây dòng lệnh mã nguồn mở để trộm cắp và (2) MEGA, một dịch vụ chia sẻ tệp công khai để trộm cắp dữ liệu.

11. IMPACT

Techniques Title ID Use
Data Destruction T1485 LockBit 3.0 xóa các tệp nhật ký và làm trống thùng rác
Data Encrypted for Impact T1486 LockBit 3.0 mã hóa dữ liệu trên các hệ thống mục tiêu để làm gián đoạn sẵn có của tài nguyên hệ thống và mạng.
Service Stop T1489 LockBit 3.0 chấm dứt các tiến trình và dịch vụ
Inhibit System Recovery T1490 LockBit 3.0 xóa shadow copies (volume shadow copies) đang tồn tại trên đĩa
Defacement: Internal Defacement T1491.001 LockBit 3.0 thay đổi hình nền và biểu tượng của hệ thống máy chủ thành hình nền và biểu tượng của LockBit 3.0 tương ứng

 

12. Tools

Tool Description MITRE ATT&CK
Chocolatey Trình quản lý gói dòng lệnh cho hệ điều hành Windows T1072
FileZilla Ứng dụng FTP đa nền tảng T1071.002
Impacket Bộ sưu tập các lớp Python để làm việc với các giao thức mạng S0357
MEGA Ltd MegaSync Công cụ đồng bộ hóa dựa trên đám mây T1567.002
Microsoft Sysinternals ProcDump Tạo các bản ghi crash. Thường được sử dụng để dump nội dung của Local Security Authority Subsystem Service, hay LSASS.exe T1003.001
Microsoft Sysinternals PsExec Thực thi một quy trình dòng lệnh trên một máy tính từ xa. S0029
Mimikatz Trích xuất thông tin đăng nhập từ hệ thống S0002
Ngrok Một công cụ truy cập từ xa hợp pháp bị lạm dụng để phá vỡ các biện pháp bảo vệ của mạng nạn nhân S0508
PuTTY Link (Plink) Có thể được sử dụng để tự động hóa các hành động Secure Shell (SSH) trên Windows T1572
Rclone Chương trình dòng lệnh để quản lý các tệp lưu trữ đám mây S1040
SoftPerfect Network Scanner Thực hiện quét mạng T1046
Splashtop Phần mềm điều khiển từ xa T1021.001
WinSCP Một trình SSH File Transfer Protocol dành cho Windows T1048

Nguồn tham khảo : CISA & CyberReason

Diễn tập thực chiến An toàn thông tin EVN lần 2 năm 2023

Sự kiện VSEC - BLOG

Ngày 20/3/2024, Ban Viễn thông và Công nghệ thông tin EVN phối hợp cùng Công ty Viễn thông Điện lực và Công nghệ thông tin (EVNICT); Công ty cổ phần An ninh mạng Việt Nam- VSEC đã tổ chức diễn tập thực chiến An toàn thông tin lần 2 năm 2023 với sự tham gia của 11 đội đến từ 35 đơn vị thuộc EVN.

Tham gia trực tiếp diễn tập là các cán bộ An toàn thông tin/ Công nghệ thông tin, cán bộ quản trị/vận hành hệ thống E-Payment của các Tổng công ty, các đơn vị hạch toán phụ thuộc EVN, EVNICT.

Nội dung diễn tập là diễn tập thực chiến phòng thủ cấp Tập đoàn cho hệ thống thanh toán điện tử (E-Payment).

Trong 01 ngày, các đội tham gia diễn tập đã thực hiện phân tích các bằng chứng được cung cấp trong file log đã được chuẩn bị trước và trả lời các câu hỏi mà ban tổ chức đưa ra qua 3 phần thi là CTF (Capture the Flag); Tự luận; Hỏi đáp.

Ông Võ Quang Lâm – Phó Tổng Giám đốc EVN phát biểu chỉ đạo tại buổi diễn tập.

Phát biểu tại buổi bế mạc diễn tập, ông Võ Quang Lâm- Phó Tổng Giám đốc EVN cho biết, “buổi diễn tập đã thành công vượt xa mong đợi và đã đem lại nhiều giá trị quý báu”.

“Trong suốt quãng thời gian của diễn tập, chúng ta đã được chứng kiến sự hỗ trợ, sự cống hiến và sự chuyên nghiệp của từng đội thi. Những kịch bản mô phỏng tấn công mạng được dựng lại sát với thực tế, giúp chúng ta nhận ra những yếu điểm và rủi ro tiềm ẩn trong hệ thống E-Payment của EVN. Thêm vào đó, các biện pháp điều tra, phân tích sự cố an toàn thông tin đã được các đội thi thử nghiệm và thực hiện, từ đó chúng ta có được những bài học quý báu để cải thiện hơn nữa hệ thống bảo mật thông tin. Với những kinh nghiệm và bài học rút ra từ buổi diễn tập này, chúng ta sẽ tiếp tục cải thiện và nâng cao hệ thống An ninh mạng của EVN, đảm bảo tính an toàn và bảo mật của các hệ thống công nghệ thông tin trong Tập đoàn chúng ta và các dịch vụ điện lực khác”- Phó Tổng Giám đốc EVN nhấn mạnh.

Ông Võ Quang Lâm- Phó Tổng Giám đốc EVN trao giải Nhất cho đội EVNSPC.

Kết quả, ban tổ chức đã trao giải Nhất cho Đội 1 Tổng Công ty Điện lực miền Nam (EVNSPC); Giải Nhì cho Đội 5 (EVNCPC) và Đội 2 (EVNHANOI); Giải Ba cho Đội 3 (EVNNPC), Đội 1 (EVNNPT) và Đội 6 (EVNHCMC). Các đội 11 (các đơn vị hạch toán phụ thuộc 2), đội 10 (các đơn vị hạch toán phụ thuộc 1), đội 8 (EVNGENCO2), đội 9 (EVNGENCO3), đội 7 (EVNGENCO1) đạt giải Khuyến khích.

11 đội tham gia diễn tập An toàn thông tin lần 2 năm 2023 gồm: Đội 1: Công ty Viễn thông Điện lực và Công nghệ thông tin (EVNICT); Đội 2: Tổng công ty Truyền tải điện Quốc gia (EVNNPT); Đội 3: Tổng công ty Điện lực miền Bắc (EVNNPC); Đội 4: Tổng công ty Điện lực miền Nam (EVNSPC); Đội 5: Tổng công ty Điện lực miền Trung (EVNCPC); Đội 6: Tổng công ty Điện lực TP Hà Nội (EVNHANOI); Đội 7: Tổng công ty Điện lực TP Hồ Chí Minh (EVNHCMC); Đội 8: Tổng công ty Phát điện 1 (EVNGENCO1); Đội 9: Tổng công ty Phát điện 2 (EVNGENCO2); Đội 10: Tổng công ty Phát điện 3 (EVNGENCO3); Đội 11: Các đơn vị HTPT EVN.

CSTV – Capture the flag 2023: Sân chơi chuyên nghiệp dành cho các Pentester tương lai tại Việt Nam

Sự kiện VSEC - BLOG

Ngày 06/01/2024, Làng Công nghệ An toàn an ninh thông tin đã tổ chức thành công CSTV – Capture the flag 2023: cuộc thi CTF dành cho sinh viên các trường đại học tại Việt Nam trên toàn quốc dưới hình thức online.

Cuộc thi đã thu hút 40 đội tranh tài, là các bạn sinh viên đến từ các trường đại học công nghệ hàng đầu như Đại học Bách Khoa – Đại học Quốc gia TP.HCM, Đại học Công nghệ Thông tin – Đại học Quốc gia TP. Hồ Chí Minh, Đại học Khoa học Tự nhiên – Đại học Quốc gia TP. Hồ Chí Minh, Đại học Khoa học Tự nhiên – Đại học Quốc gia Hà Nội, Học viện kỹ thuật mật mã, Học viện Bưu chính Viễn thông, Đại học FPT, v.v…

Cuộc thi diễn ra online trên toàn quốc thu hút 40 đội thi đến từ nhiều trường đại học trên cả nước

Phát biểu khai mạc tại cuộc thi, bà Vũ Thị Đào – Trưởng phòng Khoa học công nghệ và Hợp tác phát triển Học viện Kỹ thuật mật mã – Trưởng làng Công nghệ an toàn an ninh mạng nhấn mạnh: “Cuộc thi CSTV Capture The Flag không chỉ là một hoạt động học thuật, mà còn là nơi để các bạn thể hiện kỹ năng, kiến thức và sự sáng tạo của mình trong giải quyết các thách thức về an ninh mạng. Cuộc thi này đánh dấu bước khởi đầu của hành trình của các bạn trở thành những chuyên gia và kiểm thử viên xâm nhập trong lĩnh vực an ninh mạng”.

Nội dung của đề thi lần này với các loại thử thách rất đa dạng và phong phú, bao gồm: MISC, Mobile, Cryptography, Network / Forensic, Web… Các đội thi giải đề thi liên tục trong 8 giờ đồng hồ. Chung cuộc, điểm số của các đội được cập nhật liên tục và xuất hiện nhiều bất ngờ, đã có những pha lộn ngược dòng thành công và sự tiếc nuối của nhiều thí sinh khi chưa kịp hoàn thiện. Kết quả chung cuộc, giải nhất đã thuộc về đội KCSC.firstdance (Học viện Kỹ thuật mật mã), giải Nhì thuộc về đội A.k.a.t.s.u.ki (Học viện Kỹ thuật mật mã) và hai giải ba lần lượt thuộc về đội VN1337 và RobinHust (Đại học Bách Khoa Hà Nội). Ngoài giải thưởng từ BTC của cuộc thi, các bạn sinh viên cũng sẽ nhận được nhiều cơ hội được thực tập và làm việc tại Công ty Cổ phần Nessar Việt Nam và Công ty Cổ phần An ninh mạng Việt Nam.

“Đây là lần đầu tiên Làng Công nghệ An toàn an ninh thông tin tổ chức cuộc thi CTF với quy mô lớn trên toàn quốc như vậy nhằm tạo ra một sân chơi cho các bạn sinh viên có thể tranh tài, học hỏi kinh nghiệm lẫn nhau. Cuộc thi này không chỉ có giá trị thực tiễn cao mà còn góp phần thúc đẩy đào tạo nguồn nhân lực có trình độ cao về ATTT trong công cuộc đảm bảo an toàn thông tin trên không gian mạng.” – ông Trương Đức Lượng, chủ tịch Hội đồng quản trị Công ty cổ phần An ninh mạng Việt Nam – Trưởng làng Công nghệ an toàn an ninh mạng chia sẻ trong chương trình.

Về CSTV – Cyber Security Technology Village:

Làng Công nghệ An toàn không gian mạng là thành viên của Techfest Việt Nam từ năm 2021 nhằm kết nối các Bộ/Ngành, Doanh nghiệp và Tổ chức với các đơn vị hoạt động trong lĩnh vực bảo mật tại Việt nam, xóa bỏ những rào cản vô hình khiến doanh nghiệp gặp khó khăn khi muốn tìm hiểu về an toàn thông tin, như lo ngại về chi phí, nguồn thông tin hay lượng kiến thức phức tạp, …

Làng được thành lập với sự tham gia đại diện Trưởng làng là Công ty Cổ phần An ninh mạng Việt Nam, Công ty Cổ phần Nessar Việt Nam, tổ chức Cyberkid Việt Nam và Học viện Kỹ thuật mật mã.

Trong suốt thời gian thành lập từ năm 2021 đến nay, Làng đã phối hợp với các Bộ/Ngành, các doanh nghiệp và hơn 200 thành viên hội đồng chuyên gia về bảo mật tại Việt Nam và trên thế giới tổ chức các Hội thảo, Cuộc thi về An ninh mạng đồng hành với Techfest Việt Nam. Mới đây nhất là tham gia cùng Techfest Việt Nam 2023 kết nối hệ sinh thái khởi nghiệp tại Australia và đồng hành trong sự kiện The Vietnam-Japan Autumn School on Cyber Security phối hợp với Học viện Kỹ thuật mật mã và Viện Khoa học và Công nghệ tiên tiến Nhật Bản.

Một số phương pháp xử lý ảnh cơ bản (Phần 4)

Công nghệ

Một bức ảnh màu bao gồm các kênh màu: đỏ, xanh lá cây, và xanh dương. Bạn đọc hẳn không xa lạ với các tương tác với từng điểm ảnh thông qua thao tác với mảng, ma trận numpy. Tuy nhiên, làm thế nào để ta có thể chia hình ảnh ra thành các thành phần riêng biệt?

Và các bạn có thể đoán rằng, chia trong tiếng Anh là split. Do đó, hẳn có hàm cv2.split nào đó tồn tại để làm công việc này. Trước hết, chúng ta sẽ quan sát bức ảnh phong cảnh về mùa hè dưới đây, bao gồm màu đỏ của hoa phượng hay màu xanh nước biển của bình nước trên trần tòa nhà, vân vân và mây mây. So với bức ảnh gốc, các kênh màu có sự chuyển biến giá trị màu rõ rệt trong khoảng giá trị mà chúng biểu diễn. Chúng ta sẽ cùng phân tích đoạn mã dưới đây.

Dòng 1-12, chúng ta làm tương tự như các bài học trước. Tuy nhiên, ở dòng 14, ta sẽ sử dụng hàm cv2.split để chia giá trị kênh màu vào các biến tương ứng: r, g và b. Thông thường thì chúng ta sẽ nghĩ ngay tới thứ tự RGB, tuy nhiên, opencv lưu trữ ảnh RGB như mảng numpy ở trình tự ngược lại: trình tự BGR.

Dòng 16-19 hiển thị các bức ảnh lấy ra từ kênh màu tương ứng. Bên cạnh đó, bạn đọc có thể sử dụng cv2.merge – dòng 21, để ghép các kênh màu thành bức ảnh đọc vào ban đầu bằng cách truyền vào các giá trị lấy giá theo thứ tự tương ứng lúc ta đọc ảnh.

Một phương pháp khác để hiển thị kênh màu đó là chúng ta sẽ chỉ hiển thị giá trị thực của kênh màu. Trước hết, chúng ta vẫn sử dụng cv2.split để lấy ra các giá trị thành phần của bức ảnh. Sau đó, ta tạo lại bức ảnh với cài đặt toàn bộ các điểm ảnh khác ngoài giá trị kênh màu hiện tại thì đều bằng 0. Ở dòng 24, khởi tạo một ma trận z với kích thước là bức ảnh đang xét với giá trị tất cả các điểm ảnh là 0. Tiếp đó, để có thể tạo kênh màu đỏ được biểu diễn trong ảnh, ta gọi hàm cv2.merge để ghép kênh màu đỏ với hai kênh màu còn lại nhưng có giá trị điểm ảnh bằng 0. Ta thực hiện tương tự với các trường hợp còn lại ở dòng 26-27. Như vậy, ta thu được kết quả với kênh màu mà mỗi thành phần ảnh biểu diễn như sau:

Trong chuỗi bài học đọc về thị giác máy tính qua opencv và numpy, chúng ta mới chỉ tìm hiều về hệ màu RGB, tuy nhiên trong thực tế, có rất nhiều các hệ màu khác nhau được sử dụng rộng rãi. Hệ màu HSV – Hue-Saturation-Value, rất gần với cách mà còn người nghĩ và tiếp nhận màu sắc. Bên cạnh đó còn có hệ màu L*a*b*có thể điều chỉnh cách mà chúng ta cảm nhận màu sắc. OpenCV hỗ trợ rất nhiều hệ màu trong số đó. Và việc hiểu được cách con người cảm nhận màu sắc để áp dụng cho máy tính tiếp nhận vẫn còn là một trong những bài toán được nghiên cứu sôi nổi. Chi tiết hơn thì các bạn có thể tham khảo bài viết mở đầu của chuỗi bài này để có thêm góc nhìn về cách màu sắc hoạt động. Để không đi vào chi tiết quá trình cảm nhận màu sắc, chúng ta sẽ cùng nhau tìm hiểu về cách chuyển đổi hệ màu trong OpenCV. Ngoài ra, nếu bạn đọc nghĩ thị giác máy tính nên sử dụng một hệ màu khác ngoài RGB thì hãy thử nghiệm và thảo luận với mình nhé, còn đánh giá chi tiết sẽ được trình bày ở các bài đọc sau. Bây giờ, chúng ta sẽ tìm hiều về một số hàm hỗ trợ chuyển đổi hệ màu:

Dòng 1-13, ta thực hiện khai báo thư viện, định nghĩa tham số đầu vào, đọc và hiển thị hình ảnh. Tiếp đó, ở dòng 15, chúng ta chuyển đổi ảnh từ hệ màu RGB qua ảnh xám bằng cách cài đặt cờ cv2.COLOR_BGR2GRAY. Chuyển đổi qua hệ màu HSV và L*a*b* tương tự ở dòng 18-22. Kết quả đoạn mã thu được như sau:

Vai trò của hệ màu trong xử lý ảnh và thị giác máy tính vô cùng quan trong, tuy nhiên cũng khá phức tạp. Nếu bạn đọc vừa mới bắt đầu tu luyện bộ môn này, mình nghĩ rằng nghiên cứu xoay quanh hệ màu RGB không phải là ý tồi. Hẹn gặp lại bạn đọc ở bài học sau.