CCDCOE là Trung tâm chuyên trách về hợp tác phòng thủ không gian mạng của NATO, có trụ sở tại thành phố Tallinn (Estonia), đã tổ chức diễn tập Locked Shields, cuộc tập trận phòng thủ "bắn đạn thật" quốc tế lớn nhất và phức tạp nhất thế giới, cung cấp cái nhìn 360 độ về phòng thủ không gian mạng; lĩnh vực công nghệ, chiến lược, hoạt động và pháp luật. CCDCOE cũng tổ chức Hội nghị Quốc tế về Xung đột Điện tử hàng năm, một sự kiện độc đáo quy tụ các chuyên gia và người ra quyết định quan trọng của cộng đồng phòng thủ không gian mạng toàn cầu. CCDCOE cũng là ngôi nhà của Sách hướng dẫn sử dụng Tallinn 2.0, hướng dẫn toàn diện nhất về cách áp dụng luật pháp quốc tế đối với các hoạt động mạng.
Năm 2019, với 1.000 chuyên gia thuộc 30 quốc gia đã tham gia cuộc diễn tập thường niên về phòng thủ mạng Locked Shields nhằm giới thiệu những thách thức, công nghệ và hệ thống chuyên dụng mới, cuộc diễn tập được tổ chức với hơn 4.000 hệ thống ảo hóa và 2.500 cuộc tấn công. Năm 2019, cuộc tập trận đã nhấn mạnh sự cần thiết phải cải thiện đối thoại giữa các chuyên gia và những người ra quyết định. Với mục đích đó, CCDCOE đã tích hợp trò chơi kỹ thuật và chiến lược, cho phép các quốc gia tham gia thực hành toàn bộ chuỗi chỉ huy trong trường hợp xảy ra sự cố mạng nghiêm trọng, từ cấp chiến lược đến hoạt động và liên quan đến cả năng lực dân sự và quân sự. Phản ánh các mối đe dọa mạng trong thế giới thực, cuộc tập trận đề cập đến việc bảo vệ các dịch vụ quan trọng và cơ sở hạ tầng quan trọng.
Nhằm giúp độc giả hiểu rõ hơn về cuộc diễn tập thường niên lớn này, về một trong các phương pháp nâng cao khả năng phòng thủ không gian mạng của NATO và rút ra những kinh nghiệm hữu ích, chúng ta cùng tìm hiểu những thông tin chi tiết từ cuộc diễn tập Locked Shields diễn ra từ 2016, do TechRepublic đăng tải. Mặc dù kịch bản cụ thể thay đổi hàng năm, nhưng “chiến trường” Berylia vẫn giữ nguyên là bối cảnh cho cuộc diễn tập và đối thủ chính là Crimsonia cũng thường xuất hiện.
Trong kịch bản của cuộc diễn tập, Berylia bị tấn công mạng. Quốc đảo giả định này nằm ở đâu đó trong vùng nước lạnh của Đại Tây Dương, thu nhập phụ thuộc phần lớn vào ngành công nghiệp máy bay không người lái hiện đại của họ. Nhưng gần đây, các phòng thí nghiệm nghiên cứu máy bay không người lái của họ đã bị tấn công mạng từ những kẻ tấn công không xác định, buộc Berylia phải triển khai các nhóm chuyên gia bảo mật phản ứng nhanh đến phòng thí nghiệm của mình để tìm hiểu những gì đang xảy ra và ngăn chặn các cuộc tấn công nhanh nhất có thể.
Trong hai ngày, các đội sẽ phải chiến đấu rất vất vả chống lại các cuộc tấn công vào hệ thống, chiếm quyền điều khiển máy bay không người lái của họ và trả lời các câu hỏi từ giới báo chí – mà đôi khi có thái độ thù địch.
Berylia có thể là một quốc gia hư cấu, nhưng chính Estonia đã có kinh nghiệm đầu tiên về các cuộc tấn công kỹ thuật số: năm 2007, các ngân hàng và hệ thống chính phủ của họ đã phải chịu nhiều tuần gián đoạn do bị tin tặc tấn công sau khi chính quyền Estonia đề nghị chuyển một tượng đài tưởng niệm chiến tranh của Liên Xô. Nga phủ nhận mọi liên quan đến các vụ tấn công, nhưng vụ việc đã đẩy nhanh kế hoạch hình thành nhóm tư vấn chiến tranh không gian mạng của NATO, nằm ở thủ đô của Estonia, thủ đô của Estonia.
Năm 2016, Locked Shields đã chứng kiến hơn 1.700 cuộc tấn công vào 1.500 hệ thống ảo do 20 đội được phân công bảo vệ các dịch vụ trực tuyến và hệ thống kiểm soát công nghiệp chống lại các cuộc tấn công phần mềm và phần mềm độc hại. 20 nhóm bảo vệ ('đội Xanh') từ các quốc gia thành viên của NATO cố gắng chống lại một 'đội Đỏ' - những kẻ tấn công cố gắng phá vỡ mạng lưới của họ. Một 'đội trắng' gồm các chuyên gia riêng biệt vận hành các hệ thống diễn tập. Tổng cộng, cuộc tập trận có sự tham gia của khoảng 550 người từ 26 quốc gia, trong đó 250 người là nhóm lập kế hoạch lõi ở Tallinn.
Tất cả các đội Xanh của Locked Shields đều có được bản tóm tắt nhiệm vụ giống nhau và cùng bảo vệ một tập các hệ thống ảo. Tuy cuộc diễn tập được điều hành từ Estonia, hầu hết các đội đăng nhập từ xa (từ các quốc gia của họ). Các đội đang chơi cùng một lúc nhưng riêng biệt, vì vậy trong một số khía cạnh đã diễn ra 20 trò chơi cùng một lúc, mặc dù các đội được phép chia sẻ một số thông tin.
Trong kịch bản, các đội chơi như một đội phản ứng nhanh vừa được thả vào phòng thí nghiệm nghiên cứu máy bay không người lái. Điều đó có nghĩa là khi trò chơi bắt đầu, họ thậm chí không biết chính xác những hệ thống nào cần bảo vệ và không rõ liệu đối thủ của họ đã xâm nhập vào một hệ thống nào trong đó. Ngay cả thông tin kỹ thuật cung cấp về các hệ thống mà đội Xanh có nhiệm vụ bảo vệ cũng không đầy đủ và chuẩn xác, vì đó là điều vẫn xảy ra trong thực tế, điều này khiến các đội càng khó phòng thủ hơn.
"Chúng tôi cố gắng sử dụng các kịch bản hack và các kịch bản tấn công được lấy từ đời thực, vì vậy chúng tôi không chơi trên một mô phỏng trừu tượng, chúng tôi thực sự đang sử dụng chính các hệ điều hành", Tiến sĩ Rain Ottis, Chủ kịch bản Locked Shields 2016, cho biết. Ông cũng nói thêm rằng muốn xem cách các đội xử lý trong tình huống không có hiểu biết đầy đủ về những điều đang xảy ra.
Trong quá trình diễn tập, mọi thứ thậm chí còn tồi tệ hơn. Các đội không chỉ phải đối phó với các cuộc tấn công sắp tới, họ còn phải đối phó với việc bị đổ lỗi cho các cuộc tấn công mạng từ các lỗ hổng bảo mật mạng nội bộ.
Mỗi đội phòng thủ có khoảng 10 người, phải bảo vệ khoảng 2.000 máy đại diện cho hệ thống mạng của một doanh nghiệp. Các dịch vụ mà các đội Xanh phải bảo vệ bao gồm các trang web, email và dịch vụ mua sắm trực tuyến, cho đến các loại hệ thống kiểm soát công nghiệp khác nhau. Mục đích của cuộc diễn tập là gây áp lực liên tục lên các đội phòng thủ, để kiểm tra khả năng chống chọi của họ trước các kiểu tấn công mạng quy mô – điều mà các chuyên gia an ninh hy vọng sẽ không bao giờ gặp phải trong cuộc sống thực.
"Chúng tôi có tất cả mọi thứ trong đó, chúng tôi có Windows 7, 8, 10, chúng tôi có Apple OS X, chúng tôi mang tới hầu hết các phiên bản Linux, vì những gì chúng tôi muốn làm là có một dải rộng các loại hệ điều hành khác nhau. Mọi thứ bạn có thể gặp trong một văn phòng thông thường, tất cả phần mềm và phần cứng, chúng tôi cố gắng mô phỏng điều đó và cho thấy bằng một cách nào đó, chúng có thể bị tấn công", Aare Reintam, Giám đốc kỹ thuật diễn tập của CCDCOE, nói. "Chúng tôi muốn cho họ thấy mọi thứ bạn có đều có thể là mục tiêu hoặc điểm yếu để truy cập vào mạng nội bộ của bạn", ông nói. Điều đó có nghĩa là mọi thứ, từ điện thoại thông minh đến chiếc máy in thông thường, đều có thể là mục tiêu tấn công. Các thiết bị IoT cũng là một phần của mối đe dọa bảo mật. Trong kịch bản, các đội đang bảo vệ một phòng thí nghiệm nghiên cứu máy bay không người lái, vì vậy một trong những thách thức mà họ phải đối mặt là giữ quyền kiểm soát hệ thống chỉ huy và kiểm soát máy bay không người lái và lấy lại quyền kiểm soát máy bay nếu bị mất.
Có lẽ một trong những hệ thống cần bảo vệ mà ít người ngờ tới là hệ thống chỉ huy và kiểm soát công nghiệp. Hệ thống điều khiển việc làm mát cho phòng máy chủ, nếu các đội mất kiểm soát hệ thống đó thì kẻ thù bí ẩn của họ có thể tăng nhiệt vượt ngưỡng an toàn dẫn đến máy chủ bị tắt (để thêm chút kịch tính: khi điều này xảy ra, sẽ có tia lửa bắn ra từ bảng mô phỏng phòng máy chủ).
Các đội phản ứng với các thách thức theo cách khác nhau và một lựa chọn hấp dẫn khi phải đối mặt với một cuộc tấn công mạng áp đảo là rút phích cắm để chuyển các hệ thống sang trạng thái ngoại tuyến. Đối với Reintam, đây là một trong những vấn đề mấu chốt của sự kiện: "Chúng tôi phải đảm bảo rằng lối sống quen thuộc, khi bạn thức dậy vào buổi sáng và bạn bật đèn, bạn bật nước và có thể tự pha cà phê, bạn có thể duyệt tin tức với cà phê của mình... bạn phải chú ý đến mọi khía cạnh của hệ sinh thái và bạn phải bảo vệ nó".
Cuộc diễn tập không thể diễn ra nếu không có đội Đỏ, những người nhằm tạo ra làn sương mù chiến tranh bao quanh các đội phòng thủ. Mehis Hakkaja, người đứng đầu đội Đỏ và CEO của Clarified Security cho biết, họ có khoảng 60 thành viên để "giải trí" cho đội Xanh. Đội Đỏ sử dụng các phương thức tấn công vẫn được tin tặc sử dụng để thực hiện các cuộc tấn công thực tế nhất có thể, mặc dù vẫn là những phương pháp có cách phòng chống. Mặc dù đội Đỏ biết trước hầu hết các hệ thống và lỗ hổng của đội Xanh và thậm chí đã có các cửa hậu được gài sẵn, tình hình thay đổi nhanh chóng ngay khi cuộc diễn tập trận bắt đầu. Hakkaja nói: một số cuộc tấn công dựa trên các vấn đề cơ bản về an ninh mạng như không cập nhật bản vá nhưng có thể nhanh chóng tăng tốc thành các cuộc tấn công vào các hệ thống điều khiển công nghiệp phức tạp. Đội Đỏ có thể đóng vai những nhóm tin tặc điển hình khác nhau, từ nhóm tin tặc tấn công có chủ đích cho tới các loại tin tặc ồn ào, kém hiểu biết hay có thể là cả hai loại tin tặc tấn công đồng thời, tùy theo kịch bản. Kế hoạch tấn công thay đổi tùy thuộc vào khả năng phản ứng của các đội Xanh. Những kẻ tấn công sẽ cố gắng thực hiện các hành vi như ăn cắp tài liệu, sau đó chuyển cho giới truyền thông (trong cuộc diễn tập), nhưng nếu các đội Xanh có thể ngăn chặn, thực hiện không thành công thì nhóm tấn công sẽ đi theo một hướng khác.
Việc sử dụng nhiều kiểu tấn công từ nhiều góc độ khác nhau cho phép đội Đỏ và Ban tổ chức đánh giá khả năng phát hiện và phản ứng của các đội Xanh, liệu kế hoạch phòng thủ ban đầu của họ có hiệu quả hay không và liệu họ có giữ được quyền kiểm soát và có khả năng điều chỉnh theo tình hình thực tế.
"Có một chiến lược phòng thủ ban đầu đúng đắn là điều tốt, nhưng khả năng điều chỉnh nó tùy theo tình hình thực thế còn quan trọng hơn", Hakkaja nói, "bởi vì chỉ ngăn chặn các cuộc tấn công và mù quáng áp dụng phòng thủ, hoặc chỉ nhìn thấy một số dấu hiệu tấn công không có nhiều ý nghĩa trong dài hạn".
Ngoài các khía cạnh kỹ thuật, các đội Xanh cũng được kiểm tra hiểu biết về các vấn đề pháp lý liên quan, cách họ đối phó, trả lời với báo chí, truyền thông và làm báo cáo sự cố với các vị chỉ huy hư cấu hoặc các nhà lãnh đạo cấp cao. Trong khía cạnh truyền thông của cuộc diễn tập, các đội phải có khả năng giải thích hành động của họ và đưa ra quan điểm của họ một cách chính xác, ngay cả khi bị các nhà báo thù địch tìm cách lừa các đội nói quá nhiều hoặc phát biểu sai, tất cả đều diễn ra trên trang web tin tức của cuộc diễn tập.
Một yếu tố khác được thử nghiệm liên quan tới các vấn đề pháp lý. Bức tranh pháp lý xung quanh việc hack và đặc biệt là chiến tranh mạng thường không rõ ràng, vì vậy các đội phải làm mọi thứ có thể để đảm bảo rằng họ đang cư xử đúng luật. Ví dụ, khung pháp lý được sử dụng trong xung đột vũ trang khác với khung được sử dụng trong điều kiện bình thường, do đó việc xác định xem liệu sự cố mạng có dẫn đến mức xung đột vũ trang hay không là một yếu tố quan trọng. Điều khó nhất các đội phòng thủ phải đối mặt đó là các cuộc tấn công thường là lén lút và ẩn danh, phần mềm độc hại không mặc đồng phục hoặc mang theo cờ.
Trong cuộc diễn tập, các cố vấn pháp lý trong đội Xanh được kiểm tra, thường là phối hợp với các sự kiện khác trong trò chơi: ví dụ như được yêu cầu tư vấn cho chỉ huy quân sự về các lựa chọn của họ khi đối phó với việc máy bay không người lái bị chiếm quyền điều khiển.
"Trong mọi hoạt động quân sự, vấn đề là đưa cho chỉ huy các lựa chọn, mỗi lựa chọn đó cần được luật sư đánh giá để xác định xem sẽ dẫn đến những vấn đề pháp lý nào, điều đó có hợp pháp không, lựa chọn nào tốt nhất từ góc độ pháp lý", Tiến sĩ Heather Harrison Dinniss, người đứng đầu nhóm pháp lý của Locked Shields và là giảng viên cao cấp về Luật Quốc tế tại Đại học Quốc phòng Thụy Điển giải thích.
Trong những năm gần đây, với việc xuất bản các tài liệu như Tallinn Manual (https://ccdcoe.org/research/tallinn-manual/), trong đó xem xét cách áp dụng luật pháp quốc tế đối với chiến tranh trên mạng, khung pháp lý xung quanh chiến tranh mạng đã trở nên rõ ràng hơn.
"Khó khăn khi bạn đối phó với chiến tranh mạng, tất nhiên là bạn không biết chắc ai là người phát động cuộc tấn công", Harrison Dinniss nói. Bà nói thêm rằng hiện đã có sự chấp nhận rộng rãi hơn về luật áp dụng cho chiến tranh mạng, dù vẫn còn những điều không chắc chắn: ví dụ, mọi người đồng ý rằng một cuộc tấn công mạng nghiêm trọng có thể được coi là tương đương với một cuộc tấn công vũ trang, nhưng lại chưa nhất trí về việc cần đối phó thế nào với những cuộc tấn công ít liên quan tới phá hoại vật chất. Chẳng hạn như những cuộc tấn công không gây ra thiệt hại vật chất nào ngoài việc xóa sạch dữ liệu của các hệ thống máy tính (như vụ tấn công Saudi Aramco năm 2012 đã xóa dữ liệu trong hơn 30.000 thiết bị).
Ông Ottis nói: Các đội Xanh có nhiệm vụ làm các loại báo cáo, "Chúng tôi muốn đội xanh có khả năng viết các báo cáo các sự kiện và cách đáp trả để gửi cho cán bộ quản lý hoặc bộ trưởng, vì vậy hãy cô đọng những gì họ biết, thành một thông điệp để một người không phải chuyên gia công nghệ có thể hiểu được, chúng tôi thấy rằng đây là một điểm yếu trong cộng đồng an ninh mạng. Chúng tôi thích biệt ngữ mà chúng tôi sử dụng và điều đó đôi khi khiến cho thông điệp bị bỏ qua", ông Ottis nói.
Cuộc diễn tập tập trung nhiều vào truyền thông, lãnh đạo nhóm và phân quyền. Vậy những gì làm cho một đội phòng thủ không gian mạng tốt nhất? Các đội tốt nhất thường đã chuẩn bị bằng cách suy nghĩ về các kỹ năng và công cụ mà họ sẽ cần. Vai trò của các thành viên được xác định một cách nhanh chóng, vì vậy họ không phải lo lắng về việc ai sẽ theo dõi hệ thống nào khi cuộc diễn tập bắt đầu. Các đội chiến thắng cố gắng tìm hiểu chiến trường, dự đoán những kẻ tấn công sẽ làm gì tiếp theo và cố gắng sẵn sàng đối phó.
Trưởng nhóm Đỏ Hakkaja đưa ra quan điểm tương tự: "Việc thấy, hiểu và truyền đạt bức tranh lớn, không để bị lạc trong các khía cạnh kỹ thuật cụ thể, có lẽ là điều khó nhất đối với các kỹ thuật viên. Các cuộc diễn tập trên mạng quy mô lớn như Locked Shields cung cấp một cơ hội duy nhất để các đội Xanh được tham gia vào những tình huống phát triển nhanh như vậy, điều họ hiếm khi có được trong công việc thường nhật".
Ông Reintam cho biết, nhu cầu đối với cuộc diễn tập rất lớn, điều này cho thấy nhiều quốc gia trong NATO đang ngày càng lo lắng về phòng thủ không gian mạng, đặc biệt là các quốc gia Baltic. Lo lắng về các cuộc tấn công mạng của Nga, Estonia thậm chí đã thảo luận về việc sao lưu một lượng lớn dữ liệu công khai, từ hồ sơ khai sinh đến chứng nhận sở hữu tài sản, tại một địa điểm an toàn bên ngoài lãnh thổ quốc gia của họ. Tuy nhiên, nhiều thành viên cho biết vẫn thiếu nhân viên được đào tạo để phát hiện hoặc đối phó với một cuộc tấn công mạng nghiêm trọng vào cơ sở hạ tầng quốc gia quan trọng của họ. Các sự kiện như Locked Shields khuyến khích các quốc gia thành viên thực hiện các biện pháp phòng thủ kỹ thuật số của họ một cách nghiêm túc hơn và có lẽ cũng cho những đối thủ tiềm năng thấy rằng NATO đã xem xét các mối đe dọa một cách nghiêm túc.