Diễn tập Ứng cứu và xử lý sự cố tấn công VTV 2025

Diễn tập mô phỏng chuỗi tấn công ransomware vào hệ thống quan trọng. Các đội sẽ đi qua toàn bộ vòng đời ứng phó sự cố: phát hiện – cô lập & triage – phân tích sâu & khôi phục – điều tra mở rộng & rút kinh nghiệm.

1. Storyline & các nhóm Phase

8 challenge trên CTFd được sắp thành 4 nhóm Phase để mạch truyện logic, từ phát hiện ban đầu đến điều tra Insider: Network/Web → Email/Malware → Script/Memory/Backup → Insider.

• Nhóm 1 – Phase 1–2: Giám sát phát hiện (Network / Web): phân tích dns_traffic.log và web_access.log để tìm dấu hiệu C2 và payload tấn công.
• Nhóm 2 – Phase 3: Ứng phó ban đầu, cô lập, thu thập chứng cứ: phân tích email phishing và file thực thi lạ để xác định tên miền giả mạo và hash IOC.
• Nhóm 3 – Phase 4–6: Phối hợp, phân tích sâu, khắc phục & phục hồi: giải mã script PowerShell, phân tích cây tiến trình và khôi phục cấu hình từ backup sạch.
• Nhóm 4 – Phase 7–8: Phân tích nguyên nhân gốc rễ, tổng kết bài học: điều tra thêm Insider lợi dụng file ảnh để rò rỉ dữ liệu trong lúc sự cố diễn ra.

2. Vai trò của đội tham gia

• Nhóm kỹ thuật (IT/ATTT): trực tiếp phân tích log, artefact, tìm flag cho từng challenge.
• Nhóm nghiệp vụ / lãnh đạo: quyết định ưu tiên, đánh giá tác động, đề xuất biện pháp khắc phục.
• Nhóm điều phối / truyền thông: ghi nhận timeline, chuẩn bị nội dung báo cáo và thông tin chia sẻ.

3. Quy tắc chung

• Chỉ thao tác trong phạm vi môi trường diễn tập, không tấn công ra ngoài.
• Không phá hoại môi trường hoặc gây ảnh hưởng ngoài kịch bản cho đội khác.
• Ghi lại quyết định và mốc thời gian xử lý để phục vụ phần tổng kết, rút kinh nghiệm.