Mẫu “BÁO CÁO SỰ CỐ AN NINH MẠNG – VNDIRECT” trình Tổng Giám đốc, theo cấu trúc chuẩn ISO 27035 – NIST 800-61 – Bộ TT&TT hướng dẫn, ngôn ngữ trang trọng, có thể gửi kèm NHNN/A05.
Chi tiết, đầy đủ phần hành chính, tóm tắt kỹ thuật, đánh giá thiệt hại, biện pháp khắc phục và kế hoạch 90 ngày.
🧾 BÁO CÁO SỰ CỐ AN NINH MẠNG
Đơn vị: Công ty Cổ phần Chứng khoán VNDIRECT
Người báo cáo: Giám đốc Trung tâm CNTT & An ninh mạng
Trình: Tổng Giám đốc Công ty VNDIRECT
Ngày báo cáo: 17/10/2025
Mã sự cố: IR-2025-VNDIRECT-001
I. TÓM TẮT SỰ CỐ
-
Thời gian phát hiện: 23h20 ngày 15/10/2025
-
Thời gian bắt đầu nghi ngờ: 15h30 cùng ngày
-
Biểu hiện:
-
Website khách hàng
www.vndirect.com.vnbị chuyển hướng (deface) trong khoảng 20 phút. -
Hệ thống cảnh báo SOC ghi nhận lượng truy cập bất thường từ IP nước ngoài (Nga, Singapore).
-
Log máy chủ ứng dụng cho thấy truy cập bất hợp pháp vào API
/upload/banner.
-
-
Loại sự cố: Tấn công xâm nhập (Web Application Exploit – Unauthorized Access).
-
Mức độ ảnh hưởng:
-
Không mất dữ liệu nghiệp vụ.
-
Một số tệp tĩnh bị thay đổi giao diện (deface).
-
Không ghi nhận rò rỉ dữ liệu khách hàng ra bên ngoài.
-
-
Thời gian khôi phục hệ thống: 05h00 sáng 16/10/2025 (sau ~6 giờ).
-
Trạng thái: Đã cô lập, phục hồi và vận hành an toàn.
II. NGUYÊN NHÂN GỐC (ROOT CAUSE)
| Hạng mục | Mô tả chi tiết |
|---|---|
| Điểm xâm nhập | Lỗ hổng upload file trong module “Quản lý banner” (WebCMS nội bộ), cho phép tải file .php lên máy chủ. |
| Kỹ thuật tấn công | Hacker gửi yêu cầu POST multipart/form-data chứa payload PHP shell (<?php system($_GET['cmd']); ?>). Sau khi upload thành công, hacker truy cập URL webshell để chạy lệnh hệ thống. |
| Tài khoản bị lợi dụng | svc_webadmin – tài khoản dịch vụ dùng cho quản trị web, không bật MFA. |
| Môi trường ảnh hưởng | 1 máy chủ ứng dụng trong vùng DMZ (VM: web-01), không lan sang hệ thống core. |
| Nguyên nhân sâu xa | (1) Chưa cập nhật bản vá framework PHP 7.x; (2) Chưa bật cơ chế kiểm soát loại file upload; (3) Thiếu cơ chế WAF tầng ứng dụng. |
III. DIỄN BIẾN SỰ CỐ (TIMELINE)
| Thời gian | Sự kiện | Hành động |
|---|---|---|
| 15h30, 15/10 | SOC cảnh báo lượng truy cập bất thường từ 103.152.x.x | Ghi nhận, tăng cường giám sát |
| 16h00 | Ứng dụng web xuất hiện lỗi giao diện | Xác minh – phát hiện tệp index.php bị thay đổi |
| 16h30 | Cô lập VM web-01 khỏi mạng | Snapshot phục vụ điều tra |
| 17h00–22h00 | Phân tích log, tìm IOC, phát hiện shell banner.php | Thu hồi, sao lưu bằng chứng |
| 22h00 | Restore website từ bản backup sạch ngày 14/10 | Thử nghiệm thành công |
| 23h30–01h00 (16/10) | Vá lỗi, triển khai MFA, update WAF | Kiểm thử an toàn |
| 05h00 (16/10) | Website hoạt động bình thường | Bắt đầu giám sát 48 giờ sau sự cố |
IV. ẢNH HƯỞNG & ĐÁNH GIÁ RỦI RO
| Phạm vi | Mức độ | Ghi chú |
|---|---|---|
| Dữ liệu khách hàng | Không rò rỉ | Đã kiểm tra log DB, không truy vấn lạ |
| Dữ liệu hệ thống | Bị sửa 01 file giao diện | Đã phục hồi bản sạch |
| Uy tín thương hiệu | Ảnh hưởng nhẹ, mạng xã hội lan truyền hình ảnh deface trong 30 phút | Đã thông cáo báo chí chính thức |
| Hoạt động kinh doanh | Không gián đoạn giao dịch chứng khoán | Các hệ thống core trading unaffected |
V. BIỆN PHÁP KHẮC PHỤC (ĐÃ TRIỂN KHAI)
| Nhóm hành động | Mô tả | Thời gian hoàn thành |
|---|---|---|
| Cô lập & phục hồi | Cô lập web-01, restore từ bản backup sạch, re-image VM | 16/10 – 05h00 |
| Vá lỗ hổng | Update PHP 8.x, vá module upload file, loại bỏ quyền write không cần thiết | 16/10 |
| Tăng cường bảo vệ | Bật WAF (ModSecurity + OWASP CRS) trên reverse proxy Nginx | 17/10 |
| Quản lý tài khoản | Reset toàn bộ credential admin; bật MFA bắt buộc | 17/10 |
| Đào tạo nội bộ | Họp khẩn an toàn thông tin; hướng dẫn Dev/Ops về kiểm soát file upload | 18/10 |
VI. KẾ HOẠCH PHÒNG NGỪA & CẢI TIẾN (30-60-90 NGÀY)
| Thời hạn | Biện pháp | Đơn vị phụ trách | Ghi chú |
|---|---|---|---|
| 30 ngày | Triển khai kiểm thử xâm nhập toàn bộ hệ thống web & API | Phòng An ninh mạng + Đối tác RedTeam | Đo mức độ lộ lọt |
| 60 ngày | Hoàn thiện SIEM + dashboard cảnh báo bất thường (egress, brute force, deface) | SOC + DevSecOps | Kết nối A05 VNCERT |
| 90 ngày | Diễn tập ứng cứu sự cố phối hợp NHNN, thử khôi phục DR site | IT + SOC + Ban Điều hành | Bổ sung quy trình DR/BCP |
| Định kỳ hàng quý | Rà soát, thay đổi mật khẩu đặc quyền, cập nhật bản vá toàn hệ thống | IT Ops | Tuân thủ TCVN 11930:2017 |
VII. ĐỀ XUẤT HỖ TRỢ & NGUỒN LỰC
-
Đầu tư:
-
Hệ thống WAF thương mại (F5/Imperva) cho tầng DMZ.
-
Giải pháp EDR/XDR đồng bộ SIEM trung tâm.
-
Dịch vụ kiểm thử xâm nhập định kỳ từ đơn vị độc lập.
-
-
Nhân sự:
-
Tuyển thêm 02 chuyên viên Security Analyst.
-
Đào tạo DevSecOps cho đội phát triển web nội bộ.
-
-
Quy trình:
-
Ban hành Quy trình ứng cứu sự cố (IRP) và Kế hoạch phục hồi nhanh (BCP/DRP).
-
Rà soát & cập nhật chính sách an toàn thông tin nội bộ theo Bộ TT&TT.
-
VIII. KẾT LUẬN
Sự cố ngày 15/10/2025 là một cuộc tấn công xâm nhập lớp ứng dụng, khai thác lỗ hổng upload file chưa vá, nhưng đã được khống chế nhanh, không gây thiệt hại dữ liệu hoặc gián đoạn dịch vụ giao dịch.
Sau sự cố, hệ thống đã được làm sạch, phục hồi và tăng cường bảo vệ theo hướng dẫn của Bộ TT&TT và tiêu chuẩn TCVN 11930:2017.
Đề nghị Tổng Giám đốc xem xét phê duyệt:
-
Kế hoạch phòng ngừa 90 ngày;
-
Dự án nâng cấp hạ tầng bảo mật (WAF, SOC, DR site);
-
Chính sách đào tạo và diễn tập định kỳ.
Người lập báo cáo
Giám đốc Trung tâm CNTT & An ninh mạng
(Ký tên, ghi rõ họ tên)
Xác nhận của Tổng Giám đốc
(Ký duyệt)
Website không chứa bất kỳ quảng cáo nào, mọi đóng góp để duy trì phát triển cho website (donation) xin vui lòng gửi về STK 90.2142.8888 - Ngân hàng Vietcombank Thăng Long - TRAN VAN BINH
=============================
Nếu bạn không muốn bị AI thay thế và tiết kiệm 3-5 NĂM trên con đường trở thành DBA chuyên nghiệp hay làm chủ Database thì hãy đăng ký ngay KHOÁ HỌC ORACLE DATABASE A-Z ENTERPRISE, được Coaching trực tiếp từ tôi với toàn bộ bí kíp thực chiến, thủ tục, quy trình của gần 20 năm kinh nghiệm (mà bạn sẽ KHÔNG THỂ tìm kiếm trên Internet/Google) từ đó giúp bạn dễ dàng quản trị mọi hệ thống Core tại Việt Nam và trên thế giới, đỗ OCP.
- CÁCH ĐĂNG KÝ: Gõ (.) hoặc để lại số điện thoại hoặc inbox https://m.me/tranvanbinh.vn hoặc Hotline/Zalo 090.29.12.888
- Chi tiết tham khảo:
https://bit.ly/oaz_w
=============================
2 khóa học online qua video giúp bạn nhanh chóng có những kiến thức nền tảng về Linux, Oracle, học mọi nơi, chỉ cần có Internet/4G:
- Oracle cơ bản: https://bit.ly/admin_1200
- Linux: https://bit.ly/linux_1200
=============================
KẾT NỐI VỚI CHUYÊN GIA TRẦN VĂN BÌNH:
📧 Mail: binhoracle@gmail.com
☎️ Mobile/Zalo: 0902912888
👨 Facebook: https://www.facebook.com/BinhOracleMaster
👨 Inbox Messenger: https://m.me/101036604657441 (profile)
👨 Fanpage: https://www.facebook.com/tranvanbinh.vn
👨 Inbox Fanpage: https://m.me/tranvanbinh.vn
👨👩 Group FB: https://www.facebook.com/groups/DBAVietNam
👨 Website: https://www.tranvanbinh.vn
👨 Blogger: https://tranvanbinhmaster.blogspot.com
🎬 Youtube: https://www.youtube.com/@binhguru
👨 Tiktok: https://www.tiktok.com/@binhguru
👨 Linkin: https://www.linkedin.com/in/binhoracle
👨 Twitter: https://twitter.com/binhguru
👨 Podcast: https://www.podbean.com/pu/pbblog-eskre-5f82d6
👨 Địa chỉ: Tòa nhà Sun Square - 21 Lê Đức Thọ - Phường Mỹ Đình 1 - Quận Nam Từ Liêm - TP.Hà Nội
=============================
cơ sở dữ liệu, cơ sở dữ liệu quốc gia, database, AI, trí tuệ nhân tạo, artificial intelligence, machine learning, deep learning, LLM, ChatGPT, DeepSeek, Grok, oracle tutorial, học oracle database, Tự học Oracle, Tài liệu Oracle 12c tiếng Việt, Hướng dẫn sử dụng Oracle Database, Oracle SQL cơ bản, Oracle SQL là gì, Khóa học Oracle Hà Nội, Học chứng chỉ Oracle ở đầu, Khóa học Oracle online,sql tutorial, khóa học pl/sql tutorial, học dba, học dba ở việt nam, khóa học dba, khóa học dba sql, tài liệu học dba oracle, Khóa học Oracle online, học oracle sql, học oracle ở đâu tphcm, học oracle bắt đầu từ đâu, học oracle ở hà nội, oracle database tutorial, oracle database 12c, oracle database là gì, oracle database 11g, oracle download, oracle database 19c/21c/23c/23ai, oracle dba tutorial, oracle tunning, sql tunning , oracle 12c, oracle multitenant, Container Databases (CDB), Pluggable Databases (PDB), oracle cloud, oracle security, oracle fga, audit_trail,oracle RAC, ASM, oracle dataguard, oracle goldengate, mview, oracle exadata, oracle oca, oracle ocp, oracle ocm , oracle weblogic, postgresql tutorial, mysql tutorial, mariadb tutorial, ms sql server tutorial, nosql, mongodb tutorial, oci, cloud, middleware tutorial, docker, k8s, micro service, hoc solaris tutorial, hoc linux tutorial, hoc aix tutorial, unix tutorial, securecrt, xshell, mobaxterm, putty
