Các bước cơ bản trong quy trình ứng phó sự cố an ninh mạng mà bạn cần nắm được

Với việc tình hình an ninh mạng nói chung đang ngày càng có diễn biến phức tạp như hiện nay, công tác bảo mật hệ thống đang trở nên cấp thiết hơn bao giờ hết, đối với từng cá nhân, doanh nghiệp cho đến cả các cơ quan chính phủ. Trong đó, doanh nghiệp chính là mục tiêu ưa thích của các hoạt động tội phạm mạng do bản chất của lượng dữ liệu và thông tin có giá trị kinh tế cực cao mà họ đang xử lý cũng như lưu trữ.

Lâu nay chúng ta đã nói rất nhiều về cách thức bảo vệ an toàn cho kho dữ liệu, làm thế nào để xây dựng một hệ thống phòng thủ từ xa hiệu quả, hay xây dựng phương án cải thiện, bảo vệ cơ sở hạ tầng bảo mật và mạng lưới thông tin cấp doanh nghiệp sao cho hợp lý, mà đôi khi quên chú ý tới một nhiệm vụ khác cũng quan trọng không kém, đó là phải xử lý thế nào cho “chuẩn” khi một sự cố an ninh mạng xảy ra, nhằm hạn chế tối đa thiệt hại cũng như tạo điều kiện cho công tác điều tra, khắc phục hậu quả sau này.

• Những công cụ bảo mật không gian mạng mà mọi doanh nghiệp nên biết

Công tác bảo mật hệ thống đang trở nên cấp thiết trước thực trạng an ninh mạng nhiều biến động như hiện nay

Trở thành nạn nhân của các cuộc tấn công mạng chưa bao giờ là một “trải nghiệm” dễ chịu đối với ngay cả những doanh nghiệp lớn bởi thiệt hại khổng lồ về mặt tài chính mà chúng gây ra, do đó khâu phòng vệ từ xa luôn phải được đề cao hàng đầu. Tuy nhiên trong trường hợp sự cố đã xảy ra rồi, cần làm gì tiếp theo để giảm thiểu tối đa hậu quả để lại là điều thậm chí còn cấp thiết hơn.

Một điều quan trọng bạn cần nhớ là việc thực hiện các bước ứng phó sự cố phải là một quy trình đã được lên kế hoạch chặt chẽ chứ không phải là một sự kiện biệt lập, "ngẫu hứng". Để có được một quy trình phản ứng sự cố thực sự thành công, tổ chức, doanh nghiệp nên có cách tiếp cận phối hợp nhuần nhuyễn và hiệu quả giữa các nhiệm vụ. Có 5 nhiệm vụ (bước) chính trong việc ứng phó với các sự cố để đảm bảo hiệu quả.

• Deep Packet Inspection (DPI) là gì? Vận hành ra sao và có tác dụng như thế nào trong bảo mật mạng?

Làm sao để giảm thiểu tối đa hậu quả để lại chính là nhiệm vụ của quy trình ứng phó sự cố an ninh mạng

Vậy 5 bước cơ bản trong quy trình ứng phó sự cố an ninh mạng là gì? Chúng ta sẽ cùng nhau tìm hiểu ngay sau đây.

Sự chuẩn bị, đánh giá tình huống

Sự chuẩn bị là chìa khóa để đảm bảo thành công cho bất kỳ kế hoạch nào

Chìa khóa để tạo nên một quy trình phản ứng sự cố an ninh mạng hiệu quả là sự chuẩn bị, đánh giá tình huống thật chuẩn xác. Đôi khi ngay cả những đội ngũ chuyên gia an ninh mạng giỏi nhất cũng không thể giải quyết tình huống một cách hiệu quả nếu không có sự hướng dẫn hoặc kế hoạch phù hợp. Cũng giống như trong bóng đá, một câu lạc bộ sở hữu đội hình toàn sao chưa chắc đã có thể đạt được thành công nếu không có một huấn luyện viên giỏi, biết cách đề ra chiến thuật hợp lý và đặc biệt là gắn kết hiệu quả các cầu thủ trên sân. Do đó, không quá khi nói rằng “chuẩn bị” là bước quan trọng nhất trong toàn bộ quy trình ứng phó sự cố an ninh mạng.

• Nhận thức và kinh nghiệm - yếu tố quan trọng bậc nhất trong mọi quy trình bảo mật mạng

Một số yếu tố nên được bao gồm trong kế hoạch chuẩn bị, đánh giá tình huống sau khi một sự cố bảo mật xảy ra bao gồm:

• Tìm kiếm, xây dựng và tổng hợp các tài liệu, chính sách cũng như thủ tục quản lý ứng phó sự cố thích hợp.
• Thiết lập một tiêu chuẩn liên lạc để các nhóm, cá nhân trong đội ngũ ứng phó sự cố có thể phối hợp với nhau nhịp nhàng và chuẩn xác nhất.
• Kết hợp các nguồn cấp dữ liệu tình báo mối đe dọa bảo mật, tiền hành phân tích liên tục và đồng bộ hóa các nguồn cấp dữ liệu.
• Xây dựng, đề xuất và thử nghiệm nhiều phương án đối phó với sự cố để có được cách tiếp cận chủ động và tối ưu nhất.
• Đánh giá khả năng phát hiện mối đe dọa hiện tại của tổ chức và yêu cầu sự trợ giúp từ các nguồn bên ngoài nếu cần.

Phát hiện và báo cáo

Phát hiện và báo cáo mối đe dọa bảo mật tiềm ẩn là việc cần làm tiếp theo sau khi đã có sự chuẩn bị, đánh giá tình huống

Đứng thứ hai trong loạt các bước cần thiết trong quy trình ứng phó sự cố an ninh mạng là phát hiện và báo cáo các mối đe dọa bảo mật tiềm ẩn. Trong giai đoạn này lại bao gồm một số yếu tố như sau:

Giám sát

Tường lửa (Firewall), hệ thống IP và các công cụ ngăn ngừa thất thoát dữ liệu đều có thể giúp bạn giám sát mọi sự kiện bảo mật đã từng xảy ra trong hệ thống. Đây là dữ liệu vô cùng cần thiết để phân tích, đánh giá, và dự báo tình hình.

Phát hiện

Các mối đe dọa bảo mật có thể được phát hiện bằng cách tương quan hóa những cảnh báo trong giải pháp SIEM.

Cảnh báo

Các cảnh bảo, thông báo về sự cố bảo mật thường được tạo ra bởi hệ thống phòng thủ từ khi sự cố chớm hình thành cho đến lúc vượt qua được hệ thống phòng thủ. Dữ liệu này nên được ghi lại, sau đó tổng hợp và phân tích để đưa ra phương án phân loại sự cố - yếu tố quan trọng để chỉ định các bước cần làm tiếp theo.

Báo cáo

Tất cả các quy trình báo cáo nên bao gồm các cách thức điều chỉnh sự leo thang tình huống theo quy định.

• Phát hiện và Phản hồi mối đe dọa điểm cuối, một công nghệ bảo mật mới nổi

Phân tích

Phân tích giúp thu về kiến thức cần thiết liên quan đến mối đe dọa

Hầu hết sự hiểu biết về mối đe dọa an ninh đều được tìm thấy thông qua quá trình phân tích các bước ứng phó sự cố. Bằng chứng được thu thập từ những dữ liệu được cung cấp bởi các công cụ trong hệ thống phòng thủ, giúp phân tích và xác định chính xác vụ việc.

Các nhà phân tích sự cố bảo mật nên tập trung vào ba lĩnh vực chính sau:

Phân tích điểm cuối (Endpoint Analysis)

• Tìm kiếm và thu thập bất kỳ dấu vết nào có thể bị tác nhân độc hại bỏ lại sau sự cố.
• Thu thập tất cả các thành phần cần thiết để tạo lại dòng thời gian của các sự kiện.
• Phân tích hệ thống từ góc độ pháp y máy tính.

Phân tích nhị phân (Binary Analysis)

Phân tích bất kỳ dữ liệu nhị phân hoặc công cụ độc hại nào được cho là sử dụng bởi kẻ tấn công, sau đó ghi lại mọi dữ liệu liên quan, đặc biệt là các chức năng của chúng. Điều này có thể được thực hiện thông qua quá trình phân tích hành vi (behavioral analysis) hoặc phân tích tĩnh (static analysis).

Phân tích hệ thống nội bộ

• Kiểm tra toàn bộ hệ thống và nhật ký sự kiện để xác định xem những gì đã bị xâm phạm.
• Lập tài liệu tất cả các tài khoản, thiết bị, công cụ, chương trình… đã bị xâm phạm để đưa ra biện pháp khắc phục thích hợp.

Ngăn chặn

Ngăn chặn là một trong những bước quan trọng nhất trong quy trình ứng phó sự cố bảo mật

Ngăn chặn là bước thứ tư trong quy trình ứng phó sự cố an ninh mạng, đồng thời cũng là một trong những yếu tố quan trọng nhất: Khoanh vùng, cách ly và vô hiệu hóa mối đe dọa dựa trên tất cả các chỉ số đã được thu thập thông qua quá trình phân tích ở bước ba. Sau khi phục hồi, hệ thống sẽ lại có thể hoạt động bình thường.

Ngắt kết kết nối hệ thống

Khi tất cả các vị trí bị ảnh hưởng đã được xác định, chúng nên được ngắt kết nối để hạn chế hậu quả tiếp theo có thể xảy ra.

Dọn dẹp và tái cấu trúc

Sau khi ngắt kết nối, tất cả các thiết bị bị ảnh hưởng cần phải được dọn dẹp sạch sẽ, sau đó hệ điều hành trên thiết bị sẽ được tái cấu trúc (xây dựng lại từ đầu). Ngoài ra, mật khẩu cũng như thông tin xác thực của toàn bộ các tài khoản bị ảnh hưởng bởi sự cố cũng nên được thay đổi hoàn toàn.

Yêu cầu giảm thiểu mối đe dọa

Nếu tên miền hoặc địa chỉ IP đã thu giữ được xác định và chứng minh sử dụng bởi các tác nhân độc hại, bạn nên đưa ra những yêu cầu giảm thiểu mối đe dọa để chặn tất cả mọi liên lạc trong tương lai giữa các thiết bị trong hệ thống với những tên miền, địa chỉ IP này.

• COBIT là gì? Có vai trò như thế nào đối với doanh nghiệp?

Tái thiết hậu sự cố

Tái thiết là việc cần làm cuối cùng trong một quy trình ứng phó sự cố bảo mật

Vẫn còn rất nhiều việc phải làm ngay cả sau khi đã ngăn chặn thành công hệ quả tiêu cực từ sự cố an ninh mạng. Tái thiết chính là bước cuối cùng trong một quy trình ứng phó sự cố an ninh mạng điển hình, bao gồm những yêu cầu cơ bản sau:

• Tạo một báo cáo sự cố hoàn chỉnh, hệ thống lại toàn bộ thông tin thu được về sự cố cũng như chi tiết từng bước trong quá trình khắc phục hậu quả.
• Giám sát chặt chẽ hoạt động của các thiết bị và chương trình bị ảnh hưởng ngay cả khi chúng đã trở lại hoạt động bình thường sau sự cố.
• Thường xuyên cập nhật thông tin về mối đe dọa để tránh các cuộc tấn công tương tự.
• Cuối cùng nhưng không kém phần quan trọng trong các bước ứng phó sự cố: nghiên cứu, triển khai các biện pháp phòng ngừa mới.

Một chiến lược an ninh mạng hiệu quả đòi hỏi các doanh nghiệp phải chú ý đến mọi lĩnh vực, khía cạnh có thể bị kẻ tấn công khai thác. Đồng thời điều này cũng sẽ yêu cầu sự góp mặt của những bộ công cụ và giải pháp toàn diện nhằm khắc phục nhanh chóng mọi hậu quả gây ra bởi sự cố, tránh những hệ quả tiêu cực hơn có thể dẫn đến sự sụp đổ cục bộ.

Bộ công cụ giám sát mạng toàn diện