Giới thiệu về Quản lý ứng phó sự cố an ninh mạng và thực tiễn tốt nhất

Khi các cuộc tấn công mạng tiếp tục phát triển về số lượng, tính đa dạng và độ tinh vi, ngoài việc gây rối và gây thiệt hại nhiều hơn, các tổ chức phải được chuẩn bị để xử lý chúng một cách hiệu quả.


Ngoài việc triển khai các giải pháp và thực tiễn bảo mật hiệu quả, họ cần có khả năng nhanh chóng xác định và xử lý các cuộc tấn công, do đó đảm bảo thiệt hại tối thiểu, gián đoạn và chi phí.

Mọi hệ thống CNTT đều là mục tiêu tiềm năng của một cuộc tấn công mạng và hầu hết mọi người đều đồng ý rằng đó không phải là vấn đề nếu, mà là khi nó sẽ xảy ra. Tuy nhiên, tác động thay đổi tùy theo cách bạn giải quyết vấn đề nhanh chóng và hiệu quả, do đó cần có sự sẵn sàng ứng phó sự cố.

Một phản ứng sự cố an ninh mạng (IR) đề cập đến một loạt các quy trình mà một tổ chức thực hiện để giải quyết một cuộc tấn công vào các hệ thống CNTT của mình. Điều này đòi hỏi sự kết hợp của các công cụ phần cứng và phần mềm phù hợp cũng như các thực hành như lập kế hoạch, quy trình, đào tạo và hỗ trợ phù hợp của mọi người trong tổ chức.

Thực hành tốt nhất trước, trong và sau sự cố an ninh

Khi một cuộc tấn công mạng xảy ra, nhiều hoạt động có thể diễn ra đồng thời và điều này có thể diễn ra sôi nổi khi không có sự phối hợp hoặc quy trình xử lý sự cố thích hợp.

Tuy nhiên, việc chuẩn bị trước và thiết lập một kế hoạch và chính sách ứng phó sự cố rõ ràng và dễ hiểu cho phép các đội an ninh làm việc hài hòa. Điều này cho phép họ tập trung vào các nhiệm vụ quan trọng nhằm hạn chế thiệt hại tiềm tàng đối với hệ thống CNTT, dữ liệu và danh tiếng của họ ngoài việc tránh các gián đoạn kinh doanh không cần thiết.

Chuẩn bị kế hoạch ứng phó sự cố

Một kế hoạch ứng phó sự cố ghi lại các bước cần thực hiện trong trường hợp bị tấn công hoặc bất kỳ vấn đề bảo mật nào khác. Mặc dù các bước thực tế có thể thay đổi tùy theo môi trường, một quy trình điển hình, dựa trên khung Sans (SysAdmin, Kiểm toán, Mạng và Bảo mật), sẽ bao gồm chuẩn bị, nhận dạng, ngăn chặn, loại bỏ, khôi phục, thông báo về sự cố và hậu kỳ xem xét sự cố.

ứng phó sự cốLuồng quá trình phản ứng sự cố (dựa trên mẫu NIST) Hình ảnh NIST

Việc chuẩn bị bao gồm xây dựng một kế hoạch với thông tin liên quan và các quy trình thực tế mà nhóm ứng phó sự cố máy tính (CIRT) sẽ tuân theo để giải quyết vụ việc.

Bao gồm các:

  • Các nhóm và cá nhân cụ thể chịu trách nhiệm cho từng bước của quy trình ứng phó sự cố.
  • Xác định những gì cấu thành một sự cố, bao gồm cả những gì đảm bảo loại phản ứng.
  • Dữ liệu quan trọng và hệ thống yêu cầu bảo vệ và bảo vệ nhiều hơn.
  • Một cách để bảo tồn các trạng thái bị ảnh hưởng của các hệ thống bị ảnh hưởng cho mục đích pháp y.
  • Thủ tục xác định khi nào và ai sẽ thông báo về vấn đề bảo mật. Khi sự cố xảy ra, có thể cần phải thông báo cho người dùng bị ảnh hưởng, khách hàng, nhân viên thực thi pháp luật, v.v. nhưng điều này sẽ khác nhau giữa các ngành và trường hợp khác.

Một kế hoạch ứng phó sự cố phải dễ hiểu và thực hiện cũng như phù hợp với các kế hoạch và chính sách tổ chức khác. Tuy nhiên, chiến lược và cách tiếp cận có thể khác nhau giữa các ngành, đội, mối đe dọa và thiệt hại tiềm tàng khác nhau. Kiểm tra và cập nhật thường xuyên đảm bảo rằng kế hoạch là hợp lệ và hiệu quả.

Các bước ứng phó sự cố khi xảy ra tấn công mạng

Khi có sự cố bảo mật, các đội nên hành động nhanh chóng và hiệu quả để ngăn chặn và ngăn chặn sự lây lan sang các hệ thống sạch. Sau đây là những thực tiễn tốt nhất khi giải quyết các vấn đề bảo mật. Tuy nhiên, những điều này có thể khác nhau tùy theo môi trường và cấu trúc của một tổ chức.

Lắp ráp hoặc tham gia nhóm ứng phó sự cố máy tính

Đảm bảo rằng nhóm CIRT đa ngành hoặc thuê ngoài có đúng người với cả kỹ năng và kinh nghiệm phù hợp. Trong số này, chọn một trưởng nhóm sẽ là người đầu mối đưa ra phương hướng và đảm bảo phản hồi diễn ra theo kế hoạch và thời gian. Người lãnh đạo cũng sẽ làm việc trực tiếp với ban quản lý và đặc biệt là khi có những quyết định quan trọng để đưa ra liên quan đến các hoạt động.

Xác định vụ việc và thiết lập loại và nguồn của cuộc tấn công

Khi có bất kỳ dấu hiệu nào của mối đe dọa, nhóm IR nên hành động nhanh chóng để xác minh xem đó có thực sự là vấn đề bảo mật hay không, dù là nội bộ hay bên ngoài trong khi đảm bảo rằng chúng chứa nó càng nhanh càng tốt. Các cách xác định điển hình khi có vấn đề bao gồm nhưng không giới hạn;

  • Cảnh báo từ các công cụ giám sát an ninh, trục trặc trong hệ thống, các hành vi bất thường, sửa đổi tệp bất ngờ hoặc bất thường, sao chép hoặc tải xuống, v.v.
  • Báo cáo bởi người dùng, quản trị viên mạng hoặc hệ thống, nhân viên an ninh hoặc đối tác hoặc khách hàng bên thứ ba bên ngoài.
  • Nhật ký kiểm toán có dấu hiệu của hành vi người dùng hoặc hệ thống bất thường, chẳng hạn như nhiều lần đăng nhập thất bại, tải tệp lớn, sử dụng bộ nhớ cao và các bất thường khác.

Cảnh báo an ninh sự cố VaronisCảnh báo tự động sự cố bảo mật Varonis – Hình ảnh Varonis 

Đánh giá và phân tích tác động của cuộc tấn công

Thiệt hại mà một cuộc tấn công gây ra khác nhau tùy thuộc vào loại, hiệu quả của giải pháp bảo mật và tốc độ mà đội phản ứng. Thông thường, không thể thấy mức độ thiệt hại cho đến khi hoàn toàn giải quyết vấn đề. Việc phân tích cần tìm ra loại tấn công, tác động của nó và các dịch vụ mà nó có thể đã ảnh hưởng.

Nó cũng là một thực hành tốt để tìm kiếm bất kỳ dấu vết nào mà kẻ tấn công có thể để lại và thu thập thông tin sẽ giúp xác định dòng thời gian của các hoạt động. Điều này liên quan đến việc phân tích tất cả các thành phần của các hệ thống bị ảnh hưởng, nắm bắt có liên quan đến pháp y và xác định những gì có thể xảy ra ở mỗi giai đoạn.

Tùy thuộc vào mức độ của cuộc tấn công và các phát hiện, có thể cần phải tăng tỷ lệ mắc bệnh cho nhóm có liên quan.

Ngăn chặn, loại bỏ mối đe dọa và phục hồi

Giai đoạn ngăn chặn bao gồm ngăn chặn cuộc tấn công lan rộng cũng như khôi phục các hệ thống về trạng thái hoạt động ban đầu. Tốt nhất, nhóm CIRT nên xác định mối đe dọa và nguyên nhân gốc rễ, loại bỏ tất cả các mối đe dọa bằng cách chặn hoặc ngắt kết nối các hệ thống bị xâm nhập, làm sạch phần mềm độc hại hoặc vi rút, chặn người dùng độc hại và khôi phục dịch vụ.

Họ cũng nên thiết lập và giải quyết các lỗ hổng mà kẻ tấn công khai thác để ngăn chặn sự xuất hiện trong tương lai. Một biện pháp ngăn chặn điển hình liên quan đến các biện pháp ngắn hạn và dài hạn cũng như sao lưu tình trạng hiện tại.

Trước khi khôi phục bản sao lưu sạch hoặc làm sạch hệ thống, điều quan trọng là phải giữ một bản sao trạng thái của các hệ thống bị ảnh hưởng. Điều này là cần thiết để duy trì trạng thái hiện tại, có thể hữu ích khi nói đến pháp y. Sau khi sao lưu, bước tiếp theo là khôi phục các dịch vụ bị gián đoạn. Các đội có thể đạt được điều này trong hai giai đoạn:

  • Kiểm tra các hệ thống và thành phần mạng để xác minh rằng tất cả đang hoạt động đúng
  • Kiểm tra lại tất cả các thành phần đã bị nhiễm hoặc bị xâm nhập và sau đó được làm sạch hoặc khôi phục để đảm bảo rằng chúng hiện an toàn, sạch sẽ và hoạt động.

Thông báo và báo cáo

Nhóm phản ứng tỷ lệ mắc phải phân tích, trả lời và báo cáo. Họ cần tìm hiểu nguyên nhân cốt lõi của sự cố, ghi lại các phát hiện về tác động, cách họ giải quyết vấn đề, chiến lược khắc phục trong khi chuyển thông tin liên quan đến ban quản lý, các nhóm khác, người dùng và nhà cung cấp bên thứ ba.

Giao tiếp với các cơ quan và nhà cung cấp bên ngoàiGiao tiếp với các cơ quan và nhà cung cấp bên ngoài Hình ảnh NIST

Nếu vi phạm chạm vào dữ liệu nhạy cảm cần thông báo cho các cơ quan thực thi pháp luật, nhóm nên bắt đầu việc này và làm theo các quy trình đã đặt ra trong chính sách CNTT của họ.

Thông thường, một cuộc tấn công dẫn đến trộm cắp, lạm dụng, tham nhũng hoặc hoạt động trái phép khác trên dữ liệu nhạy cảm như thông tin bí mật, cá nhân, riêng tư và kinh doanh. Vì lý do này, điều cần thiết là thông báo cho những người bị ảnh hưởng để họ có thể đề phòng và bảo vệ dữ liệu quan trọng của họ như tài chính, thông tin cá nhân và thông tin bí mật khác.

Ví dụ: nếu kẻ tấn công quản lý truy cập tài khoản người dùng, các nhóm bảo mật nên thông báo cho họ và yêu cầu họ thay đổi mật khẩu của họ.

Tiến hành đánh giá sau sự cố

Giải quyết sự cố cũng cung cấp bài học kinh nghiệm và các nhóm có thể phân tích giải pháp bảo mật của họ và giải quyết các liên kết yếu đến ngăn chặn một sự cố tương tự trong tương laiMột số cải tiến bao gồm triển khai các giải pháp giám sát và bảo mật tốt hơn cho các mối đe dọa bên trong và bên ngoài, khai sáng cho nhân viên và người dùng về các mối đe dọa bảo mật như lừa đảo, spam, phần mềm độc hại và các giải pháp khác mà họ nên tránh.

Các biện pháp bảo vệ khác đang chạy các công cụ bảo mật mới nhất và hiệu quả, vá các máy chủ, giải quyết tất cả các lỗ hổng trên máy tính của máy khách và máy chủ, v.v..

Nghiên cứu trường hợp ứng phó sự cố của Ngân hàng Nepal Châu Á

Khả năng phát hiện hoặc phản ứng không đầy đủ có thể dẫn đến thiệt hại và tổn thất quá mức. Một ví dụ là trường hợp Ngân hàng Nepal Châu Á của Nepal, đã mất và thu hồi một số tiền sau khi thỏa hiệp quy trình kinh doanh vào năm 2017. Những kẻ tấn công đã thỏa hiệp SWift và chuyển tiền từ ngân hàng sang nhiều tài khoản khác nhau ở Anh, Nhật Bản, Singapore và Hoa Kỳ.

May mắn thay, các nhà chức trách đã phát hiện các giao dịch bất hợp pháp nhưng chỉ tìm cách thu hồi một phần tiền bị đánh cắp. Có thể đã có một hệ thống cảnh báo tốt hơn, các đội an ninh sẽ phát hiện ra vụ việc ở giai đoạn sớm hơn, có thể trước khi những kẻ tấn công thành công trong quá trình kinh doanh thỏa hiệp.

Vì đây là vấn đề an ninh phức tạp liên quan đến các quốc gia khác, nên ngân hàng phải thông báo cho cơ quan thực thi pháp luật và cơ quan điều tra. Ngoài ra, phạm vi nằm ngoài nhóm ứng phó sự cố nội bộ của ngân hàng và do đó có sự hiện diện của các nhóm bên ngoài từ KPMG, ngân hàng trung ương và các nhóm khác.

Một cuộc điều tra pháp y của các nhóm bên ngoài từ ngân hàng trung ương của họ đã xác định rằng vụ việc có thể là do sơ suất nội bộ làm lộ ra các hệ thống quan trọng.

Theo một báo cáo, sáu nhà khai thác sau đó đã sử dụng máy tính hệ thống SWIFT chuyên dụng cho các nhiệm vụ không liên quan khác. Điều này có thể đã làm lộ hệ thống SWIFT, do đó cho phép kẻ tấn công thỏa hiệp với nó. Sau vụ việc, ngân hàng đã chuyển sáu nhân viên sang các bộ phận kém nhạy cảm khác.

Bài học kinh nghiệm: Ngân hàng nên triển khai một hệ thống giám sát và cảnh báo hiệu quả bên cạnh việc tạo ra nhận thức bảo mật đúng đắn cho nhân viên và thực thi các chính sách nghiêm ngặt.

Phần kết luận

Một phản ứng sự cố được lên kế hoạch tốt, nhóm tốt và các công cụ và thực tiễn bảo mật có liên quan cung cấp cho tổ chức của bạn khả năng hành động nhanh chóng và giải quyết một loạt các vấn đề bảo mật. Điều này giúp giảm thiệt hại, gián đoạn dịch vụ, đánh cắp dữ liệu, mất danh tiếng và các khoản nợ tiềm tàng.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map