6 bước ứng phó sự cố an ninh mạng

Chuyên mục 'Hacker - Bảo mật' bởi SecurityBox, 9 Tháng hai 2018.

  1. Các vụ tấn công mạng tại Việt Nam ngày càng nghiêm trọng và phức tạp hơn. Trong 9 tháng đầu năm 2017, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam VNCERT đã ghi nhận có 9.964 sự cố tấn công mạng trong nước với con số thiệt hại khổng lồ. Các vụ tấn công ngày càng khó kiểm soát nhằm vào các tổ chức doanh nghiệp hay cả những tài khoản cá nhân để yêu cầu đòi tiền chuộc. trước những diễn biến đó thì hoạt động ứng phó sự cố an ninh mạng càng trở nên cần thiết.


    Hoạt động ứng phó sự cố về an toàn thông tin được coi như một cuộc diễn tập để các cá nhân và tổ chức có thể chuẩn bị tốt hơn cho việc xử lý sự cố trong tương lai. Quy trình ứng phó các sự cố về An toàn thông tin cho doanh nghiệp bao gồm 6 bước chính: chuẩn bị, phát hiện, ngăn chặn, xóa bỏ, phục hồi và theo dõi.

    Bước 1: Chuẩn bị

    Trên thực tế hầu hết các doanh nghiệp đều phải chủ động lên cho mình những kịch bản để có phương án xử lý khi có sự cố xảy ra. Kịch bản phải giải quyết được các vấn đề: bám sát được các chính sách an toàn thông tin của doanh nghiệp, xác định rõ ràng được vai trò trách nhiệm của những người tham gia vào xử lý sự cố an toàn thông tin của công ty, xác định được thứ tự ưu tiên quan trọng cần được giải quyết, thiết lập các báo cáo và quy trình trả lời sự cố cho tất cả nhân viên công ty, có chiến lược sao lưu dữ liệu, đào tạo cho nhân viên những thủ thuật cơ bản để xử lý khi gặp sự cố, thiết lập cơ chế theo dõi báo động cho các hệ thống máy tính để hạn chế thấp nhất mức độ thiệt hai.

    Bước 2: Phát hiện

    Khi phát hiện sự cố ATTT, doanh nghiệp nên dành thời gian để đánh giá sự cố, tìm hiểu trước khi đưa ra kết luận. Ban đầu nên xác định sự cố và mức độ ảnh hưởng, ghi chép sự cố theo mãu đã chuẩn bị, sao lưu toàn bộ dữ liệu đã bị xâm nhập và lưu trữ ở nơi an toàn, thiết lập hồ sơ về sự cố

    Bước 3: Ngăn chặn

    Các hoạt động trong giai đoạn này bao gồm:

    - Tiến hành đánh giá tác động của sự cố trên dữ liệu xác định các dữ liệu có liên quan

    - Thực hiện bảo vệ các thông tin và hệ thống nhạy cảm hoặc quan trọng bằng cách di chuyển các thông tin quan trọng đến các các hệ thống khác và đảm bảo hệ thống này đã được tách ra khỏi hệ thống bị xâm nhập

    - Xác định tình trạng hoạt động của hệ thống bị xâm nhập

    - Lưu trữ lại hình ảnh của hệ thống bị xâm nhập cho mục đích điều tra và làm bằng chứng

    - Ghi chép về tất cả các hành động được thực hiện trong giai đoạn này

    - Kiểm tra toàn bộ hệ thống liên quan đến hệ thống bị xâm nhập thông qua các dịch vụ dựa trên những thông tin được chia sẻ hoặc qua bất kỳ mối quan hệ tin tưởng nào.

    >> Giải pháp tốt nhất hiện nay để phòng chống sự cố an ninh mạng là trang bị sản phẩm an ninh mạng của SecurityBox
    [​IMG]


    Bước 4: Xóa bỏ giải quyết sự cố

    Trong giai đoạn này cần phải thực hiện các hành động sau: Ngừng hoặc xóa tất cả các quy trình hoạt động của hacker.

    - Xoá tất cả các tệp tin giả mạo do hacker tạo ra. Có thể phải lưu trữ các tập tin giả mạo trước khi xóa để điều tra về sự cố.

    - Loại bỏ tất cả các backdoor và các chương trình độc hại do hacker cài đặt.

    - Áp dụng bản vá lỗi cho các lỗ hổng trên tất cả các hệ điều hành, máy chủ và các thiết bị mạng,…Các bản vá lỗi hoặc bản sửa lỗi được áp dụng cần được kiểm tra kỹ lưỡng trước khi đưa hệ thống trở lại hoạt động bình thường.

    - Chỉnh sửa bất kỳ cài đặt không phù hợp nào trong hệ thống và mạng, ví dụ: Cấu hình sai trong tường lửa và router.

    - Trong trường hợp xảy ra sự cố nhiễm vi rút, cần phải diệt toàn bộ vi rút từ các hệ thống bị nhiễm.

    Cần đảm bảo rằng các bản sao lưu được diệt vi rút và có biện pháp tái nhiễm ở giai

    đoạn sau khi khôi phục hệ thống.

    - Sử dụng một số công cụ bảo mật nhằm hỗ trợ quá trình loại bỏ, ví dụ như các công

    cụ quét an toàn để phát hiện bất kỳ sự xâm nhập nào, các công cụ này phải được cập

    nhật phiên bản mới nhất.

    - Cập nhật mật khẩu truy cập của tất cả các tài khoản đăng nhập.

    Trong một số trường hợp, bộ phận xử lý sự cố phải định dạng và cài đặt lại hệ thống.

    Bước 5: Phục hồi

    Để khôi phục lại hệ thống sau khi đã xử lý xong sự cố bạn cần phải làm những công việc sau:

    - Đánh giá những thiệt hãi sau cứ cố.

    - Cài đặt lại các phần bị hư hại.

    - Cài đặt lại các ứng dụng dịch vụ cơ bản của hệ thống theo mức độ ưu tiên.

    - Tạo bản ghi về tất cả các hành động được thực hiện để làm cơ sở.

    Bước 6: Theo dõi hệ thống sau sự cố

    Sau khi đã tiến hành phục hồi hệ thống thì nhà quản trị cũng cần phải theo dõi hệ thống của mình để có thể rút ra những bài học còn thiếu xót: Tiến hành phân tích sau sự cố để chủ động cải tiến những biện pháp phòng tránh, báo cáo về sự cố và những vấn đề cần để xuất với ban điều hành.


    Bài viết trên đây giới thiệu cho các bạn quy trình ứng phó khi có sự cố xảy ra cho doanh nghiệp của mình. Chủ động có phương án phòng chống là việc cần làm của các doanh nghiệp trong thời đại công nghệ số để hạn chế tốt nhất tổn thất do sự cố an ninh mạng gây ra.

    Làm thế nào khi sự cố an ninh mạng xảy ra ?