Hiện tại các mối đe dọa xảy ra chỉ còn là vấn đề thời gian trước khi một tổ chức phải hứng chịu một cuộc tấn công mạng lớn. Các tổ chức cần phải hiểu biết rõ về các cách thức ứng phó các sự cố an ninh mạng để có sự chuẩn bị đầy đủ khi khủng hoảng xảy ra. Năm bước của ứng phó sự cố an ninh mạng là phụ thuộc lẫn nhau và không có bất kỳ tuần tự nào. Việc thực hiện song song các bước này có thể rút ngắn thời gian giải quyết sự cố và giảm thiểu rủi ro.
1. Kế hoạch
Một cuộc tấn công mạng có thể không bị phát hiện trong một thời gian dài. Vì vậy thực hiện việc giám sát và chẩn đoán trong toàn doanh nghiệp là chìa khóa để phát hiện và giải quyết sớm các sự cố an ninh mạng.
1. Nhận biết và báo cáo
Trong giai đoạn này, những hiểu biết về môi trường mạng của doanh nghiệp là rất quan trọng như khi nhóm phản ứng cô lập sự cố để ngăn chặn tổn thất tới các hệ thống và dữ liệu bị ảnh hưởng. Tùy thuộc vào mức độ nghiêm trọng, độ phức tạp và khẩn cấp của sự cố, các quy trình chuyển cấp thích hợp sẽ được thực thi dựa trên các tiêu chí được thiết lập trước. Các hướng dẫn nên được điều chỉnh liên tục để phù hợp với hiện trạng môi trường rủi ro của tổ chức để đảm bảo không rủi ro nghiêm trọng nào bị bỏ sót, hay những rủi ro mức độ thấp không làm tiêu tốn nguồn lực của tổ chức.
3. Điều tra
Các nhà điều tra thường làm việc chặt chẽ với đội an ninh mạng để xác định cách thức và thời gian xảy ra sự cố, nguyên nhân gốc rễ và tác động đối với tổ chức. Một sự cố lớn có thể cần đến nhiều quy trình điều tra và mỗi quy trình bao gồm bốn hoạt động chính: thu thập chứng cứ, phân tích, ngăn chặn và loại trừ.
- Thu thập chứng cứ cần phải được tiến hành theo cách thức pháp y để các phát hiện có giá trị dưới sự giám sát của pháp luật và phù hợp với quy định của pháp luật.
- Phân tích giúp xác định nguyên nhân gốc rễ và phát hiện các máy tính và hệ thống bị ảnh hưởng để thực hiện cách ly và loại bỏ để virus không lan rộng trong mạng.
4. Khắc phục
Tổ chức bị xâm nhập cần xác định và giải quyết các lỗ hổng trong môi trường, củng cố môi trường đủ mạnh mẽ để ngăn ngừa những kẻ tấn công quay trở lại, tăng cường khả năng phát hiện và ứng phó với các cuộc tấn công trong tương lai và chuẩn bị tốt khi thực hiện các biện pháp diệt trừ.
5. Phân tích và rút ra bài học
Giai đoạn này phần lớn đòi hỏi phải chuẩn bị dữ liệu cho báo cáo theo quy định, thanh toán bảo hiểm, giải quyết tranh chấp, thông tin về mối đe dọa và/hoặc cảnh báo tới khách hàng. Ngoài các hoạt động phản ứng, điều quan trọng đối với tổ chức là rút ra bài học từ một trường hợp xử lý khủng hoảng để chủ động hơn trong việc quản lý rủi ro an ninh mạng. Nhóm phản ứng an ninh mạng nên tóm tắt các biện pháp cải thiện bảo mật thông tin dựa trên kết quả điều tra. Việc phản ứng sự cố an ninh mạng bao gồm một loạt các giai đoạn phải được lên kế hoạch cẩn thận. Kế hoạch cần có sự tham gia của các chuyên gia với năng lực đa dạng trong điều tra, bảo mật thông tin, tuân thủ quy định pháp lý và truyền thông. Đội phản ứng cần có khả năng huy động tại thời điểm xảy ra cảnh báo và phối hợp làm việc hiệu quả. Để làm được như vậy, họ nên thực hành một cách thường xuyên để đảm bảo kỹ năng được nâng cao liên tục, có khả năng phản ứng với các mối đe dọa mới nhất và các kênh giao tiếp hoạt động hiệu quả.
Tóm lược
Một kế hoạch phản ứng sự cố an ninh mạng có hiệu quả phải cung cấp được hướng dẫn rõ ràng cho tất cả các bộ phận nghiệp vụ liên quan trong quá trình xử lý sự cố, xây dựng mức độ hiểu biết về mức độ quan trọng của thông tin – cũng như khi nào và làm thế nào để thực hiện – và cho phép phản ứng một cách liên tục và chính xác. Kế hoạch cần có sự tham gia của các chuyên gia từ điều tra, bảo mật thông tin, tuân thủ pháp luật, tuân thủ quy định và khả năng huy động tại thời điểm cảnh báo xảy ra và cách thức phối hợp cùng nhau. Để làm như vậy, họ nên đảm bảo rằng kỹ năng của họ được nâng cao liên tục, có khả năng phản ứng với các mối đe dọa mới nhất và các kênh giao tiếp hoạt động hiệu quả.
Tác giả:
Todd Marlin – EY Global Forensic & Integrity Services Technology & Innovation Leader
Global leader in technology & Innovation, with significant experience serving the financial services industry.
Vina Aspire là nhà cung cấp các giải pháp và dịch vụ CNTT và An ninh mạng, bảo mật, an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty TNHH Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire Cyber Security
