Diễn Đàn SEO - vnseo.edu.vn - Thực tế cho thấy không ít sự cố an ninh mạng đã xảy ra, quy mô có thể trong một quốc gia, cũng có thể diễn ra ở nhiều quốc gia khác nhau. Phạm vi ảnh hưởng của nó không chỉ dừng lại ở mỗi cá nhân mà còn liên quan đến các tổ chức cũng như nhiều quốc gia trên thế giới. Tuy nhiên, nhiều cá nhân, doanh nghiệp tại Việt Nam chưa đề cao việc chủ động ứng phó với sự cố an ninh cũng như việc xử lý sau sự cố. Đa phần đều không coi đó là việc “của mình” , chưa có đủ chính sách bảo mật để “ tự bảo vệ mình”, hệ thống còn nhiều lỗ hổng chưa được giải quyết. Vì thế, đến khi sự cố xảy ra, thường để lại thiệt hại nghiêm trọng. Một hệ thống quản lý sự cố hiệu quả có thể giúp Doanh nghiệp quản lý rủi ro và tối đa hóa giá trị của các thiết bị an ninh hiện tại cần phải đảm bảo các yếu tố sau: + Củng cố đầu vào đồng nhất + Xác định sự cố + Ưu tiên các sự cố dựa trên những tác động của nó đến hoạt động kinh doanh + Theo dõi sự cố để ngăn chặn + Tích hợp với các hệ thống quản lý CNTT lớn + Hướng dẫn thực hành dễ hiểu Hợp nhất thông tin Khả năng thu thập thông tin từ các thiết bị an ninh trong Doanh nghiệp là nền tảng của bất kỳ ứng dụng quản lý sự cố nào. Các công ty đều cố gắng mua các thiết bị an ninh tốt nhất từ nhiều nhà cung cấp, điều này có thể làm tăng mức độ bảo vệ nhưng nó cũng làm tăng thách thức cho nhà quản trị khi mà phải quản lý đồng hời nhiều sản phẩm khác nhau. Nhiệm vụ của 1 nhà vận hành hệ thống là phải hợp nhất các thông tin từ các thiết bị an ninh báo về một cách thống nhất. Các sản phẩm từ các nhà cung cấp khác nhau sẽ sử dụng các định dạng khác nhau để diễn tả thông tin do đó cần có một bộ từ vựng thông dụng mà thay vào đó các thông điệp được dịch chuẩn hóa với nhau. Xác định ngẫu nhiênTrước khi tiến hành xử lý sự cố điều cần làm là phải xác định được chính xác sự cố đang diễn ra. Các ứng dụng quản lý sự cố toàn diện cung cấp các công cụ để giúp nhà quản trị xác định được đặc điểm của sự cố đồng thời có các hoạt động thích hợp để ngăn chặn sự cố. Quá trình phản hồi thông tin xảy ra có liên quan đến chuyên môn, tuy nhiên một phần quan trọng của quá trình có thể được tự động hóa để các nhân viên an ninh có thể tập trung vào các hoạt động tốt thúc đẩy các kỹ năng của họ. Tương quan – Liên kết hai hoặc nhiều yếu tố vào một đơn vị là một kỹ thuật hiệu quả được dùng để xác định sự cố. Bằng cách liên kết các sự kiện để hình thành sự cố, mối tương quan sẽ giúp các nhà khai thác hoàn thành và xác định chính xác các đặc điểm quan trọng của vụ việc, do đó đặt nền móng giải quyết thành công. Kế hoạch ứng cứu sự cố (IRP) Một bản kế hoạch IRP phải bao gồm đầy đủ các kịch bản nhằm phát hiện, phản ứng, xử lí các sự cố an ninh có thể xảy ra. Ngoài ra, bản kế hoạch cần mô tả cụ thể cho từng kịch bản và có kế hoạch diễn tập tương ứng. Trong bản kế hoạch xử lý sự cố thường bao gồm: + Xác định kịch bản ứng cứu trong tình huống cụ thể: Tấn công DDoS, xử lí mã độc, tấn công và chiếm quyền điều khiển website … + Tài liệu hướng dẫn các kịch bản thử nghiệm + Tài liệu mô tả cụ thể các bước tiến hành có kèm theo các công cụ và phương pháp tương ứng: Thu thập bằng chứng; Phát hiện nguyên nhân tấn công; Khôi phục hệ thống; Phòng chống và phát hiện các cuộc tấn công mới. + Các loại báo cáo và định dạng báo cáo tương ứng. Nếu không có kế hoạch ứng phó sự cố tại chỗ, tổ chức có thể không phát hiện được cuộc tấn công hoặc có thể không làm theo đúng quy trình để ngăn chặn các mối đe dọa trên internet và phục hồi sự cố sau khi xảy ra. 6 Giai đoạn chính của một kế hoạch ứng cứu sự cố bạn cần biết: - Chuẩn bị Chuẩn bị các kịch bản sự cố có thể xảy ra và tiến hành diễn tập. Chuẩn bị các tài liệu hướng dẫn, quy trình và các công cụ cần thiết để thực hiện. - Xác địnhKhi có dấu hiệu an ninh cần tiến hành xác định xem dấu hiệu đó có phải là một sự cố an ninh hay không. Sau khi xác định sự cố cần phân loại sự cố vào trong một nhóm cụ thể để có phương án xử lí tương ứng. - Hạn chế Hạn chế thiệt hại của vụ việc và cô lập các hệ thống bị ảnh hưởng để ngăn chặn hệ thống bị thiệt hại thêm. - Xóa bỏ Tìm ra nguyên nhân gốc rễ của vụ việc, loại bỏ các hệ thống bị ảnh hưởng từ môi trường bên trong. - Phục hồiCho phép các hệ thống bị ảnh hưởng trở lại môi trường bên trong, đảm bảo không có mối đe dọa liên quan tới vấn đề an ninh mạng tồn đọng. - Rút ra bài học kinh nghiệm Hoàn thành tài liệu hướng dẫn, thực hiện phân tích để học hỏi từ sự cố và có thể cải thiện các nỗ lực ứng cứu trong tương lai. Để kế hoạch ứng cứu sự cố đạt hiệu quả và mang lại lợi ích cho doanh nghiệp, người đại diện bộ phận IT và người quản lý phải biết làm thế nào nhằm giảm thiểu thời gian và mức độ thiệt hại từ một sự cố gây ra, xác định các bên có liên quan từ đó đẩy nhanh thời gian hồi phục, giảm thiểu những tác động tiêu cực cho hệ thống. Bản kế hoạch ứng cứu sự cố cần xác định và mô tả rõ vai trò, trách nhiệm của các thành viên trong nhóm phản ứng sự cố, yêu cầu họ phải có trách nhiệm thử nghiệm kế hoạch và thực hiện hành động. Kế hoạch cần nêu rõ các công cụ, công nghệ và các nguồn lực vật chất liên quan nhằm phục hồi sự cố tốt nhất. Nguồn: SecurityBox