Tình hình an ninh mạng tại Việt Nam và trên thế giới đang diễn biến phức tạp, ngày càng có nhiều cuộc tấn công vào các hệ thống công nghệ thông tin quan trọng của các doanh nghiệp, tổ chức và chính phủ. Một sự cố mất an toàn thông tin khi xảy ra mà không được xử lý đúng cách và kịp thời có thể để lại những hậu quả khôn lường, dẫn tới sự phá hủy dữ liệu hoặc làm sụp đổ hệ thống hạ tầng công nghệ thông tin.
SANS là viết tắt của cụm từ “SysAdmin, Audit, Network and Security”. Học viện SANS là một tổ chức tư nhân tại Mỹ, chuyên về bảo mật thông tin, đào tạo an ninh mạng và cung cấp các chứng chỉ liên quan. Quy trình ứng cứu sự cố của SANS gồm 06 giai đoạn riêng biệt: Chuẩn bị, xác định, ngăn chặn, loại bỏ, phục hồi và rút ra bài học.
Quy trình ứng cứu sự cố của Học viện SANS
Trong giai đoạn chuẩn bị, các tài nguyên có trong tổ chức được dự trù trước để khi xảy ra sự cố có thể xử lý ngay lập tức. Học viện SANS liệt kê một số tiêu chí quan trọng cần chuẩn bị như: cần có chính sách rõ ràng, xây dựng sẵn các kịch bản kế hoạch ứng cứu, danh sách liên lạc khi cần thiết, thành lập đội ứng cứu, chuẩn bị sẵn các công cụ thường dùng.
Giai đoạn này giúp xác định một sự kiện xảy ra có phải là sự cố hay không và phạm vi ảnh hưởng của sự việc đến đâu. Để đưa ra nhận định chính xác, thông tin xử lý cần dựa vào nhiều nguồn khác nhau như: nhật ký sự kiện (event log), thông tin cảnh báo lỗi, dữ liệu trên thiết bị tường lửa, WAF, IDS, IPS... Nếu sự cố thực sự xảy ra, đội ứng cứu cần nhanh chóng xác định vùng xảy ra sự cố để thực hiện công tác ứng cứu.
Mục đích chính của giai đoạn này là hạn chế thiệt hại và ngăn chặn các thiệt hại phát sinh thêm. Hành động ngăn chặn có hai loại là ngắn hạn và dài hạn. Ngăn chặn ngắn hạn là các hành động ứng phó tức thời nhằm ngăn chặn sự ảnh hưởng của sự cố, không để thiệt hại lớn hơn. Ngăn chặn dài hạn là khắc phục được những điểm yếu tồn tại trong hệ thống để những sự cố tương tự không xảy ra trong tương lai.
Trong giai đoạn này, tất cả các thành phần không mong muốn đã gây ra sự cố sẽ bị loại bỏ. Các hành động bao gồm: loại bỏ tất cả mã độc, thay đổi mật khẩu, xóa tài khoản độc hại. Giai đoạn này cũng cần cải thiện khả năng phòng thủ sau khi đã tìm được nguyên nhân gây ra sự cố và đảm bảo rằng hệ thống không bị xâm phạm (ví dụ: cài đặt các bản vá bảo mật để khắc phục các lỗ hổng đã bị tin tặc tấn công khai thác…).
Mục đích của giai đoạn này là đưa hệ thống bị ảnh hưởng trở lại trạng thái hoạt động bình thường. Cần theo dõi, giám sát để đảm bảo hệ thống hoạt động ổn định và không bị xâm nhập trở lại. Một số việc cần thực hiện ở giai đoạn này là: Thống nhất thời gian đưa hệ thống trở lại hoạt động bình thường; Kiểm tra hệ thống đã an toàn và đầy đủ chức năng; Thực hiện theo dõi và giám sát an toàn cho hệ thống sau khi đã hoạt động trở lại.
Mục đích của giai đoạn này là tổng hợp lại tất cả những gì đã diễn ra và những việc đã làm thành báo cáo hoàn chỉnh. Báo cáo này gửi cho các bên liên quan hoặc có thể tổ chức cuộc họp để rút ra các bài học kinh nghiệm sau sự cố. Cuộc họp rút kinh nghiệm nên được thực hiện càng sớm càng tốt, thông thường là trong vòng 2 tuần sau khi sự cố xảy ra.
Quá trình ứng cứu sự cố có thể gây căng thẳng cho những người tham gia ứng cứu, vì khi đó sự cố thực sự đã xảy ra đồng nghĩa với việc người tham gia ứng cứu đang đối mặt trực tiếp với mối đe dọa. Nếu có sự chuẩn bị từ trước về con người, quy trình, vật dụng, trang thiết bị… thì khi đối mặt với các tình huống căng thẳng, áp lực cao, mới có thể nhanh chóng ngăn chặn và xử lý.
Để chủ động đối phó với các sự cố một cách nhanh chóng, giúp giảm thiểu tối đa thiệt hại do các sự cố mất an toàn thông tin gây ra, cần phải có sự chuẩn bị và xây dựng các kịch bản, quy trình từ trước về việc ứng cứu sự cố. Quy trình ứng cứu sự cố của Học viện SANS mang tính chất tham khảo, mỗi tổ chức, doanh nghiệp cần xây dựng quy trình ứng cứu riêng phù hợp với đặc điểm của tổ chức.
Trịnh Xuân Hậu (Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ)
15:00 | 04/08/2021
14:00 | 30/06/2020
14:00 | 27/10/2021
14:00 | 28/10/2022
10:00 | 22/03/2024
Với sự tương tác kinh tế, xã hội và văn hóa ngày càng diễn ra phổ biến trên Internet, nhu cầu ngày càng tăng trong vài thập kỷ qua nhằm bắt chước sự ngẫu nhiên của thế giới tự nhiên và tạo ra các hệ thống kỹ thuật số để tạo ra các kết quả không thể đoán trước. Các trường hợp sử dụng cho tính không thể đoán trước này bao gồm đưa vào sự khan hiếm nhân tạo, xây dựng các cơ chế bảo mật mạnh mẽ hơn và tạo điều kiện cho các quy trình ra quyết định trung lập đáng tin cậy. Trong bài viết này, tác giả sẽ phân tích tính ngẫu nhiên, tìm hiểu về các loại ngẫu nhiên và vai trò quan trọng của sự ngẫu nhiên đối với Blockchain và hệ sinh thái Web3.
09:00 | 13/02/2024
Trong bối cảnh an ninh mạng ngày càng phát triển, các tổ chức liên tục phải đấu tranh với một loạt mối đe dọa trên môi trường mạng ngày càng phức tạp. Các phương pháp an toàn, an ninh mạng truyền thống thường sử dụng các biện pháp bảo vệ thống nhất trên các hệ thống đang tỏ ra kém hiệu quả trước các hình thái tấn công ngày càng đa dạng. Điều này đặt ra một bài toán cần có sự thay đổi mô hình bảo vệ theo hướng chiến lược, phù hợp và hiệu quả hơn thông qua việc Quản lý rủi ro bề mặt tấn công (Attack Surface Risk Management - ASRM).
08:00 | 09/01/2024
Nhiều người trong chúng ta thường có thói quen chỉ để ý đến việc bảo vệ an toàn máy tính và điện thoại của mình nhưng lại thường không nhận ra rằng đồng hồ thông minh (ĐHTM) cũng có nguy cơ bị tấn công mạng. Mặc dù ĐHTM giống như một phụ kiện cho các thiết bị chính nhưng chúng thường được kết nối với điện thoại, máy tính cá nhân và có khả năng tải các ứng dụng trên mạng, cài đặt tệp APK hay truy cập Internet. Điều đó có nghĩa là rủi ro mất an toàn thông tin trước các cuộc tấn công của tin tặc là điều không tránh khỏi. Vậy nên để hạn chế những nguy cơ này, bài báo sau đây sẽ hướng dẫn người dùng cách sử dụng ĐHTM an toàn nhằm tránh việc bị tin tặc lợi dụng đánh cắp thông tin.
12:00 | 16/03/2023
Metaverse (vũ trụ ảo) là một mạng lưới rộng lớn gồm các thế giới ảo 3D đang được phát triển mà mọi người có thể tương tác bằng cách sử dụng thực tế ảo (VR), hay thực tế tăng cường (AR). Công nghệ này hứa hẹn mang lại sự trải nghiệm mới mẻ, thú vị cho người dùng cũng như mang đến những cơ hội kinh doanh cho các doanh nghiệp trong việc chuyển đổi cách thức hoạt động. Tuy nhiên, bên cạnh những lợi ích thì Metaverse cũng đặt ra những thách thức và nguy cơ về vấn đề bảo mật trong không gian kỹ thuật số này.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Thiết bị truyền dữ liệu một chiều Datadiode có ý nghĩa quan trọng trong việc bảo đảm an toàn thông tin (ATTT) cho việc kết nối liên thông giữa các vùng mạng với nhau, đặc biệt giữa vùng mạng riêng, nội bộ với các vùng mạng bên ngoài kém an toàn hơn. Khi chủ trương xây dựng Chính phủ điện tử, Chính phủ số của Quân đội được quan tâm, đẩy mạnh phát triển. Việc liên thông các mạng với nhau, giữa mạng trong và mạng ngoài, giữa mạng truyền số liệu quân sự (TSLQS) và mạng Internet, giữa các hệ thống thông tin quân sự và cơ sở dữ liệu (CSDL) quốc gia về dân cư, bảo hiểm y tế và các CSDL dùng chung khác yêu cầu phải kết nối. Bài báo sẽ trình bày giải pháp truyền dữ liệu một chiều Datadiode cho phép các ứng dụng giữa hai vùng mạng kết nối sử dụng giao thức Webservice/RestAPI.
07:00 | 08/04/2024
