Để ứng phó với sự cố an toàn thông tin (ATTT) kịp thời, hiệu quả, công tác chuẩn bị đóng vai trò quan trọng trên các phương diện: con người, trang thiết bị và kế hoạch.
Về con người: Con người là một trong ba yếu tố quan trọng nhất trong việc ứng cứu sự cố (ƯCSC). Mỗi tổ chức cần có một đội ngũ chuyên trách đảm nhiệm công việc này. Do đó, thành viên của đội ƯCSC cần được trang bị tốt nhiều kỹ năng cần thiết để ứng biến với các tình huống phát sinh. Các kỹ năng cơ bản phục vụ cho các hoạt động ứng cứu, xử lý sự cố gồm: kỹ năng cá nhân (giao tiếp viết và nói, trình bày, ngoại giao, đối phó với căng thẳng, giữ bí mật…), kỹ năng về trình độ kỹ thuật (khả năng lập trình, nguyên lý bảo mật, giao thức mạng, phân tích sự cố…).
Bên cạnh đó, thành viên đội ƯCSC cũng cần đạt được các chứng chỉ về ứng cứu sự cố như: EC-Council Certified Incident Handler (ECIH), GIAC Certified Incident Handler (GCIH), Incident Handling & Response Professional (IHRP)...
Về trang thiết bị: Cần chuẩn bị sẵn các công cụ, thiết bị phần cứng, phần mềm để dễ dàng và nhanh chóng sử dụng cho việc ứng cứu sự cố khi cần. Các công cụ có thể bao gồm: phần mềm chống mã độc, phần mềm điều tra số, card mạng, dây mạng, ổ cứng di dộng, USB, ổ đĩa CD rời, máy tính xách tay….
Về kế hoạch ứng cứu: Các tổ chức cần xây dựng sẵn các kịch bản nhằm ứng cứu và xử lý các sự cố mất ATTT mạng có thể xảy ra. Kế hoạch ứng cứu cần được xây dựng riêng cho từng loại sự cố khác nhau, vì mỗi sự cố khác nhau cần có cách xử lý, ứng cứu khác nhau. Đối với những sự cố có tính chất phức tạp, nằm ngoài khả năng xử lý thì cần tìm kiếm sự hỗ trợ của các cơ quan chức năng, như: nhà cung cấp dịch vụ (ISP), Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), Bộ Công an, Bộ Thông tin và Truyền thông…
Khi sự cố nghiêm trọng xảy ra những người tham gia họat động ứng cứu rất dễ gặp phải tình trạng căng thẳng dẫn đến hoảng loạn. Do đó, các thành viên đội ƯCSC cần phải có khả năng nhận biết khi ai đó đang ở trạng thái căng thẳng để có thể hỗ trợ kiểm soát, duy trì sự bình tĩnh. Cần phân bổ công việc phù hợp với chuyên môn của từng thành viên, tránh giao quá nhiều việc cho một cá nhân nào đó dẫn đên sự ức chế trong quá trình xử lý sự cố. Vai trò của người làm công tác điều phối là hết sức quan trọng khi sự cố xảy ra. Điều phối tốt giúp việc xử lý sự cố hiệu quả hơn, tránh những căng thẳng không mong muốn.
Xác định phạm vi ảnh hưởng của sự cố
Khi tiếp nhận thông tin về sự cố, người tham gia ứng cứu cần xem xét các thông tin liên quan đến sự cố đó như: phạm vi ảnh hưởng, mức độ thiệt hại, tác động gây ra bởi sự cố…. Từ đó, đưa ra một số việc cần ưu tiên làm sớm nhất, tránh tác động tiêu cực lan rộng. Để xác định phạm vi ảnh hưởng chính xác hơn, đội ƯCSC cần lưu ý một số thông tin quan trọng sau: nhật ký sự kiện (event logs), thông tin cảnh báo lỗi, dữ liệu trên thiết bị tường lửa, WAF, IDS, IPS…
Mục đích chính của việc làm này là hạn chế thiệt hại và ngăn chặn bất kỳ thiệt hại nào xảy ra thêm. Hành động ngăn chặn có thể chia thành ngắn hạn và dài hạn.
Ngăn chặn ngắn hạn là các hành động ứng phó tức thời nhằm ngăn chặn sự ảnh hưởng của sự cố, không để thiệt hại lớn hơn. Hành động ngăn chặn ngắn hạn có thể gồm các hành động như cô lập hệ thống bị ảnh hưởng hay chặn địa chỉ IP trên các hệ thống an ninh.
Còn ngăn chặn dài hạn là hoạt động sau sự cố, các kế hoạch giúp nâng cao khả năng bảo mật cho hệ thống.
Mất dữ liệu và các chứng cứ liên quan đến sự cố là vấn đề rất nghiêm trọng. Nó đồng nghĩa với việc tổ chức phải mất thêm thời gian và tiền bạc để khắc phục sự cố, còn làm mất đi chứng cứ quan trọng thì tổ chức sẽ không có cơ sở để điều tra, đưa sự việc ra pháp luật.
Có nhiều nguyên nhân dẫn đến mất dữ liệu, có thể trong quá trình ứng cứu xử lý sự cố người làm vô tình xóa mất dữ liệu, dữ liệu mất do bị tin tặc đánh cắp hay do hỏng thiết bị lưu trữ... Khi sự cố xảy ra, nhiều chứng cứ được lưu vết lại trên máy tính, trong đó có những chứng cứ ở trạng thái rất dễ bị mất nếu không biết xử lý đúng cách (như các chứng cứ được lưu trên RAM). Do đó, trước khi bắt đầu thực hiện công việc ứng cứu sự cố thì việc sao lưu dữ liệu và lưu trữ các chứng cứ là việc làm hết sức quan trọng.
Sự cố nếu được xử lý kịp thời và hiệu quả sẽ giúp giảm thiểu tối đa mức độ thiệt hại cho tổ chức. Vì vậy, đội ƯCSC cần có sự chuẩn bị tốt nhất để đối phó với các sự cố có thể xảy đến trong tương lai.
Trịnh Xuân Hậu, Trung tâm CNTT&GSANM
15:00 | 02/07/2021
15:00 | 18/03/2020
14:00 | 27/10/2021
11:00 | 22/05/2020
09:00 | 04/04/2024
Mạng riêng ảo (VPN) xác thực và mã hóa lưu lượng truy cập mạng để bảo vệ tính bí mật và quyền riêng tư của người dùng ngày càng được sử dụng phổ biến trong cả môi trường cá nhân và doanh nghiệp. Do đó, tính bảo mật của VPN luôn là chủ đề nghiên cứu nhận được nhiều sự quan tâm. Bài báo sẽ trình bày hai tấn công mới khiến máy khách VPN rò rỉ lưu lượng truy cập bên ngoài đường hầm VPN được bảo vệ thông qua khai thác lỗ hổng TunnelCrack. Hai tấn công này đã được xác nhận là có khả năng ảnh hưởng đến hầu hết các VPN của người dùng. Ngoài ra, nhóm tác giả cũng đưa ra các biện pháp đối phó để giảm thiểu các cuộc tấn công lợi dụng lỗ hổng này trong thực tế.
09:00 | 06/12/2023
Các cuộc chiến tranh giành lãnh địa trên không gian mạng trong tương lai sẽ xuất hiện và gia tăng giữa các nhóm tội phạm mạng khi nhiều đối thủ tập trung vào cùng một mục tiêu. Vừa qua Fortinet đã công bố Báo cáo Dự báo về các mối đe dọa an ninh mạng năm 2024 từ đội ngũ nghiên cứu FortiGuard Labs đưa ra những tác động của AI tới mô hình chiến tranh mạng, đồng thời nhấn mạnh xu hướng các mối đe dọa mới nổi có thể định hình bối cảnh chuyển đổi số trong năm tới và những năm sau.
13:00 | 30/05/2023
Mặc dù mạng 5G sẽ mang lại nhiều lợi ích cho xã hội và người dân, nhưng 5G cũng làm tăng thêm những rủi ro mới. Bảo mật 5G là vấn đề chung mà thế giới đang phải đối mặt, do đó cần tăng cường nghiên cứu, học hỏi kinh nghiệm của các nước để làm phong phú hơn kịch bản ứng phó của quốc gia mình.
09:00 | 09/03/2023
D2D (Device-to-Device) là phương tiện liên lạc trực tiếp giữa các thiết bị mà không qua nút trung gian, nó giúp mở rộng phạm vi phủ sóng di động và tăng cường tái sử dụng tần số vô tuyến trong mạng 5G [1]. Đồng thời, D2D còn là công nghệ lõi của liên lạc giữa thiết bị với vạn vật IoT. Tuy nhiên, truyền thông D2D trong mạng 5G là kiểu mạng thông tin di động có nhiều thách thức bao gồm ẩn danh, nghe lén, đánh cắp quyền riêng tư, tấn công tự do… Những thách thức này sẽ khó giảm thiểu hơn do tính chất hạn chế tài nguyên của các thiết bị IoT. Do đó, việc sử dụng mật mã hạng nhẹ vào bảo mật hệ thống D2D nhằm đáp ứng yêu cầu về năng lượng tiêu thụ, tài nguyên bộ nhớ, tốc độ thực thi bảo mật xác thực trong 5G IoT là đặc biệt quan trọng. Bài báo đi phân tích các bước trong mô hình bảo mật D2D cho mạng 5G IoT. Từ đó, đề xuất thuật toán có thể sử dụng để bảo mật liên lạc D2D cho các thiết bị 5G IoT.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
10:00 | 22/04/2024