Tình hình an ninh mạng tại Việt Nam và trên thế giới đang diễn biến phức tạp, ngày càng có nhiều cuộc tấn công vào các hệ thống công nghệ thông tin quan trọng của các doanh nghiệp, tổ chức và chính phủ. Một sự cố mất an toàn thông tin khi xảy ra mà không được xử lý đúng cách và kịp thời có thể để lại những hậu quả khôn lường, dẫn tới sự phá hủy dữ liệu hoặc làm sụp đổ hệ thống hạ tầng công nghệ thông tin.
SANS là viết tắt của cụm từ “SysAdmin, Audit, Network and Security”. Học viện SANS là một tổ chức tư nhân tại Mỹ, chuyên về bảo mật thông tin, đào tạo an ninh mạng và cung cấp các chứng chỉ liên quan. Quy trình ứng cứu sự cố của SANS gồm 06 giai đoạn riêng biệt: Chuẩn bị, xác định, ngăn chặn, loại bỏ, phục hồi và rút ra bài học.
Quy trình ứng cứu sự cố của Học viện SANS
Trong giai đoạn chuẩn bị, các tài nguyên có trong tổ chức được dự trù trước để khi xảy ra sự cố có thể xử lý ngay lập tức. Học viện SANS liệt kê một số tiêu chí quan trọng cần chuẩn bị như: cần có chính sách rõ ràng, xây dựng sẵn các kịch bản kế hoạch ứng cứu, danh sách liên lạc khi cần thiết, thành lập đội ứng cứu, chuẩn bị sẵn các công cụ thường dùng.
Giai đoạn này giúp xác định một sự kiện xảy ra có phải là sự cố hay không và phạm vi ảnh hưởng của sự việc đến đâu. Để đưa ra nhận định chính xác, thông tin xử lý cần dựa vào nhiều nguồn khác nhau như: nhật ký sự kiện (event log), thông tin cảnh báo lỗi, dữ liệu trên thiết bị tường lửa, WAF, IDS, IPS... Nếu sự cố thực sự xảy ra, đội ứng cứu cần nhanh chóng xác định vùng xảy ra sự cố để thực hiện công tác ứng cứu.
Mục đích chính của giai đoạn này là hạn chế thiệt hại và ngăn chặn các thiệt hại phát sinh thêm. Hành động ngăn chặn có hai loại là ngắn hạn và dài hạn. Ngăn chặn ngắn hạn là các hành động ứng phó tức thời nhằm ngăn chặn sự ảnh hưởng của sự cố, không để thiệt hại lớn hơn. Ngăn chặn dài hạn là khắc phục được những điểm yếu tồn tại trong hệ thống để những sự cố tương tự không xảy ra trong tương lai.
Trong giai đoạn này, tất cả các thành phần không mong muốn đã gây ra sự cố sẽ bị loại bỏ. Các hành động bao gồm: loại bỏ tất cả mã độc, thay đổi mật khẩu, xóa tài khoản độc hại. Giai đoạn này cũng cần cải thiện khả năng phòng thủ sau khi đã tìm được nguyên nhân gây ra sự cố và đảm bảo rằng hệ thống không bị xâm phạm (ví dụ: cài đặt các bản vá bảo mật để khắc phục các lỗ hổng đã bị tin tặc tấn công khai thác…).
Mục đích của giai đoạn này là đưa hệ thống bị ảnh hưởng trở lại trạng thái hoạt động bình thường. Cần theo dõi, giám sát để đảm bảo hệ thống hoạt động ổn định và không bị xâm nhập trở lại. Một số việc cần thực hiện ở giai đoạn này là: Thống nhất thời gian đưa hệ thống trở lại hoạt động bình thường; Kiểm tra hệ thống đã an toàn và đầy đủ chức năng; Thực hiện theo dõi và giám sát an toàn cho hệ thống sau khi đã hoạt động trở lại.
Mục đích của giai đoạn này là tổng hợp lại tất cả những gì đã diễn ra và những việc đã làm thành báo cáo hoàn chỉnh. Báo cáo này gửi cho các bên liên quan hoặc có thể tổ chức cuộc họp để rút ra các bài học kinh nghiệm sau sự cố. Cuộc họp rút kinh nghiệm nên được thực hiện càng sớm càng tốt, thông thường là trong vòng 2 tuần sau khi sự cố xảy ra.
Quá trình ứng cứu sự cố có thể gây căng thẳng cho những người tham gia ứng cứu, vì khi đó sự cố thực sự đã xảy ra đồng nghĩa với việc người tham gia ứng cứu đang đối mặt trực tiếp với mối đe dọa. Nếu có sự chuẩn bị từ trước về con người, quy trình, vật dụng, trang thiết bị… thì khi đối mặt với các tình huống căng thẳng, áp lực cao, mới có thể nhanh chóng ngăn chặn và xử lý.
Để chủ động đối phó với các sự cố một cách nhanh chóng, giúp giảm thiểu tối đa thiệt hại do các sự cố mất an toàn thông tin gây ra, cần phải có sự chuẩn bị và xây dựng các kịch bản, quy trình từ trước về việc ứng cứu sự cố. Quy trình ứng cứu sự cố của Học viện SANS mang tính chất tham khảo, mỗi tổ chức, doanh nghiệp cần xây dựng quy trình ứng cứu riêng phù hợp với đặc điểm của tổ chức.
Trịnh Xuân Hậu (Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ)
15:00 | 04/08/2021
14:00 | 30/06/2020
14:00 | 27/10/2021
14:00 | 28/10/2022
10:00 | 25/11/2024
Tấn công chuỗi cung ứng phần mềm là hình thức tấn công mạng nhằm vào việc phân phối phần mềm hoặc nhà cung cấp dịch vụ trong chuỗi cung ứng kỹ thuật số của doanh nghiệp, gây tác động trên diện rộng và tổn hại lớn đến danh tiếng của doanh nghiệp. Để bảo vệ chuỗi cung ứng trong thời đại số, bài viết này sẽ cung cấp 6 biện pháp giúp doanh nghiệp giảm thiểu các rủi ro và củng cố chuỗi cung ứng trước hình thức tấn công này.
13:00 | 18/11/2024
Đứng trước thách thức về các mối đe dọa nâng cao, khái niệm về “chuỗi tiêu diệt” được sử dụng để phòng, chống các mối đe dọa này. Phần 2 của bài báo tập trung trình bày về các biện pháp phát hiện, bảo vệ hệ thống khỏi tấn công APT, khai thác lỗ hổng Zero-day và tấn công chuỗi cung ứng.
13:00 | 22/10/2024
Cách mạng công nghiệp 4.0 đang trở thành hiện thực, một phần không nhỏ nhờ công nghệ Internet vạn vật công nghiệp (IIoT) và các mạng 5G dùng riêng. Đến năm 2029, thị trường cách mạng công nghiệp 4.0 dự kiến sẽ đạt giá trị 377,30 tỷ USD. Bà Marie Hattar, Phó Chủ tịch cấp cao Keysight Technologies (Hoa Kỳ), đã chia sẻ tầm quan trọng của 5G trong hành trình cách mạng công nghiệp 4.0.
13:00 | 21/08/2024
Tội phạm mạng gần đây đã chuyển từ tấn công các tập đoàn đa ngành lớn sang các ngành công nghiệp hẹp hơn, ví dụ như các lĩnh vực dịch vụ tài chính hoặc chăm sóc sức khỏe. Đặc biệt trong lĩnh vực chăm sóc sức khỏe, tin tặc chú trọng nhắm mục tiêu vào các thiết bị y tế của bệnh nhân được kết nối với Internet. Bài báo sẽ thông tin tới độc giả tình tình an ninh mạng trong lĩnh vực y tế, chăm sóc sức khỏe, các mối đe dọa từ bên trong, bên ngoài và đưa ra một số giải pháp giúp cải thiện tình hình an ninh mạng trong lĩnh vực này.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Trong bối cảnh mua sắm trực tuyến ngày càng trở nên phổ biến, các thủ đoạn lừa đảo cũng đang ngày càng tinh vi và thường nhắm vào những người tiêu dùng bất cẩn. Những nạn nhân này thường có thói quen mua sắm trực tuyến thường xuyên, nhưng lại thiếu chú ý đến các phương thức thanh toán trước khi hoàn tất giao dịch. Cục An toàn thông tin (Bộ TT&TT) vừa đưa ra cảnh báo về các chiêu trò lừa đảo phổ biến, đặc biệt trong dịp cuối năm khi nhu cầu mua sắm tăng cao.
08:00 | 12/12/2024