Để ứng phó với sự cố an toàn thông tin (ATTT) kịp thời, hiệu quả, công tác chuẩn bị đóng vai trò quan trọng trên các phương diện: con người, trang thiết bị và kế hoạch.
Về con người: Con người là một trong ba yếu tố quan trọng nhất trong việc ứng cứu sự cố (ƯCSC). Mỗi tổ chức cần có một đội ngũ chuyên trách đảm nhiệm công việc này. Do đó, thành viên của đội ƯCSC cần được trang bị tốt nhiều kỹ năng cần thiết để ứng biến với các tình huống phát sinh. Các kỹ năng cơ bản phục vụ cho các hoạt động ứng cứu, xử lý sự cố gồm: kỹ năng cá nhân (giao tiếp viết và nói, trình bày, ngoại giao, đối phó với căng thẳng, giữ bí mật…), kỹ năng về trình độ kỹ thuật (khả năng lập trình, nguyên lý bảo mật, giao thức mạng, phân tích sự cố…).
Bên cạnh đó, thành viên đội ƯCSC cũng cần đạt được các chứng chỉ về ứng cứu sự cố như: EC-Council Certified Incident Handler (ECIH), GIAC Certified Incident Handler (GCIH), Incident Handling & Response Professional (IHRP)...
Về trang thiết bị: Cần chuẩn bị sẵn các công cụ, thiết bị phần cứng, phần mềm để dễ dàng và nhanh chóng sử dụng cho việc ứng cứu sự cố khi cần. Các công cụ có thể bao gồm: phần mềm chống mã độc, phần mềm điều tra số, card mạng, dây mạng, ổ cứng di dộng, USB, ổ đĩa CD rời, máy tính xách tay….
Về kế hoạch ứng cứu: Các tổ chức cần xây dựng sẵn các kịch bản nhằm ứng cứu và xử lý các sự cố mất ATTT mạng có thể xảy ra. Kế hoạch ứng cứu cần được xây dựng riêng cho từng loại sự cố khác nhau, vì mỗi sự cố khác nhau cần có cách xử lý, ứng cứu khác nhau. Đối với những sự cố có tính chất phức tạp, nằm ngoài khả năng xử lý thì cần tìm kiếm sự hỗ trợ của các cơ quan chức năng, như: nhà cung cấp dịch vụ (ISP), Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), Bộ Công an, Bộ Thông tin và Truyền thông…
Khi sự cố nghiêm trọng xảy ra những người tham gia họat động ứng cứu rất dễ gặp phải tình trạng căng thẳng dẫn đến hoảng loạn. Do đó, các thành viên đội ƯCSC cần phải có khả năng nhận biết khi ai đó đang ở trạng thái căng thẳng để có thể hỗ trợ kiểm soát, duy trì sự bình tĩnh. Cần phân bổ công việc phù hợp với chuyên môn của từng thành viên, tránh giao quá nhiều việc cho một cá nhân nào đó dẫn đên sự ức chế trong quá trình xử lý sự cố. Vai trò của người làm công tác điều phối là hết sức quan trọng khi sự cố xảy ra. Điều phối tốt giúp việc xử lý sự cố hiệu quả hơn, tránh những căng thẳng không mong muốn.
Xác định phạm vi ảnh hưởng của sự cố
Khi tiếp nhận thông tin về sự cố, người tham gia ứng cứu cần xem xét các thông tin liên quan đến sự cố đó như: phạm vi ảnh hưởng, mức độ thiệt hại, tác động gây ra bởi sự cố…. Từ đó, đưa ra một số việc cần ưu tiên làm sớm nhất, tránh tác động tiêu cực lan rộng. Để xác định phạm vi ảnh hưởng chính xác hơn, đội ƯCSC cần lưu ý một số thông tin quan trọng sau: nhật ký sự kiện (event logs), thông tin cảnh báo lỗi, dữ liệu trên thiết bị tường lửa, WAF, IDS, IPS…
Mục đích chính của việc làm này là hạn chế thiệt hại và ngăn chặn bất kỳ thiệt hại nào xảy ra thêm. Hành động ngăn chặn có thể chia thành ngắn hạn và dài hạn.
Ngăn chặn ngắn hạn là các hành động ứng phó tức thời nhằm ngăn chặn sự ảnh hưởng của sự cố, không để thiệt hại lớn hơn. Hành động ngăn chặn ngắn hạn có thể gồm các hành động như cô lập hệ thống bị ảnh hưởng hay chặn địa chỉ IP trên các hệ thống an ninh.
Còn ngăn chặn dài hạn là hoạt động sau sự cố, các kế hoạch giúp nâng cao khả năng bảo mật cho hệ thống.
Mất dữ liệu và các chứng cứ liên quan đến sự cố là vấn đề rất nghiêm trọng. Nó đồng nghĩa với việc tổ chức phải mất thêm thời gian và tiền bạc để khắc phục sự cố, còn làm mất đi chứng cứ quan trọng thì tổ chức sẽ không có cơ sở để điều tra, đưa sự việc ra pháp luật.
Có nhiều nguyên nhân dẫn đến mất dữ liệu, có thể trong quá trình ứng cứu xử lý sự cố người làm vô tình xóa mất dữ liệu, dữ liệu mất do bị tin tặc đánh cắp hay do hỏng thiết bị lưu trữ... Khi sự cố xảy ra, nhiều chứng cứ được lưu vết lại trên máy tính, trong đó có những chứng cứ ở trạng thái rất dễ bị mất nếu không biết xử lý đúng cách (như các chứng cứ được lưu trên RAM). Do đó, trước khi bắt đầu thực hiện công việc ứng cứu sự cố thì việc sao lưu dữ liệu và lưu trữ các chứng cứ là việc làm hết sức quan trọng.
Sự cố nếu được xử lý kịp thời và hiệu quả sẽ giúp giảm thiểu tối đa mức độ thiệt hại cho tổ chức. Vì vậy, đội ƯCSC cần có sự chuẩn bị tốt nhất để đối phó với các sự cố có thể xảy đến trong tương lai.
Trịnh Xuân Hậu, Trung tâm CNTT&GSANM
15:00 | 02/07/2021
15:00 | 18/03/2020
14:00 | 27/10/2021
11:00 | 22/05/2020
14:00 | 01/03/2024
Giấu tin (steganography) là một kỹ thuật nhúng thông tin vào một nguồn đa phương tiện nào đó, ví dụ như tệp âm thanh, tệp hình ảnh,... Việc này giúp thông tin được giấu trở nên khó phát hiện và gây ra nhiều thách thức trong lĩnh vực bảo mật và an toàn thông tin, đặc biệt là quá trình điều tra số. Thời gian gần đây, số lượng các cuộc tấn công mạng có sử dụng kỹ thuật giấu tin đang tăng lên, tin tặc lợi dụng việc giấu các câu lệnh vào trong bức ảnh và khi xâm nhập được vào máy tính nạn nhân, các câu lệnh chứa mã độc sẽ được trích xuất từ ảnh và thực thi. Nhằm mục đích cung cấp cái nhìn tổng quan về phương thức ẩn giấu mã độc nguy hiểm, bài báo sẽ giới thiệu về kỹ thuật giấu tin trong ảnh và phân tích một cuộc tấn công cụ thể để làm rõ về kỹ thuật này.
09:00 | 13/02/2024
Trong bối cảnh an ninh mạng ngày càng phát triển, các tổ chức liên tục phải đấu tranh với một loạt mối đe dọa trên môi trường mạng ngày càng phức tạp. Các phương pháp an toàn, an ninh mạng truyền thống thường sử dụng các biện pháp bảo vệ thống nhất trên các hệ thống đang tỏ ra kém hiệu quả trước các hình thái tấn công ngày càng đa dạng. Điều này đặt ra một bài toán cần có sự thay đổi mô hình bảo vệ theo hướng chiến lược, phù hợp và hiệu quả hơn thông qua việc Quản lý rủi ro bề mặt tấn công (Attack Surface Risk Management - ASRM).
10:00 | 15/09/2023
Thư rác hay email spam là một vấn nạn lớn hiện nay, chúng đã xuất hiện từ rất lâu cùng với sự phát triển của Internet và không chỉ gây phiền nhiễu, tốn thời gian mà còn có thể chứa một số nội dung nguy hiểm. Ước tính có tới 94% phần mềm độc hại được phân phối dưới dạng email spam, một số nguy cơ tiềm ẩn khác bao gồm phần mềm gián điệp, lừa đảo và mã độc tống tiền. Trong bài viết này sẽ thông tin đến bạn đọc cách nhận biết thư rác và ngăn chặn thư rác không mong muốn.
10:00 | 30/01/2023
Blockchain (chuỗi khối) là một cơ sở dữ liệu phân tán với các đặc trưng như tính phi tập trung, tính minh bạch, tính bảo mật dữ liệu, không thể làm giả. Vì vậy công nghệ Blockchain đã và đang được ứng dụng vào rất nhiều lĩnh vực trong đời sống như Y tế, Nông nghiệp, Giáo dục, Tài chính ngân hàng,... Bài báo này sẽ giới thiệu về công nghệ Blockchain và đề xuất một mô hình sử dụng nền tảng Hyperledger Fabric để lưu trữ dữ liệu sinh viên như điểm số, đề tài, văn bằng, chứng chỉ trong suốt quá trình học. Việc sử dụng công nghệ Blockchain để quản lý dữ liệu sinh viên nhằm đảm bảo công khai minh bạch cho sinh viên, giảng viên, các khoa, phòng chức năng. Đồng thời giúp xác thực, tra cứu các thông tin về văn bằng, chứng chỉ góp phần hạn chế việc sử dụng văn bằng, chứng chỉ giả hiện nay.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Hiện nay, số lượng các cuộc tấn công mạng nhắm đến hệ điều hành Linux đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, đặc biệt là các sự cố liên quan đến việc lộ lọt mật khẩu. Thông thường, khi tạo tài khoản mới trên Linux, người dùng có thể sử dụng những mật khẩu tùy ý, kể cả những mật khẩu yếu, điều này có thể gây ra nhiều rủi ro bảo mật tiềm ẩn trong hệ thống mạng, các tác nhân đe dọa sẽ dễ dàng tấn công và xâm phạm tài khoản hơn. Do đó, cần phải thực thi các chính sách sử dụng mật khẩu đủ mạnh để bảo vệ tài khoản người dùng tránh bị tấn công. Trong bài viết này sẽ gửi đến độc giả hướng dẫn thiết lập cấu hình mật khẩu an toàn trên Linux với nền tảng Centos 7.
10:00 | 10/04/2024