Khi bạn thất bại trong kế hoạch nghĩa là bạn có kế hoạch thất bại. Và theo một số lượng lớn các chuyên gia an ninh kỳ cựu, ngày nay có quá nhiều tổ chức có kế hoạch thất bại trong phản ứng sự cố mạng.

Đó là bởi vì khi nói đến việc ứng phó với các sự kiện an ninh và các cuộc tấn công vi phạm lớn, nhiều tổ chức ngày nay vẫn thiếu kiến thức & các tài liệu để làm cách nào ngăn chặn, xử lý, chống leo thang, giảm thiểu hoặc phục hồi từ sự cố bảo mật. Đó là chưa chưa nói đến các chính sách xử lý thông báo vi phạm và giao tiếp liên quan khác. Sự vắng mặt của một kế hoạch IR (Incident Response – kế hoạch ứng phó sự cố) là sai lầm số một được gọi tên bởi các chuyên gia bảo mật khi được hỏi về những cạm bẫy của việc điều hành một đội phản ứng sự cố. Yếu tố thứ hai đó là người lập kế hoạch đã không kiểm tra kế hoạch của họ kỹ càng.

Để giúp các tổ chức nhận thức rõ hơn về vấn đề cơ bản này trong ứng phó sự cố và quản lý SOC, gần đây chúng tôi đã có một loạt các chuyên gia an ninh mạng để cân nhắc lý do tại sao việc thiếu kế hoạch gây tổn hại cho phản ứng sự cố và đưa ra lời khuyên cũng như xây dựng tài liệu tốt nhất cho đội ngũ an ninh mạng.

1/ Tại sao nhiều tổ chức thất bại trong soạn thảo một kế hoạch ứng phó sự cố mạng? 

Thật không may, đây là câu chuyện bình mới, rựu cũ. Các tổ chức thường không sẵn sàng đáp ứng – họ thiếu một chiến lược ngăn chặn và phản ứng xác định, hoặc không có kế hoạch chống leo thang của tấn côn an ninh mạng thích hợp. 

Các nhóm phản ứng sự cố của chúng tôi cũng đã thấy sự thiếu hiểu biết chung từ các khách hàng về các mối đe dọa mà họ gặp phải khi phản ứng. Các yếu đố dẫn đến nguyên nhân này là:

  • Không có chiến lược nào được áp dụng cho chương trình ứng phó sự cố, thay vào đó họ dựa vào các chương trình/phần mềm được cài sẵn hoặc mặc định trong máy.
  • Thiếu khả năng hiển thị lưu lượng truy cập mạng và dữ liệu điểm cuối.
  • Quá phụ thuộc vào các công cụ cảnh báo cũ để xác định ‘Mức quan trọng và mức cao’ mà không tập trung vào các quy tắc liên quan đến các thiết bị phát hiện đó.
  • Thông tin im lặng từ các sản phẩm hoặc công cụ khác nhau, không có chế độ xem tương quan về tư thế bảo mật trên một ô kính đơn.

Có thể bạn quan tâm: phần mềm giám sát lưu lượng mạng Solarwinds Network Performance Monitor

Lời khuyên được đưa ra bởi Andrew Howard, CEO, Kudelski Security

2/ Kế hoạch ứng phó sự cố mạng cần có những gì?

Một kế hoạch ứng phó sự cố an ninh mạng cần có 3 yếu tố sau:

  • “một ounce chuẩn bị có giá trị một pound phản ứng” : hãy chuẩn bị thật tốt về việc cần gì khi sự cố diễn ra, giáo dục người dùng cuối về an ninh mạng & đừng quên thực hành ứng phó thường xuyên.
  • Phản hồi, cách ly, khoanh vùng ID, ngăn tổn thất, lưu giữ bằng chứng, đưa ra thông báo cần thiết, v.v.
  • Phục hồi càng gần ngày trước sự cố càng tốt, trở lại trạng thái hoạt động bình thường càng nhanh càng tốt.

Qua những gì chúng tôi thấy, rất nhiều kế hoạch chỉ có yếu tố thứ 2 và thậm chí là tệ hơn nữa. Trong tất cả khả năng, sẽ có một số lĩnh vực mà ngay cả những tổ chức đã trưởng thành và có khả năng nhất cũng cần sự giúp đỡ chuyên môn outsource.

Lời khuyên được đưa ra bởi Jon Murphy, Cybersecurity, Data Privacy, GRC Consulting Practice Lead, Alliant Cybersecurit

3/ xác định về thời lượng

Các kế hoạch ứng phó sự cố có thể khác nhau rất nhiều về thời gian tùy thuộc vào tất cả các tình huống khác nhau mà một vấn để có thể được giải quyết. Một số vấn đề chỉ liên quan đến sự cố vi phạm an ninh mạng có thể không lâu, nhưng hãy nhớ đến các tình hướng như dịch virus hoặc phần mềm độc hại, tấn công ransomware, v.v., có thể khá lâu và 1 kế hoạch thường bị phá vỡ xuống thành các phân đoạn đối phó với từng kịch bản khác nhau. Trong trường hợp nghiêm trọng, kế hoạch của bạn có thể lên đến 100 trang.

Lời khuyên được đưa ra bởi Tom DeSot, executive vice president & CIO, Digital Defense

4/ Hãy chắc chắn rằng bản thân kế hoạch là tuân thủ quyền riêng tư

Một số kế hoạch xuất hiện ‘tuyệt vời’ trên giấy, nhưng khi thực sự được thực hiện sẽ tạo ra vô số mối quan tâm về quyền riêng tư và bảo mật dữ liệu bổ sung. Ví dụ: thu thập dữ liệu, điều tra và lưu trữ dữ liệu nhạy cảm phải được xử lý cẩn thận và không vi phạm các kiểm soát bảo mật khác như gửi email thông tin nhạy cảm từ nhóm này sang nhóm khác.

phản hồi của bạn phải được bảo mật và quy trình làm việc được thiết lập đủ để đảm bảo rằng không có vi phạm bổ sung nào xảy ra.

Lời khuyên được đưa ra bởi Morey Haber, CTO and CISO, BeyondTrust

5/ suy nghĩ về việc kiểm tra Kế hoạch phản ứng sự cố

Đừng chỉ có chính sách và thủ tục trên giấy, hãy thực hành và thực hiện chúng. Giống như một vận động viên giỏi không chờ đợi để có được một cú đánh, bắt một đường chuyền chạm bóng hoặc ghi một bàn thắng – họ thực hành nó. 2 điều bạn cần lưu ý:

  • Các bài tập huấn luyện thực hành cho phép các tổ chức kiểm tra cả nhân sự và công nghệ của họ, và luôn cập nhật xu hướng / kỹ thuật để chống lại khi các cuộc tấn công ngày càng tinh vi. Bằng cách sao chép cơ sở hạ tầng / công nghệ của riêng họ và mô phỏng các cuộc tấn công có liên quan, loại hình đào tạo này thường dẫn đến những phát hiện về cách điều chỉnh các hệ thống và công cụ nội bộ dựa trên khả năng của nhóm và điểm yếu của cơ sở hạ tầng.
  • Các bài tập cho phép các tổ chức thực hành liên lạc nội bộ, đánh giá các quyết định sẽ được đưa ra, quyết định khi nào một nhóm IR bên thứ ba hoặc các quan chức thực thi pháp luật cần phải tham gia (dựa trên việc tuân thủ luật thông báo vi phạm) và dự đoán kiện tụng / phát triển tài liệu phù hợp hoặc báo cáo tiêu chuẩn hoặc mẫu.

Lời khuyên được đưa ra bởi Ken Jenkins, CTO of By Light Professional IT Services’ Cyberspace Operations Vertical

6/ Đừng quên cập nhật kế hoạch sau sự cố

Điều quan trọng là khi xảy ra sự cố, kiến thức và sự chuẩn bị sẽ có hiệu lực bằng cách thực hiện các quy trình đã được lên kế hoạch và các bài học rút kinh nghiệm trong quá trình này. Các kế hoạch ứng phó sự cố mạng cần năng động và có khả năng thích nghi khi các mối đe dọa và rủi ro mới xuất hiện.

Lời khuyên được đưa ra bởi Andrew Bassi, Principal Forensic Consultant, Pen Test Partners

7/ Tạo một khung làm việc

Đảm bảo rằng kế hoạch thực sự thiết lập một khuôn khổ cho phản ứng từ đầu đến cuối, không chỉ bao gồm các hành động xảy ra khi phát hiện hoặc xác định được sự cố mà còn xác định điều gì sẽ xảy ra sau sự cố để thúc đẩy tự cải thiện.

Các kế hoạch IR có nghĩa là để nắm bắt các chi tiết như chính sách hoặc tiêu chuẩn cấp cao. Điều quan trọng là kế hoạch IR nêu ra các tiêu chí để thay đổi các kế hoạch và đưa ra một số loại cảnh báo hoặc sự kiện đến điểm mà nhóm IR tham gia, tốt nhất là ưu tiên dựa trên một số loại đánh giá rủi ro.

Lời khuyên được đưa ra bởi Curtis Fechner, Technical Director, Threat Management, Optiv


Khách hàng có thể liên hệ VinSEP để trang bị kế hoạch, tăng cường, phòng chống các rủi ro an ninh mạng:

Đánh Giá Bài Viết