Hoạt động ứng phó sự cố an toàn thông tin (ATTT) được thực hiện nhằm giám sát, phát hiện và đối phó với các sự cố về an toàn của hệ thống công nghệ thông tin (CNTT). Hoạt động này đòi hỏi một quy trình chặt chẽ với một đội ngũ chuyên gia giàu kinh nghiệm thực hiện. Nhìn chung hoạt động ứng phó sự cố ATTT tại các cơ quan, tổ chức ở Việt Nam hiện còn đang bị động và chưa có quy trình bài bản, việc tổ chức đội ngũ nhân lực và quy trình ứng phó sự cố ATTT là vấn đề khá cấp bách hiện nay.
Tổ chức đội ngũ nhân lực ứng phó sự cố ATTT
Các tổ chức có quy mô lớn trên thế giới luôn có một đội ngũ chuyên trách ứng phó sự cố thường trực 24/7 để sẵn sàng đối phó với những sự cố tiềm ẩn. Ở Việt Nam, việc duy trì một đội ứng phó sự cố thường trực trong các tổ chức thường gặp nhiều khó khăn về nhân lực và tài chính. Khi xây dựng một đội ngũ ứng phó sự cố cần lưu ý 3 yếu tố sau:
Về tổ chức đội ngũ: Khi dự kiến thành lập một đội ứng phó sự cố, cần phải xem xét nhu cầu thực tế và khả năng tài chính để lựa chọn mô hình phù hợp. Có 3 mô hình tổ chức để xây dựng một đội ứng phó sự cố:
Mô hình tập trung, mô hình này chỉ đầu tư xây dựng một đội chuyên trách ứng phó sự cố chịu trách nhiệm xử lý toàn bộ các sự cố ATTT cho tổ chức. Mô hình này có hiệu quả trong các tổ chức vừa và nhỏ.
Mô hình phân tán, theo mô hình này, sẽ tồn tại nhiều đội ứng phó sự cố trong một tổ chức. Mỗi đội có thể đảm nhiệm một trong các công đoạn của quy trình ứng phó sự cố, hoặc xử lý sự cố tại các vị trí địa lý khác nhau. Đây là mô hình có hiệu quả đối với các tổ chức lớn, có tài nguyên phân bố ở các vị trí địa lý khác nhau. Tuy nhiên, mô hình này cần có sự quản lý tập trung để tạo sự thống nhất trong quá trình xử lý cũng như chia sẻ thông tin.
Mô hình kết hợp: Mô hình này sẽ xây dựng các đội bảo đảm ATTT có nhiệm vụ khác nhau trong tổ chức. Mỗi đội có trách nhiệm tư vấn cho các đội ứng phó khác mà không quản lý trực tiếp các đội này. Ví dụ, một đội nghiên cứu mã độc có thể tham gia hỗ trợ cho đội ứng phó sự cố trong quá trình xử lý sự cố của tổ chức.
Về nhân lực ứng phó sự cố: gồm những người có kinh nghiệm trong nhiều lĩnh vực như quản trị hệ thống mạng, phát hiện xâm nhập, điều tra số, phân tích mã độc… và hiểu biết về hệ thống hạ tầng CNTT của tổ chức. Lực lượng này ảnh hưởng trực tiếp đến hiệu quả của hoạt động ứng phó sự cố. Có 3 hình thức tổ chức nhân sự cho đội ứng phó sự cố:
Toàn bộ nhân viên thuộc tổ chức: Các thành viên trong đội ứng phó sự cố đều là nhân viên của tổ chức. Hình thức này sẽ giúp tổ chức chủ động ứng phó sự cố và giảm yêu cầu hỗ trợ từ các nhà thầu hay các nhà cung cấp.
Thuê ngoài một phần công việc: Tổ chức sẽ thực hiện thuê ngoài một phần nhân lực trong quá trình ứng phó sự cố. Hình thức này được áp dụng trong nhiều tổ chức hiện nay, ví dụ như việc thuê ngoài dịch vụ giám sát, phát hiện xâm nhập… các nhóm thuê ngoài sẽ báo cáo sự cố ATTT cho đội ứng phó sự cố của tổ chức xử lý. Thêm một phương thức khác, tổ chức sẽ thực hiện các bước cơ bản trong quy trình ứng phó sự cố và huy động sự giúp đỡ của các nhà cung cấp dịch vụ khi có sự cố xảy ra.
Thuê ngoài toàn bộ công việc: Hình thức này thường được sử dụng khi tổ chức không có đội ứng phó sự cố hoặc nhân viên trong tổ chức không có đủ trình độ để thực hiện hoạt động ứng phó.
Một số yếu tố khác: Bên cạnh việc quan tâm tới tổ chức và nhân sự, việc thực hiện ứng phó sự cố ATTT cần lưu ý một số vấn đề khác như:
Tính sẵn sàng: Tuỳ thuộc vào loại hình, quy mô, nghiệp vụ, cách thức hoạt động mà mỗi tổ chức cần có quy định về tính sẵn sàng của đội ứng phó sự cố. Hầu hết các tổ chức cần có các thành viên đội ứng phó sự cố trực 24/7 để có khả năng ứng phó nhanh nhất khi sự cố xảy ra. Tuy nhiên, trong một số trường hợp, hoạt động ứng phó sự cố thường chỉ thực hiện khoảng 8-12 tiếng/ngày.
Chi phí: Nhiều loại chi phí cần được bảo đảm để duy trì hoạt động ứng phó sự cố như: chi phí cho hoạt động thường trực của văn phòng, chi phí cho nhân lực, thiết bị CNTT (máy tính, công cụ hỗ trợ ứng phó sự cố, các công cụ điều tra số…), các chi phí bảo vệ vật lý cho khu vực làm việc hay chi phí cho hoạt động truyền thông....
Kinh nghiệm của nhân viên: Xử lý sự cố đòi hỏi những kiến thức chuyên môn và kinh nghiệm về hoạt động của tổ chức. Việc thuê các đội ứng phó cự cố bên ngoài là cần thiết, tuy nhiên, nhân viên của tổ chức thường nắm bắt tốt hơn về hạ tầng CNTT của tổ chức (kiến trúc hệ thống thông tin, cơ chế, thủ tục hành chính).
Sử dụng nhân lực thuê ngoài: Đối với nhân lực thuê ngoài, cần phải có những chính sách ràng buộc để đảm bảo hoạt động ứng phó sự cố được thực hiện hiệu quả. Cần xác định rõ 4 yếu tố: Phân chia trách nhiệm giữa nhân lực thuê ngoài và nhân viên chuyên trách của tổ chức; xác định quyền, trách nhiệm đối với các thông tin được phép chia sẻ; xác định quyền truy cập đối với hệ thống cần ứng phó và nhất thiết phải duy trì khả năng ứng phó sự cố kịp thời của tổ chức.
Tinh thần trách nhiệm của nhân viên: Việc ứng phó sự cố là rất phức tạp và đòi hỏi tính kịp thời, nên các thành viên trong đội ứng phó sự cố cần phải có tinh thần trách nhiệm cao, chịu được áp lực trong công việc.
Dù lựa chọn cách thức tổ chức nào thì việc hợp tác giữa đội ứng phó sự cố và các thành phần khác trong tổ chức là hết sức quan trọng. Các thành phần khác trong tổ chức cần phải tham gia vào quá trình xử lý sự cố để có thể cung cấp thông tin kịp thời cho đội ứng phó sự cố.
Quy trình ứng phó sự cố ATTT
Quy trình ứng phó sự cố bao gồm 4 giai đoạn, có mối quan hệ chặt chẽ với nhau: Chuẩn bị; phát hiện và phân tích; ngăn chặn, loại bỏ và phục hồi, hoạt động sau sự cố. Quy trình này được thể hiện trong hình sau:
Giai đoạn 1: Chuẩn bị
Công tác chuẩn bị được thực hiện nhằm tạo điều kiện thuận lợi cho các giai đoạn tiếp theo của quy trình ứng phó sự cố. Các vấn đề cần thực hiện ở giai đoạn này gồm:
- Chuẩn bị liên lạc và truyền thông, nhằm đảm bảo cho hoạt động ứng phó sự cố được tiến hành liên tục, thông suốt. Một tổng đài báo cáo sự cố cần được thiết lập. Đây có thể là một số điện thoại nội bộ hoặc một số điện thoại đường dây nóng đảm bảo hoạt động 24/7. Tổ chức cũng nên lưu ý đến việc thiết lập các kênh liên lạc riêng biệt như: kênh dành cho việc báo cáo sự cố nặc danh, kênh liên lạc giữa các thành viên trong nhóm, giữa nhóm ứng phó sự cố với các tổ chức bên ngoài.... Các thông tin cần được mã hóa để đảm bảo bí mật trong quá trình ứng phó sự cố.
- Chuẩn bị về hạ tầng kỹ thuật, nhằm đảm bảo có đủ các công cụ và thiết bị cần thiết quá trình ứng phó sự cố. Hạ tầng này bao gồm các thiết bị mạng, máy chủ, hệ thống chặn bắt gói tin, máy tính xách tay, thiết bị lưu trữ, sao lưu dữ liệu....
- Phân tích tài nguyên của tổ chức nhằm xác định các thông tin của hệ thống như danh sách các cổng thường được sử dụng, tài liệu về hệ điều hành, sơ đồ mạng, danh mục các tài nguyên quan trọng….
Giai đoạn 2: Phát hiện và phân tích
Việc phát hiện dấu hiệu về sự cố ATTT có thể thông qua nhiều công cụ có mức độ phản ánh thông tin và độ tin cậy khác nhau. Việc phát hiện kịp thời sự cố ATTT phụ thuộc vào kiến thức và kinh nghiệm của đội ứng phó sự cố.
Dấu hiệu về sự cố ATTT có thể được chia thành 2 loại:
- Dấu hiệu tiềm năng là thông tin báo hiệu sự cố có thể xảy ra trong tương lai và tổ chức có thể thực hiện các biện pháp ngăn chặn sự cố trước khi nó xảy ra. Một số dấu hiệu tiềm năng thường được sử dụng như: nhật ký của máy chủ ghi nhận được các bản ghi của các công cụ dò quét lỗ hổng bảo mật, lời tuyên bố tấn công nhằm vào các máy chủ hay ứng dụng của tổ chức.
- Dấu hiệu hiện hữu là những dấu hiệu xuất hiện phổ biến và báo hiệu sự cố đã hoặc đang xảy ra. Ví dụ như các thiết bị phát hiện xâm nhập cảnh báo kẻ tấn công đang khai thác lỗi tràn bộ đệm, máy chủ ghi lại sự thay đổi cấu hình….
Việc ứng phó sẽ không hiệu quả khi phải chia sẻ nguồn lực để xử lý nhiều sự cố cùng một thời điểm. Vì vậy, cần phải đánh giá, phân loại, xác định mức độ ảnh hưởng của các sự cố ATTT, nhằm nâng cao hiệu quả trong công tác khắc phục sự cố và giảm tải công việc cho đội ngũ nhân viên. Cần ưu tiên xử lý sự cố dựa trên 3 yếu tố:
Tác động của sự cố đối với chức năng của tổ chức: Xem xét ảnh hưởng của những sự cố này đối với chức năng hoạt động của tổ chức. Có 4 mức phân loại: Mức độ tác động cao khiến cho tổ chức không có khả năng cung cấp một số dịch vụ quan trọng cho bất kỳ người dùng nào; Mức độ tác động trung bình, gây ảnh hưởng đến việc ngừng cung cấp một số dịch vụ quan trọng cho tất cả người dùng; Mức độ tác động thấp, gây ảnh hưởng tới hệ thống của tổ chức có thể cung cấp dịch vụ cho người dùng nhưng tính hiệu quả bị ảnh hưởng. Nếu sự cố không ảnh hưởng gì tới khả năng cung cấp dịch vụ của tổ chức cho người dùng thì được xét ở mức độ ưu tiên thấp nhất.
Tác động về mặt thông tin của sự cố: Sự cố ATTT ảnh hưởng tới các khía cạnh của thông tin: Mất tính toàn vẹn, làm các thông tin nhạy cảm hoặc độc quyền bị thay đổi hoặc xóa; Vi phạm quyền sở hữu, làm các thông tin độc quyền của tổ chức bị truy cập trái phép; Vi phạm quyền riêng tư, làm các thông tin cá nhân bị truy cập trái phép. Nếu thông tin không bị thay đổi, sửa, xóa thì không cần ưu tiên xử lý sự cố.
Khả năng phục hồi sự cố: Sự cố ATTT còn ảnh hưởng đến chi phí khôi phục, thời gian và nguồn lực của tổ chức. Trong một số trường hợp, các sự cố xảy ra không có khả năng phục hồi. Khả năng hồi phục sự cố thường được phân loại thành bốn mức độ: không thể phục hồi, kéo dài, bổ sung và có khả năng phục hồi.
Đội ứng phó sự cố phải kịp thời phân tích và xác định xem sự cố đã thật sự xảy ra hay chưa để xác định phạm vi của nó. Những phân tích ban đầu sẽ cung cấp thông tin cho các hoạt động tiếp theo.
Giai đoạn 3: Ngăn chặn, loại bỏ và phục hồi
Nhiều chiến lược ngăn chặn được thực hiện dựa trên các loại sự cố ATTT khác nhau. Các tổ chức nên xây dựng các chiến lược ngắn hạn riêng biệt cho từng loại sự cố; xây dựng các loại tài liệu chuẩn và nội dung chiến lược rõ ràng để tạo điều kiện thuận lợi cho việc đưa ra quyết định.
Sau khi sự cố đã được ngăn chặn, cần lập kế hoạch loại bỏ hậu quả của sự cố ra khỏi hệ thống. Kết thúc giai đoạn này là tiến hành các biện pháp phục hồi nhằm khôi phục và xác nhận lại hoạt động bình thường của hệ thống. Cần phải khôi phục từ các bản sao lưu hệ thống “sạch”, xây dựng lại hệ thống, thay thế các tệp tin bị lỗi, cài đặt các bản vá lỗi, thay đổi mật khẩu và rà soát các chính sách ATTT.
Đối với các sự cố có quy mô lớn, việc phục hồi có thể tốn nhiều thời gian và cần thực hiện theo từng giai đoạn. Trong giai đoạn đầu, các cơ chế an toàn tạm thời sẽ được tăng cường nhằm ngăn chặn các sự cố tương tự trong tương lai. Ở giai đoạn sau nên tập trung vào những thay đổi dài hạn mang tính tổng thể, chẳng hạn như những thay đổi về cơ sở hạ tầng.
Giai đoạn 4: Hoạt động sau sự cố
Một phần quan trọng trong quy trình xử lý sự cố là việc rút ra các bài học kinh nghiệm từ các đợt ứng phó sự cố. Các cuộc họp giữa các bên liên quan và rút ra các bài học kinh nghiệm là cần thiết để đảm bảo các sự cố tương tự sẽ không xảy ra. Cần xem xét cách thức phối hợp giữa các bên liên quan khi có sự cố xảy ra để việc phục hồi đạt hiệu quả cao nhất. Các nội dung cần được giải quyết là: phân loại sự cố, xác định thời gian xảy ra sự cố, đánh giá hiệu quả của hoạt động ứng phó sự cố, xác định cách thức ngăn chặn sự cố tương tự trong lương lai....
Kết luận
Khi các cuộc tấn công mạng có chiều hướng phát triển ngày càng chuyên nghiệp và có tổ chức thì hoạt động ứng phó sự cố càng trở nên cần thiết. Hoạt động này sẽ cung cấp những thông tin cần thiết thu thập được trong quá trình xử lý sự cố để chuẩn bị tốt hơn cho việc xử lý những sự cố tương tự trong tương lai và củng cố các giải pháp an toàn cho hạ tầng hệ thống CNTT. Vì vậy, việc xây dựng một đội ứng phó sự cố ATTT là rất cần thiết đối với các tổ chức.
