Để ứng phó với sự cố an toàn thông tin (ATTT) kịp thời, hiệu quả, công tác chuẩn bị đóng vai trò quan trọng trên các phương diện: con người, trang thiết bị và kế hoạch.
Về con người: Con người là một trong ba yếu tố quan trọng nhất trong việc ứng cứu sự cố (ƯCSC). Mỗi tổ chức cần có một đội ngũ chuyên trách đảm nhiệm công việc này. Do đó, thành viên của đội ƯCSC cần được trang bị tốt nhiều kỹ năng cần thiết để ứng biến với các tình huống phát sinh. Các kỹ năng cơ bản phục vụ cho các hoạt động ứng cứu, xử lý sự cố gồm: kỹ năng cá nhân (giao tiếp viết và nói, trình bày, ngoại giao, đối phó với căng thẳng, giữ bí mật…), kỹ năng về trình độ kỹ thuật (khả năng lập trình, nguyên lý bảo mật, giao thức mạng, phân tích sự cố…).
Bên cạnh đó, thành viên đội ƯCSC cũng cần đạt được các chứng chỉ về ứng cứu sự cố như: EC-Council Certified Incident Handler (ECIH), GIAC Certified Incident Handler (GCIH), Incident Handling & Response Professional (IHRP)...
Về trang thiết bị: Cần chuẩn bị sẵn các công cụ, thiết bị phần cứng, phần mềm để dễ dàng và nhanh chóng sử dụng cho việc ứng cứu sự cố khi cần. Các công cụ có thể bao gồm: phần mềm chống mã độc, phần mềm điều tra số, card mạng, dây mạng, ổ cứng di dộng, USB, ổ đĩa CD rời, máy tính xách tay….
Về kế hoạch ứng cứu: Các tổ chức cần xây dựng sẵn các kịch bản nhằm ứng cứu và xử lý các sự cố mất ATTT mạng có thể xảy ra. Kế hoạch ứng cứu cần được xây dựng riêng cho từng loại sự cố khác nhau, vì mỗi sự cố khác nhau cần có cách xử lý, ứng cứu khác nhau. Đối với những sự cố có tính chất phức tạp, nằm ngoài khả năng xử lý thì cần tìm kiếm sự hỗ trợ của các cơ quan chức năng, như: nhà cung cấp dịch vụ (ISP), Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), Bộ Công an, Bộ Thông tin và Truyền thông…
Khi sự cố nghiêm trọng xảy ra những người tham gia họat động ứng cứu rất dễ gặp phải tình trạng căng thẳng dẫn đến hoảng loạn. Do đó, các thành viên đội ƯCSC cần phải có khả năng nhận biết khi ai đó đang ở trạng thái căng thẳng để có thể hỗ trợ kiểm soát, duy trì sự bình tĩnh. Cần phân bổ công việc phù hợp với chuyên môn của từng thành viên, tránh giao quá nhiều việc cho một cá nhân nào đó dẫn đên sự ức chế trong quá trình xử lý sự cố. Vai trò của người làm công tác điều phối là hết sức quan trọng khi sự cố xảy ra. Điều phối tốt giúp việc xử lý sự cố hiệu quả hơn, tránh những căng thẳng không mong muốn.
Xác định phạm vi ảnh hưởng của sự cố
Khi tiếp nhận thông tin về sự cố, người tham gia ứng cứu cần xem xét các thông tin liên quan đến sự cố đó như: phạm vi ảnh hưởng, mức độ thiệt hại, tác động gây ra bởi sự cố…. Từ đó, đưa ra một số việc cần ưu tiên làm sớm nhất, tránh tác động tiêu cực lan rộng. Để xác định phạm vi ảnh hưởng chính xác hơn, đội ƯCSC cần lưu ý một số thông tin quan trọng sau: nhật ký sự kiện (event logs), thông tin cảnh báo lỗi, dữ liệu trên thiết bị tường lửa, WAF, IDS, IPS…
Mục đích chính của việc làm này là hạn chế thiệt hại và ngăn chặn bất kỳ thiệt hại nào xảy ra thêm. Hành động ngăn chặn có thể chia thành ngắn hạn và dài hạn.
Ngăn chặn ngắn hạn là các hành động ứng phó tức thời nhằm ngăn chặn sự ảnh hưởng của sự cố, không để thiệt hại lớn hơn. Hành động ngăn chặn ngắn hạn có thể gồm các hành động như cô lập hệ thống bị ảnh hưởng hay chặn địa chỉ IP trên các hệ thống an ninh.
Còn ngăn chặn dài hạn là hoạt động sau sự cố, các kế hoạch giúp nâng cao khả năng bảo mật cho hệ thống.
Mất dữ liệu và các chứng cứ liên quan đến sự cố là vấn đề rất nghiêm trọng. Nó đồng nghĩa với việc tổ chức phải mất thêm thời gian và tiền bạc để khắc phục sự cố, còn làm mất đi chứng cứ quan trọng thì tổ chức sẽ không có cơ sở để điều tra, đưa sự việc ra pháp luật.
Có nhiều nguyên nhân dẫn đến mất dữ liệu, có thể trong quá trình ứng cứu xử lý sự cố người làm vô tình xóa mất dữ liệu, dữ liệu mất do bị tin tặc đánh cắp hay do hỏng thiết bị lưu trữ... Khi sự cố xảy ra, nhiều chứng cứ được lưu vết lại trên máy tính, trong đó có những chứng cứ ở trạng thái rất dễ bị mất nếu không biết xử lý đúng cách (như các chứng cứ được lưu trên RAM). Do đó, trước khi bắt đầu thực hiện công việc ứng cứu sự cố thì việc sao lưu dữ liệu và lưu trữ các chứng cứ là việc làm hết sức quan trọng.
Sự cố nếu được xử lý kịp thời và hiệu quả sẽ giúp giảm thiểu tối đa mức độ thiệt hại cho tổ chức. Vì vậy, đội ƯCSC cần có sự chuẩn bị tốt nhất để đối phó với các sự cố có thể xảy đến trong tương lai.
Trịnh Xuân Hậu, Trung tâm CNTT&GSANM
15:00 | 02/07/2021
15:00 | 18/03/2020
14:00 | 27/10/2021
11:00 | 22/05/2020
17:00 | 10/06/2022
Để các hoạt động thanh toán trên ví điện tử được an toàn, VinID Pay đã triển khai nhiều biện pháp bảo mật trên ứng dụng. Tuy nhiên, để các biện pháp này thực sự hiệu quả, sự phối hợp của người dùng là rất quan trọng trong việc phát hiện sớm và ngăn chặn kịp thời các hoạt động bất hợp pháp của đối tượng xấu.
10:00 | 08/04/2022
Điện thoại di động đã trở thành vật dụng vô cùng hữu ích trong thời đại công nghệ số, tuy nhiên, các tính năng của nó có thể gây mất an toàn với quyền riêng tư của người dùng. Người dùng cần thận trọng và tăng cường quyền riêng tư cho điện thoại của mình. Sau đây là một số mẹo bảo mật quan trọng để ngăn chặn những kẻ gian lận đánh cắp thông tin cá nhân và tiền của người dùng từ điện thoại di động.
07:00 | 07/02/2022
Các biện pháp đảm bảo an toàn thông tin, an ninh mạng thường tập trung vào các mối đe dọa bên ngoài một tổ chức hơn là mối đe dọa từ những cá nhân không đáng tin cậy ở bên trong. Các mối đe dọa nội bộ hiện có xu hướng ngày càng phức tạp và gia tăng mức độ ảnh hưởng đến nhiều ngành nghề, lĩnh vực khác nhau. Bài viết cung cấp cái nhìn tổng quan về mối đe dọa nội bộ cũng như phân tích các dấu hiệu nhận biết và biện pháp phòng chống mối đe dọa nội bộ đối với tài sản công nghệ thông tin (CNTT) của cơ quan, tổ chức.
10:00 | 16/11/2021
Ngày nay, khi thông tin cá nhân của người dùng càng trở nên có giá trị, thì việc bảo vệ dữ liệu cá nhân là điều thực sự cần thiết. Vụ tấn công Microsoft Office gần đây đã nhắc nhở rằng các tệp tin trên máy tính cũng có thể là phần mềm độc hại ngụy trang một cách bí mật. Bài báo giới thiệu một số nguyên tắc bảo mật cơ bản, dễ thiết lập để giúp bảo vệ người dùng tránh khỏi các cuộc tấn công trên World Wild Web.
09:00 | 13/06/2022|Mật mã dân sự
17:00 | 10/06/2022|Giải pháp khác
09:00 | 09/06/2022|Chính sách - Chiến lược
09:00 | 09/06/2022|Hacker / Malware
Tại Hội thảo Nghiên cứu ứng dụng Mật mã và An toàn thông tin năm (CryptoIS 2022) do Học viện Kỹ thuật mật mã phối hợp với Viện Khoa học - Công nghệ mật mã và Tạp chí An toàn thông tin (Ban Cơ yếu Chính phủ) tổ chức, GS. Phan Dương Hiệu đã trình bày bày tham luận với chủ đề "Hướng tới mật mã phi tập trung" thu hút đông đảo sự quan tâm của các khách mời.
07:00 | 12/05/2022
Kiểm thử tấn công lừa đảo nhằm kiểm tra độ mạnh của các yếu tố con người trong chuỗi an ninh bên trong tổ chức. Hình thức này được sử dụng để làm tăng mức độ nhận thức an ninh trong nhân viên và tổ chức.
14:00 | 08/08/2022
