Tình hình an ninh mạng tại Việt Nam và trên thế giới đang diễn biến phức tạp, ngày càng có nhiều cuộc tấn công vào các hệ thống công nghệ thông tin quan trọng của các doanh nghiệp, tổ chức và chính phủ. Một sự cố mất an toàn thông tin khi xảy ra mà không được xử lý đúng cách và kịp thời có thể để lại những hậu quả khôn lường, dẫn tới sự phá hủy dữ liệu hoặc làm sụp đổ hệ thống hạ tầng công nghệ thông tin.
SANS là viết tắt của cụm từ “SysAdmin, Audit, Network and Security”. Học viện SANS là một tổ chức tư nhân tại Mỹ, chuyên về bảo mật thông tin, đào tạo an ninh mạng và cung cấp các chứng chỉ liên quan. Quy trình ứng cứu sự cố của SANS gồm 06 giai đoạn riêng biệt: Chuẩn bị, xác định, ngăn chặn, loại bỏ, phục hồi và rút ra bài học.
Quy trình ứng cứu sự cố của Học viện SANS
Trong giai đoạn chuẩn bị, các tài nguyên có trong tổ chức được dự trù trước để khi xảy ra sự cố có thể xử lý ngay lập tức. Học viện SANS liệt kê một số tiêu chí quan trọng cần chuẩn bị như: cần có chính sách rõ ràng, xây dựng sẵn các kịch bản kế hoạch ứng cứu, danh sách liên lạc khi cần thiết, thành lập đội ứng cứu, chuẩn bị sẵn các công cụ thường dùng.
Giai đoạn này giúp xác định một sự kiện xảy ra có phải là sự cố hay không và phạm vi ảnh hưởng của sự việc đến đâu. Để đưa ra nhận định chính xác, thông tin xử lý cần dựa vào nhiều nguồn khác nhau như: nhật ký sự kiện (event log), thông tin cảnh báo lỗi, dữ liệu trên thiết bị tường lửa, WAF, IDS, IPS... Nếu sự cố thực sự xảy ra, đội ứng cứu cần nhanh chóng xác định vùng xảy ra sự cố để thực hiện công tác ứng cứu.
Mục đích chính của giai đoạn này là hạn chế thiệt hại và ngăn chặn các thiệt hại phát sinh thêm. Hành động ngăn chặn có hai loại là ngắn hạn và dài hạn. Ngăn chặn ngắn hạn là các hành động ứng phó tức thời nhằm ngăn chặn sự ảnh hưởng của sự cố, không để thiệt hại lớn hơn. Ngăn chặn dài hạn là khắc phục được những điểm yếu tồn tại trong hệ thống để những sự cố tương tự không xảy ra trong tương lai.
Trong giai đoạn này, tất cả các thành phần không mong muốn đã gây ra sự cố sẽ bị loại bỏ. Các hành động bao gồm: loại bỏ tất cả mã độc, thay đổi mật khẩu, xóa tài khoản độc hại. Giai đoạn này cũng cần cải thiện khả năng phòng thủ sau khi đã tìm được nguyên nhân gây ra sự cố và đảm bảo rằng hệ thống không bị xâm phạm (ví dụ: cài đặt các bản vá bảo mật để khắc phục các lỗ hổng đã bị tin tặc tấn công khai thác…).
Mục đích của giai đoạn này là đưa hệ thống bị ảnh hưởng trở lại trạng thái hoạt động bình thường. Cần theo dõi, giám sát để đảm bảo hệ thống hoạt động ổn định và không bị xâm nhập trở lại. Một số việc cần thực hiện ở giai đoạn này là: Thống nhất thời gian đưa hệ thống trở lại hoạt động bình thường; Kiểm tra hệ thống đã an toàn và đầy đủ chức năng; Thực hiện theo dõi và giám sát an toàn cho hệ thống sau khi đã hoạt động trở lại.
Mục đích của giai đoạn này là tổng hợp lại tất cả những gì đã diễn ra và những việc đã làm thành báo cáo hoàn chỉnh. Báo cáo này gửi cho các bên liên quan hoặc có thể tổ chức cuộc họp để rút ra các bài học kinh nghiệm sau sự cố. Cuộc họp rút kinh nghiệm nên được thực hiện càng sớm càng tốt, thông thường là trong vòng 2 tuần sau khi sự cố xảy ra.
Quá trình ứng cứu sự cố có thể gây căng thẳng cho những người tham gia ứng cứu, vì khi đó sự cố thực sự đã xảy ra đồng nghĩa với việc người tham gia ứng cứu đang đối mặt trực tiếp với mối đe dọa. Nếu có sự chuẩn bị từ trước về con người, quy trình, vật dụng, trang thiết bị… thì khi đối mặt với các tình huống căng thẳng, áp lực cao, mới có thể nhanh chóng ngăn chặn và xử lý.
Để chủ động đối phó với các sự cố một cách nhanh chóng, giúp giảm thiểu tối đa thiệt hại do các sự cố mất an toàn thông tin gây ra, cần phải có sự chuẩn bị và xây dựng các kịch bản, quy trình từ trước về việc ứng cứu sự cố. Quy trình ứng cứu sự cố của Học viện SANS mang tính chất tham khảo, mỗi tổ chức, doanh nghiệp cần xây dựng quy trình ứng cứu riêng phù hợp với đặc điểm của tổ chức.
Trịnh Xuân Hậu (Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ)
15:00 | 04/08/2021
14:00 | 30/06/2020
14:00 | 27/10/2021
14:00 | 28/10/2022
08:00 | 15/03/2024
Bảo mật công nghệ trí tuệ nhân tạo (AI) đặt ra nhiều thách thức và luôn thay đổi trong bối cảnh chuyển đổi số hiện nay. Khi công nghệ AI phát triển, rủi ro và bề mặt tấn công cùng các mối đe dọa mới ngày càng tăng cao. Điều này đặt ra yêu cầu đối với các nhà phát triển, tổ chức và doanh nghiệp phải có cách tiếp cận chủ động, thường xuyên đánh giá và cập nhật các biện pháp bảo mật.
09:00 | 08/03/2024
Từ lâu, botnet là một trong những mối đe dọa lớn nhất đối với an ninh mạng, nó đã gây ra nhiều thiệt hại cho các tổ chức và doanh nghiệp trên toàn thế giới. Bài báo sẽ giới thiệu tới độc giả một số kỹ thuật phát hiện botnet bằng Honeynet và tính hiệu quả của chúng, đồng thời đề xuất một số hướng phát triển trong tương lai để nâng cao khả năng phát hiện và ngăn chặn botnet bằng Honeynet.
17:00 | 18/12/2023
Ngày nay, Trí tuệ nhân tạo (AI) hiện diện trong mọi lĩnh vực của đời sống con người, từ kinh tế, giáo dục, y khoa cho đến những công việc nhà, giải trí hay thậm chí là trong quân sự. Học máy là một ứng dụng của trí tuệ nhân tạo cung cấp cho các hệ thống khả năng tự động học hỏi và cải thiện từ kinh nghiệm mà không cần lập trình rõ ràng. Học máy tập trung vào việc phát triển các chương trình máy tính có thể truy cập dữ liệu và sử dụng nó để tự học. Do đó, vấn đề đảm bảo tính riêng tư trong ứng dụng phương pháp học sâu đang là một vấn đề được quan tâm hiện nay.
09:00 | 09/03/2023
D2D (Device-to-Device) là phương tiện liên lạc trực tiếp giữa các thiết bị mà không qua nút trung gian, nó giúp mở rộng phạm vi phủ sóng di động và tăng cường tái sử dụng tần số vô tuyến trong mạng 5G [1]. Đồng thời, D2D còn là công nghệ lõi của liên lạc giữa thiết bị với vạn vật IoT. Tuy nhiên, truyền thông D2D trong mạng 5G là kiểu mạng thông tin di động có nhiều thách thức bao gồm ẩn danh, nghe lén, đánh cắp quyền riêng tư, tấn công tự do… Những thách thức này sẽ khó giảm thiểu hơn do tính chất hạn chế tài nguyên của các thiết bị IoT. Do đó, việc sử dụng mật mã hạng nhẹ vào bảo mật hệ thống D2D nhằm đáp ứng yêu cầu về năng lượng tiêu thụ, tài nguyên bộ nhớ, tốc độ thực thi bảo mật xác thực trong 5G IoT là đặc biệt quan trọng. Bài báo đi phân tích các bước trong mô hình bảo mật D2D cho mạng 5G IoT. Từ đó, đề xuất thuật toán có thể sử dụng để bảo mật liên lạc D2D cho các thiết bị 5G IoT.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024