Tình hình an ninh mạng tại Việt Nam và trên thế giới đang diễn biến phức tạp, ngày càng có nhiều cuộc tấn công vào các hệ thống công nghệ thông tin quan trọng của các doanh nghiệp, tổ chức và chính phủ. Một sự cố mất an toàn thông tin khi xảy ra mà không được xử lý đúng cách và kịp thời có thể để lại những hậu quả khôn lường, dẫn tới sự phá hủy dữ liệu hoặc làm sụp đổ hệ thống hạ tầng công nghệ thông tin.
SANS là viết tắt của cụm từ “SysAdmin, Audit, Network and Security”. Học viện SANS là một tổ chức tư nhân tại Mỹ, chuyên về bảo mật thông tin, đào tạo an ninh mạng và cung cấp các chứng chỉ liên quan. Quy trình ứng cứu sự cố của SANS gồm 06 giai đoạn riêng biệt: Chuẩn bị, xác định, ngăn chặn, loại bỏ, phục hồi và rút ra bài học.
Quy trình ứng cứu sự cố của Học viện SANS
Trong giai đoạn chuẩn bị, các tài nguyên có trong tổ chức được dự trù trước để khi xảy ra sự cố có thể xử lý ngay lập tức. Học viện SANS liệt kê một số tiêu chí quan trọng cần chuẩn bị như: cần có chính sách rõ ràng, xây dựng sẵn các kịch bản kế hoạch ứng cứu, danh sách liên lạc khi cần thiết, thành lập đội ứng cứu, chuẩn bị sẵn các công cụ thường dùng.
Giai đoạn này giúp xác định một sự kiện xảy ra có phải là sự cố hay không và phạm vi ảnh hưởng của sự việc đến đâu. Để đưa ra nhận định chính xác, thông tin xử lý cần dựa vào nhiều nguồn khác nhau như: nhật ký sự kiện (event log), thông tin cảnh báo lỗi, dữ liệu trên thiết bị tường lửa, WAF, IDS, IPS... Nếu sự cố thực sự xảy ra, đội ứng cứu cần nhanh chóng xác định vùng xảy ra sự cố để thực hiện công tác ứng cứu.
Mục đích chính của giai đoạn này là hạn chế thiệt hại và ngăn chặn các thiệt hại phát sinh thêm. Hành động ngăn chặn có hai loại là ngắn hạn và dài hạn. Ngăn chặn ngắn hạn là các hành động ứng phó tức thời nhằm ngăn chặn sự ảnh hưởng của sự cố, không để thiệt hại lớn hơn. Ngăn chặn dài hạn là khắc phục được những điểm yếu tồn tại trong hệ thống để những sự cố tương tự không xảy ra trong tương lai.
Trong giai đoạn này, tất cả các thành phần không mong muốn đã gây ra sự cố sẽ bị loại bỏ. Các hành động bao gồm: loại bỏ tất cả mã độc, thay đổi mật khẩu, xóa tài khoản độc hại. Giai đoạn này cũng cần cải thiện khả năng phòng thủ sau khi đã tìm được nguyên nhân gây ra sự cố và đảm bảo rằng hệ thống không bị xâm phạm (ví dụ: cài đặt các bản vá bảo mật để khắc phục các lỗ hổng đã bị tin tặc tấn công khai thác…).
Mục đích của giai đoạn này là đưa hệ thống bị ảnh hưởng trở lại trạng thái hoạt động bình thường. Cần theo dõi, giám sát để đảm bảo hệ thống hoạt động ổn định và không bị xâm nhập trở lại. Một số việc cần thực hiện ở giai đoạn này là: Thống nhất thời gian đưa hệ thống trở lại hoạt động bình thường; Kiểm tra hệ thống đã an toàn và đầy đủ chức năng; Thực hiện theo dõi và giám sát an toàn cho hệ thống sau khi đã hoạt động trở lại.
Mục đích của giai đoạn này là tổng hợp lại tất cả những gì đã diễn ra và những việc đã làm thành báo cáo hoàn chỉnh. Báo cáo này gửi cho các bên liên quan hoặc có thể tổ chức cuộc họp để rút ra các bài học kinh nghiệm sau sự cố. Cuộc họp rút kinh nghiệm nên được thực hiện càng sớm càng tốt, thông thường là trong vòng 2 tuần sau khi sự cố xảy ra.
Quá trình ứng cứu sự cố có thể gây căng thẳng cho những người tham gia ứng cứu, vì khi đó sự cố thực sự đã xảy ra đồng nghĩa với việc người tham gia ứng cứu đang đối mặt trực tiếp với mối đe dọa. Nếu có sự chuẩn bị từ trước về con người, quy trình, vật dụng, trang thiết bị… thì khi đối mặt với các tình huống căng thẳng, áp lực cao, mới có thể nhanh chóng ngăn chặn và xử lý.
Để chủ động đối phó với các sự cố một cách nhanh chóng, giúp giảm thiểu tối đa thiệt hại do các sự cố mất an toàn thông tin gây ra, cần phải có sự chuẩn bị và xây dựng các kịch bản, quy trình từ trước về việc ứng cứu sự cố. Quy trình ứng cứu sự cố của Học viện SANS mang tính chất tham khảo, mỗi tổ chức, doanh nghiệp cần xây dựng quy trình ứng cứu riêng phù hợp với đặc điểm của tổ chức.
Trịnh Xuân Hậu (Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ)
15:00 | 04/08/2021
14:00 | 30/06/2020
14:00 | 27/10/2021
14:00 | 28/10/2022
08:00 | 26/08/2024
DNS Tunneling là một kỹ thuật sử dụng giao thức DNS (Domain Name System) để truyền tải dữ liệu thông qua các gói tin DNS. Giao thức DNS được sử dụng để ánh xạ các tên miền thành địa chỉ IP, nhưng DNS tunneling sử dụng các trường dữ liệu không được sử dụng thông thường trong gói tin DNS để truyền tải dữ liệu bổ sung. DNS Tunneling thường được sử dụng trong các tình huống mà việc truy cập vào Internet bị hạn chế hoặc bị kiểm soát, như trong các mạng cơ quan, doanh nghiệp hoặc các mạng công cộng. Tuy nhiên, DNS Tunneling cũng có thể được sử dụng để thực hiện các cuộc tấn công mạng, bao gồm truy cập trái phép vào mạng hoặc truyền tải thông tin nhạy cảm mà không bị phát hiện.
08:00 | 22/05/2024
Phần II của bài báo tiếp tục tập trung đánh giá một số công nghệ Blockchain phổ biến hiện nay, từ đó, xem xét tính ứng dụng của các công nghệ này đối với Việt Nam.
09:00 | 28/04/2024
Thời gian gần đây, lĩnh vực an toàn thông tin ghi nhận hình thức bảo mật Bug Bounty đang ngày càng nở rộ. Tuy nhiên, bên cạnh những số liệu khủng về giải thưởng, lỗ hổng được phát hiện, vẫn có những ý kiến trái chiều về hiệu quả thực sự mà Bug Bounty đem lại cho các tổ chức, doanh nghiệp.
08:00 | 15/03/2024
Bảo mật công nghệ trí tuệ nhân tạo (AI) đặt ra nhiều thách thức và luôn thay đổi trong bối cảnh chuyển đổi số hiện nay. Khi công nghệ AI phát triển, rủi ro và bề mặt tấn công cùng các mối đe dọa mới ngày càng tăng cao. Điều này đặt ra yêu cầu đối với các nhà phát triển, tổ chức và doanh nghiệp phải có cách tiếp cận chủ động, thường xuyên đánh giá và cập nhật các biện pháp bảo mật.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Trong thời đại số hóa mạnh mẽ, khi các mối đe dọa an ninh mạng ngày càng trở nên tinh vi và khó lường, mô hình bảo mật Zero Trust nổi lên như một chiến lược phòng thủ vững chắc, giúp các tổ chức/doanh nghiệp đối phó với những cuộc tấn công mạng ngày càng gia tăng.
13:00 | 07/10/2024