Tình hình an ninh mạng tại Việt Nam và trên thế giới đang diễn biến phức tạp, ngày càng có nhiều cuộc tấn công vào các hệ thống công nghệ thông tin quan trọng của các doanh nghiệp, tổ chức và chính phủ. Một sự cố mất an toàn thông tin khi xảy ra mà không được xử lý đúng cách và kịp thời có thể để lại những hậu quả khôn lường, dẫn tới sự phá hủy dữ liệu hoặc làm sụp đổ hệ thống hạ tầng công nghệ thông tin.
SANS là viết tắt của cụm từ “SysAdmin, Audit, Network and Security”. Học viện SANS là một tổ chức tư nhân tại Mỹ, chuyên về bảo mật thông tin, đào tạo an ninh mạng và cung cấp các chứng chỉ liên quan. Quy trình ứng cứu sự cố của SANS gồm 06 giai đoạn riêng biệt: Chuẩn bị, xác định, ngăn chặn, loại bỏ, phục hồi và rút ra bài học.
Quy trình ứng cứu sự cố của Học viện SANS
Trong giai đoạn chuẩn bị, các tài nguyên có trong tổ chức được dự trù trước để khi xảy ra sự cố có thể xử lý ngay lập tức. Học viện SANS liệt kê một số tiêu chí quan trọng cần chuẩn bị như: cần có chính sách rõ ràng, xây dựng sẵn các kịch bản kế hoạch ứng cứu, danh sách liên lạc khi cần thiết, thành lập đội ứng cứu, chuẩn bị sẵn các công cụ thường dùng.
Giai đoạn này giúp xác định một sự kiện xảy ra có phải là sự cố hay không và phạm vi ảnh hưởng của sự việc đến đâu. Để đưa ra nhận định chính xác, thông tin xử lý cần dựa vào nhiều nguồn khác nhau như: nhật ký sự kiện (event log), thông tin cảnh báo lỗi, dữ liệu trên thiết bị tường lửa, WAF, IDS, IPS... Nếu sự cố thực sự xảy ra, đội ứng cứu cần nhanh chóng xác định vùng xảy ra sự cố để thực hiện công tác ứng cứu.
Mục đích chính của giai đoạn này là hạn chế thiệt hại và ngăn chặn các thiệt hại phát sinh thêm. Hành động ngăn chặn có hai loại là ngắn hạn và dài hạn. Ngăn chặn ngắn hạn là các hành động ứng phó tức thời nhằm ngăn chặn sự ảnh hưởng của sự cố, không để thiệt hại lớn hơn. Ngăn chặn dài hạn là khắc phục được những điểm yếu tồn tại trong hệ thống để những sự cố tương tự không xảy ra trong tương lai.
Trong giai đoạn này, tất cả các thành phần không mong muốn đã gây ra sự cố sẽ bị loại bỏ. Các hành động bao gồm: loại bỏ tất cả mã độc, thay đổi mật khẩu, xóa tài khoản độc hại. Giai đoạn này cũng cần cải thiện khả năng phòng thủ sau khi đã tìm được nguyên nhân gây ra sự cố và đảm bảo rằng hệ thống không bị xâm phạm (ví dụ: cài đặt các bản vá bảo mật để khắc phục các lỗ hổng đã bị tin tặc tấn công khai thác…).
Mục đích của giai đoạn này là đưa hệ thống bị ảnh hưởng trở lại trạng thái hoạt động bình thường. Cần theo dõi, giám sát để đảm bảo hệ thống hoạt động ổn định và không bị xâm nhập trở lại. Một số việc cần thực hiện ở giai đoạn này là: Thống nhất thời gian đưa hệ thống trở lại hoạt động bình thường; Kiểm tra hệ thống đã an toàn và đầy đủ chức năng; Thực hiện theo dõi và giám sát an toàn cho hệ thống sau khi đã hoạt động trở lại.
Mục đích của giai đoạn này là tổng hợp lại tất cả những gì đã diễn ra và những việc đã làm thành báo cáo hoàn chỉnh. Báo cáo này gửi cho các bên liên quan hoặc có thể tổ chức cuộc họp để rút ra các bài học kinh nghiệm sau sự cố. Cuộc họp rút kinh nghiệm nên được thực hiện càng sớm càng tốt, thông thường là trong vòng 2 tuần sau khi sự cố xảy ra.
Quá trình ứng cứu sự cố có thể gây căng thẳng cho những người tham gia ứng cứu, vì khi đó sự cố thực sự đã xảy ra đồng nghĩa với việc người tham gia ứng cứu đang đối mặt trực tiếp với mối đe dọa. Nếu có sự chuẩn bị từ trước về con người, quy trình, vật dụng, trang thiết bị… thì khi đối mặt với các tình huống căng thẳng, áp lực cao, mới có thể nhanh chóng ngăn chặn và xử lý.
Để chủ động đối phó với các sự cố một cách nhanh chóng, giúp giảm thiểu tối đa thiệt hại do các sự cố mất an toàn thông tin gây ra, cần phải có sự chuẩn bị và xây dựng các kịch bản, quy trình từ trước về việc ứng cứu sự cố. Quy trình ứng cứu sự cố của Học viện SANS mang tính chất tham khảo, mỗi tổ chức, doanh nghiệp cần xây dựng quy trình ứng cứu riêng phù hợp với đặc điểm của tổ chức.
Trịnh Xuân Hậu (Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ)
15:00 | 04/08/2021
14:00 | 30/06/2020
14:00 | 27/10/2021
14:00 | 28/10/2022
13:00 | 14/02/2025
Sau hơn một tháng hợp tác với Cục An toàn thông tin Việt Nam (AIS), tính năng Google Play Protect nâng cao đã bảo vệ hơn 360.000 thiết bị khỏi hơn 1,5 triệu cài đặt rủi ro trên 8.000 ứng dụng độc hại tại Việt Nam. Google đã tiết lộ 5 hình thức lừa đảo trực tuyến phổ biến nhất hiện nay, đồng thời chia sẻ cách giúp người dùng an toàn hơn trên Internet.
14:00 | 13/02/2025
Microsoft vừa phát hành bản Patch Tuesday tháng 02/2025 để giải quyết 63 lỗ hổng bảo mật. Đáng lưu ý, bản vá lần này đã khắc phục 04 lỗ hổng zero-day, với 02 lỗ hổng đang bị khai thác trong các cuộc tấn công mạng.
17:00 | 14/01/2025
Máy in hiện đại, với các tính năng vượt trội, không chỉ đơn thuần là công cụ hỗ trợ làm việc mà còn tiềm ẩn nhiều rủi ro an ninh mạng. Khả năng lưu trữ dữ liệu nhạy cảm trong bộ nhớ trong của chúng khiến máy in trở thành mục tiêu tấn công của tin tặc. Bài viết này trình bày về các nguy cơ liên quan đến rò rỉ dữ liệu từ bộ nhớ máy in. Đồng thời, đề xuất các chiến lược hiệu quả nhằm giảm thiểu rủi ro khi sử dụng máy in trong các tổ chức, cơ quan Đảng và Nhà nước, góp phần bảo vệ dữ liệu quan trọng trong các hệ thống trọng yếu, góp phần đảm bảo an ninh quốc gia.
09:00 | 15/11/2024
Ngày nay, những vụ lộ, lọt thông tin cá nhân, tài chính gây chấn động toàn cầu, cho đến những cuộc bầu cử bị can thiệp, bí mật quốc gia bị rò rỉ đều nhanh chóng trở thành chủ đề thu hút trên các mặt báo lớn như The New Yorker, The Wall Street Journal…. tất cả đều cho thấy an ninh mạng đang thực sự trở thành tâm điểm chú ý của toàn xã hội.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Điện thoại di động ngày nay không chỉ là thiết bị liên lạc mà còn là "kho chứa thông tin" cá nhân quan trọng như dữ liệu tài khoản ngân hàng, hình ảnh, email và các ứng dụng mạng xã hội. Vì vậy, việc mất điện thoại hoặc bị đánh cắp không chỉ gây thiệt hại về vật chất mà còn đe dọa nghiêm trọng đến bảo mật thông tin cá nhân của chủ sở hữu thiết bị. Bài viết dưới đây sẽ cung cấp hướng dẫn chi tiết về cách bảo vệ dữ liệu trong tình huống này.
14:00 | 10/03/2025
