Tổng quan về Ứng cứu sự cố – Incident Response

incident-response-plan

Ngày 25/10/2017, Thủ tướng Chính phủ ban hành quyết định đẩy mạnh hoạt động ứng cứu sự cố trên phạm vi toàn quốc, đặc biệt giai đoạn 2020 – 2025. Bắt kịp với xu hướng hiện đại, ngay bây giờ chúng ta cần trang bị cho mình nền tảng kiến thức về Ứng cứu sự cố và kỹ năng liên quan. Điều này đặc biệt quan trọng với các  Doanh nghiệp và Tổ chức tại Việt Nam.

TỔNG QUAN VỀ ỨNG CỨU SỰ CỐ – INCIDENT RESPONSE OVERVIEW

 

1.Ứng cứu sự cố là gì?

Ứng cứu sự cố (Incident Response) là quá trình ngăn chặn, điều tra nguyên nhân, khôi phục hệ thống nhằm giảm thiểu các mối đe dọa liên quan tới vấn đề an ninh mạng. Nó đòi hỏi các doanh nghiệp phải có một phương pháp tiếp cận có tổ chức để ngăn chặn các nguy cơ an ninh và đảm bảo bảo mật cho hệ thống.

2.Tầm quan trọng của việc Ứng cứu sự cố

Bất kỳ một sự cố nào khi không được xử lý ngay có thể trở thành một vấn đề lớn trong an ninh mạng và cuối cùng nó có thể dẫn tới sự phá hủy dữ liệu hoặc làm sụp đổ hệ thống. Đối phó kịp thời với sự cố một cách nhanh chóng giúp tổ chức giảm thiểu sự thiệt hại, hạn chế các lỗ hổng, ngăn chặn mã độc tấn công, phục hồi các quy trình dịch vụ và giảm thiểu rủi ro an ninh mà các sự cố trong tương lai gây ra.

Ứng cứu sự cố vừa tạo ra những thách thức cho các tổ chức thiết lập những phương pháp tốt nhất nhằm ngăn chặn sự xâm nhập của tin tặc vào hệ thống, đồng thời nó cũng là cơ hội để chứng minh năng lực và kỹ năng ứng cứu an ninh của một tổ chức.

3.Quy trình ứng cứu sự cố

Bước 1: Chuẩn bị

Bước 2: Phát hiện / phân tích sự cố

Bước 3: Xử lý sự cố

Bước 4: Khôi phục hệ thống

quy-trinh-cac-buoc-ung-cuu-su-co

4.Kế hoạch ứng cứu sự cố (IRP) bao gồm những gì?

Một bản kế hoạch IRP phải bao gồm đầy đủ các kịch bản nhằm phát hiện, phản ứng, xử lí các sự cố an ninh có thể xảy ra. Ngoài ra, bản kế hoạch cần mô tả cụ thể cho từng kịch bản và có kế hoạch diễn tập tương ứng.

Trong bản kế hoạch xử lý sự cố thường bao gồm:

+ Xác định kịch bản ứng cứu trong tình huống cụ thể: Tấn công DDoS, xử lí mã độc, tấn công và chiếm quyền điều khiển website …

+ Tài liệu hướng dẫn các kịch bản thử nghiệm

+ Tài liệu mô tả cụ thể các bước tiến hành có kèm theo các công cụ và phương pháp tương ứng: Thu thập bằng chứng; Phát hiện nguyên nhân tấn công; Khôi phục hệ thống; Phòng chống và phát hiện các cuộc tấn công mới.

+ Các loại báo cáo và định dạng báo cáo tương ứng.

Nếu không có kế hoạch ứng phó sự cố tại chỗ, tổ chức có thể không phát hiện được cuộc tấn công hoặc có thể không làm theo đúng quy trình để ngăn chặn các mối đe dọa trên internet và phục hồi sự cố sau khi xảy ra.

ke-hoach-ung-cuu-su-co-ir-incident-response

5. 6 Giai đoạn chính của một kế hoạch ứng cứu sự cố bạn cần biết:

# 1 Chuẩn bị

Chuẩn bị các kịch bản sự cố có thể xảy ra và tiến hành diễn tập. Chuẩn bị các tài liệu hướng dẫn, quy trình và các công cụ cần thiết để thực hiện.

#2 Xác định

Khi có dấu hiệu an ninh cần tiến hành xác định xem dấu hiệu đó có phải là một sự cố an ninh hay không. Sau khi xác định sự cố cần phân loại sự cố vào trong một nhóm cụ thể để có phương án xử lí tương ứng.

#3 Hạn chế

Hạn chế thiệt hại của vụ việc và cô lập các hệ thống bị ảnh hưởng để ngăn chặn hệ thống bị thiệt hại thêm.

#4 Xóa bỏ

Tìm ra nguyên nhân gốc rễ của vụ việc, loại bỏ các hệ thống bị ảnh hưởng từ môi trường bên trong.

#5 Phục hồi

Cho phép các hệ thống bị ảnh hưởng trở lại môi trường bên trong, đảm bảo không có mối đe dọa liên quan tới vấn đề an ninh mạng tồn đọng.

#6 Rút ra bài học kinh nghiệm

Hoàn thành tài liệu hướng dẫn, thực hiện phân tích để học hỏi từ sự cố và có thể cải thiện các nỗ lực ứng cứu trong tương lai.

Để kế hoạch ứng cứu sự cố đạt hiệu quả và mang lại lợi ích cho doanh nghiệp, người đại diện bộ phận IT và người quản lý phải biết làm thế nào nhằm giảm thiểu thời gian và mức độ thiệt hại từ một sự cố gây ra, xác định các bên có liên quan từ đó đẩy nhanh thời gian hồi phục, giảm thiểu những tác động tiêu cực cho hệ thống.

Bản kế hoạch ứng cứu sự cố cần xác định và mô tả rõ vai trò, trách nhiệm của các thành viên trong nhóm phản ứng sự cố, yêu cầu họ phải có trách nhiệm thử nghiệm kế hoạch và thực hiện hành động. Kế hoạch cần nêu rõ các công cụ, công nghệ và các nguồn lực vật chất liên quan nhằm phục hồi sự cố tốt nhất.

Xem thêm: 10 khó khăn Doanh nghiệp nào cũng mắc phải trong Ứng cứu sự cố

6.Ai là người chịu trách nhiệm cho hoạt động cứu sự cố

Để chuẩn bị đúng và giải quyết các sự cố trong suốt hoạt động kinh doanh, một tổ chức nên thành lập một đội chuyên gia về ứng cứu sự cố CSIRT (computer security incident response team).

CSIRT bao gồm:

– Một quản lý ứng cứu sự cố (incident response manager). Thường là giám đốc CNTT sẽ phụ trách vị trí này. Nhà quản lý thường sẽ quan sát và ưu tiên  các hành dộng trong quá trình phát hiện, phân tích và ngăn chặn sự cố. Người quản lý phản hồi sự cố cũng truyển tải các yêu cầu đặc biệt của các sự cố nghiêm trọng tới phần còn lại của tổ chức.

– Các nhà phân tích bảo mật

Hỗ trợ người quản lý và làm việc trực tiếp với mạng lưới bị ảnh hưởng để nghiên cứu nghiên cứu thời gian, địa điểm và chi tiết của một sự cố.

– Các nhà nghiên cứu về mối đe dọa

Cung cấp những rủi ro, nguy cơ an ninh và bối cảnh toàn bộ sự cố.

– Hỗ trợ quản lý: là chìa khóa để đảm bảo các nguồn lực cần thiết, kinh phí, nhân viên và thời gian cam kết cho kế hoạch ứng phó sự cố được thực hiện tốt nhất.

– Đội phản ứng sự cố:

Đội ứng cứu sự cố có thể bao gồm một đại diện nhân sự, các kỹ thuật viên, các chuyên gia bảo mật để quản lý rủi ro, phát hiện đánh giá những nguy cơ an ninh có thể xảy ra cho tổ chức của bạn.

7.Dịch vụ ứng cứu sự cố của SecurityBox

Nhằm giúp quý Doanh nghiệp và Tổ chức của bạn phát triển bền vững, SecurityBox cung cấp gói dịch vụ ứng cứu sự cố khẩn cấp, cam kết khắc phục hoàn toàn trong vòng 24-36h làm việc. Với đội ngũ kỹ sư giàu kinh nghiệm, sở hữu công nghệ vượt trội và trang bị đầy đủ thiết bị, SecurityBox đảm bảo Ứng cứu sự cố tốt nhất hiện nay.

LIÊN HỆ NGAY

Hotline: (+84)909.808.866 Mr.Kiên