Trong bài viết trước chúng tôi đã nêu lên cách phòng tránh mã độc từ chuyên gia. Tuy nhiên, phòng chống không đồng nghĩa với việc miễn nhiễm với mã độc. Bài viết dưới đây sẽ hướng dẫn các bạn các cách xử lý sự cố mã độc.

1. Tổng quan về xử lý sự cố mã độc

Xử lý mã độc cần một tiến trình khoa học để đảm bảo hiệu quả. Một tiến tình xử lý sự cố mã độc bao gồm 4 pha: chuẩn bị, phát hiện và phân tích, ngăn chặn/loại trừ/khôi phục và hoạt động sau sự cố.

1.1 Pha chuẩn bị

Pha đầu tiên bao gồm các hoạt động chuẩn bị sẵn sàng cho ứng cứu sự cố mã độc. Có thể kể đến như phổ biến các bước xử lý khi gặp mã độc. Hoặc là các chương trình huấn luyện ứng cứu sự cố mã độc cho đội ngũ chuyên trách. Pha chuẩn bị cũng bao gồm việc áp dụng các chính sách, hoạt động nâng cao nhận thức và ứng dụng công cụ ngăn chặn mã độc. Ngay cả khi áp dụng đủ các biện pháp kể trên thì vẫn còn nhiều khả năng tồn tại rủi ro và không biện pháp nào là không thể bị qua mặt.

1.2 Pha phát hiện và phân tích

Việc phát hiện, xác định mã độc là cần thiết để cảnh báo doanh nghiệp ngay khi có sự cố. Phát hiện, cảnh báo sớm là khâu đặc biệt quan trọng. Phát hiện mã độc càng sớm, xử lý kịp thời thì ảnh hưởng thiệt hại do mã độc gây ra càng được giảm thiểu về cả quy mô và mức độ nghiêm trọng.

1.3 Pha ngăn chặn, loại trừ và khôi phục

Tùy vào từng sự cố, doanh nghiệp cần áp dụng những hành động thích hợp dựa trên mức độ nghiêm trọng để giảm thiểu thiệt hại, gỡ bỏ mã độc và khôi phục lại hệ thống. Doanh nghiệp có thể cần thực hiện lại bước phát hiện và phân tích trong khi ngăn chặn/loại trừ và khôi phục. Ví dụ, ngay cả khi pha phát hiện/phân tích ban đầu được thực hiện xong thì những phát hiện bổ sung trong quá trình ngăn chặn/loại trừ/khôi phục cũng khiến doanh nghiệp phải thực hiện lại công đoạn rà quét/phát hiện và phân tích.

1.4 Pha hoạt động sau khi mã độc được xử lý

Sau khi sự cố được xử lý, doanh nghiệp cần lập báo cáo chi tiết về nguyên nhân của sự cố, thiệt hại mà sự cố gây ra và các biện pháp cần thực hiện để ngăn chặn các cuộc tấn công mã độc trong tương lai.

2. Quy trình xử lý sự cố mã độc bao gồm các bước:

2.1 Chuẩn bị

Các doanh nghiệp cần thực hiện các biện pháp sẵn sàng ứng phó với sự cố mã độc. Cần xây dựng và duy trì các kỹ năng liên quan đến mã độc trong đội ứng phó sự cố. Từ đó tạo điều kiện truyền thông và toàn bộ tổ chức sẵn sàng khi sự cố xảy ra. Đồng thời trang bị các công cụ và tài nguyên phục vụ việc phòng tránh sự cố mã độc.

2.2 Phát hiện và phân tích

Doanh nghiệp cần nỗ lực xác định và đánh giá sự cố mã độc càng sớm càng tốt để giảm thiểu số máy tính bị lây nhiễm và mức độ thiệt hại mà mã độc gây ra. Vì mã độc có thể ở nhiều dạng và được phát tán qua nhiều cách nên có nhiều dấu hiệu sự cố và nhiều vị trí mà doanh nghiệp có thể phát hiện và ghi nhận các dấu hiệu đó. Sẽ cần những phân tích sâu, yêu cầu kiến thức kỹ thuật và kinh nghiệm vững vàng để khẳng định một sự cố gây ra bởi mã độc, đặc biệt đối với những mã độc mới, chưa từng được biết đến.

Sau khi xác định và đánh giá, các chuyên viên xử lý sự cố mã độc cần xác định loại, phạm vi và mức độ nghiêm trọng của sự cố nhanh nhất có thể để đưa ra phương án khắc phục thích hợp nhất.

2.3 Ngăn chặn sự cố tiếp diễn

2.3.1 Ngăn chặn sự cố trầm trọng hơn

Ngăn chặn sự cố tiếp diễn nhằm chặn sự lây lan của mã độc và tránh gia tăng thiệt hại. Khi xử lý một sự cố mã độc, doanh nghiệp cần có phương pháp ngăn chặn nào ngay từ đầu. Ngăn chặn các sự cố trên hệ thống cô lập và sự cố liên quan đến các dạng không lây nhiễm của mã độc nói chung là đơn giản. Doanh nghiệp chỉ cần ngắt kết nối các máy bị ảnh hưởng khỏi mạng hoặc tắt máy.

Đối với mã độc lan rộng như worm, doanh nghiệp nên ngăn chặn sự cố ưu tiên các máy chủ. Điều này sẽ hạn chế số lượng máy bị lây nhiễm, giảm thiểu thiệt hại và rút ngắn thời gian cần để phục hồi hoàn toàn dữ liệu và dịch vụ.

2.3.2 Ngăn chặn các sự cố tiếp diễn

Doanh nghiệp nên có các chiến lược và thủ tục thích hợp để đưa ra các quyết định liên quan đến phương án ngăn chặn sự cố tiếp diễn dựa vào mức độ thiệt hại chấp nhận được. Ví dụ, doanh nghiệp có thể quyết định rằng máy chủ bị nhiễm mã độc đang thực hiện các tác vụ quan trọng và không nên ngắt kết nối máy đó khỏi mạng hoặc tắt máy đó nếu các tác vụ là không đáng để đổi lấy nguy cơ mất an toàn do không được cô lập.
Các phương án ngăn chặn sự cố tiếp diễn có thể dựa trên 4 chiến lược chính: dựa vào sự tham gia của người dùng, áp dụng hệ thống phòng thủ tự động, các dịch vụ có thể tạm dừng, và chặn một số loại kết nối mạng cụ thể.

2.4 Loại bỏ mã độc

Nếu một mã độc đã lây nhiễm thành công vì lỗ hổng của máy tính hoặc các điểm yếu về bảo mật khác, chẳng hạn như chia sẻ tệp tin không an toàn, thì việc loại trừ hoặc giảm thiểu điểm yếu đó sẽ giúp máy tính tránh khỏi nguy cơ lây nhiễm từ một biến thể khác của mã độc ban đầu. Hành động gỡ bỏ thường được củng cố với nỗ lực ngăn chặn. Ví dụ, doanh nghiệp có thể chạy một công cụ xác định các máy tính bị nhiễm, áp dụng các bản vá để loại bỏ các lỗ hổng bảo mật và chạy phần mềm diệt virus để loại bỏ mã độc.

Các hành động ngăn chặn thường hạn chế các lựa chọn gỡ bỏ. Sau khi một sự cố được ngăn chặn bằng cách ngắt kết nối các máy bị nhiễm từ mạng chính. Các máy này phải được kết nối với một VLAN riêng để chúng có thể được cập nhật từ xa, hoặc cập nhật và cấu hình lại bằng tay. Vì máy tính đã bị ngắt kết nối khỏi mạng chính nên chuyên viên xử lý sự cố sẽ phải chịu áp lực để thực hiện các gỡ bỏ trên máy chủ càng nhanh càng tốt để người dùng có thể tiếp tục công việc trên máy tính của họ.

2.5 Khôi phục hệ thống sau sự cố

Hai khía cạnh chính của việc khôi phục hệ thống sau sự cố mã độc là phục hồi chức năng, dữ liệu của máy tính bị lây nhiễm và gỡ các biện pháp ngăn chặn tạm thời. Đối với các mã độc gây thiệt hại nghiêm trọng như Trojan, rootkit hoặc backdoor. Những mã độc này có khả năng phá hỏng hàng ngàn tập tin hệ thống hoặc xóa sạch ổ cứng. Cách tốt nhất để khôi phục chức năng và dữ liệu là cài đặt lại hệ thống. Sau đó sử dụng bản sao lưu dữ liệu tốt nhất còn giữ được.

Doanh nghiệp nên xem xét cẩn thận các tình huống xấu nhất có thể xảy ra. Có thể kể đến các mối đe dọa từ một mẫu mã độc mới đòi hỏi phải cài đặt lại số lượng lớn các máy trạm và xác định xem các máy chủ sẽ được phục hồi như thế nào trong những trường hợp này. Điều này cần bao gồm việc xác định ai sẽ thực hiện các nhiệm vụ khôi phục, ước tính số giờ lao động cần thiết và xác định những thao tác phục hồi cần được ưu tiên như thế nào.

2.6 Tổng kết và rút kinh nghiệm

Khi xảy ra một sự cố mã độc nghiêm trọng, các cá nhân chủ chốt thực hiện nhiệm vụ ứng cứu thường phải làm việc tích cực liên tục nhiều ngày hoặc vài tuần. Khi những nỗ lực xử lý sự cố kết thúc, họ có thể vì mệt mỏi về tinh thần và thể lực hoặc vì khối lượng công việc khôi phục, duy trì ngăn chặn vẫn còn nhiều. Vậy nên khâu tổng kết và rút kinh nghiệm thường bị xem nhẹ, chậm trễ hoặc bỏ qua hoàn toàn.

Tuy nhiên, các sự cố mã độc nghiêm trọng có thể rất tốn kém để xử lý. Vậy nên việc tổng kết và rút kinh nghiệm là đặc biệt quan trọng đối với doanh nghiệp. Các cuộc họp đánh giá nên diễn ra nhanh chóng trong khi sự cố vẫn còn mới. Bài học kinh nghiệm rút ra từ sự cố mã độc quan trọng không kém các sự cố. Các kết quả có thể có của hoạt động tổng kết qua các sự cố phần mềm độc hại:

2.6.1 Tổng kết

– Thay đổi chính sách an toàn thông tin. Các chính sách an toàn thông tin có thể cần phải sửa đổi để thích hợp hơn với doanh nghiệp.

– Thay đổi chương trình nâng cao nhận thức. Các thay đổi này nhằm giảm thiểu số trường hợp lây nhiễm không đáng có trên máy tính nhân viên. Hoặc nhằm cải thiện các hoạt động người dùng trong việc báo cáo sự cố và hỗ trợ xử lý sự cố trên chính máy tính của họ.

– Điều chỉnh cấu hình phần mềm. Các thiết lập cấu hình hệ điều hành và ứng dụng có thể cần phải điều chỉnh lại. Mục đích hỗ trợ các thay đổi về chính sách hoặc tuân thủ đối với các chính sách hiện hành.

– Triển khai hệ thống phát hiện mã độc. Trường hợp máy tính lây nhiễm mã độc qua cơ chế mà các phần mềm diệt virus không phát hiện. Doanh nghiệp cần xem xét về việc triển khai các công nghệ phòng thủ bổ sung.

– Điều chỉnh cấu hình cho các hệ thống phát hiện mã độc. Các hệ thống phát hiện mã độc có thể cần phải cấu hình lại trong nhiều trường hợp như:

• Tăng tần suất cập nhật chữ ký mã độc

• Cải thiện độ chính xác của việc phát hiện

• Mở rộng phạm vi giám sát: tăng số cơ chế giám sát lây nhiễm, loại tập tin giám sát

• Thay đổi hành động tự động sau khi phát hiện một mã độc

• Cải thiện tính hiệu quả trong phân phối các bản cập nhật

Giải pháp quản trị an ninh mạng của SecurityBox

Giải pháp quản trị nguy cơ an ninh mạng SecurityBox phát triển và hoàn thiện nhằm giải quyết mọi khó khăn của doanh nghiệp trong vấn đề bảo vệ an ninh mạng cho hệ thống webiste hay mạng nội bộ của doanh nghiệp.

SecurityBox sẽ đóng vai trò là một người giám sát hệ thống mạng nội bộ, hệ thống website của doanh nghiệp. Giải pháp giúp đảm bảo trạng thái an toàn 24/7 cho hệ thống mạng. Thiết bị vẽ ra một bức trang tổng thể về tình trạng an ninh mạng của doanh nghiệp; giúp doanh nghiệp có được cái nhìn trực quan về điểm mạnh, điểm yếu, lỗ hổng và cả các nguy cơ an ninh mạng tồn tại trong mạng lưới đó. Ngoài ra thiết bị còn đưa ra các giải pháp giúp khắc phục các lỗ hổng hiện có. Cuối cùng là chức năng suất báo cáo định kỳ về tình trạng an ninh mạng trong doanh nghiệp.

Doanh nghiệp có nhu cầu tư vấn về an ninh mạng xin liên hệ info@securitybox.vn. Hoặc có thể điền vào form dưới để Securitybox có thể liên hệ lại và tư vấn.