Bài viết này nhằm mục đích chia sẻ chi tiết về một số điểm quan trọng trong quá trình ứng cứu sự cố.
Sự cần thiết của việc Chuẩn bị
Trước khi xử lý bất kỳ sự cố nào, các chuyên gia ứng cứu sự cố bảo mật máy tính (CSIR-Computer Security Incident Response) cần biết rất nhiều thông tin. Để bắt đầu, các nhà phân tích cần làm quen với vai trò và trách nhiệm của họ. Môi trường CNTT thay đổi liên tục đòi hỏi các nhà phân tích phải cập nhật các kỹ năng của họ. Do đó, các nhà phân tích cần phải thường xuyên luyện tập và hiểu rõ về cấu trúc liên kết của tất cả các hệ thống. Họ cần nhanh chóng xác định tất cả các tài sản thuộc trách nhiệm của mình. Đồng thời, nhóm CSIR nội bộ cũng nên tham gia vào việc quản lý lỗ hổng bảo mật và quy trình rà quét lỗ hổng.
Chất lượng thông tin thu thập được quyết định đến kết quả của ứng cứu sự cố. Ngoài ra, các nhà phân tích CSIRT cần hiểu về những mối đe dọa mà họ sẽ phải đối mặt và xác định các mối đe dọa chính mà họ có thể gặp phải.
Để chuẩn bị hiệu quả cho ứng cứu sự cố, các nhà phân tích cần quen thuộc với cơ sở hạ tầng mà họ sẽ làm việc và bối cảnh các mối đe dọa bảo mật mà họ sẽ đối mặt.
Giờ vàng trong quá trình ứng cứu sự cố
Khi nhận được cảnh báo, chúng ta cần bình tĩnh và lên kế hoạch trả lời câu hỏi "nên làm gì trong giờ đầu tiên?" Bài báo "Phases of a Critical Incident" (Các giai đoạn của một sự cố nghiêm trọng) đề cập đến giờ đầu tiên trong một sự cố nghiêm trọng là "giai đoạn khủng hoảng" và "đặc trưng bởi sự bối rối, hoảng sợ, vội vã và bế tắc." [*] Các nhà phân tích sự cố cần được diễn tập thành thạo để đảm bảo duy trì sự sáng suốt trong cuộc điều tra của họ.
Trong nhiều trường hợp, nhóm CSIR có thể không nắm rõ thông tin, không thể thực hiện một giải pháp trong thời gian giới hạn hoặc thiếu thẩm quyền điều hành. Những lúc như vậy, họ cần vận dụng các kiến thức chuyên môn và đưa ra phán đoán để giải quyết vấn đề.
Khi thực hiện điều tra và phân tích, nhóm CSIR thường gặp khó khăn trong việc tìm kiếm nguyên nhân gốc rễ. Họ thường không chắc chắn sự cố là do một hay nhiều khả năng vi phạm. Lúc này, họ nên xác định nguyên nhân có thể xảy ra nhất và hành động phù hợp. Trong giờ đầu tiên, thời gian là điều đáng chú ý. Giống như tham gia một kỳ thi, khi thời gian có hạn, hãy bỏ qua những câu hỏi bạn đang mắc kẹt trước.
Ngày nay, quy trình ứng cứu sự cố thường được đơn giản hóa do các công nghệ phát hiện và phản hồi điểm phát sinh vấn đề (EDR- Endpoint Detection and Response) được áp dụng rộng rãi.
Tìm hiểu điều gì đã thực sự xảy ra và thu hẹp khoảng cách
Sau giờ đầu tiên, có thể còn nhiều vấn đề chưa được xác định. Bạn nên dành một chút thời gian để xem xét và lập danh sách tất cả các khả năng.
Ví dụ: Khi điều tra sự cố của một máy chủ bị tấn công, sau khi đã thu thập tất cả bằng chứng nhưng vẫn chưa thể tìm ra cách máy chủ bị xâm nhập, bạn cần lập danh sách tất cả các dịch vụ có thể truy cập và kiểm tra log liên quan cho từng dịch vụ.
Đôi khi, trong quá trình phân tích sau vi phạm, các nhà phân tích CSIR có thể gặp phải những trở ngại trong việc kết hợp các manh mối. Nhưng sự thật sẽ luôn được tìm ra nếu bạn có đủ kiên nhẫn và suy nghĩ đúng đắn.
Kinh nghiệm là lợi thế
Ngoài các chuyên môn kỹ thuật, các chuyên gia CSIR giàu kinh nghiệm sẽ có lợi thế trong bước chuẩn bị, sắp xếp thứ tự ưu tiên cho các nhiệm vụ và đưa ra quyết định nhanh chóng khi được yêu cầu, cũng như xác định các tình huống có khả năng xảy ra nhất .
Các nội dung này được tham khảo từ một phần của những câu chuyện trong Security Navigator. Các nội dung thú vị khác như CSIRT và các hoạt động kiểm thử, cũng như rất nhiều số liệu về bối cảnh an ninh nói chung cũng có thể được tìm thấy ở đó.
[*]Phases of a Critical Incident." Eddusaver, 5 May 2020,
https://www.eddusaver.com/phases-of-a-critical-incident/
Nguồn: thehackernews.com.
Tín nhiệm mạng | Một nhóm tấn công đã triển khai một rootkit mới nhằm vào các hệ thống Oracle Solaris với mục tiêu xâm phạm Máy rút tiền tự động (ATM) và thực hiện rút tiền trái phép tại các ngân hàng
Tín nhiệm mạng | Một mạng botnet mới có tên là Cyclops Blink đang nhắm mục tiêu đến các bộ định tuyến của ASUS để thu thập và lấy cắp dữ liệu trên các thiết bị.
Tín nhiệm mạng | Những người bảo trì OpenSSL đã phát hành các bản vá để khắc phục một lỗ hổng bảo mật mức cao trong thư viện phần mềm của họ có thể gây ra từ chối dịch vụ (DoS).
Tín nhiệm mạng | Ủy ban bảo vệ dữ liệu Ireland đã phạt Meta 17 triệu euro vì một loạt vi phạm bảo mật theo luật GDPR của Liên minh châu Âu trong khu vực.
Tín nhiệm mạng | Vào thứ Hai, một số trang web của chính phủ Israel đã bị gián đoạn hoạt động do một cuộc tấn công từ chối dịch vụ (DDoS).
Tín nhiệm mạng | Năm 2021, sự tập trung của các tác nhân đe dọa trên nền tảng di động đã tăng lên so với những năm trước, các chiến dịch phát tán mã độc, tấn công lừa đảo và những nỗ lực khai thác các lỗ hổng zero-day nhằm vào người dùng di động cũng gia tăng đáng kể.