Các vấn đề quan trọng trong quá trình ứng cứu sự cố

Bài viết này nhằm mục đích chia sẻ chi tiết về một số điểm quan trọng trong quá trình ứng cứu sự cố.

Sự cần thiết của việc Chuẩn bị

Trước khi xử lý bất kỳ sự cố nào, các chuyên gia ứng cứu sự cố bảo mật máy tính (CSIR-Computer Security Incident Response) cần biết rất nhiều thông tin. Để bắt đầu, các nhà phân tích cần làm quen với vai trò và trách nhiệm của họ. Môi trường CNTT thay đổi liên tục đòi hỏi các nhà phân tích phải cập nhật các kỹ năng của họ. Do đó, các nhà phân tích cần phải thường xuyên luyện tập và hiểu rõ về cấu trúc liên kết của tất cả các hệ thống. Họ cần nhanh chóng xác định tất cả các tài sản thuộc trách nhiệm của mình. Đồng thời, nhóm CSIR nội bộ cũng nên tham gia vào việc quản lý lỗ hổng bảo mật và quy trình rà quét lỗ hổng.

Chất lượng thông tin thu thập được quyết định đến kết quả của ứng cứu sự cố. Ngoài ra, các nhà phân tích CSIRT cần hiểu về những mối đe dọa mà họ sẽ phải đối mặt và xác định các mối đe dọa chính mà họ có thể gặp phải.

Để chuẩn bị hiệu quả cho ứng cứu sự cố, các nhà phân tích cần quen thuộc với cơ sở hạ tầng mà họ sẽ làm việc và bối cảnh các mối đe dọa bảo mật mà họ sẽ đối mặt.

Giờ vàng trong quá trình ứng cứu sự cố

Khi nhận được cảnh báo, chúng ta cần bình tĩnh và lên kế hoạch trả lời câu hỏi "nên làm gì trong giờ đầu tiên?" Bài báo "Phases of a Critical Incident" (Các giai đoạn của một sự cố nghiêm trọng) đề cập đến giờ đầu tiên trong một sự cố nghiêm trọng là "giai đoạn khủng hoảng" và "đặc trưng bởi sự bối rối, hoảng sợ, vội vã và bế tắc." [*] Các nhà phân tích sự cố cần được diễn tập thành thạo để đảm bảo duy trì sự sáng suốt trong cuộc điều tra của họ.

Trong nhiều trường hợp, nhóm CSIR có thể không nắm rõ thông tin, không thể thực hiện một giải pháp trong thời gian giới hạn hoặc thiếu thẩm quyền điều hành. Những lúc như vậy, họ cần vận dụng các kiến ​​thức chuyên môn và đưa ra phán đoán để giải quyết vấn đề.

Khi thực hiện điều tra và phân tích, nhóm CSIR thường gặp khó khăn trong việc tìm kiếm nguyên nhân gốc rễ. Họ thường không chắc chắn sự cố là do một hay nhiều khả năng vi phạm. Lúc này, họ nên xác định nguyên nhân có thể xảy ra nhất và hành động phù hợp. Trong giờ đầu tiên, thời gian là điều đáng chú ý. Giống như tham gia một kỳ thi, khi thời gian có hạn, hãy bỏ qua những câu hỏi bạn đang mắc kẹt trước.

Ngày nay, quy trình ứng cứu sự cố thường được đơn giản hóa do các công nghệ phát hiện và phản hồi điểm phát sinh vấn đề (EDR- Endpoint Detection and Response) được áp dụng rộng rãi.

Tìm hiểu điều gì đã thực sự xảy ra và thu hẹp khoảng cách

Sau giờ đầu tiên, có thể còn nhiều vấn đề chưa được xác định. Bạn nên dành một chút thời gian để xem xét và lập danh sách tất cả các khả năng.

Ví dụ: Khi điều tra sự cố của một máy chủ bị tấn công, sau khi đã thu thập tất cả bằng chứng nhưng vẫn chưa thể tìm ra cách máy chủ bị xâm nhập, bạn cần lập danh sách tất cả các dịch vụ có thể truy cập và kiểm tra log liên quan cho từng dịch vụ.

Đôi khi, trong quá trình phân tích sau vi phạm, các nhà phân tích CSIR có thể gặp phải những trở ngại trong việc kết hợp các manh mối. Nhưng sự thật sẽ luôn được tìm ra nếu bạn có đủ kiên nhẫn và suy nghĩ đúng đắn.

Kinh nghiệm là lợi thế

Ngoài các chuyên môn kỹ thuật, các chuyên gia CSIR giàu kinh nghiệm sẽ có lợi thế trong bước chuẩn bị, sắp xếp thứ tự ưu tiên cho các nhiệm vụ và đưa ra quyết định nhanh chóng khi được yêu cầu, cũng như xác định các tình huống có khả năng xảy ra nhất .

Các nội dung này được tham khảo từ một phần của những câu chuyện trong Security Navigator. Các nội dung thú vị khác như CSIRT và các hoạt động kiểm thử, cũng như rất nhiều số liệu về bối cảnh an ninh nói chung cũng có thể được tìm thấy ở đó.

[*]Phases of a Critical Incident." Eddusaver, 5 May 2020, 

https://www.eddusaver.com/phases-of-a-critical-incident/

Nguồn: thehackernews.com.