Kế hoạch ứng phó cho sự cố – Chuẩn bị cho trường hợp bất trắc.



Sự thật đáng tiếc là trong khi các công ty đang đầu tư nhiều hơn vào các biện pháp phòng thủ mạng và coi trọng vấn đề an ninh mạng hơn bao giờ hết, thì các vụ vi phạm thành công và các cuộc ransomware attacks cũng đang trên đà gia tăng. Mặc dù việc bị tấn công không phải là không thể tránh khỏi, nhưng nó ngày càng có khả năng xảy ra nhiều hơn mặc dù đã cố gắng hết sức để ngăn chặn nó.

Các công ty phải đối mặt với thực tế rằng họ cần chuẩn bị – và huấn luyện lại tổ chức – lập ra một kế hoạch ứng phó được tính toán kỹ lưỡng nếu một cuộc tấn công mạng xảy đến. Rõ ràng, thời điểm tồi tệ nhất để lập kế hoạch phản ứng cyber-attacks là khi nó đã xảy ra.

Với rất nhiều công ty trở thành nạn nhân của các cuộc cyber-attack, toàn bộ ngành dịch vụ Ứng phó Sự cố (IR) qui mô nhỏ đã hình thành. Hàng nghìn cam kết IR đã giúp đưa ra các phương pháp hay nhất và hướng dẫn chuẩn bị để giúp những người chưa trở thành nạn nhân của một cuộc cyber-attacks.

Lập kế hoạch cho điều tồi tệ nhất.

Lee Child Quote: “Hope for the best, plan for the worst.”

Câu ngạn ngữ cổ “hy vọng điều tốt nhất, chuẩn bị cho điều tồi tệ nhất” không hoàn toàn chính xác ở đây. Hầu hết các công ty đang tích cực làm việc để bảo vệ mình khỏi các cuộc cyber-attacks và chắc chắn không chỉ đơn thuần hy vọng điều tốt nhất. Mặc dù vậy, lập kế hoạch cho những việc cần làm sau khi vi phạm là một nỗ lực rất đáng giá để công ty có thể bắt tay ngay vào hành động thay vì chờ đợi kế hoạch. Khi một vi phạm dữ liệu xảy ra và những hacker có quyền truy cập vào mạng, mỗi giây đều có giá trị.

Sáu bước cơ bản là:

The Worst Case Scenario - Survival Experience | The Franklin Institute

Chuẩn bị — xem xét lại và hệ thống hóa chính sách bảo mật của tổ chức, thực hiện đánh giá rủi ro, xác định đâu là tài sản nhạy cảm, đâu là các sự cố bảo mật quan trọng mà nhóm cần tập trung vào và xây dựng Nhóm Ứng phó Sự cố An ninh Máy tính (CSIRT).

Nhận dạng — giám sát hệ thống CNTT và phát hiện các sai lệch so với các hoạt động bình thường và xem liệu chúng có là các sự cố bảo mật thực tế hay không. Khi một sự cố được phát hiện, hãy thu thập thêm bằng chứng, xác định loại và mức độ nghiêm trọng của nó, và ghi lại mọi thứ.

Kiểm soát — thực hiện ngăn chặn trong thời gian ngắn, chẳng hạn, bằng cách cô lập phân đoạn mạng đang bị tấn công. Sau đó, tập trung vào việc ngăn chặn lâu dài, bao gồm các bản sửa lỗi tạm thời để cho phép các hệ thống được lại sử dụng cho việc sản xuất, đồng thời xây dựng lại các hệ thống sạch.

Diệt trừ — loại bỏ malware khỏi tất cả các hệ thống bị ảnh hưởng, xác định nguyên nhân gốc rễ của cuộc tấn công và thực hiện hành động để ngăn chặn các cuộc tấn công tương tự trong tương lai.

Khôi phục — đưa các hệ thống sản xuất bị ảnh hưởng trở lại hoạt động trực tuyến một cách cẩn thận để ngăn chặn các cuộc tấn công khác kéo theo. Kiểm tra, xác minh và giám sát các hệ thống bị ảnh hưởng để đảm bảo chúng trở lại hoạt động bình thường.

Bài học rút ra — chậm nhất là hai tuần kể từ khi sự việc kết thúc, hãy hồi tưởng lại sự việc. Chuẩn bị tài liệu đầy đủ về sự cố, điều tra thêm về sự cố, hiểu những gì đã được thực hiện để kiểm soát nó và liệu có thể cải thiện bất kỳ điều gì trong quá trình ứng phó sự cố hay không.

nguồn: thehackernews.



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật