Nhiều công ty ngày nay đã phát triển một kế hoạch ứng phó sự cố an ninh mạng (IR). Đó là một thực tiễn bảo mật âm thanh để chuẩn bị một kế hoạch IR toàn diện để giúp tổ chức phản ứng với sự cố an ninh bất ngờ một cách có trật tự, hợp lý. Nếu không, tổ chức sẽ phát triển một kế hoạch trong khi điên cuồng ứng phó với sự cố, một công thức chín muồi cho những sai lầm.
Võ sĩ hạng nặng Mike Tyson từng nói: “Mọi người đều có kế hoạch cho đến khi họ bị đấm vào miệng”.
Một sự cố an ninh mạng quan trọng là một cú đấm tương đương vào miệng nhóm an ninh mạng và có lẽ là toàn bộ tổ chức. Ít nhất là lúc đầu.
Phát triển một kế hoạch ứng phó sự cố chắc chắn là thông minh, nhưng nó chỉ giúp tổ chức cho đến nay. Tùy thuộc vào mức độ nghiêm trọng của sự cố và mức độ chuyên môn về an ninh mạng trong tổ chức bị vi phạm, sự cố an ninh mạng thường dẫn đến sự hoảng loạn và xáo trộn trong tổ chức – kế hoạch hoặc không có kế hoạch.
Thật đáng lo ngại khi các hệ thống và dữ liệu bị khóa bởi ransomware hoặc không biết liệu một kẻ xâm nhập tiềm năng bị ẩn trên mạng có tiếp tục gây thiệt hại và làm mất dữ liệu hay không.
Một trong những điều đầu tiên mà hầu hết các tổ chức vi phạm thực hiện là gọi cho nhóm Phản ứng sự cố bên thứ 3 dày dạn. Nhiều nhà cung cấp IR tuân theo quy trình 6 bước có cấu trúc được xác định bởi Viện Sans trong 20 trang Cẩm nang xử lý sự cố. Sáu bước được phác thảo là:
- Sự chuẩn bị-xem xét và mã hóa chính sách bảo mật của tổ chức, thực hiện đánh giá rủi ro, xác định các tài sản nhạy cảm, xác định các sự cố bảo mật quan trọng mà nhóm nên tập trung và xây dựng Nhóm ứng phó sự cố bảo mật máy tính (CSIRT).
- Nhận biết-giám sát các hệ thống CNTT và phát hiện các sai lệch so với các hoạt động bình thường và xem liệu chúng có đại diện cho các sự cố bảo mật thực tế hay không. Khi một sự cố được phát hiện, thu thập thêm bằng chứng, thiết lập loại và mức độ nghiêm trọng của nó, và ghi lại mọi thứ.
- Ngăn chặnthực hiện ngăn chặn ngắn hạn, ví dụ, bằng cách cô lập phân đoạn mạng đang bị tấn công. Sau đó tập trung vào ngăn chặn dài hạn, bao gồm các sửa chữa tạm thời để cho phép các hệ thống được sử dụng trong sản xuất trong khi xây dựng lại các hệ thống sạch.
- Diệt trừ-xóa phần mềm độc hại khỏi tất cả các hệ thống bị ảnh hưởng, xác định nguyên nhân gốc của cuộc tấn công và thực hiện hành động để ngăn chặn các cuộc tấn công tương tự trong tương lai.
- Hồi phục-đưa các hệ thống sản xuất bị ảnh hưởng trở lại trực tuyến một cách cẩn thận, để ngăn chặn các cuộc tấn công bổ sung. Kiểm tra, xác minh và giám sát các hệ thống bị ảnh hưởng để đảm bảo chúng trở lại hoạt động bình thường.
- Bài học kinh nghiệmkhông muộn hơn hai tuần kể từ khi kết thúc vụ việc, thực hiện hồi cứu vụ việc. Chuẩn bị tài liệu đầy đủ về vụ việc, điều tra thêm về vụ việc, hiểu những gì đã được thực hiện để chứa nó và liệu có bất cứ điều gì trong quy trình ứng phó sự cố có thể được cải thiện hay không.
Một trong những nhà cung cấp ứng phó sự cố hàng đầu toàn cầu là BugSec. Các tổ chức tiếp cận với BugSec khi có sự thỏa hiệp, nhưng công ty (và các nhà cung cấp bảo mật hiện tại của họ) không thể tìm ra chính xác vấn đề là gì.
Có thể công ty đã bị nhiễm ransomware, nhưng không thể tìm ra cách nó được triển khai và liệu đối thủ có quyền truy cập vào mạng hay không. Có lẽ công ty đã nhận thức được tài sản trí tuệ bị đánh cắp và không biết làm thế nào thông tin được thực hiện.
Lệnh kinh doanh đầu tiên của nhóm BugSec là tìm ra những hành động độc hại nào đã xảy ra và làm thế nào kẻ thù có thể thỏa hiệp với tổ chức. Khi BugSec có thể xác định và chứa sự cố, họ có thể xóa hoàn toàn tất cả các thành phần và hiện vật tấn công và sau đó khôi phục hoàn toàn các hoạt động.
Làm thế nào để BugSec hoàn thành nhiệm vụ khó khăn trong việc xác định, chứa và làm lại toàn bộ phạm vi của một cuộc tấn công mạng?
Một công cụ như vậy BugSec dựa vào hầu như tất cả các giao dịch IR là Mạng 360. Cynet cung cấp nền tảng của nó cho các nhà cung cấp IR miễn phí. Tác nhân Cynet có thể được triển khai tới hàng ngàn điểm cuối trong vài giờ và ngay lập tức cung cấp khả năng hiển thị cho các điểm cuối, quy trình, tệp, lưu lượng mạng, tài khoản người dùng, v.v.
Nền tảng tự động phát hiện sự bất thường và có thể nhanh chóng xác định nguyên nhân gốc rễ của cuộc tấn công và phơi bày toàn bộ phạm vi của nó.
Hơn nữa, Cynet loại bỏ các mối đe dọa tích cực “đang hoạt động” và có thể được sử dụng để khắc phục phức tạp hơn trên môi trường. Playbook khắc phục tùy chỉnh có thể dễ dàng được cấu hình và triển khai để xóa hoàn toàn các thành phần tấn công phức tạp trên môi trường để các hoạt động có thể được khôi phục nhanh chóng. Thông tin thêm về cách BugSec hoạt động với Cynet có thể được tìm thấy ở đây.
Bạn có thể bị đấm vào miệng bởi một tội phạm mạng rất có khả năng một ngày nào đó. Chỉ cần nhớ rằng các chuyên gia đã sẵn sàng để giúp bạn phục hồi khi kế hoạch IR của bạn dường như sụp đổ.
