Kế hoạch ứng phó sự cố bảo mật và cách triển khai cho doanh nghiệp
22 December, 2023

Kế hoạch ứng phó sự cố bảo mật và cách triển khai cho doanh nghiệp

Sự tiềm ẩn của các mối đe dọa an ninh mạng khiến quá trình bảo vệ hệ thống dữ liệu trở nên khó khăn. Nắm rõ quy trình ứng phó sự cố bảo mật giúp doanh nghiệp đối phó với vấn đề này dễ dàng và hiệu quả.

Dù xây dựng và bảo mật hệ thống dữ liệu kỹ lưỡng nhưng bất kỳ doanh nghiệp nào cũng có thể trở thành nạn nhân của các cuộc tấn công mạng. Chính điều này cũng thúc đẩy các tổ chức tìm kiếm giải pháp ứng phó sự cố bảo mật. Trong bài viết này, FPT Smart Cloud sẽ đưa ra hướng dẫn chi tiết giúp doanh nghiệp bắt đầu đối phó với các sự cố hiệu quả. 

Ứng phó sự cố bảo mật là gì?

Hoạt động ứng phó sự cố bảo mật đại diện cho quá trình xử lý của tổ chức khi họ nghi ngờ hệ thống công nghệ thông tin hoặc dữ liệu bị xâm phạm. 

Mục tiêu chính của hoạt động này là loại bỏ mối đe dọa nhanh chóng cũng như khôi phục hệ thống và dữ liệu. Sau đó, những người xử lý sẽ thông báo cho khách hàng hoặc cơ quan chính phủ theo yêu cầu pháp luật địa phương. Bên cạnh đó, hoạt động ứng phó sự cố bảo mật còn hướng tới việc giảm thiểu rủi ro cho các vi phạm tương tự trong tương lai.

 

Ứng phó sự cố bảo mật loại bỏ mối đe dọa an ninh mạng
Ứng phó sự cố bảo mật loại bỏ mối đe dọa an ninh mạng

Cách thức hoạt động của quá trình ứng phó sự cố

Đội an ninh thường bắt đầu quá trình ứng phó khi họ nhận được cảnh báo từ hệ thống quản lý sự kiện và thông tin bảo mật (SIEM). Để đảm bảo tính xác thực của cảnh báo, các thành viên sẽ kiểm tra xem sự kiện đó có đủ điều kiện để được coi là sự cố hay không. Sau đó, họ sẽ cô lập hệ thống bị nhiễm độc và loại bỏ mối đe dọa.

Trong trường hợp sự cố nghiêm trọng hoặc cần thời gian dài để giải quyết, tổ chức có thể giải quyết phức tạp hơn. Họ cần khôi phục dữ liệu từ sao lưu, xử lý vấn đề tiền chuộc hoặc thông báo cho khách hàng về việc dữ liệu của họ đã bị xâm phạm.

Do vậy, để đảm bảo ra quyết định xử lý đúng đắn, các chuyên gia về quyền riêng tư, luật sư, người đưa ra quyết định kinh doanh cũng được kêu gọi để tham gia vào quá trình. Họ sẽ đóng góp vào việc xác định các biện pháp mà tổ chức định sử dụng để xử lý vấn đề.

7 loại sự cố bảo mật thường gặp

Có nhiều cách thức để kẻ xấu xâm phạm dữ liệu và hệ thống kinh doanh của công ty. Dưới đây là một số loại sự cố phổ biến mà doanh nghiệp cần nắm rõ.

Lừa đảo qua mạng

Lừa đảo qua mạng là loại lừa đảo phi kỹ thuật, trong đó kẻ tấn công sử dụng email, tin nhắn văn bản hoặc cuộc gọi thoại để giả mạo thương hiệu hoặc người có uy tín. Mục tiêu của cuộc tấn công này là thuyết phục người nhận thực hiện hành động như tải xuống phần mềm độc hại hoặc cung cấp mật khẩu.

 

Bất kỳ ai cũng có thể là nạn nhân của nạn lừa đảo qua mạng
Bất kỳ ai cũng có thể là nạn nhân của nạn lừa đảo qua mạng

Các cuộc tấn công qua mạng lợi dụng lòng tin của người dùng và áp dụng các thủ thuật tâm lý như tạo ra nỗi sợ hãi để thúc đẩy họ hành động. Thông thường, các cuộc lừa đảo thường không nhắm tới mục tiêu cụ thể mà được triển khai một cách khá rộng rãi. 

Tuy nhiên, vẫn có một phiên bản tinh vi hơn được gọi là “tấn công lừa đảo”, sử dụng nghiên cứu sâu rộng để tạo ra thông điệp nhằm thuyết phục một cá nhân duy nhất.

Mã độc tống tiền

Trong cuộc tấn công mã độc tống tiền, kẻ xấu sẽ sử dụng phần mềm độc hại để mã hóa các dữ liệu và hệ thống quan trọng. Sau đó, họ đe dọa công khai hoặc phá hủy dữ liệu nếu nạn nhân không chịu đưa tiền chuộc.

Tấn công xen giữa

Tội phạm có thể lấy dữ liệu của một cá nhân bằng cách chen vào cuộc trò chuyện trực tuyến. Với phương thức này, tội phạm mạng cố gắng kiểm soát một trong những người tham gia cuộc trò chuyện để thu thập dữ liệu quan trọng từ họ.

Hoạt động truy cập trái phép

Nhiều vụ vi phạm bảo mật bắt đầu từ việc đánh cắp thông tin xác thực của tài khoản. Kẻ tấn công có thể có được mật khẩu thông qua chiến dịch lừa đảo trực tuyến hoặc bằng cách đoán mật khẩu phổ biến. 

Khi xâm nhập vào hệ thống, chúng thường cài đặt phần mềm độc hại, do thám mạng, hoặc mở rộng quyền truy cập vào dữ liệu nhạy cảm hơn.

 

Kẻ xấu đánh cắp tài khoản và truy cập dữ liệu nhạy cảm
Kẻ xấu đánh cắp tài khoản và truy cập dữ liệu nhạy cảm

Phần mềm xấu

Phần mềm xấu được thiết kế với mục đích gây hại cho hệ thống máy tính hoặc trích rút dữ liệu. Các dạng của phần mềm xấu bao gồm vi-rút, mã độc tống tiền, phần mềm gián điệp và trojan. 

Kẻ tấn công thường cài đặt phần mềm xấu bằng cách khai thác các lỗ hổng trong phần cứng và phần mềm. Ngoài ra, chúng cũng thường sử dụng kỹ thuật lừa đảo phi kỹ thuật để thuyết phục nhân viên thực hiện hành động này.

Tấn công DDoS

Trong cuộc tấn công từ chối dịch vụ (DDoS), tác nhân đe dọa sử dụng lưu lượng truy cập để làm cho mạng hoặc hệ thống tràn đầy dẫn đến sự chậm trễ. 

Thông thường, kẻ tấn công nhắm mục tiêu vào các tổ chức lớn như ngân hàng hoặc cơ quan chính phủ với mục đích làm họ mất thời gian và nguồn lực tài chính. Tuy nhiên, mọi tổ chức (không phụ thuộc vào quy mô) đều có thể trở thành nạn nhân của hình thức tấn công này.

 

Tấn công Ddos thường nhắm vào các doanh nghiệp lớn
Tấn công Ddos thường nhắm vào các doanh nghiệp lớn

Các mối đe dọa nội bộ

Mặc dù hầu hết các cuộc tấn công xuất phát từ bên ngoài tổ chức, đội bảo mật vẫn cần theo dõi các mối đe dọa từ bên trong. Vì đôi khi, nhân viên và người có quyền truy cập hợp pháp vào các tài nguyên hạn chế có thể vô tình hoặc cố ý làm lộ thông tin nhạy cảm.

Xem thêm: Top 10 phương pháp hàng đầu để bảo mật dữ liệu doanh nghiệp

Ai là người tham gia ứng phó sự cố?

Đội ngũ ứng phó sự cố (còn được biết đến như là CSIRT, CIRT hoặc CERT) là một nhóm chuyên gia trong tổ chức chịu trách nhiệm về thực thi kế hoạch ứng phó sự cố. Nhiệm vụ của họ không chỉ là loại bỏ mối đe dọa mà còn gián tiếp đưa ra quyết định kinh doanh hoặc pháp lý có liên quan. 

Dưới đây là những thành viên chính trong một đội ứng phó sự cố:

  • Người quản lý ứng phó sự cố: Giám sát toàn bộ quá trình ứng phó và cung cấp thông tin cập nhật cho các bên liên quan. Người quản lý thường là giám đốc công nghệ thông tin hoặc giữ vị trí tương đương.
  • Chuyên viên phân tích bảo mật: Nghiên cứu sự cố để hiểu rõ tình hình và ghi chép các phát hiện về sự cố. 
  • Người nghiên cứu các mối đe dọa: Tìm kiếm thông tin bên ngoài tổ chức để làm rõ bối cảnh của sự cố. 
  • Nhân sự từ ban quản lý: Đưa ra hướng dẫn và làm đầu mối liên lạc trong ban điều hành. 
  • Chuyên gia về nhân sự: Hỗ trợ quản lý mối đe dọa từ bên trong tổ chức. 
  • Cố vấn chung: Giải quyết vấn đề về trách nhiệm pháp lý và đảm bảo quá trình thu thập bằng chứng. 
  • Chuyên gia về quan hệ công chúng: Truyền đạt thông tin chính xác tới truyền thông, khách hàng và các bên liên quan.

 

Đội ngũ ứng phó sự cố có vai trò quan trọng trong tổ chức
Đội ngũ ứng phó sự cố có vai trò quan trọng trong tổ chức

Hướng dẫn chuẩn bị và thực hiện ứng phó sự cố bảo mật

Để quá trình ứng phó sự cố bảo mật diễn ra hiệu quả, doanh nghiệp hãy chuẩn bị cũng như tham khảo quá trình thực hiện chi tiết. 

Chuẩn bị ứng phó với sự cố bảo mật

Tổ chức có thể tham khảo hướng dẫn dưới đây để chuẩn bị kỹ lưỡng trước khi ứng phó sự cố: 

  • Xác định và ưu tiên tài nguyên: Ghi chép thông tin quan trọng bao gồm nơi lưu trữ và tầm quan trọng của dữ liệu với hoạt động kinh doanh.
  • Phát triển quy trình ứng phó: Xác định điều kiện của sự cố và đề ra bước thực hiện để phát hiện, cô lập, và phục hồi. Điều này bao gồm cả quy trình ghi chép quyết định và thu thập bằng chứng.
  • Xác định kế hoạch truyền thông: Xem xét tình huống khác nhau để quyết định phương thức thông báo cho ban điều hành, tổ chức, khách hàng và các bên liên quan trong từng trường hợp cụ thể.
  • Xác định rủi ro tiềm ẩn: Mỗi tổ chức đều đối mặt với rủi ro riêng. Do vậy, công ty cần xác định lỗ hổng quan trọng và đánh giá cách kẻ tấn công có thể tận dụng chúng.
  • Xây dựng đội ứng phó sự cố: Xây dựng đội làm việc đa năng chuyên nghiên cứu và triển khai quy trình ứng phó. Doanh nghiệp hãy đảm bảo sự rõ ràng về vai trò của từng thành viên. Tập thể này cần có một người từ ban điều hành đề hỗ trợ vá đáp ứng các yêu cầu ở cấp độ cao nhất. 
  • Đào tạo nhân viên: Kẻ xấu tập trung vào nhân viên ở mọi cấp độ của tổ chức. Doanh nghiệp nên kiểm tra nhân viên định kỳ. Điều này đảm bảo nhân sự có thể nhận diện sự cố và báo cho đội ứng phó nếu gặp phải.

 

Xác định tài nguyên cần bảo vệ trước khi ứng phó sự cố
Xác định tài nguyên cần bảo vệ trước khi ứng phó sự cố

Thực hiện ứng phó sự cố

Để lên kế hoạch ứng phó sự cố bảo mật đạt hiệu quả, doanh nghiệp cần vạch ra các bước chi tiết theo hướng dẫn dưới đây:

  • Chuẩn bị: Trước khi có vấn đề xảy ra, việc giảm thiểu lỗ hổng và xây dựng chính sách bảo mật là điều quan trọng. Khi chuẩn bị, tổ chức cần đánh giá rủi ro để xác định điểm yếu và ưu tiên tài nguyên. 
  • Phân loại mối đe dọa: Mỗi ngày, đội bảo mật có thể nhận hàng nghìn cảnh báo về các hoạt động đáng ngờ, trong số đó cũng bao gồm cảnh báo giả mạo. Sau khi xác định sự cố, họ tiến hành điều tra về nguồn gốc, loại cuộc tấn công và mục tiêu của kẻ tấn công. Trong giai đoạn này, đội làm việc cần thông báo cho các bên liên quan và thảo luận về các bước tiếp theo.
  • Hạn chế đe dọa: Đội bảo mật cô lập các ứng dụng hoặc hệ thống bị tấn công, ngăn chặn chúng tiếp cận phần còn lại của mạng.
  • Ngăn chặn đe dọa: Họ loại bỏ kẻ tấn công, phần mềm độc hại khỏi hệ thống và tài nguyên bị ảnh hưởng. Đội làm việc tiếp tục thông báo tiến trình cho các bên liên quan.
  • Phục hồi: Sau khi loại bỏ mối đe dọa, đội bảo mật khôi phục hệ thống, phục hồi dữ liệu từ bản sao lưu và theo dõi các khu vực ảnh hưởng để ngăn chặn kẻ tấn công tái xuất hiện.
  • Phản hồi và điều chỉnh: Đội ngũ tiếp tục đánh giá để hiểu diễn biến và xác định cải tiến cho quy trình.

 

Điều chỉnh cách thức phản ứng sự cố thường xuyên
Điều chỉnh cách thức phản ứng sự cố thường xuyên

Lời kết

Thực hiện ứng phó sự cố bảo mật không chỉ giúp bảo vệ thông tin nhạy cảm của doanh nghiệp mà còn đảm bảo hoạt động kinh doanh ổn định.

Để đảm bảo phát hiện và ứng phó kịp thời với các sự cố mạng, quý doanh nghiệp hãy tham khảo các giải pháp phòng chống rủi ro bảo mật như Azure, Itune được tích hợp trong Microsoft 365 Business. Ngoài ra, Microsoft 365 Business cũng bao gồm các công cụ nâng cao hiệu suất làm việc cho nhân sự như gói Office 365, Teams hay Exchange. 

Nếu còn thắc mắc hoặc nhu cầu đăng ký gói giải pháp này, hãy liên hệ trực tiếp với FPT Smart Cloud qua: 

0/5 (0 Reviews)

Liên hệ FPT Smart Cloud

Liên hệ ngay với chúng tôi để nhận sự tư vấn và hỗ trợ từ những chuyên gia hàng đầu.
Trang web này được bảo vệ bởi reCAPTCHA Chính sách quyền riêng tư và Điều khoản dịch vụ của Google sẽ được áp dụng
Hội thảo Copilot for Microsoft 365
DMCA compliant image