Bất kể bạn quản lý tình trạng bảo mật của mình tốt đến đâu, luôn có khả năng bạn trở thành nạn nhân của một cuộc tấn công mạng. Đó là lý do tại sao mọi tổ chức, bất kể quy mô, nên chuẩn bị sẵn sàng để phản ứng với một sự cố mạng. Yếu tố quan trọng của việc chuẩn bị đó là một kế hoạch ứng phó sự cố mạng (IRP).
Các yếu tố của kế hoạch ứng phó sự cố an ninh mạng
Khi xây dựng kế hoạch IR của bạn, có nhiều yếu tố cần xem xét và mỗi yếu tố này đều quan trọng như nhau. Nếu bất kỳ yếu tố nào trong số này bị bỏ qua, sẽ không thể phản ứng một cách hiệu quả và nó có thể gây ra hỗn loạn trong tổ chức, từ đó có tác động nghiêm trọng đến hoạt động kinh doanh, bảo mật thông tin và hơn thế nữa.
Đội ứng phó sự cố
Không phải là tối ưu cho bất kỳ tổ chức nào có một đội riêng ở chế độ chờ, chờ sự cố. Vì vậy, khi xây dựng đội ứng phó sự cố an ninh máy tính (CSIRT), bạn phải bao gồm cả nguồn nhân lực hiện có. Một nhóm như vậy chỉ được tập hợp trong trường hợp có sự cố nhưng mỗi nguồn lực phải nhận thức được vai trò của họ trong nhóm và tác động của nó đối với công việc hàng ngày của họ.
- Người ra quyết định : Các nguồn lực quan trọng trong CSIRT là các bên liên quan chính – những người có thể đưa ra quyết định. Điều này có nghĩa là nhóm của bạn phải bao gồm quản lý cao nhất, thậm chí có thể liên quan đến các giám đốc điều hành của công ty. Một nhóm ứng phó sự cố được dẫn đầu bởi giám đốc an ninh thông tin (CISO), giám đốc an ninh (CSO), giám đốc thông tin (CIO), hoặc thậm chí là giám đốc công nghệ (CTO). Tuy nhiên, tùy thuộc vào cơ cấu tổ chức, nhóm cũng có thể bao gồm cả giám đốc điều hành (COO) và giám đốc điều hành (CEO). Khi phản ứng với một sự cố, sự nhanh chóng là chìa khóa quan trọng, do đó, các quyết định phải được đưa ra nhanh chóng và không thể bị thách thức.
- Nguồn lực kỹ thuật : Nhóm ứng phó sự cố mạng phải bao gồm những người có khả năng điều tra sự cố và xác định nguyên nhân gốc rễ, làm việc với các tài sản kỹ thuật, cũng như khôi phục / sửa chữa các hệ thống bị ảnh hưởng và các tài sản khác và ngăn ngừa thiệt hại thêm. Điều này có nghĩa là nhóm phải liên quan đến trung tâm hoạt động bảo mật của bạn mà còn bao gồm cả quản trị viên hệ thống, hoạt động CNTT và trong một số trường hợp là cả các nhà phát triển. Vì đây là nhân sự sẽ xử lý hầu hết các công việc liên quan nên họ phải biết các ưu tiên và phân công nhiệm vụ. Bạn phải xem xét tác động của điều này đối với tính liên tục của doanh nghiệp. Ví dụ: nhóm của bạn vẫn phải có khả năng duy trì và bảo mật các hệ thống không bị ảnh hưởng để hoạt động kinh doanh của bạn không đi vào bế tắc hoàn toàn cho đến khi sự cố được giải quyết.
- Nguồn lực pháp lý và tuân thủ : Trong trường hợp của nhiều tổ chức, sự cố mạng có thể liên quan đến dữ liệu nhạy cảm và do đó gây ra hậu quả pháp lý cũng như ảnh hưởng đến việc tuân thủ GDPR, PCI DSS, HIPAA, v.v. Do đó, đại diện của các bộ phận pháp lý và tuân thủ của bạn cũng phải tham gia vào CSIRT cho mục đích đánh giá rủi ro (không chỉ hạn chế rủi ro bảo mật). Cũng như trong trường hợp nguồn lực kỹ thuật, họ phải nhận thức được các ưu tiên. Tuy nhiên, để duy trì hoạt động kinh doanh liên tục, có thể không thể dành toàn bộ sự chú ý của họ cho vụ việc.
- Thông tin liên lạc : Hầu hết mọi sự cố mạng về mặt nào đó sẽ ảnh hưởng đến các bên bên ngoài. Ví dụ: khách hàng của bạn, đối tác của bạn hoặc công chúng (tùy thuộc vào bản chất của tổ chức của bạn). Do đó, nhóm ứng phó sự cố của bạn phải bao gồm các nguồn lực từ bộ phận dịch vụ khách hàng, quan hệ công chúng, quản lý tài khoản, v.v. Lưu ý rằng thông tin liên lạc rõ ràng liên quan đến việc tiết lộ công khai (bao gồm các chi tiết kỹ thuật) là thông lệ tốt và giúp ích cho hình ảnh thương hiệu của bạn.
- Nguồn lực bên ngoài : Bạn có thể cân nhắc liên quan đến các nguồn lực bên ngoài như chuyên gia pháp y, nhà phân tích quản lý rủi ro, v.v. Nếu vậy, bạn phải lựa chọn và xây dựng mối quan hệ với các bên đó trước khi xảy ra sự cố, để họ sẵn sàng giúp đỡ khi cần thiết. Điều này có thể liên quan đến các hợp đồng hoặc thỏa thuận bổ sung cần được thực hiện liên tục.
Không phụ thuộc vào việc các nguồn lực liên quan đến CSIRT của bạn là nội bộ hay bên ngoài, bạn phải xem xét các yếu tố sau:
- Trách nhiệm : Mọi phản ứng viên tham gia vào nhóm ứng phó sự cố phải biết rõ ràng phạm vi vai trò, trách nhiệm và các ưu tiên của họ liên quan đến công việc hàng ngày của họ. Các trách nhiệm không được xung đột và nếu có sự tham gia của các nguồn lực bên ngoài, họ nên liên hệ nội bộ nếu cần có các quyết định kinh doanh nội bộ.
- Thông tin liên hệ : Sự cố có thể xảy ra ngoài giờ làm việc và thường yêu cầu phản hồi theo thời gian thực. Bạn không thể chờ đợi cho đến ngày làm việc tiếp theo vì tội phạm có thể mất thời gian đó để tàn phá nhiều hơn. Do đó, để ứng phó sự cố hiệu quả, bạn phải có thông tin liên hệ ngoài văn phòng cho mọi nguồn lực liên quan và các nguồn lực đó phải biết thực tế là trong trường hợp xảy ra sự cố mạng, họ sẽ được liên lạc ngoài giờ làm việc.
- Tài nguyên dự phòng : Đối với mọi thành viên chủ chốt trong nhóm, bạn phải có một bản sao lưu. Chẳng hạn, bạn không thể đợi cho đến khi người quản lý nhóm của bạn đi nghỉ về.
Tài sản kỹ thuật
Vì một sự cố mạng luôn liên quan đến một số tài sản kỹ thuật, khả năng hiển thị rõ ràng của chúng là chìa khóa để ứng phó hiệu quả. Nếu tài sản không được xác định rõ ràng, không được liệt kê và mối quan hệ của chúng không rõ ràng, thì có thể không thể ngăn chặn và giải quyết triệt để sự việc.
- Nhận dạng tài sản : Bạn nên có một cái nhìn rõ ràng về tất cả các tài sản kỹ thuật của mình, cả những tài sản này trong chính công ty cũng như những tài sản bên ngoài. Đây là một việc làm tốt hàng ngày nhưng tầm quan trọng còn lớn hơn nếu tài sản bị ảnh hưởng bởi sự cố.
- Mối quan hệ tài sản : Nhiều tài sản kỹ thuật được kết nối với nhau và do đó, tội phạm có thể xâm phạm một trong những tài sản và chuyển sang những tài sản khác. Tùy thuộc vào cấu trúc kỹ thuật của doanh nghiệp của bạn, mọi tài sản có thể bị ảnh hưởng bởi sự cố và phải là một phần của cuộc điều tra và khắc phục. Ví dụ: nếu tội phạm truy cập ứng dụng web thông qua SQL injection , chúng chắc chắn sẽ truy cập vào máy chủ cơ sở dữ liệu (có thể là một hệ thống riêng biệt), có khả năng truy cập hệ điều hành và có khả năng sử dụng mạng nội bộ để truy cập các hệ thống khác. Hiểu được cách các tài sản được kết nối với nhau là điều quan trọng hàng đầu.
- Quyền sở hữu tài sản : Một số tài sản kỹ thuật được kết nối với nhau có thể nằm ngoài quyền sở hữu doanh nghiệp của bạn. Ví dụ: bạn có thể đang làm việc với các đối tác hoặc nhà cung cấp dịch vụ đám mây. Tổ chức của bạn cũng có thể được chia thành các thực thể riêng biệt với sự quản lý khác nhau. Đây là nơi các tài sản kỹ thuật đan xen với nguồn nhân lực và là nơi bạn có thể phải xem xét các khía cạnh kỹ thuật trong thành phần CSIRT của mình. Trong trường hợp xảy ra sự cố, bạn không thể bất ngờ phát hiện ra mình không có khả năng chứa hoặc sửa chữa vì không kiểm soát được tài sản. Mọi nội dung phải có một đại diện chịu trách nhiệm được xác định rõ ràng, người có toàn quyền kiểm soát nó.
Công cụ
Một kế hoạch ứng phó sự cố an ninh có thể bao gồm các công cụ phải được xác định cũng như có khả năng được mua và thực hiện trước khi bất kỳ sự cố nào xảy ra và trước khi bạn bắt đầu các hoạt động ứng phó sự cố:
- Công cụ nhận dạng : Có nhiều công cụ bảo mật CNTT khác nhau với các chức năng khác nhau có thể hữu ích để xác định sự cố. Ví dụ: hệ thống phát hiện xâm nhập (IDS) để phát hiện khả năng xâm nhập, máy quét lỗ hổng để xác định lỗ hổng (nhưng bạn nên sử dụng thường xuyên như một phần của tự động hóa thông thường), các công cụ thủ công để kiểm tra thâm nhập để xác nhận lỗ hổng bảo mật. như các công cụ phát hiện mối đe dọa, bảo mật web, an ninh mạng và thông tin bảo mật và quản lý sự kiện (SIEM).
- Công cụ lập kế hoạch và mô hình hóa : Bạn có thể sử dụng các công cụ bổ sung để lập mô hình cấu trúc tài sản của mình, tổ chức các hoạt động trong quá trình ứng phó sự cố, cung cấp thông tin tình báo về mối đe dọa, tuân theo một phương pháp đã chọn và hơn thế nữa. Các công cụ đó có thể là phần mềm lập kế hoạch dự án và các loại phần mềm mô hình hóa khác nhau.
- Công cụ giao tiếp : Trong các quy trình ứng phó sự cố, một số công cụ giao tiếp kinh doanh thông thường có thể được coi là không an toàn. Ví dụ: nếu một sự cố liên quan đến vi phạm máy chủ email nội bộ, bạn không thể sử dụng email nội bộ để liên lạc trong quá trình phản hồi sự cố vì có nguy cơ kẻ tấn công sẽ biết các hoạt động của bạn và có thể chống lại chúng. Do đó, bạn nên có một kế hoạch liên lạc dự phòng.
- Các công cụ khác : Các công cụ khác cũng có thể liên quan. Ví dụ, phòng họp có thể được coi là một công cụ để nhóm ứng phó sự cố làm việc cùng nhau. Nếu bạn bao gồm nhân viên bên ngoài, họ cũng phải được trang bị các công cụ và quyền phù hợp để truy cập vào hệ thống của bạn và có khả năng là cơ sở của bạn.
Định nghĩa sự cố rõ ràng
Mọi tổ chức có thể có các định nghĩa khác nhau về các loại sự cố, tùy thuộc vào tác động kinh doanh và các yếu tố khác. Ví dụ: một tổ chức có thể không coi một cuộc tấn công từ chối dịch vụ (DoS) nhỏ là một sự cố mạng vì nó không ảnh hưởng đến tính liên tục của hoạt động kinh doanh nhưng đối với một tổ chức khác, ngay cả một giờ không có mặt cũng có thể dẫn đến hậu quả kinh doanh nghiêm trọng. Ngoài ra, một số tổ chức có thể coi các vi phạm an ninh nội bộ nhỏ là sự cố đe dọa nội gián và những tổ chức khác thì không (ví dụ: nhân viên của một bộ phận truy cập tài nguyên từ bộ phận khác mà họ không được phép truy cập). Các yếu tố khác cần xem xét có thể là nguồn gốc của cuộc tấn công (ví dụ, đứa trẻ viết kịch bản đơn độc so với một tổ chức tội phạm).
Do đó, một trong những yếu tố quan trọng của IRP là phải có một định nghĩa rất rõ ràng về loại mối đe dọa mạng và sự kiện an ninh nào có thể được coi là sự cố và khi nào chúng trở thành sự cố thực sự. Ví dụ, một vi-rút trojan được tìm thấy trên máy tính của nhân viên và được gửi qua đường lừa đảo có được coi là một sự cố không? Việc một khách hàng báo cáo về lỗ hổng tạo kịch bản xuyên trang (XSS) có tác động thấp đang bị khai thác trên trang web tiếp thị của bạn có được coi là một sự cố không? Một vi phạm dữ liệu nhỏ do nhân viên công khai để lộ tệp bảng tính chỉ chứa một vài địa chỉ email tiếp thị có được coi là một sự cố không?
Điểm khởi đầu tốt cho định nghĩa của riêng bạn về một sự cố là định nghĩa chính thức của NIST: “vi phạm hoặc nguy cơ vi phạm sắp xảy ra đối với các chính sách bảo mật máy tính, chính sách sử dụng được chấp nhận hoặc các phương pháp bảo mật tiêu chuẩn”. Tuy nhiên, bạn nên đưa ra định nghĩa của riêng mình, chi tiết hơn, xem xét các yếu tố cụ thể cho tổ chức của bạn như tác động kinh doanh tiềm ẩn, khả năng mất dữ liệu và hơn thế nữa.
Một định nghĩa rõ ràng là rất quan trọng đối với những người ra quyết định vì họ phải công bố xem có sự cố xảy ra hay không. Một sự cố không phải là một vùng xám, nó bắt đầu quá trình liên quan đến toàn bộ nhóm hoặc không. Mọi sự việc được tuyên bố nên được đối xử bình đẳng, không đánh giá mức độ nghiêm trọng. Vì các hoạt động liên quan đến quy trình này rất rộng và có thể có tác động liên tục đến hoạt động kinh doanh, nên người ra quyết định phải biết rõ khi nào thì “nhấn nút đỏ”.
Lưu ý: Một sự cố và một thảm họa là các thuật ngữ khác nhau. Do đó, việc khắc phục hậu quả thiên tai và sự cố không nên được bao gồm trong các quá trình giống nhau và phải được lập kế hoạch riêng biệt. Khôi phục sau thảm họa là quá trình phục hồi sau thảm họa tự nhiên hoặc do con người gây ra, chẳng hạn như thiên tai, hỏa hoạn, ai đó vô tình xóa toàn bộ cơ sở dữ liệu, v.v. Khôi phục sau thảm họa có thể liên quan đến các nguồn lực khác nhau và chẳng hạn, không cần liên quan đến bảo mật. đội nhiều như khắc phục sự cố.
Các giai đoạn ứng phó sự cố
Quá trình ứng phó sự cố được chia thành nhiều giai đoạn nên được đưa vào kế hoạch. Các giai đoạn này cần được tuân thủ nghiêm ngặt, bất kể sự cám dỗ nào.
- Chuẩn bị : Đây là giai đoạn quan trọng nhất của ứng phó sự cố và nó bao gồm việc xác định tất cả các yếu tố trên: CSIRT, tài sản và phạm vi của những gì được coi là sự cố. Nó cũng liên quan đến việc đào tạo các tài nguyên và thậm chí thực hiện các thử nghiệm, bài tập trên bàn và các cuộc tấn công giả để xem liệu mọi thứ có hoạt động như dự định hay không. Chìa khóa thành công của giai đoạn chuẩn bị là tránh bất kỳ sự hỗn loạn nào trong tổ chức trong trường hợp một sự cố được công bố.
- Nhận biết: Giai đoạn này liên quan đến hai hoạt động chính. Một là cuộc điều tra sơ bộ dẫn đến việc tuyên bố một sự cố. Giai đoạn này chỉ liên quan đến một phần của nhóm: những người ra quyết định và các nguồn lực kỹ thuật cung cấp thông tin tình báo. Lưu ý rằng báo cáo về một sự cố tiềm ẩn cũng có thể đến từ các nguồn bên ngoài, chẳng hạn như từ khách hàng, đối tác hoặc thậm chí cơ quan thực thi pháp luật của bạn, vì vậy, nhân viên truyền thông cũng có thể tham gia. Sự cố được công bố trong giai đoạn này và nếu có, cần phải điều tra chi tiết để biết, tài sản nào có khả năng bị ảnh hưởng bởi sự cố và phải tham gia vào các giai đoạn tiếp theo. Ví dụ: nếu kẻ tấn công vi phạm ứng dụng web của bạn, bạn phải xác định xem điều này có ảnh hưởng đến các máy chủ được kết nối hoặc thậm chí toàn bộ mạng hay không. Lưu ý rằng sau khi nhận dạng xong,
- Ngăn chặn : Một khi nhân vật và phạm vi của sự cố được xác định rõ ràng bằng các nguồn lực kỹ thuật, bạn phải quyết định những tài sản nào phải được chứa đựng. Việc kiểm soát là hoàn toàn cần thiết để giảm thiểu ngắn hạn và không thể bỏ qua giai đoạn này, ngay cả khi bạn muốn loại bỏ mối đe dọa càng sớm càng tốt. Nếu không được ngăn chặn, kẻ tấn công có thể vẫn đang làm việc song song với nhóm của bạn trong quá trình leo thang và tiếp tục lây lan sang các hệ thống khác, hiện không bị ảnh hưởng. Kiểm soát có nghĩa là cách ly các tài sản bị ảnh hưởng với các tài sản không bị ảnh hưởng. Tuy nhiên, chúng thường không được thực hiện ngoại tuyến (thậm chí là tạm thời) vì điều này có thể khiến việc diệt trừ khó khăn hơn. Giai đoạn ngăn chặn kết thúc với quyết định rằng các tài sản bị ảnh hưởng được cách ly an toàn và kẻ tấn công bị cắt đứt.
- Loại bỏ : Sau khi các tài sản bị ảnh hưởng được chứa, các nguồn lực kỹ thuật của bạn bắt đầu loại bỏ hậu quả của sự cố. Điều này có nghĩa là, chẳng hạn như xóa phần mềm độc hại, sửa lỗ hổng bảo mật, khôi phục hệ thống từ bản sao lưu an toàn, vá lỗi, v.v. Giai đoạn loại bỏ kết thúc với quyết định rằng tất cả các hậu quả kỹ thuật của sự cố đều được xóa bỏ và hệ thống được bảo mật.
- Khôi phục : Các hệ thống được bảo mật hiện phải được đưa trở lại trực tuyến và kết nối lại với các tài sản khác, đồng thời tất cả các quy trình kỹ thuật và kinh doanh sẽ trở lại hoạt động bình thường. Giai đoạn khắc phục kết thúc với quyết định toàn bộ hạ tầng kỹ thuật đang hoạt động tốt như trước khi xảy ra sự cố. Lưu ý rằng giai đoạn khôi phục cũng liên quan đến việc hoàn thành công việc bằng các nguồn thông tin liên lạc và pháp lý / tuân thủ của bạn. Kết quả cuối cùng của giai đoạn này là những người ra quyết định của bạn tuyên bố sự việc đã kết thúc và các thành viên trong nhóm của bạn quay trở lại các hoạt động thường xuyên của họ.
- Bài học kinh nghiệm : Hoạt động này không nhất thiết phải thực hiện ngay sau khi sự cố kết thúc. Đôi khi sau sự cố, sẽ rất hữu ích nếu bạn tập hợp lại các nguồn lực quan trọng từ nhóm ứng phó sự cố, đặc biệt là tất cả những người ra quyết định và phân tích xem sự cố đã được xử lý như thế nào. Do đó, quá trình có thể quay trở lại giai đoạn chuẩn bị để liên quan đến nhiều nguồn lực hơn trong nhóm, thay đổi trách nhiệm hoặc cung cấp đào tạo thêm nếu không phải tất cả các thành viên trong nhóm đều thực hiện đủ tốt.
IRP cho bảo mật web?
Ngay cả khi doanh nghiệp chính của bạn được liên kết với web và bạn quan tâm nhất đến các mối đe dọa liên quan đến web, bạn không thể giới hạn kế hoạch ứng phó sự cố mạng chỉ đối với bảo mật web. Vì hệ thống CNTT trong mọi tổ chức được kết nối với nhau, nên mẫu kế hoạch ứng phó sự cố phải liên quan đến tất cả tổ chức của bạn và các bên liên quan cũng như tất cả các tài sản. Chỉ khi đó, bạn mới có thể mong đợi thành công hoàn toàn trong việc loại bỏ hậu quả sự cố.