Acunetix Cách xây dựng kế hoạch ứng phó sự cố mạng
Bất kể bạn quản lý tình trạng bảo mật của mình tốt đến đâu, luôn có khả năng bạn trở thành nạn nhân của một cuộc tấn công mạng. Đó là lý do tại sao mọi tổ chức, bất kể quy mô, nên chuẩn bị sẵn sàng để phản ứng với một sự cố mạng. Yếu tố quan trọng của việc chuẩn bị đó là một kế hoạch ứng phó sự cố mạng (IRP). Các yếu tố của kế hoạch ứng phó sự cố an ninh mạng Khi xây dựng kế hoạch IR của bạn, có nhiều yếu tố cần xem xét và mỗi yếu tố này đều quan trọng như nhau. Nếu bất kỳ yếu tố nào trong số này bị bỏ qua, sẽ không thể phản ứng một cách hiệu quả và nó có thể gây ra hỗn loạn trong tổ chức, từ đó có tác động nghiêm trọng đến hoạt động kinh doanh, bảo mật thông tin và hơn thế nữa. Đội ứng phó sự cố Không phải là tối ưu cho bất kỳ tổ chức nào có một đội riêng ở chế độ chờ, chờ sự cố. Vì vậy, khi xây dựng đội ứng phó sự cố an ninh máy tính (CSIRT), bạn phải bao gồm cả nguồn nhân lực hiện có. Một nhóm như vậy chỉ được tập hợp trong trường hợp có sự cố nhưng mỗi nguồn lực phải nhận thức được vai trò của họ trong nhóm và tác động của nó đối với công việc hàng ngày của họ. Người ra quyết định : Các nguồn lực quan trọng trong CSIRT là các bên liên quan chính – những người có thể đưa ra quyết định. Điều này có nghĩa là nhóm của bạn phải bao gồm quản lý cao nhất, thậm chí có thể liên quan đến các giám đốc điều hành của công ty. Một nhóm ứng phó sự cố được dẫn đầu bởi giám đốc an ninh thông tin (CISO), giám đốc an ninh (CSO), giám đốc thông tin (CIO), hoặc thậm chí là giám đốc công nghệ (CTO). Tuy nhiên, tùy thuộc vào cơ cấu tổ chức, nhóm cũng có thể bao gồm cả giám đốc điều hành (COO) và giám đốc điều hành (CEO). Khi phản ứng với một sự cố, sự nhanh chóng là chìa khóa quan trọng, do đó, các quyết định phải được đưa ra nhanh chóng và không thể bị thách thức. Nguồn lực kỹ thuật : Nhóm ứng phó sự cố mạng phải bao gồm những người có khả năng điều tra sự cố và xác định nguyên nhân gốc rễ, làm việc với các tài sản kỹ thuật, cũng như khôi phục / sửa chữa các hệ thống bị ảnh hưởng và các tài sản khác và ngăn ngừa thiệt hại thêm. Điều này có nghĩa là nhóm phải liên quan đến trung tâm hoạt động bảo mật của bạn mà còn bao gồm cả quản trị viên hệ thống, hoạt động CNTT và trong một số trường hợp là cả các nhà phát triển. Vì đây là nhân sự sẽ xử lý hầu hết các công việc liên quan nên họ phải biết các ưu tiên và phân công nhiệm vụ. Bạn phải xem xét tác động của điều này đối với tính liên tục của doanh nghiệp. Ví dụ: nhóm của bạn vẫn phải có khả năng duy trì và bảo mật các hệ thống không bị ảnh hưởng để hoạt động kinh doanh của bạn không đi vào bế tắc hoàn toàn cho đến khi sự cố được giải quyết. Nguồn lực pháp lý và tuân thủ : Trong trường hợp của nhiều tổ chức, sự cố mạng có thể liên quan đến dữ liệu nhạy cảm và do đó gây ra hậu quả pháp lý cũng như ảnh hưởng đến việc tuân thủ GDPR, PCI DSS, HIPAA, v.v. Do đó, đại diện của các bộ phận pháp lý và tuân thủ của bạn cũng phải tham gia vào CSIRT cho mục đích đánh giá rủi ro (không chỉ hạn chế rủi ro bảo mật). Cũng như trong trường hợp nguồn lực kỹ thuật, họ phải nhận thức được các ưu tiên. Tuy nhiên, để duy trì hoạt động kinh doanh liên tục, có thể không thể dành toàn bộ sự chú ý của họ cho vụ việc. Thông tin liên lạc : Hầu hết mọi sự cố mạng về mặt nào đó sẽ ảnh hưởng đến các bên bên ngoài. Ví dụ: khách hàng của bạn, đối tác của bạn hoặc công chúng (tùy thuộc vào bản chất của tổ chức của bạn). Do đó, nhóm ứng phó sự cố của bạn phải bao gồm các nguồn lực từ bộ phận dịch vụ khách hàng, quan hệ công chúng, quản lý tài khoản, v.v. Lưu ý rằng thông tin liên lạc rõ ràng liên quan đến việc tiết lộ công khai (bao gồm các chi tiết kỹ thuật) là thông lệ tốt và giúp ích cho hình ảnh thương hiệu của bạn. Nguồn lực bên ngoài : Bạn có thể cân nhắc liên quan đến các nguồn lực bên ngoài như chuyên gia pháp y, nhà phân tích quản lý rủi ro, v.v. Nếu vậy, bạn phải lựa chọn và xây dựng mối quan hệ với các bên đó trước khi xảy ra sự cố, để họ sẵn sàng giúp đỡ khi cần thiết. Điều này có thể liên quan đến các hợp đồng hoặc thỏa thuận bổ sung cần được thực hiện liên tục. Không phụ thuộc vào việc các nguồn lực liên quan đến CSIRT của bạn là nội bộ hay bên ngoài, bạn phải xem xét các yếu tố sau: Trách nhiệm : Mọi phản ứng viên tham gia vào nhóm ứng phó sự cố phải biết rõ ràng phạm vi vai trò, trách nhiệm và các ưu tiên của họ liên quan đến công việc hàng ngày của họ. Các trách nhiệm không được xung đột và nếu có sự tham gia của các nguồn lực bên ngoài, họ nên liên hệ nội bộ nếu cần có các quyết định
Demo Giải pháp quét Lỗ hổng Acunetix
Netsparker vs Acunetix – Giải pháp bảo mật ứng dụng web hàng đầu
Check Point Harmony: Cấp độ bảo mật cao nhất cho người dùng từ xa
Từ DevOps đến DevSecOps
Vấn đề False Positive trong Bảo mật Ứng dụng Web và Cách giải quyết
SentinelOne dẫn đầu trong Đánh giá ATT&CK của MITRE Engenuity với 100% khả năng Phòng ngừa, Phát hiện
Giải pháp Giám sát tính toàn vẹn của tệp (FIM)
FIM (Giám sát tính toàn vẹn của tệp) là gì? Sự thay đổi là rất nhiều trong môi trường CNTT của các tổ chức. Nội dung phần cứng thay đổi. Các chương trình phần mềm thay đổi. Các trạng thái cấu hình thay đổi. Một số sửa đổi này được cho phép trong chừng mực chúng xảy ra trong chu kỳ vá lỗi thông thường của tổ chức, trong khi những sửa đổi khác gây lo ngại bằng cách bất ngờ xuất hiện. Các tổ chức thường đáp ứng tính năng động này bằng cách đầu tư vào phát hiện tài sản và quản lý cấu hình an toàn (SCM). Các biện pháp kiểm soát cơ bản này cho phép các công ty xây dựng danh mục các thiết bị đã được phê duyệt và giám sát cấu hình của các sản phẩm đó. Mặc dù vậy, các công ty vẫn phải đối mặt với một thách thức quan trọng: điều chỉnh sự thay đổi trong các tệp quan trọng. Đối với thách thức đó, nhiều doanh nghiệp đang chuyển sang giám sát tính toàn vẹn của hồ sơ (FIM). Chính xác thì Giám sát tính toàn vẹn của tệp là gì? FIM là công nghệ giám sát và phát hiện các thay đổi tệp có thể là dấu hiệu của một cuộc tấn công mạng. Còn được gọi là giám sát thay đổi, FIM đặc biệt liên quan đến việc kiểm tra các tệp để xem nếu và khi nào chúng thay đổi, chúng thay đổi như thế nào, ai đã thay đổi chúng và có thể làm gì để khôi phục các tệp đó nếu những sửa đổi đó là trái phép. Các công ty có thể tận dụng quyền kiểm soát để giám sát các tệp tĩnh để tìm các sửa đổi đáng ngờ, chẳng hạn như các điều chỉnh đối với ngăn xếp IP và cấu hình ứng dụng email của họ. Do đó, FIM rất hữu ích để phát hiện phần mềm độc hại cũng như tuân thủ các quy định như Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán ( PCI DSS). Giám sát tính toàn vẹn của tệp được phát minh một phần bởi Gene Kim, người sáng lập Tripwire . Từ đó, nó trở thành biện pháp kiểm soát an ninh mà nhiều tổ chức hiện đang xây dựng các chương trình an ninh mạng của họ. Bản thân thuật ngữ cụ thể “giám sát tính toàn vẹn của tệp” đã được phổ biến rộng rãi bởi tiêu chuẩn PCI . Thật không may, đối với nhiều tổ chức, FIM chủ yếu có nghĩa là tiếng ồn làm phức tạp công việc của nhân viên an ninh. Quá nhiều thay đổi, không có bối cảnh xung quanh những thay đổi này và rất ít thông tin chi tiết về việc liệu những thay đổi có thực sự buộc các nhóm an ninh vào vị trí mà họ cần điều tra xem những thay đổi nào có liên quan đến nhau hay không. Trong quá trình này, các chuyên gia này có thể lãng phí thời gian của họ để xem xét các kết quả dương tính giả, do đó góp phần vào tâm lý cảnh giác mệt mỏi khiến các tổ chức phải đối mặt với các vi phạm dữ liệu và các mối đe dọa kỹ thuật số khác. Điều này làm nổi bật tính thực tế của FIM. Đây là một biện pháp kiểm soát an ninh quan trọng, nhưng nó phải cung cấp đủ thông tin chi tiết và thông tin tình báo có thể hành động cho các tổ chức để tăng cường vị thế an ninh của họ. 3 Ưu điểm của việc Chạy Chương trình Giám sát Toàn vẹn Tệp Thành công Bảo vệ cơ sở hạ tầng CNTT: Các giải pháp FIM giám sát các thay đổi tệp trên máy chủ, cơ sở dữ liệu, thiết bị mạng, máy chủ thư mục, ứng dụng, môi trường đám mây và hình ảnh ảo để cảnh báo bạn về những thay đổi trái phép. Giảm cảnh báo giả: Một giải pháp FIM mạnh mẽ sử dụng trí thông minh thay đổi để chỉ thông báo cho bạn khi cần — cùng với bối cảnh kinh doanh và các bước khắc phục. Tìm kiếm các chỉ số bảo mật chi tiết và trang tổng quan trong giải pháp FIM của bạn. Tuân thủ: FIM giúp bạn đáp ứng nhiều tiêu chuẩn tuân thủ quy định như PCI-DSS, NERC CIP, FISMA , SOX, NIST và HIPAA , cũng như các khung thực hành tốt nhất như điểm chuẩn bảo mật CIS . Theo dõi tính toàn vẹn của tệp với Tripwire
Sandboxing là gì? – Check Point
Hoạt động thay đổi của Darkweb trong Q4/2021
