10 Thách thức mà tổ chức phải đối mặt trong quá trình Ứng cứu sự cố

Để chuẩn bị một bản kế hoạch ứng cứu sự cố hoàn chỉnh, tổ chức phải xem xét những nguy cơ an ninh, các vấn đề và khó khăn có thể đối mặt trong suốt quá trình triển khai. Dưới đây là “Top 10 thách thức có thể xảy ra trong quá trình ứng cứu sự cố mà tổ chức của bạn có thể đối mặt.” Lưu ý, đây là những vấn đề thực tế mà SecurityBox thường thấy trong suốt quá trình đi làm dịch vụ ứng cứu sự cố cho Doanh nghiệp.

TOP 10 THÁCH THỨC BAO GỒM

1.Xác định nguyên nhân tấn công của sự cố

Có thể nói việc điều tra và phát hiện ra nguyên nhân gây ra sự cố tấn công là một trong những thách thức khó nhất mà tổ chức phải đối mặt khi bị hacker xâm nhập vào hệ thống. Một phần là do tổ chức chưa có sẵn các công cụ rà quét, phát hiện. Phần khác là nhân lực trình độ yếu kém chưa thể tìm ra lỗ hổng mà hacker tấn công là gì.

2.Thiết lập các mục tiêu của các cuộc điều tra và hoạt động của IRP

Nếu là một doanh nghiệp đã bị tin tặc tấn công và đã được các chuyên gia hoặc công ty an ninh mạng tư vấn giải pháp và kế hoạch xử lý sự cố, chắc chắn việc thiết lập mục tiêu cho từng hạng mục công việc trong IRP sẽ không gặp khó khăn. Tuy nhiên điều này sẽ là một trở ngại nhỏ với các Doanh nghiệp chưa từng bị Hacker tấn công.

3.Phân tích các thông tin có sẵn liên quan đến sự cố an ninh mạng có thể xảy ra

Việc phân tích các nguy cơ an ninh và lỗ hổng có thể bị hacker lợi dụng để tấn công không phải là chuyện dễ dàng. Nó đòi hỏi tổ chức phải có một chuyên gia về phân tích lỗ hổng hoặc chuyên viên phân tích an ninh mạng có cái nhìn bao quát về hiện trạng an ninh của toàn bộ hệ thống, kết hợp với kinh nghiệm thực tế của họ. Từ đó, tổ chức mới có kế hoạch và những phương án dự phòng nhằm hạn chế nguy cơ bị tấn công.

4.Xác định những rủi ro, nguy cơ tiềm ẩn

Cũng như ý 3, SecurityBox khuyến cáo doanh nghiệp nên thường xuyên tấn công thử nghiệm để kiểm tra mức độ an ninh của hệ thống.

5.Xác định những hệ thống và thông tin (tài sản) bị tổn thương

Việc xác định những hệ thống, thông tin và tài sản của Doanh nghiệp bị tổn thương phải được xem xét trong 3 giai đoạn: trước, trong và sau khi sự cố xảy ra.

Mức độ thiệt hại có thể phụ thuộc vào mục đích tấn công của hacker, hệ thống phòng thủ của Doanh nghiệp và khả năng ứng cứu sự cố nhanh của DN.

6.Xác định những tài nguyên đã bị tin tặc đánh cắp, bị thay đổi, xóa bỏ

Trong quá trình đi làm dịch vụ ứng cứu sự cố, SecurityBox nhận thấy  một số trường hợp hacker sẽ ăn cắp dữ liệu người dùng chỉ trong vài phút. Nhưng cũng có các tình huống, tin tặc sẽ lấy cắp data của nạn nhân theo từng giai đoạn, theo từng giờ (vì mục đích chính của chúng là đòi tiền chuộc từ nạn nhân).

Để phòng tránh việc mất mát dữ liệu, doanh nghiệp nên thường xuyên sao lưu dữ liệu thường xuyên. Chi tiết hướng dẫn.

7.Truy tìm dấu vết kẻ đã gây ra sự cố và mục đích tấn công

Rất nhiều trường hợp hacker tấn công sẽ không để lộ dấu vết cho nạn nhân biết, nhưng cũng có một số sẽ để lại tên nhóm hacker hoặc địa chỉ IP, thông tin liên hệ khác. Lần theo dấu vết này, bạn có thể truy tìm được kẻ đã thực hiện hành vi tấn công là ai và mục đích của chúng là gì.

8.Tìm hiểu phương pháp tấn công của hacker

Hacker có thể tấn công theo rất nhiều phương pháp khác nhau. Ví dụ tấn công Ddos, Social Engineering, Phishing, man-in-middle, lỗ hổng trong ứng dụng,….

Bạn có thể tham khảo thêm để phòng tránh: Tổng quan về các phương thức tấn công mạng.

9.Xác định những tác động tiềm ẩn của sự cố tới hoạt động kinh doanh của tổ chức

Tin tặc có thể tấn công nhằm mục đích ngăn chặn các hoạt động giao dịch online của một tổ chức, ăn cắp thông tin khách hàng và bán lại data cho người khác, thay đổi giao diện website để lừa đảo người dùng, hoặc lợi dụng lòng tin của tổ chức để đòi tiền chuộc từ người dùng….

10.Tiến hành điều tra pháp y tới những người có trách nhiệm liên quan

Sự cố tấn công trên mạng có thể bắt nguồn từ hoạt động nội bộ của tổ chức. Ví dụ: nhân viên chia sẻ file quan trọng của công ty lên mạng xã hội, nhân viên không bảo mật 2 lớp  khi dùng các tài khoản của công ty, nhân viên thực hiện kỹ thuật Social Engineering….

Ngoài ra, sự cố tấn công trên không gian mạng có thể bắt nguồn từ việc quản lý bảo mật lỏng lẻo hoặc tổ chức chưa có chính sách ATTT rõ ràng.

Khi xảy ra một sự cố, tốt nhất tổ chức nên triệu tập những người lãnh đạo và nhân viên có liên quan tới sự vụ.

Hi vọng “10 thách thức trong Ứng cứu sự cố” trên của SecurityBox chia sẻ sẽ giúp tổ chức của bạn hoàn thiện bản kế hoạch IR hoàn chỉnh.