15/10/2018, 22:11

Hướng dẫn xử lý sự cố mã độc

Ở các bài viết trước chúng tôi đã nêu lên thực trạng và cách phòng tránh mã độc từ chuyên gia. Tuy nhiên, khả năng xảy ra sự cố là vẫn có thể xảy ra. Bài viết dưới đây sẽ hướng dẫn các bạn các cách xử lý sự cố mã độc. Một tiến tình xử lý sự cố mã độc bao gồm 4 pha: chuẩn bị, ...

sự cố mã độc

Ở các bài viết trước chúng tôi đã nêu lên thực trạng và cách phòng tránh mã độc từ chuyên gia. Tuy nhiên, khả năng xảy ra sự cố là vẫn có thể xảy ra. Bài viết dưới đây sẽ hướng dẫn các bạn các cách xử lý sự cố mã độc.

sự cố mã độc

Một tiến tình xử lý sự cố mã độc bao gồm 4 pha: chuẩn bị, phát hiện và phân tích, ngăn chặn/loại trừ/khôi phục, và hoạt động sau sự cố.
Pha đầu tiên bao gồm các hoạt động chuẩn bị sẵn sàng cho ứng cứu sự cố mã độc như phát triển tập các thủ tục xử lý và chương trình huấn luyện ứng cứu sự cố mã độc cho
đội ngũ chuyên trách. Pha chuẩn bị cũng bao gồm việc áp dụng các chính sách, hoạt động nâng cao nhận thức, giảm thiểu nguy cơ và ứng dụng các công cụ ngăn chặn mã độc. Ngay cả khi áp dụng đủ các biện pháp kể trên thì vẫn còn nhiều khả năng tồn tại rủi ro và không biện pháp nào là không thể bị qua mặt. Vì vậy mà việc phát hiện, xác định mã độc là cần thiết để cảnh báo doanh nghiệp bất cứ khi nào sự cố xảy ra. Phát hiện, cảnh báo sớm là khâu đặc biệt quan trọng, phát hiện mã độc càng sớm, xử lý kịp thời thì ảnh hưởng thiệt hại do mã độc gây ra càng được giảm thiểu về cả quy mô và mức độ nghiêm trọng.
Tùy vào từng sự cố, doanh nghiệp cần áp dụng những hành động thích hợp dựa trên mức độ nghiêm trọng để giảm thiểu thiệt hại, gỡ bỏ mã độc và khôi phục lại hệ thống. Doanh nghiệp có thể cần thực hiện lại bước phát hiện và phân tích trong khi ngăn chặn/loại trừ và khôi phục – ví dụ, ngay cả khi pha phát hiện/phân tích ban đầu được thực hiện xong thì những phát hiện bổ sung trong quá trình ngăn chặn/loại trừ/khôi phục cũng khiến doanh nghiệp phải thực hiện lại công đoạn rà quét/phát hiện và phân tích. Sau khi sự cố được xử lý, doanh nghiệp cần lập báo cáo chi tiết về nguyên nhân của sự cố, thiệt hại mà sự cố gây ra và các biện pháp cần thực hiện để ngăn chặn các cuộc tấn công mã độc trong tương lai.

Tiến trình xử lý sự cố mã độc bao gồm các bước:

Bước 1: Chuẩn bị

Các Doanh nghiệp cần thực hiện các biện pháp sẵn sàng ứng phó với sự cố mã độc bao gồm xây dựng và duy trì các kỹ năng liên quan đến mã độc trong đội ứng phó sự cố, tạo điều kiện truyền thông và kỹ năng phối hợp trong toàn bộ tổ chức để sẵn sàng cho bất cứ khi nào sự cố xảy ra và trang bị các công cụ và tài nguyên phục vụ việc phòng tránh sự cố mã độc.

Bước 2: Phát hiện và phân tích

Doanh nghiệp cần nỗ lực xác định và đánh giá sự cố mã độc càng sớm càng tốt để giảm thiểu số máy tính bị lây nhiễm và mức độ thiệt hại mà mã độc gây ra. Vì mã độc có thể ở nhiều dạng và được phát tán qua nhiều cách nên có nhiều dấu hiệu sự cố và nhiều vị trí mà doanh nghiệp có thể phát hiện và ghi nhận các dấu hiệu đó. Sẽ cần những phân tích sâu, yêu cầu kiến thức kỹ thuật và kinh nghiệm vững vàng để khẳng định một sự cố gây ra bởi mã độc, đặc biệt đối với những mã độc mới, chưa từng được biết đến. Sau khi xác định và đánh giá, các chuyên viên xử lý sự cố mã độc cần xác định loại, phạm vi và mức độ nghiêm trọng của sự cố nhanh nhất có thể để đưa ra phương án khắc phục thích hợp nhất.

Bước 3: Ngăn chặn sự cố tiếp diễn

Ngăn chặn sự cố tiếp diễn nhằm chặn đứng quá trình lan rộng của mã độc và tránh gia tăng thiệt hại. Khi xử lý một sự cố mã độc, doanh nghiệp cần nhanh chóng đưa ra quyết định nên áp dụng phương pháp ngăn chặn nào ngay từ đầu. Việc ngăn chặn các sự cố trên hệ thống cô lập và sự cố liên quan đến các dạng không lây nhiễm của mã độc nói chung là đơn giản, chỉ cần các hành động như ngắt kết nối các máy bị ảnh hưởng khỏi mạng hoặc tắt máy. Đối với các sự cố mã độc lan rộng, chẳng hạn như worm, doanh nghiệp nên sử dụng chiến lược ngăn chặn sự cố ưu tiên các máy chủ càng nhanh càng tốt; điều này sẽ hạn chế số lượng máy bị lây nhiễm, giảm thiểu thiệt hại và rút ngắn thời gian cần để phục hồi hoàn toàn dữ liệu và dịch vụ.

Doanh nghiệp nên có các chiến lược và thủ tục thích hợp để đưa ra các quyết định liên quan đến phương án ngăn chặn sự cố tiếp diễn dựa vào mức độ thiệt hại chấp nhận được. Ví dụ, doanh nghiệp có thể quyết định rằng máy chủ bị nhiễm mã độc đang thực hiện

các tác vụ quan trọng và không nên ngắt kết nối máy đó khỏi mạng hoặc tắt máy đó nếu các tác vụ là không đáng để đổi lấy nguy cơ mất an toàn do không được cô lập.
Các phương án ngăn chặn sự cố tiếp diễn có thể dựa trên 4 chiến lược chính: dựa vào sự tham gia của người dùng, áp dụng hệ thống phòng thủ tự động, các dịch vụ có thể tạm dừng, và chặn một số loại kết nối mạng cụ thể.

Bước 4: Loại bỏ mã độc
Nếu một mã độc đã lây nhiễm thành công vì lỗ hổng của máy tính hoặc các điểm yếu về bảo mật khác, chẳng hạn như chia sẻ tệp tin không an toàn, thì việc loại trừ hoặc giảm thiểu điểm yếu đó sẽ giúp máy tính tránh khỏi nguy cơ lây nhiễm từ một biến thể khác của mã độc ban đầu. Hành động gỡ bỏ thường được củng cố với nỗ lực ngăn chặn. Ví dụ, doanh nghiệp có thể chạy một công cụ xác định các máy tính bị nhiễm, áp dụng các bản vá để loại bỏ các lỗ hổng bảo mật và chạy phần mềm diệt virus để loại bỏ mã độc. Các hành động ngăn chặn thường hạn chế các lựa chọn gỡ bỏ; ví dụ, nếu một sự cố được ngăn

chặn tiếp diễn bằng cách ngắt kết nối các máy bị nhiễm từ mạng chính, các máy này phải được kết nối với một VLAN riêng để chúng có thể được cập nhật từ xa, hoặc cập nhật và cấu hình lại bằng tay. Vì máy tính đã bị ngắt kết nối khỏi mạng chính nên chuyên viên xử lý sự cố sẽ phải chịu áp lực để thực hiện các gỡ bỏ trên máy chủ càng nhanh càng tốt để người dùng có thể tiếp tục công việc trên máy tính của họ.

Bước 5: Khôi phục hệ thống sau sự cố
Hai khía cạnh chính của việc khôi phục hệ thống sau sự cố mã độc là phục hồi chức năng, dữ liệu của máy tính bị lây nhiễm và gỡ các biện pháp ngăn chặn tạm thời. Đối với các mã độc gây thiệt hại nghiêm trọng như Trojan, rootkit hoặc backdoor phá hỏng hàng ngàn tập tin hệ thống hoặc xóa sạch ổ cứng thì cách tốt nhất để khôi phục chức năng và dữ liệu là cài đặt lại hệ thống và sử dụng bản sao lưu dữ liệu tốt nhất còn giữ được. Doanh nghiệp nên xem xét cẩn thận các tình huống xấu nhất có thể xảy ra, chẳng hạn như mối đe dọa từ một mẫu mã độc mới đòi hỏi phải cài đặt lại số lượng lớn các máy trạm và xác định xem các máy chủ sẽ được phục hồi như thế nào trong những trường hợp này. Điều này cần bao gồm việc xác định ai sẽ thực hiện các nhiệm vụ khôi phục, ước tính số giờ lao động cần thiết và xác định những thao tác phục hồi cần được ưu tiên như thế nào.

Bước 6: tổng kết và rút kinh nghiệm

Khi xảy ra một sự cố mã độc nghiêm trọng, các cá nhân chủ chốt thực hiện nhiệm vụ ứng cứu thường phải làm việc tích cực liên tục nhiều ngày hoặc vài tuần. Khi những nỗ lực xử lý sự cố kết thúc, họ có thể vì mệt mỏi về tinh thần và thể lực hoặc vì khối lượng công việc khôi phục, duy trì ngăn chặn vẫn còn nhiều nên khâu tổng kết và rút kinh nghiệm thường bị xem nhẹ, chậm trễ và đôi khi bị bỏ qua hoàn toàn. Tuy nhiên, vì các sự cố mã độc nghiêm trọng có thể rất tốn kém để xử lý, việc tổng kết và rút kinh nghiệm là đặc biệt quan trọng đối với doanh nghiệp. Các cuộc họp đánh giá nên diễn ra nhanh chóng trong khi sự cố vẫn còn trong tâm trí mọi người. Các bài học kinh nghiệm về quá trình xảy ra sự cố mã độc không khác gì các loại sự cố khác. Các kết quả có thể có của hoạt động tổng kết và rút kinh nghiệm cho các sự cố phần mềm độc hại như sau:
– Thay đổi chính sách an toàn thông tin. Các chính sách an toàn thông tin có thể cần phải sửa đổi hoặc bổ sung một số điểm để thích hợp hơn với bối cảnh của doanh nghiệp.
– Thay đổi chương trình nâng cao nhận thức. Các thay đổi này nhằm giảm thiểu số trường hợp bị lây nhiễm không đáng có trên máy tính của nhân viên hoặc nhằm cải thiện các hoạt động người dùng trong việc báo cáo sự cố và hỗ trợ xử lý sự cố trên chính máy tính của họ.
– Điều chỉnh cấu hình phần mềm. Các thiết lập cấu hình hệ điều hành và ứng dụng có thể cần phải điều chỉnh lại để hỗ trợ các thay đổi về chính sách hoặc tuân thủ tốt hơn đối với các chính sách hiện hành.
– Triển khai hệ thống phát hiện mã độc. Nếu máy tính bị lây nhiễm mã độc qua một cơ chế mà các phần mềm diệt virus không thể phát hiện, doanh nghiệp cần xem xét về việc triển khai các công nghệ phòng thủ bổ sung.
– Điều chỉnh cấu hình cho các hệ thống phát hiện mã độc. Các hệ thống phát hiện mã độc có thể cần phải cấu hình lại trong nhiều trường hợp như:
• Tăng tần suất cập nhật chữ ký mã độc
• Cải thiện độ chính xác của việc phát hiện
• Mở rộng phạm vi giám sát (tăng số cơ chế giám sát lây nhiễm, tăng loại tập tin cần giám sát,…)
• Thay đổi hành động tự động sau khi phát hiện một mã độc
• Cải thiện tính hiệu quả trong phân phối các bản cập nhật

0