Tuyến phòng thủ tốt nhất chống lại các kế hoạch tấn công ngày lễ là một chiến lược ứng phó sự cố toàn diện, tập trung vào các lỗ hổng của người dùng cuối.
Kỳ nghỉ lễ đang đến gần và kéo theo đó là hàng loạt vụ lừa đảo an ninh mạng nhằm vào các lỗ hổng của người dùng cuối.
Vì nhân viên thường sử dụng email và điện thoại di động của doanh nghiệp làm đầu mối liên hệ chính nên những trò gian lận này nhanh chóng trở thành mối đe dọa đối với hệ thống máy tính của chủ lao động. Với rất nhiều người mua sắm trực tuyến, theo dõi các lô hàng và nhập dữ liệu nhạy cảm trên nhiều trang web, các tin tặc ngày lễ đã sẵn sàng và sẵn sàng tấn công mạng của bạn bằng cách lợi dụng các hành động trực tuyến và sử dụng điện thoại di động của nhân viên.
Theo FBI, hai loại lừa đảo ngày lễ phổ biến nhất bao gồm tội không giao hàng và không thanh toán – khi người tiêu dùng trả tiền cho một sản phẩm hoặc dịch vụ không bao giờ được giao hoặc sản phẩm được giao mà người bán không nhận được tiền. Tội phạm mạng cũng quan tâm đến gian lận thẻ quà tặng và gian lận đấu giá, cũng như các nỗ lực lừa đảo qua email hoặc tin nhắn văn bản nhằm ngụy trang các liên kết độc hại dưới dạng xác nhận mua hàng, thông tin theo dõi đơn hàng hoặc thông báo giao hàng.
Đặc biệt là vào thời điểm này trong năm, bọn tội phạm mạng đang dựa vào việc mọi người quá mất tập trung để nhận ra rằng họ đã nhấp vào liên kết phần mềm độc hại hoặc nhập thông tin đăng nhập của họ trên một trang web lừa đảo.
Số lượng các mối đe dọa an ninh mạng tăng cao trong các ngày lễ cho thấy tầm quan trọng của việc có sẵn chiến lược ứng phó sự cố (IR) toàn diện để bảo vệ cả nhân viên và cơ sở hạ tầng kỹ thuật số của công ty bạn.
Xây dựng Chiến lược Ứng phó Sự cố cho Ngày lễ
Một kế hoạch ứng phó sự cố kỹ lưỡng – về cơ bản là các chính sách và quy trình an ninh mạng được sử dụng để xác định, ngăn chặn và loại bỏ các cuộc tấn công – là rất quan trọng đối với hoạt động kinh doanh trong suốt cả năm. Tuy nhiên, vì các kỳ nghỉ lễ đi kèm với một loạt các mối đe dọa an ninh mạng đặc biệt, nên bạn nên xem lại kế hoạch của mình để đảm bảo rằng kế hoạch đó đã được “chuẩn bị” cho kỳ nghỉ lễ.
Theo Viện SANS, một chiến lược IR toàn diện tập trung vào sáu mục tiêu cốt lõi: chuẩn bị, xác định, ngăn chặn, xóa bỏ, phục hồi và bài học kinh nghiệm.
Mặc dù bạn có thể không cần cập nhật từng giai đoạn trong chiến lược IR của mình trong những tuần tới, nhưng bạn nên xem lại các chính sách và thủ tục để có thể điều chỉnh chúng cho những ngày lễ.
6 Giai đoạn Chuẩn bị Chiến lược Ứng phó Sự cố Hoàn chỉnh: Đây là giai đoạn đầu tiên và liên quan đến việc xem xét các chính sách và biện pháp an ninh hiện có; thực hiện đánh giá rủi ro để tìm lỗ hổng tiềm ẩn; và thiết lập một kế hoạch liên lạc đưa ra các giao thức và cảnh báo nhân viên về các rủi ro bảo mật tiềm ẩn. Trong những ngày lễ, giai đoạn chuẩn bị cho kế hoạch IR của bạn là rất quan trọng vì nó mang đến cho bạn cơ hội truyền đạt các mối đe dọa dành riêng cho ngày lễ và bắt đầu chuyển động để giải quyết các mối đe dọa đó khi chúng được xác định. Nhận dạng: Giai đoạn nhận dạng là khi một sự cố đã được xác định – một sự cố đã xảy ra hoặc đang diễn ra. Điều này có thể xảy ra theo một số cách: bởi một nhóm nội bộ, nhà tư vấn bên thứ ba hoặc nhà cung cấp dịch vụ được quản lý hoặc trong trường hợp xấu nhất là do sự cố đã dẫn đến vi phạm dữ liệu hoặc xâm nhập vào mạng của bạn. Bởi vì rất nhiều vụ tấn công an ninh mạng vào dịp lễ liên quan đến thông tin đăng nhập của người dùng cuối, nên bạn nên kích hoạt các cơ chế an toàn để giám sát cách truy cập mạng của bạn. Ngăn chặn: Mục tiêu của giai đoạn ngăn chặn là giảm thiểu thiệt hại do sự cố an ninh gây ra. Bước này thay đổi tùy theo sự cố và có thể bao gồm các giao thức như cách ly thiết bị, vô hiệu hóa tài khoản email hoặc ngắt kết nối các hệ thống dễ bị tấn công khỏi mạng chính. Bởi vì các hành động ngăn chặn thường có ý nghĩa kinh doanh nghiêm trọng, điều bắt buộc là các quyết định ngắn hạn và dài hạn đều phải được xác định trước để không xảy ra tranh giành vào phút cuối để giải quyết vấn đề bảo mật. Xóa bỏ: Sau khi bạn đã ngăn chặn sự cố bảo mật, bước tiếp theo là đảm bảo rằng mối đe dọa đã được loại bỏ hoàn toàn. Điều này cũng có thể liên quan đến các biện pháp điều tra để tìm ra ai, cái gì, khi nào, ở đâu và tại sao sự cố xảy ra. Việc xóa có thể bao gồm các quy trình dọn dẹp ổ đĩa, khôi phục hệ thống về phiên bản sao lưu sạch hoặc tạo lại toàn bộ ổ đĩa. Giai đoạn diệt trừ cũng có thể bao gồm xóa các tệp độc hại, sửa đổi khóa đăng ký và có thể cài đặt lại hệ điều hành. Phục hồi: Giai đoạn phục hồi là ánh sáng cuối đường hầm, cho phép tổ chức của bạn trở lại hoạt động kinh doanh như bình thường. Giống như ngăn chặn, các giao thức khôi phục được thiết lập tốt nhất trước đó để các biện pháp thích hợp được thực hiện để đảm bảo hệ thống được an toàn. Bài học rút ra: Trong giai đoạn rút ra bài học, bạn sẽ cần ghi lại những gì đã xảy ra và lưu ý chiến lược IR của bạn hoạt động như thế nào ở mỗi bước. Đây là thời điểm quan trọng để xem xét các chi tiết như mất bao lâu để phát hiện và ngăn chặn sự cố. Có bất kỳ dấu hiệu nào của phần mềm độc hại còn sót lại hoặc hệ thống bị xâm phạm sau khi xóa không? Đó có phải là một vụ lừa đảo liên quan đến kế hoạch tin tặc trong kỳ nghỉ không? Và nếu vậy, bạn có thể làm gì để ngăn chặn nó vào năm tới?
Chiến lược ứng phó sự cố cho các nhóm bảo mật tinh gọn
Đối với các tổ chức vừa và nhỏ có các nhóm bảo mật CNTT tinh gọn hoặc nhân viên CNTT chỉ có một người, “chiến lược ứng phó sự cố toàn diện” có thể nằm ngoài tầm với.
Nhưng thực tế là, với công nghệ an ninh mạng phù hợp, các nhóm thiếu nhân lực và tài nguyên có thể triển khai chiến lược IR toàn diện để bảo vệ mạng và hệ thống của tổ chức họ trong suốt cả năm.
Trong các kỳ nghỉ lễ, các công cụ bảo mật tự động này ngày càng trở nên có giá trị hơn vì chúng có thể theo kịp các rủi ro bảo mật do tin tặc trong kỳ nghỉ lễ gây ra. Việc tận dụng nền tảng ứng phó sự cố tự động bao gồm các dịch vụ phát hiện và ứng phó được quản lý (MDR) cho phép các nhóm bảo mật CNTT duy trì và vận hành các hoạt động bảo mật 24/7 bất kể quy mô hoặc trình độ kỹ năng của họ. Các nhóm CNTT có thể xác định và ứng phó với các sự cố với tốc độ nhanh hơn, giảm thiểu thiệt hại và giảm tác động của sự cố bảo mật đối với toàn bộ doanh nghiệp.
Để giúp các nhà lãnh đạo bảo mật xây dựng các chiến lược IR mạnh mẽ hơn, Cynet đang cung cấp Phản hồi sự cố tăng tốc cùng với nội dung như đi sâu vào sáu bước của một chiến lược IR hoàn chỉnh, hội thảo trên web do các chuyên gia và nhà phân tích IR tổ chức và các công cụ bao gồm các mẫu báo cáo IR.
Hãy coi đó là món quà của Cynet dành cho bạn trong mùa lễ này.
Truy cập trung tâm Ứng phó Sự cố Nhanh của Cynet để khám phá thêm.
