Giờ vàng ứng phó sự cố

Ứng phó sự cố

Là một nhà tư vấn CSIRT, tôi không thể nhấn mạnh quá tầm quan trọng của việc quản lý hiệu quả trong giờ đầu tiên trong một sự cố quan trọng.

Tìm ra những gì cần làm thường là một nhiệm vụ khó khăn trong một sự cố quan trọng. Ngoài ra, cảm giác không yên tâm thường ngăn cản một nhà phân tích phản ứng sự cố đưa ra các quyết định hiệu quả. Tuy nhiên, giữ một cái đầu lạnh và các hành động được lên kế hoạch là rất quan trọng để xử lý thành công một sự cố an ninh. Blog này sẽ trình bày chi tiết về một số điểm chính để giúp người đọc tạo điều kiện thuận lợi hơn cho các thủ tục ứng phó sự cố.

Ứng phó sự cố

Chuẩn bị là cần thiết

Trước khi xử lý bất kỳ sự cố nào, các nhà sẽ cần biết rất nhiều thông tin. Để bắt đầu, các nhà phân tích ứng phó sự cố cần tự làm quen với vai trò và trách nhiệm của họ. Cơ sở hạ tầng CNTT đã phát triển nhanh chóng trong những năm qua. Ví dụ: chúng tôi đã quan sát thấy sự chuyển động ngày càng tăng đối với điện toán đám mây và lưu trữ dữ liệu. Môi trường CNTT thay đổi nhanh thường xuyên đòi hỏi các nhà phân tích phải cập nhật bộ kỹ năng của họ, chẳng hạn như tìm hiểu về bảo mật đám mây. Do đó, các nhà phân tích sẽ cần phải thực hành thực tế và duy trì một bức tranh toàn cảnh về cấu trúc liên kết của tất cả các hệ thống. Trong thế giới thực, các nhà phân tích CSIRT bên ngoài nên nhanh chóng xác định tất cả các tài sản thuộc trách nhiệm của họ. Đồng thời, các nhà phân tích CSIRT nội bộ cũng nên tham gia tích cực vào việc quản lý lỗ hổng bảo mật và quy trình quét khám phá.

Xem tiếp:   Facebook truy cập với 18,6 triệu đô la GDPR tiền phạt sau 12 vụ vi phạm dữ liệu trong năm 2018

Chất lượng của thông tin thu thập xác định kết quả của ứng phó sự cố. Ngoài ra, các nhà phân tích CSIRT cũng cần hiểu những mối đe dọa mà họ sẽ phải đối mặt. Khi các an ninh mạng phòng thủ được nâng cấp mỗi ngày, các tác nhân đe dọa đang sẵn sàng phát triển. Ví dụ: theo một bài báo vào năm 2020, bốn trong số mười tác nhân ransomware hoạt động hàng đầu hiện đang sử dụng mô hình kinh doanh “Ransomware như một dịch vụ” [1]. Mô hình này biểu thị rằng các tác nhân độc hại sẽ dễ dàng triển khai ransomware hơn vì thiếu các yêu cầu kỹ thuật để tận dụng các cuộc tấn công như vậy. Sau cùng, các nhóm CSIRT cần xác định các mối đe dọa chính mà họ có thể gặp phải.

Ví dụ: một chuyên gia CSIRT có thể thấy phổ biến và kết luận rằng không có mối đe dọa bổ sung nào tồn tại. Nhưng khi tình huống này xảy ra đối với các kịch bản nhạy cảm hơn, chẳng hạn như một cuộc tấn công trong lĩnh vực năng lượng, họ sẽ phải suy nghĩ chín chắn và tìm ra các phương pháp tấn công độc đáo. Để chuẩn bị hiệu quả cho ứng phó sự cố, các nhà phân tích cần phải quen thuộc với cơ sở hạ tầng mà họ sẽ làm việc và bối cảnh mối đe dọa an ninh mạng mà họ sẽ phải đối mặt.

Ứng phó sự cố

Nhận các quy trình mạnh mẽ tại chỗ

Biết chỉ là một nửa của trận chiến. Khi cảnh báo vang lên, chúng ta cần nhanh chóng lấy lại bình tĩnh và lên kế hoạch trả lời câu hỏi đầu tiên, “tôi nên làm gì trong giờ đầu tiên?” Bài báo “Các giai đoạn của một sự cố nghiêm trọng” đề cập đến giờ đầu tiên trong một sự cố nghiêm trọng là “giai đoạn khủng hoảng” và “được đặc trưng bởi sự bối rối, hoảng sợ, vội vàng đến hiện trường và bế tắc.”[2] Các nhà phân tích CSIRT đã được diễn tập tốt sẽ thực hiện tốt sự sáng suốt trong cuộc điều tra của họ.

Xem tiếp:   Các nhà nghiên cứu liên kết các cuộc tấn công phần mềm độc hại ShadowPad với Bộ và PLA Trung Quốc

Mặt khác, trong nhiều trường hợp, họ có thể dễ bị mù mờ thông tin, không có khả năng thực hiện một giải pháp trong một khung thời gian giới hạn và thiếu thẩm quyền điều hành. Trong những lúc như vậy, nhóm ứng phó sự cố phải tự mình giải quyết vấn đề, thể hiện rõ ràng kiến ​​thức chuyên môn của mình và thúc đẩy hoạt động của họ.

Khi thực hiện điều tra và phân tích nguyên nhân gốc rễ, đội ứng phó sự cố thường gặp khó khăn trong việc tìm kiếm các mảnh ghép còn thiếu. Những khó khăn này dẫn đến nghi ngờ và do dự.

Trong những trường hợp như vậy, các nhà phân tích thường suy đoán sự cố là do một hoặc nhiều khả năng vi phạm mà không chắc chắn. Trong những trường hợp này, họ nên cho rằng nguyên nhân có thể xảy ra nhất và hành động phù hợp. Trong giờ đầu tiên, thời gian là bắt buộc. Giống như tham gia một kỳ thi, khi thời gian có hạn, hãy bỏ qua những câu hỏi bạn đang mắc kẹt trước.

Ngày nay, quy trình ngăn chặn ứng phó sự cố thường được đơn giản hóa do các công nghệ Phát hiện và Phản hồi điểm cuối (EDR) được áp dụng rộng rãi, cung cấp khả năng ngăn chặn mạng chỉ bằng một nút nhấn. Tuy nhiên, ngay cả với các công cụ ngăn chặn mạng truyền thống, việc chứa mạng không phải lúc nào cũng dễ dàng. Không phải lúc nào mọi người cũng chọn phương án an toàn hơn khi nó có sẵn. Nhưng như người ta nói, luôn luôn tốt hơn để được an toàn hơn là xin lỗi!

Ứng phó sự cố

Tìm hiểu điều gì đã thực sự xảy ra và thu hẹp khoảng cách

Có lẽ sau một giờ, vẫn còn thiếu các mảnh ghép. Bây giờ, bạn nên dành một chút thời gian và xem xét tất cả các khả năng và lập danh sách.

Ví dụ: tôi đã xử lý một sự cố bảo mật trong đó kẻ tấn công khởi chạy một trình bao đảo ngược trên máy chủ. Tôi ngay lập tức quyết định chứa máy chủ và thu thập tất cả bằng chứng. Nhưng đồng đội của tôi và tôi vẫn không thể tìm ra cách máy chủ bị xâm nhập, vì vậy chúng tôi đã lập danh sách tất cả các dịch vụ có thể truy cập và kiểm tra nhật ký liên quan cho từng dịch vụ.

Xem tiếp:   Facebook phải trả tiền cho tin tặc để báo cáo lỗi thu thập dữ liệu và tập dữ liệu cóp nhặt

Những suy đoán ban đầu đặt một công cụ vận hành CNTT như là dấu hiệu của sự thỏa hiệp. Nhưng cuối cùng, chúng tôi đã loại bỏ suy đoán này bằng cách loại bỏ tất cả các khả năng và kết luận rằng phải có một lỗ hổng bảo mật cố hữu trong dịch vụ web của nó.

Đôi khi, trong quá trình phân tích sau vi phạm, các nhà phân tích của CSIRT có thể gặp phải những trở ngại trong việc kết nối các điểm. Nhưng sự thật sẽ luôn thắng nếu bạn có đủ kiên nhẫn và một suy nghĩ đúng đắn.

Những gì bạn nên xem xét

Tóm lại, quản lý hiệu quả khoảng thời gian quan trọng một giờ sau một sự cố nghiêm trọng đòi hỏi nhiều hơn là học tại chỗ.

Ngoài các chuyên môn kỹ thuật, các nhà phân tích CSIRT có kinh nghiệm cũng sẽ được hưởng lợi từ việc chuẩn bị kỹ lưỡng về tài sản và đối thủ của họ, sắp xếp thứ tự ưu tiên các nhiệm vụ và đưa ra quyết định nhanh chóng khi được yêu cầu, cũng như có thể phân biệt thực tế bằng cách sử dụng quy trình loại bỏ .

Đây chỉ là một đoạn trích khác của những câu chuyện trong Bộ điều hướng an ninh. Các nội dung thú vị khác như CSIRT- và các hoạt động dồn nén thực tế, cũng như hàng tấn dữ kiện và số liệu về bối cảnh an ninh nói chung cũng có thể được tìm thấy ở đó. Báo cáo đầy đủ có sẵn để tải xuống trên trang web Orange Cyberdefense, vì vậy hãy xem. Nó có giá trị nó!

[1] Midler, Marisa. “Ransomware as a Service (Raas) Đe doạ.” SEI Blog, ngày 5 tháng 10 năm 2020, https://insights.sei.cmu.edu/blog/ransomware-as-a-service-raas-threats/ [2] “Các giai đoạn của một sự cố nghiêm trọng.” Eddusaver, ngày 5 tháng 5 năm 2020, https://www.eddusaver.com/phases-of-a-critical-incident/

Lưu ý – Bài viết này được viết và đóng góp bởi Tingyang Wei, Nhà phân tích bảo mật tại Orange Cyberdefense.

.

Related Posts

Check Also

Lỗ hổng BMC nghiêm trọng ‘sự cố’ ảnh hưởng đến máy chủ QCT được sử dụng trong trung tâm dữ liệu

Theo một nghiên cứu mới được công bố hôm nay, các máy chủ của Công …