Sự thật đáng tiếc là trong khi các công ty đang đầu tư nhiều hơn vào các biện pháp phòng thủ mạng và coi trọng vấn đề an ninh mạng hơn bao giờ hết, thì các vụ vi phạm và tấn công ransomware đang gia tăng. Mặc dù vi phạm thành công không phải là không thể tránh khỏi, nhưng nó ngày càng có nhiều khả năng xảy ra mặc dù đã cố gắng hết sức để ngăn nó xảy ra.
Cũng giống như trời không mưa khi Noah chế tạo con tàu, các công ty phải đối mặt với thực tế rằng họ cần chuẩn bị – và giáo dục tổ chức – một kế hoạch ứng phó được tính toán kỹ lưỡng nếu một cuộc tấn công mạng thành công xảy ra. Rõ ràng, thời điểm tồi tệ nhất để lập kế hoạch phản ứng với một cuộc tấn công mạng là khi nó xảy ra.
Với rất nhiều công ty trở thành nạn nhân của các cuộc tấn công mạng, toàn bộ ngành dịch vụ Ứng phó Sự cố (IR) đã hình thành. Hàng ngàn cam kết IR đã giúp đưa ra các phương pháp hay nhất và hướng dẫn chuẩn bị để giúp những người chưa trở thành nạn nhân của một cuộc tấn công mạng.
Mới đây, công ty an ninh mạng Cynet đã cung cấp mẫu Word kế hoạch ứng phó sự cố để giúp các công ty lập kế hoạch cho sự cố đáng tiếc này.
Lập kế hoạch cho điều tồi tệ nhất
Câu ngạn ngữ cổ “hy vọng điều tốt nhất, lập kế hoạch cho điều tồi tệ nhất” không hoàn toàn chính xác ở đây. Hầu hết các công ty đang tích cực làm việc để bảo vệ mình khỏi các cuộc tấn công mạng và chắc chắn không chỉ đơn thuần hy vọng điều tốt nhất. Mặc dù vậy, việc lập kế hoạch cho những việc cần làm sau khi vi phạm là một nỗ lực rất đáng giá để công ty có thể bắt tay ngay vào hành động thay vì đợi kế hoạch đến cùng. Khi một vi phạm xảy ra và những kẻ tấn công có quyền truy cập vào mạng, mỗi giây đều có giá trị.
Kế hoạch IR chủ yếu ghi lại các vai trò và trách nhiệm rõ ràng cho nhóm ứng phó và xác định quy trình cấp cao mà nhóm sẽ tuân theo khi ứng phó với một sự cố mạng. Mẫu Kế hoạch IR do Cynet tạo ra khuyên bạn nên tuân theo quy trình IR 6 bước có cấu trúc do Viện SANS xác định trong Sổ tay Xử lý Sự cố của họ, nhân tiện, là một nguồn IR tuyệt vời khác.
Sáu bước được nêu là:
Sự chuẩn bị—Xem xét và hệ thống hóa chính sách bảo mật của tổ chức, thực hiện đánh giá rủi ro, xác định các nội dung nhạy cảm, xác định đâu là sự cố bảo mật quan trọng mà nhóm cần tập trung vào và xây dựng Nhóm ứng phó sự cố bảo mật máy tính (CSIRT).
Nhận biết—Giám sát các hệ thống CNTT và phát hiện các sai lệch so với các hoạt động bình thường và xem liệu chúng có đại diện cho các sự cố bảo mật thực tế hay không. Khi một sự cố được phát hiện, hãy thu thập thêm bằng chứng, xác định loại và mức độ nghiêm trọng của nó, và ghi lại mọi thứ.
Sự ngăn chặn—Thực hiện ngăn chặn ngắn hạn, chẳng hạn, bằng cách cô lập phân đoạn mạng đang bị tấn công. Sau đó, tập trung vào việc ngăn chặn lâu dài, bao gồm các bản sửa lỗi tạm thời để cho phép các hệ thống được sử dụng trong sản xuất, đồng thời xây dựng lại các hệ thống sạch.
Diệt trừ—Xóa phần mềm độc hại khỏi tất cả các hệ thống bị ảnh hưởng, xác định nguyên nhân gốc rễ của cuộc tấn công và thực hiện hành động để ngăn chặn các cuộc tấn công tương tự trong tương lai.
Hồi phục—Giúp các hệ thống sản xuất bị ảnh hưởng trở lại trực tuyến một cách cẩn thận, để ngăn chặn các cuộc tấn công bổ sung. Kiểm tra, xác minh và giám sát các hệ thống bị ảnh hưởng để đảm bảo chúng trở lại hoạt động bình thường.
Bài học kinh nghiệm—Không muộn hơn hai tuần kể từ khi sự việc kết thúc, hãy thực hiện hồi cứu sự việc. Chuẩn bị tài liệu đầy đủ về sự cố, điều tra sự cố thêm, hiểu những gì đã được thực hiện để ngăn chặn nó và liệu có thể cải thiện bất kỳ điều gì trong quy trình ứng phó sự cố hay không.
Mẫu Kế hoạch IR giúp các tổ chức hệ thống hóa những điều trên thành một kế hoạch khả thi và có thể được chia sẻ trong toàn tổ chức. Mẫu Kế hoạch IR của Cynet cung cấp danh sách kiểm tra cho từng bước IR, tất nhiên, có thể và cần được tùy chỉnh dựa trên các trường hợp cụ thể của từng công ty.
Hơn nữa, Cynet IR Plan Template đi sâu vào cấu trúc nhóm IR cùng với các vai trò và trách nhiệm để ngăn chặn mọi người chạy xung quanh với mái tóc của họ trong khi nỗ lực điên cuồng để khôi phục sau một sự cố mạng. Với rất nhiều công việc và nhiệm vụ cần hoàn thành, điều quan trọng là nhân viên phải chuẩn bị và biết những gì sẽ xảy ra ở họ.
Bạn có thể tải mẫu Word tại đây
.
