Ngày 23 tháng 12 năm 2022Tin tức về hacker Phản hồi sự cố / Nền tảng XDR
Đây là mùa để các nhóm bảo mật và CNTT gửi email cho toàn công ty: “Không, Giám đốc điều hành của chúng tôi KHÔNG muốn bạn mua thẻ quà tặng.”
Khi phần lớn lực lượng lao động đăng ký nghỉ lễ, tin tặc đang đẩy mạnh trò chơi của họ. Chắc chắn chúng ta sẽ thấy hoạt động gia tăng khi tin tặc tiếp tục thực hiện các vụ lừa đảo thương mại điện tử và các cuộc tấn công lừa đảo theo chủ đề ngày lễ. Tin tặc thích sử dụng các chiến thuật này để lừa người dùng cuối không chỉ xâm phạm dữ liệu cá nhân của họ mà còn cả dữ liệu của tổ chức họ.
Nhưng điều đó không có nghĩa là bạn nên dành vài tuần tới trong trạng thái lo lắng liên tục.
Thay vào đó, hãy sử dụng thời điểm này như một cơ hội để đảm bảo rằng kế hoạch ứng phó sự cố (IR) của bạn là vững chắc.
Bắt đầu từ đâu?
Trước tiên, hãy đảm bảo rằng chiến lược của bạn tuân theo sáu bước để hoàn thành ứng phó sự cố.
Đây là một bồi dưỡng:
6 bước của một IR hoàn chỉnh
Sự chuẩn bị: Đây là giai đoạn đầu tiên và liên quan đến việc xem xét các chính sách và biện pháp bảo mật hiện có; thực hiện đánh giá rủi ro để tìm lỗ hổng tiềm ẩn; và thiết lập một kế hoạch liên lạc đưa ra các giao thức và cảnh báo nhân viên về các rủi ro bảo mật tiềm ẩn. Trong những ngày lễ, giai đoạn chuẩn bị cho kế hoạch IR của bạn là rất quan trọng vì nó mang đến cho bạn cơ hội truyền đạt các mối đe dọa dành riêng cho ngày lễ và bắt đầu chuyển động để giải quyết các mối đe dọa đó khi chúng được xác định.
Nhận biết: Giai đoạn nhận dạng là khi một sự cố đã được xác định – một sự cố đã xảy ra hoặc đang diễn ra. Điều này có thể xảy ra theo một số cách: bởi một nhóm nội bộ, nhà tư vấn bên thứ ba hoặc nhà cung cấp dịch vụ được quản lý hoặc trong trường hợp xấu nhất là do sự cố đã dẫn đến vi phạm dữ liệu hoặc xâm nhập vào mạng của bạn. Bởi vì rất nhiều vụ tấn công an ninh mạng vào dịp lễ liên quan đến thông tin đăng nhập của người dùng cuối, nên bạn nên kích hoạt các cơ chế an toàn để giám sát cách truy cập mạng của bạn.
ngăn chặn: Mục tiêu của giai đoạn ngăn chặn là giảm thiểu thiệt hại do sự cố an ninh gây ra. Bước này thay đổi tùy theo sự cố và có thể bao gồm các giao thức như cách ly thiết bị, vô hiệu hóa tài khoản email hoặc ngắt kết nối các hệ thống dễ bị tấn công khỏi mạng chính. Bởi vì các hành động ngăn chặn thường có ý nghĩa kinh doanh nghiêm trọng, điều bắt buộc là các quyết định ngắn hạn và dài hạn đều phải được xác định trước để không xảy ra tranh giành vào phút cuối để giải quyết vấn đề bảo mật.
Diệt trừ: Khi bạn đã ngăn chặn sự cố bảo mật, bước tiếp theo là đảm bảo rằng mối đe dọa đã được loại bỏ hoàn toàn. Điều này cũng có thể liên quan đến các biện pháp điều tra để tìm ra ai, cái gì, khi nào, ở đâu và tại sao sự cố xảy ra. Việc xóa có thể bao gồm các quy trình dọn dẹp ổ đĩa, khôi phục hệ thống về phiên bản sao lưu sạch hoặc tạo lại toàn bộ ổ đĩa. Giai đoạn diệt trừ cũng có thể bao gồm xóa các tệp độc hại, sửa đổi khóa đăng ký và có thể cài đặt lại hệ điều hành.
Hồi phục: Giai đoạn phục hồi là ánh sáng cuối đường hầm, cho phép tổ chức của bạn trở lại hoạt động kinh doanh như bình thường. Giống như ngăn chặn, các giao thức khôi phục được thiết lập tốt nhất trước đó để các biện pháp thích hợp được thực hiện để đảm bảo hệ thống được an toàn.
Bài học kinh nghiệm: Trong giai đoạn rút ra bài học, bạn sẽ cần ghi lại những gì đã xảy ra và lưu ý chiến lược IR của bạn hoạt động như thế nào ở mỗi bước. Đây là thời điểm quan trọng để xem xét các chi tiết như mất bao lâu để phát hiện và ngăn chặn sự cố. Có bất kỳ dấu hiệu nào của phần mềm độc hại còn sót lại hoặc hệ thống bị xâm phạm sau khi xóa không? Đó có phải là một vụ lừa đảo liên quan đến kế hoạch tin tặc trong kỳ nghỉ không? Và nếu vậy, bạn có thể làm gì để ngăn chặn nó vào năm tới?
Làm thế nào các nhóm bảo mật tinh gọn có thể bớt căng thẳng hơn trong mùa lễ này
Kết hợp các phương pháp hay nhất vào chiến lược IR của bạn là một chuyện. Tuy nhiên, việc xây dựng và sau đó triển khai những phương pháp hay nhất này nói dễ hơn làm khi bạn không có thời gian hoặc nguồn lực.
Các nhà lãnh đạo của các nhóm bảo mật nhỏ hơn phải đối mặt với những thách thức bổ sung do thiếu nguồn lực này. Ngân sách eo hẹp kết hợp với việc không có đủ nhân viên để quản lý các hoạt động bảo mật đang khiến nhiều nhóm bảo mật tinh gọn cảm thấy cam chịu với ý nghĩ rằng họ sẽ không thể giữ an toàn cho tổ chức của mình trước sự tấn công dữ dội mà chúng ta thường thấy trong mùa lễ.
May mắn thay, có những tài nguyên miễn phí dành cho các nhóm bảo mật trong tình huống khó khăn chính xác này.
Bạn có thể tìm thấy mọi thứ từ các mẫu để báo cáo về sự cố đến hội thảo trên web đi sâu vào chiến lược IR, cùng với thông tin về các mối đe dọa an ninh mạng gần đây nhất trong trung tâm Ứng phó sự cố của Cynet. Và để hỗ trợ thêm cho các nhóm bảo mật tinh gọn nếu xảy ra sự cố, họ đang cung cấp dịch vụ Ứng phó sự cố nhanh miễn phí.
Nếu bạn muốn xem các tài nguyên miễn phí này, hãy truy cập Trung tâm phản hồi sự cố tăng tốc tại đây.
Có thể đội an ninh của bạn sẽ giữ vững pháo đài trong hai tuần tới trong khi tận hưởng kỳ nghỉ mà không phải lo lắng.
