Ứng phó sự cố an ninh mạng
Sự cố là gì
Sự cố có thể được phân loại là điều gì đó bất lợi, mối đe dọa đối với hệ thống hoặc mạng máy tính của chúng tôi. Nó ngụ ý có hại hoặc ai đó đang cố gắng làm hại tổ chức. Không phải tất cả các Sự cố sẽ được IRT ("Nhóm ứng phó sự cố") xử lý vì chúng không nhất thiết phải có tác động, nhưng những người thực hiện IRT sẽ được triệu tập để giúp giải quyết sự cố theo cách có thể dự đoán được và có chất lượng cao.
IRT phải được liên kết chặt chẽ với các mục tiêu và mục đích kinh doanh của tổ chức và luôn cố gắng đảm bảo kết quả tốt nhất khi xảy ra sự cố. Thông thường, điều này liên quan đến việc giảm tổn thất tiền tệ, ngăn chặn những kẻ tấn công thực hiện chuyển động ngang và ngăn chặn chúng trước khi chúng có thể đạt được mục tiêu.
IRT - Đội ứng phó sự cố
IRT là một nhóm chuyên giải quyết các Sự cố An ninh Mạng. Nhóm có thể chỉ bao gồm các chuyên gia An ninh mạng nhưng có thể phối hợp rất tốt nếu có thêm các nguồn lực từ các nhóm khác. Hãy cân nhắc xem việc có các đơn vị sau có thể tác động lớn đến cách nhóm của bạn hoạt động như thế nào trong một số tình huống nhất định:
- Chuyên gia An ninh Mạng - Tất cả chúng ta đều biết những người này thuộc về nhóm.
- Hoạt động bảo mật - Họ có thể có hiểu biết sâu sắc về các vấn đề đang phát triển và có thể hỗ trợ bằng cách nhìn toàn cảnh về tình hình.
- Hoạt động CNTT
- Hoạt động mạng lưới
- Phát triển
- Hợp pháp
- nhân sự
PICERL - Một phương pháp luận
Phương pháp PICERL có tên chính thức là NIST-SP 800-61 (https://nvlpubs.nist.gov/nistpubs/specialPublications/NIST.SP.800-61r2.pdf) và chứa thông tin tổng quan về phương pháp có thể áp dụng cho sự cố phản ứng.
Đừng coi phương pháp này như một mô hình thác nước mà thay vào đó là một quá trình mà bạn có thể tiến và lùi. Điều này rất quan trọng để đảm bảo bạn giải quyết triệt để các sự cố xảy ra.
6 giai đoạn ứng phó sự cố:
Sự chuẩn bị
Giai đoạn này là để sẵn sàng ứng phó với sự cố. Có nhiều điều IRT nên cân nhắc để đảm bảo rằng họ đã chuẩn bị sẵn sàng.
Việc chuẩn bị cần bao gồm việc xây dựng các sách hướng dẫn và quy trình chỉ ra cách thức tổ chức ứng phó với một số loại sự cố nhất định. Các quy tắc tham gia cũng cần được xác định trước: nhóm nên phản hồi như thế nào? Nhóm có nên tích cực cố gắng ngăn chặn và loại bỏ các mối đe dọa hay đôi khi có thể chấp nhận việc theo dõi mối đe dọa trong môi trường để tìm hiểu thông tin tình báo có giá trị, chẳng hạn như cách chúng đột nhập, chúng là ai và chúng đang theo đuổi điều gì?
Nhóm cũng phải đảm bảo rằng họ có nhật ký, thông tin và quyền truy cập cần thiết để tiến hành phản hồi. Nếu nhóm không thể truy cập vào hệ thống mà họ đang phản hồi hoặc nếu hệ thống không thể mô tả chính xác sự cố thì nhóm sẽ thất bại.
Các công cụ và tài liệu phải được cập nhật và các kênh liên lạc an toàn đã được đàm phán. Nhóm phải đảm bảo các đơn vị kinh doanh và người quản lý cần thiết có thể nhận được thông tin cập nhật liên tục về diễn biến của các sự cố ảnh hưởng đến họ.
Đào tạo cho cả nhóm và các bộ phận hỗ trợ của tổ chức cũng rất cần thiết cho sự thành công của nhóm. Người ứng phó sự cố có thể tìm kiếm sự đào tạo và chứng chỉ và nhóm có thể cố gắng tác động đến phần còn lại của tổ chức để không trở thành nạn nhân của các mối đe dọa.
Nhận biết
Xem qua dữ liệu và sự kiện, cố gắng chỉ ra điều gì đó đáng lẽ phải được phân loại là một sự cố. Nhiệm vụ này thường được giao cho SOC, nhưng IRT có thể tham gia vào hoạt động này và với kiến thức của họ, họ sẽ cố gắng cải thiện khả năng nhận dạng.
Các sự cố thường được tạo ra dựa trên cảnh báo từ các công cụ liên quan đến bảo mật như EDR ("Phát hiện và phản hồi điểm cuối"), IDS/IPS ("Hệ thống ngăn chặn/phát hiện xâm nhập") hoặc SIEM's ("Hệ thống quản lý sự kiện thông tin bảo mật"). Sự cố cũng có thể xảy ra khi ai đó thông báo cho nhóm về một vấn đề, chẳng hạn như người dùng gọi cho nhóm, gửi email tới hộp thư đến email của IRT hoặc một phiếu trong hệ thống quản lý trường hợp sự cố.
Mục tiêu của giai đoạn xác định là phát hiện các sự cố và kết luận tác động cũng như tầm ảnh hưởng của chúng. Những câu hỏi quan trọng mà nhóm nên tự hỏi mình bao gồm:
- Mức độ quan trọng và độ nhạy cảm của nền tảng bị vi phạm là gì?
- Nền tảng có được sử dụng ở nơi khác không, nghĩa là có khả năng bị xâm phạm thêm nếu không được thực hiện kịp thời?
- Có bao nhiêu người dùng và hệ thống có liên quan?
- Những kẻ tấn công có những loại thông tin xác thực nào và chúng có thể được sử dụng lại ở đâu?
Nếu một sự cố cần được ứng phó, nhóm sẽ chuyển sang giai đoạn ngăn chặn tiếp theo.
ngăn chặn
Việc quản thúc nên cố gắng ngăn chặn những kẻ tấn công trên đường đi của chúng và ngăn ngừa thiệt hại thêm. Bước này phải đảm bảo tổ chức không phải chịu thêm bất kỳ thiệt hại nào và đảm bảo những kẻ tấn công không thể đạt được mục tiêu của chúng.
IRT nên cân nhắc xem có nên thực hiện sao lưu và chụp ảnh càng sớm càng tốt hay không. Sao lưu và chụp ảnh rất hữu ích để lưu giữ bằng chứng cho sau này. Quá trình này nên cố gắng bảo mật:
- Một bản sao của các ổ đĩa cứng liên quan đến việc điều tra tập tin
- Bản sao bộ nhớ của các hệ thống liên quan để điều tra bộ nhớ
Có nhiều hành động mà IRT có thể thực hiện để ngăn chặn những kẻ tấn công, điều này phụ thuộc rất nhiều vào sự cố được đề cập:
- Chặn những kẻ tấn công trong Tường lửa
- Ngắt kết nối mạng với các hệ thống bị xâm nhập
- Chuyển hệ thống ngoại tuyến
- Thay đổi mật khẩu
- Yêu cầu ISP ("Nhà cung cấp dịch vụ Internet") hoặc các đối tác khác trợ giúp trong việc ngăn chặn những kẻ tấn công
Các hành động được thực hiện trong giai đoạn ngăn chặn sẽ cố gắng nhanh chóng tiêu diệt kẻ tấn công để IRT có thể chuyển sang giai đoạn tiêu diệt.
Diệt trừ
Nếu việc ngăn chặn được thực hiện đúng cách, IRT có thể chuyển sang giai đoạn diệt trừ, đôi khi được gọi là giai đoạn khắc phục. Trong giai đoạn này, mục tiêu là loại bỏ các tạo phẩm của kẻ tấn công.
Có các lựa chọn nhanh chóng để đảm bảo loại bỏ, ví dụ:
- Khôi phục từ bản sao lưu tốt đã biết
- Xây dựng lại dịch vụ
Nếu các thay đổi và cấu hình đã được triển khai như một phần của biện pháp ngăn chặn, hãy nhớ rằng việc khôi phục hoặc xây dựng lại có thể hoàn tác những thay đổi này và chúng sẽ phải được áp dụng lại. Tuy nhiên, đôi khi, IRT phải cố gắng loại bỏ các thành phần lạ do kẻ tấn công để lại theo cách thủ công.
Sự hồi phục
Khôi phục về hoạt động bình thường là trạng thái mục tiêu của IRT. Điều này có thể liên quan đến việc kiểm tra chấp nhận từ các đơn vị kinh doanh. Lý tưởng nhất là chúng ta thêm các giải pháp giám sát kèm theo thông tin về vụ việc. Chúng tôi muốn khám phá xem liệu những kẻ tấn công có đột nhiên quay trở lại hay không, chẳng hạn như do các tạo tác mà chúng tôi không thể xóa trong quá trình tiêu diệt.
Bài học kinh nghiệm
Giai đoạn cuối cùng liên quan đến việc chúng tôi rút ra bài học từ vụ việc. Chắc chắn sẽ có nhiều bài học từ vụ việc này, ví dụ:
- IRT có kiến thức, công cụ và khả năng tiếp cận cần thiết để thực hiện công việc của họ với hiệu quả cao không?
- Có thiếu nhật ký nào có thể giúp nỗ lực IRT dễ dàng hơn và nhanh hơn không?
- Có quy trình nào có thể được cải thiện để ngăn chặn những sự cố tương tự xảy ra trong tương lai không?
Giai đoạn bài học kinh nghiệm thường kết thúc bằng một báo cáo trình bày chi tiết bản tóm tắt và tổng quan về tất cả những gì diễn ra trong sự cố.