Các chuyên gia CNTT, chuyên gia bảo mật, và các nhà nghiên cứu đã tới Sin City từ ngày 2 đến 4 tháng 4 để tham dự hội nghị bảo mật mũ đen (Black Hat) hàng năm. Phần lớn các bài thuyết trình và trình diễn tại Black Hat sẽ tập trung vào các xu hướng và các tiến bộ công nghệ mới nhất cho những người tấn công mạng và những người bảo vệ mạng, không có nhiều về chủ đề ứng cứu sự cố.
Trong bối cảnh chung hiện nay, ứng cứu sự cố được gọi là khắc phục thảm họa hoặc lập kế hoạch kinh doanh liên tục. Khi một sự cố đã được phát hiện - hoặc là nó xảy ra hoặc một thời gian sau đó - các bước phải được thực hiện để giải quyết, bảo đảm tổ chức có thể phục hồi và sự cố không xảy ra một lần nữa. Nhưng trước khi có thể thực hiện điều này, một kế hoạch ứng cứu cần được đặt đúng chỗ.
Trên giấy tờ, điều này có vẻ dễ dàng làm, nhưng tại hội nghị Black Hat, các CSO đã nhanh chóng khẳng định rằng, ứng cứu sự cố không hề đơn giản. Ứng cứu sự cố được phát triển và thay đổi với các tổ chức theo thời gian. Sự cố có thể là vấn đề kỹ thuật hoặc vật lý, khi mà bạn không thể chuẩn bị cho tất cả mọi thứ, việc khôn ngoan cần làm là chuẩn bị tối thiểu cho các mối đe dọa có khả năng xảy ra nhất mà tổ chức của bạn sẽ phải đối mặt.
"Các công ty đã xác định họ có thể đầu tư tất cả những gì họ muốn vào các chiến lược phòng thủ, nhưng tại một số điểm nhất định họ sẽ thất bại. Thời gian trôi qua và sự thật đã được chứng minh. Ngay cả hệ thống tốt nhất cũng có thể thất bại, bởi vì chúng đang còn trên mạng, càng có nhiều kẻ tấn công sẽ tìm hiểu làm thế nào để phá vỡ chúng", Ken Silva, Chủ tịch Chiến lược an ninh của ManTech Cyber Solutions International cho biết.
"Vì vậy, họ dành tất cả thời gian và tất cả các khóa huấn luyện và tất cả kiến thức mà họ đã có và tất cả ngân sách mà họ đã đầu tư trong phạm vi phòng thủ và thậm chí phòng thủ nội bộ, nhưng họ không tiêu một xu nào cho ứng cứu sự cố. Trong nhiều trường hợp, ứng cứu sự cố có xu hướng được xem là một sự việc cá biệt mà các thứ được ghép lại với nhau khi cần thiết, nó gần giống như một bộ phận cứu hỏa tình nguyện. Sự khác biệt duy nhất là sở cứu hỏa tình nguyện viên được huấn luyện đúng cách, họ có quy trình đúng, và họ có những công cụ phù hợp."
Xây dựng một kế hoạch ứng cứu sự cố và đảm bảo rằng nó gắn với các mục tiêu và nhu cầu của tổ chức, cũng như các chính sách và quy định tuân thủ hiện có, là một điều khó khăn. Hơn nữa, quá trình sẽ yêu cầu tất cả các bộ phận của doanh nghiệp cùng tương tác, trong mỗi bộ phận là một nhiệm vụ. Theo lời một nhân viên an ninh tại Black Hat nói, "nó giống như việc chăm sóc gia súc."
Ít nhất, các bộ phận pháp lý cần phải được tham gia để đảm bảo yêu cầu quản lý và tuân thủ được đáp ứng, lãnh đạo doanh nghiệp (tức là tất cả mọi người tại C-Level trong tổ chức) sẽ có từng yêu cầu để đảm bảo rằng họ đã có một tiếng nói trong mọi việc và sau đó CNTT cần phải đảm bảo kế hoạch được duy trì và cập nhật thường xuyên.
Eric Fiterman, người sáng lập và Giám đốc điều hành của Spotkick, một nền tảng SaaS về phân tích an ninh và tình báo, nói với CSO trong một cuộc phỏng vấn rằng, ứng cứu sự cố thường sẽ phụ thuộc vào quy mô của chính tổ chức. Quan điểm của ông là không có hai kế hoạch giống nhau.
"Bởi vì một số doanh nghiệp và tổ chức đủ lớn để họ có thể dành nhiều thời gian theo dõi moi việc; và sau đó có rất nhiều bộ phận CNTT không phải là mối quan tâm chính. Mối quan tâm chính là làm những điều đáng tin cậy và nhận được hệ thống phục hồi và hoạt động càng nhanh càng có thể," Fiterman nói.
Fiterman nói thêm, chìa khóa ở đây là việc các tổ chức hiểu rằng sự cố sẽ xảy ra. "Bạn chuẩn bị làm một số loại hoạt động nguy hiểm mà sẽ ảnh hưởng đến những gì bạn đang làm," Fiterman nói, vì vậy các tổ chức cần phải có một kế hoạch ngay lập tức để đối phó với các tình huống khác nhau khi phát sinh.
Theo những người tham dự Black Hat mà CSO đã nói chuyện với, có một vài vấn đề thường gặp khi nói đến ứng cứu sự cố. Nếu kế hoạch không được xây dựng và thử nghiệm trước thì những vấn đề phổ biến có thể xảy ra tại thời điểm tồi tệ nhất trong một sự cố thật sự.
"Những gì bộ phận CNTT được biết là cơ sở hạ tầng của họ. Họ biết nơi lưu trữ dữ liệu của họ, họ biết điểm xâm nhập [và] họ biết điểm ra. Họ hiểu mạng lưới hoạt động của họ. Nhưng vấn đề họ gặp sai lầm là việc họ không sử dụng tri thức công việc mà họ có để hiểu sự cố sẽ xảy ra như thế nào và vào lúc nào", ông Chris Pogue, Giám đốc SpiderLabs của Trustwave, nói với CSO trong một cuộc phỏng vấn.
"Những kẻ tấn công đều có một lý do, và không phải để giải trí. Chúng ăn cắp một cái gì đó để có thể giải mã và kiếm tiền từ nó. Vì vậy, bộ phận CNTT cần tích hợp các kiến thức mà doanh nghiệp đã có vào khả năng ứng cứu sự cố của họ, như vậy tốt hơn là không làm gì, bởi vì như vậy họ có thể biết các mục tiêu, biết điểm xâm nhập của họ, và điểm ra của họ, để có thể bảo vệ các mục tiêu tốt hơn".
Một trong những vấn đề thường lặp đi lặp lại với ứng cứu sự cố là tổ chức hiếm khi hiểu những kẻ đang tấn công mình, những gì những kẻ tấn công là tìm kiếm, và họ đang cố gắng làm thế nào để có được nó.
Điều này có nghĩa là hiểu những gì có giá trị cho một kẻ tấn công, và nơi nó lưu trữ trên mạng của doanh nghiệp. Như Pogue đã đề cập, cần phải biết tất cả các bộ định tuyến và các điểm truy cập đến các dữ liệu quan trọng, để khi một cái gì đó xảy ra, bạn có thể đánh dấu chính xác sự cố và đối phó với nó một cách thích hợp.
Chìa khóa ở đây là tiếp cận với sự cố hơn là xử lý những lỗ hổng khai thác dễ bị tổn thương và phần mềm độc hạ, bởi vì cần phải có kế hoạch và quy trình thực hiện đúng đắn để đối phó với mất hoặc bị đánh cắp máy tính xách tay, tiết lộ dữ liệu và nhân viên nội gián lợi dụng khả năng truy cập của họ. Hơn nữa, cần có kế hoạch để khắc phục sự cố mà một người ngoài tổ chức đang lạm dụng quyền truy cập của người bên trong tổ chức, đó là những trường hợp điển hình trong nhiều cuộc tấn công thường xảy ra trong giai đoạn ngắn và hiếm khi tất cả cùng một lúc.
Một lĩnh vực quan tâm chủ yếu là băng thông mạng. Các tổ chức cần phải theo dõi lưu lượng truy cập vào và ra. Trong hầu hết thời gian, tập trung băng thông trong nội bộ là chính, nhưng nếu kẻ tấn công qua mặt được được quá trình giám sát đó thì việc giám sát đó không hiệu quả. Việc giám sát băng thông ra bên ngoài có thể giúp bắt sự xâm nhập, đó là sự khác biệt giữa việc đối phó với một sự cố hiện nay hoặc đối phó với việc này trong năm tới khi tổ chức của bạn được thông báo bởi một tổ chức bên ngoài rằng tổ chức đã bị xâm nhập trong một thời gian và vẫn bị rò rỉ dữ liệu.
Một vài trong số những người chúng tôi đã nói chuyện với cũng nhấn mạnh sự cần thiết phải có một đầu mối liên lạc nội bộ trong suốt thời gian một sự cố xảy ra, là người sẽ phối hợp các nhiệm vụ và đảm bảo rằng tất cả những người cần phải được giữ bí mật có các thông tin mà họ cần. Nếu sự cố đòi hỏi thông báo, sau đó cần phải có một thông điệp rõ ràng cho khách hàng và các đối tác (hoặc công chúng nói chung), và thậm chí sau đó, chỉ có người phát ngôn của công ty (thường là PR nội bộ hoặc tổ chức PR) nên nói chứ không phải ai khác. Đầu mối liên lạc, tin nhắn và đoàn công tác sẽ thay đổi tùy thuộc vào sự cố, vì vậy các tổ chức cần phải có một vài lựa chọn ngay lập tức cho một trường hợp như vậy.
Lưu lịch sử hoạt động là một quá trình mà nhiều người trong chúng tôi đã nói chuyện cho bài viết này. Nếu bạn đọc các báo cáo vi phạm khác nhau, nó thường chỉ ra rằng bằng chứng của vụ tấn công được lưu trong lịch sử hoạt động, nhưng không có ai kiểm tra chúng. Tệ hơn nữa, trong một số trường hợp tổ chức thậm chí còn không nhận thức được lịch sử hoạt động, đã có.
Lịch sử hoạt động quan trọng nhất là Syslogs, nhưng lịch sử hoạt động do các hệ thống IPS/IDS cũng khá quan trọng, vì chúng là lịch sử hoạt động trên bất kỳ bức tường lửa đã được triển khai. Việc này sẽ cho bạn biết nơi kẻ tấn công đến từ đâu, những gì chúng đã làm, và trong một số trường hợp biết cả chúng đã thực hiện như thế nào. Chúng không phải hoàn hảo nhưng chúng là một công cụ có thể được sử dụng. Bên cạnh đó, nếu tổ chức của bạn sử dụng bất kỳ loại proxy, lịch sử hoạt động do từ nó, cũng như lịch sử hoạt động do VPN, DNS, và router sinh ra đều quan trọng. Nói tóm lại, lịch sử hoạt động sinh ra từ bất kỳ thiết bị, dịch vụ hoặc ứng dụng trên mạng (bao gồm Active Directory) cần được theo dõi và kiểm tra.
Theo Steve Ragan, CSO
Thêm bình luận