7 phút đọc 5 thg 12 2019
Discussion on a digital surface

Các tổ chức nên ứng phó thế nào trước một cuộc tấn công mạng tinh vi

Tác giả

Todd Marlin

EY Global Forensic & Integrity Services Technology & Innovation Leader

Global leader in technology & Innovation, with significant experience serving the financial services industry.

7 phút đọc 5 thg 12 2019

Khi xảy ra sự cố an ninh mạng, các tổ chức cần sẵn sàng ứng phó nhanh chóng và chính xác. Chúng tôi khám phá ra năm bước quan trọng.

Đối phó với sự cố an ninh mạng phức tạp đòi hỏi việc điều tra tổng thể để hỗ trợ công tác phục hồi, khắc phục, đảm bảo tuân thủ, pháp lý và các hoạt động liên quan khác. Các tổ chức cần tiến hành các cuộc điều tra một cách đầy đủ, nhanh chóng và chính xác. Mặt khác, những tác động liên quan đến tài chính và uy tín có thể rất lớn, bao gồm nhưng không giới hạn ở các nguy cơ thiệt hại về doanh thu do gián đoạn kinh doanh, tổn thất vì các chế tài xử phạt do không tuân thủ theo quy định, và mất niềm tin của khách hàng.

Trong trường hợp xảy ra một cuộc tấn công mạng lớn và phức tạp, sẽ có nhiều bên liên quan bị ảnh hưởng. Sự tham gia của các bên trong các hoạt động phản ứng lại là rất quan trọng. Tuy nhiên, một phản ứng được coi hiệu quả và kịp thời đòi hỏi nhiều hơn việc tham gia của các bên - đó là sự hợp tác chặt chẽ và liên tục 24/7. Chỉ khi các bên liên quan làm việc một cách hiệu quả với nhau, các phản ứng mới đảm bảo kịp thời, chính xác và tiết kiệm chi phí.

Có một điều rất phổ biến là các doanh nghiệp thường liên kết với một đối tác bên thứ ba để giúp quản lý các hoạt động ứng phó trong trường hợp xảy ra một cuộc tấn công mạng lớn. Bên thứ ba cần sở hữu các điều kiện pháp lý, tuân thủ và kinh nghiệm điều tra chuyên sâu để có thể giao tiếp hiệu quả với tất cả các bên liên quan. Họ giúp tiến hành điều tra kịp thời và toàn diện, hỗ trợ đảm bảo kế hoạch kinh doanh liên tục được vận hành một cách chính xác, thực hiện kết nối tất cả các bên liên quan và quản lý tập trung các câu hỏi nhận được từ bên ngoài và nội bộ trong khi sự cố tiếp tục diễn ra trong nhiều ngày, nhiều tuần hoặc thậm chí nhiều tháng.

Centralized cyber response plan

Việc xây dựng một kế hoạch xử lý các vấn đề an ninh mạng tập trung là rất quan trọng để tập hợp các bên liên quan lại với nhau, bởi họ có thể có những ưu tiên khác nhau nhưng bắt buộc phải hợp tác với nhau để giải quyết các cuộc tấn công mạng. Hãy cùng tìm hiểu vai trò của họ.

  • Hội đồng quản trị: Giám sát rủi ro là một chức năng của tất cả thành viên hội đồng quản trị. Hội đồng quản trị giám sát chiến lược ứng phó với sự cố an ninh mạng, bao gồm việc trao đổi với nhân viên, với công chúng, với các cổ đông, và nhiều khả năng là với cơ quan thực thi pháp luật. Hội đồng quản trị (hoặc ủy ban kiểm toán) cũng cần phải làm việc chặt chẽ với giám đốc tài chính và kiểm toán viên bên ngoài.
  • Giám đốc tài chính: Giám đốc tài chính có trách nhiệm xác minh tính toàn vẹn của các biện pháp kiểm soát tài chính và dữ liệu của công ty, nắm rõ tác động tài chính bất lợi tiềm ẩn nếu sự cố an ninh mạng xảy ra, và đưa ra quyết định công bố thông tin tài chính một cách phù hợp trong các hồ sơ liên quan. Tất cả những điều này đều có tác động trực tiếp đến mối quan hệ của hội đồng quản trị với các cổ đông và công chúng.
  • Pháp chế: Pháp chế có vai trò tích cực khi phối hợp với các cơ quan điều tra trong các vấn đề thực tế như thu thập bằng chứng, phân tích nguyên nhân gốc rễ và khám phá, tìm kiếm thông tin lưu trữ ở dạng điện tử. Pháp chế thường đi đầu trong việc phối hợp với các nhà quản lý và tư vấn bên ngoài. Họ phải nhanh chóng xác định các quy trình cần tuân thủ và các tác động pháp lý của sự cố an ninh mạng để có thể phối hợp hiệu quả với các đối tác liên quan bên ngoài.
  • Truyền thông: Các nhóm truyền thông nội bộ và bên ngoài đóng vai trò rất quan trọng để đảm bảo sự cố an ninh mạng được truyền đạt chính xác tới những đối tượng có thể bị ảnh hưởng như nhân viên, khách hàng, cổ đông và các đối tác bên thứ ba. Nếu được đào tạo đúng cách, nhân viên có thể giúp tạo điều kiện thuận lợi cho việc điều tra và thực hiện các biện pháp cần thiết để ngăn chặn sự cố lan rộng. Truyền thông kịp thời cho công chúng là rất quan trọng để khôi phục và gây dựng lại niềm tin vào khả năng quản trị rủi ro an ninh mạng của tổ chức, và giảm thiểu tác động tiêu cực của sự cố tới hoạt động và khách hàng.
  • Tuân thủ và đạo đức: Giám đốc tuân thủ (CCO) chịu trách nhiệm đánh giá rủi ro tuân thủ theo quy định trong trường hợp bị tấn công mạng mà có thể liên quan đến việc bảo vệ dữ liệu và quyền riêng tư hoặc quy định cụ thể của ngành. Một cuộc tấn công mạng lớn thường xảy ra trên nhiều quốc gia hoặc khu vực pháp lý; CCO có thể đối mặt với những thách thức trong việc giải quyết sự bất đồng - và thậm chí là xung đột - giữa các khu vực pháp lý. CCO phải làm việc chặt chẽ với các chuyên gia về quyền riêng tư, bộ phận pháp lý, hội đồng quản trị và đội ngũ điều hành khi họ quản lý các vấn đề này.
  • Giám đốc an ninh (CSO): Nhiều tổ chức lớn thuê một giám đốc an ninh (CSO) là người chịu trách nhiệm chính trong việc bảo vệ tài sản – bao gồm cả tài sản vật chất, CNTT, sở hữu trí tuệ hay con người – khỏi các mối đe dọa, như do vô tình hay hữu ý của người trong nội bộ, tội phạm chuyên nghiệp hoặc các nhóm tội phạm được nhà nước tài trợ. Theo quy định của ngành nghề, chính phủ, các hợp đồng quốc phòng và các dịch vụ cơ sở hạ tầng quan trọng của quốc gia, các CSO thường chịu trách nhiệm về việc tuân thủ luật pháp quốc gia để thực thi các công việc đảm bảo an ninh như là một phần trong “giấy phép hoạt động” của tổ chức.
  • CISO: Giám đốc an ninh thông tin (CISO) hợp tác chặt chẽ với đội ngũ điều tra để nhanh chóng xác định nguyên nhân gốc rễ của cuộc tấn công, tìm hiểu phạm vi ảnh hưởng và đánh giá tác động rủi ro – bao gồm dữ liệu bị đánh cắp, các hệ thống bị ảnh hưởng và mức độ thâm nhập - để ngăn chặn và xóa sổ các mối đe dọa, thực hiện các hoạt động khắc phục hậu quả. ·       Các CISO cũng cần cẩn thận nghiên cứu các kết quả điều tra và thu thập thông tin hữu ích để rút ra bài học kinh nghiệm với mục đích cải thiện chiến lược an ninh thông tin và tăng cường hiệu quả xử lý sự cố an ninh mạng trong tương lai của công ty.

Ứng phó sự cố an ninh mạng bao gồm một loạt các giai đoạn phải được lên kế hoạch cẩn thận. Kế hoạch cần phải có sự tham gia của các chuyên gia với năng lực đa dạng về điều tra, bảo mật thông tin, pháp lý, tuân thủ quy định và truyền thông.

Năm bước để ứng phó với khủng hoảng

Hiện tại các mối đe dọa xảy ra chỉ còn là vấn đề thời gian trước khi một tổ chức phải hứng chịu một cuộc tấn công mạng lớn. Các tổ chức cần phải hiểu biết rõ về các cách thức ứng phó các sự cố an ninh mạng để có sự chuẩn bị đầy đủ khi khủng hoảng xảy ra. Năm bước của ứng phó sự cố an ninh mạng là phụ thuộc lẫn nhau và không có bất kỳ tuần tự nào. Việc thực hiện song song các bước này có thể rút ngắn thời gian giải quyết sự cố và giảm thiểu rủi ro.

1. Kế hoạch

Một cuộc tấn công mạng có thể không bị phát hiện trong một thời gian dài. Vì vậy thực hiện việc giám sát và chẩn đoán trong toàn doanh nghiệp là chìa khóa để phát hiện và giải quyết sớm các sự cố an ninh mạng.

1. Nhận biết và báo cáo

Trong giai đoạn này, những hiểu biết về môi trường mạng của doanh nghiệp là rất quan trọng như khi nhóm phản ứng cô lập sự cố để ngăn chặn tổn thất tới các hệ thống và dữ liệu bị ảnh hưởng. Tùy thuộc vào mức độ nghiêm trọng, độ phức tạp và khẩn cấp của sự cố, các quy trình chuyển cấp thích hợp sẽ được thực thi dựa trên các tiêu chí được thiết lập trước. Các hướng dẫn nên được điều chỉnh liên tục để phù hợp với hiện trạng môi trường rủi ro của tổ chức để đảm bảo không rủi ro nghiêm trọng nào bị bỏ sót, hay những rủi ro mức độ thấp không làm tiêu tốn nguồn lực của tổ chức.

3. Điều tra

Các nhà điều tra thường làm việc chặt chẽ với đội an ninh mạng để xác định cách thức và thời gian xảy ra sự cố, nguyên nhân gốc rễ và tác động đối với tổ chức. Một sự cố lớn có thể cần đến nhiều quy trình điều tra và mỗi quy trình bao gồm bốn hoạt động chính: thu thập chứng cứ, phân tích, ngăn chặn và loại trừ.

Forensic investigations flow chart
  • Thu thập chứng cứ cần phải được tiến hành theo cách thức pháp y để các phát hiện có giá trị dưới sự giám sát của pháp luật và phù hợp với quy định của pháp luật.
  • Phân tích giúp xác định nguyên nhân gốc rễ và phát hiện các máy tính và hệ thống bị ảnh hưởng để thực hiện cách ly và loại bỏ để virus không lan rộng trong mạng.
4. Khắc phục

Tổ chức bị xâm nhập cần xác định và giải quyết các lỗ hổng trong môi trường, củng cố môi trường đủ mạnh mẽ để ngăn ngừa những kẻ tấn công quay trở lại, tăng cường khả năng phát hiện và ứng phó với các cuộc tấn công trong tương lai và chuẩn bị tốt khi thực hiện các biện pháp diệt trừ.

5. Phân tích và rút ra bài học

Giai đoạn này phần lớn đòi hỏi phải chuẩn bị dữ liệu cho báo cáo theo quy định, thanh toán bảo hiểm, giải quyết tranh chấp, thông tin về mối đe dọa và/hoặc cảnh báo tới khách hàng. Ngoài các hoạt động phản ứng, điều quan trọng đối với tổ chức là rút ra bài học từ một trường hợp xử lý khủng hoảng để chủ động hơn trong việc quản lý rủi ro an ninh mạng. Nhóm phản ứng an ninh mạng nên tóm tắt các biện pháp cải thiện bảo mật thông tin dựa trên kết quả điều tra. Việc phản ứng sự cố an ninh mạng bao gồm một loạt các giai đoạn phải được lên kế hoạch cẩn thận. Kế hoạch cần có sự tham gia của các chuyên gia với năng lực đa dạng trong điều tra, bảo mật thông tin, tuân thủ quy định pháp lý và truyền thông. Đội phản ứng cần có khả năng huy động tại thời điểm xảy ra cảnh báo và phối hợp làm việc hiệu quả. Để làm được như vậy, họ nên thực hành một cách thường xuyên để đảm bảo kỹ năng được nâng cao liên tục, có khả năng phản ứng với các mối đe dọa mới nhất và các kênh giao tiếp hoạt động hiệu quả.

 

Tóm lược

Một kế hoạch phản ứng sự cố an ninh mạng có hiệu quả phải cung cấp được hướng dẫn rõ ràng cho tất cả các bộ phận nghiệp vụ liên quan trong quá trình xử lý sự cố, xây dựng mức độ hiểu biết về mức độ quan trọng của thông tin - cũng như khi nào và làm thế nào để thực hiện - và cho phép phản ứng một cách liên tục và chính xác. Kế hoạch cần có sự tham gia của các chuyên gia từ điều tra, bảo mật thông tin, tuân thủ pháp luật, tuân thủ quy định và khả năng huy động tại thời điểm cảnh báo xảy ra và cách thức phối hợp cùng nhau. Để làm như vậy, họ nên đảm bảo rằng kỹ năng của họ được nâng cao liên tục, có khả năng phản ứng với các mối đe dọa mới nhất và các kênh giao tiếp hoạt động hiệu quả.

Về bài viết này

Tác giả

Todd Marlin

EY Global Forensic & Integrity Services Technology & Innovation Leader

Global leader in technology & Innovation, with significant experience serving the financial services industry.