Khi xảy ra sự cố mất an toàn thông tin nếu không được xử lý hoặc xử lý không đúng cách có thể để lại những hậu quả to lớn không chỉ là rò rỉ dữ liệu, thiệt hại tài chính… mà còn ảnh hưởng tới uy tín, hình ảnh của đơn vị bị tấn công. Để triển khai công tác ứng cứu sự cố an toàn thông tin mạng phù hợp với mô hình và hiện trạng của từng hệ thống. Cần lưu ý một số các nội dung sau:
Bước 1: Chuẩn bị
Để ứng phó với sự cố an toàn thông tin (ATTT) kịp thời, hiệu quả, công tác chuẩn bị đóng vai trò quan trọng trên các phương diện: con người, trang thiết bị và kế hoạch.
- Về con người: Con người là một trong ba yếu tố quan trọng nhất trong việc ứng cứu sự cố (ƯCSC). Mỗi cơ quan, đơn vị cần có một đội ngũ chuyên trách đảm nhiệm công việc này. Do đó, thành viên của đội ƯCSC cần được trang bị tốt nhiều kỹ năng cần thiết để ứng biến với các tình huống phát sinh. Các kỹ năng cơ bản phục vụ cho các hoạt động ứng cứu, xử lý sự cố gồm: kỹ năng cá nhân (giao tiếp viết và nói, trình bày, ngoại giao, đối phó với căng thẳng, giữ bí mật…), kỹ năng về trình độ kỹ thuật (khả năng lập trình, nguyên lý bảo mật, giao thức mạng, phân tích sự cố…).
Bên cạnh đó, thành viên đội ƯCSC cũng cần đạt được các chứng chỉ về ứng cứu sự cố như: EC-Council Certified Incident Handler (ECIH), GIAC Certified Incident Handler (GCIH), Incident Handling & Response Professional (IHRP)...
- Về trang thiết bị: Cần chuẩn bị sẵn các công cụ, thiết bị phần cứng, phần mềm để dễ dàng và nhanh chóng sử dụng cho việc ứng cứu sự cố khi cần. Các công cụ có thể bao gồm: phần mềm chống mã độc, phần mềm điều tra số, card mạng, dây mạng, ổ cứng di động, USB, ổ đĩa CD rời, máy tính xách tay….
- Về kế hoạch ứng cứu: Các đơn vị cần xây dựng sẵn các kịch bản nhằm ứng cứu và xử lý các sự cố mất ATTT mạng có thể xảy ra. Kế hoạch ứng cứu cần được xây dựng riêng cho từng loại sự cố khác nhau, vì mỗi sự cố khác nhau cần có cách xử lý, ứng cứu khác nhau. Đối với những sự cố có tính chất phức tạp, nằm ngoài khả năng xử lý thì cần tìm kiếm sự hỗ trợ của các cơ quan chức năng, như: cơ quan chuyên trách về ATTT; Đội ứng cứu sự cố an toàn thông tin mạng; nhà cung cấp dịch vụ (ISP), Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC), Bộ Công an, Bộ Thông tin và Truyền thông…
Bước 2: Điều phối sự cố
Khi sự cố nghiêm trọng xảy ra những người tham gia hoạt động ứng cứu rất dễ gặp phải tình trạng căng thẳng dẫn đến hoảng loạn. Do đó, các thành viên đội ƯCSC cần phải có khả năng nhận biết khi ai đó đang ở trạng thái căng thẳng để có thể hỗ trợ kiểm soát, duy trì sự bình tĩnh. Cần phân bổ công việc phù hợp với chuyên môn của từng thành viên, tránh giao quá nhiều việc cho một cá nhân nào đó dẫn đến sự ức chế trong quá trình xử lý sự cố. Vai trò của người làm công tác điều phối là hết sức quan trọng khi sự cố xảy ra. Điều phối tốt giúp việc xử lý sự cố hiệu quả hơn, tránh những căng thẳng không mong muốn.
Khi tiếp nhận thông tin về sự cố, người tham gia ứng cứu cần xem xét các thông tin liên quan đến sự cố đó như: phạm vi ảnh hưởng, mức độ thiệt hại, tác động gây ra bởi sự cố... Từ đó, đưa ra một số việc cần ưu tiên làm sớm nhất, tránh tác động tiêu cực lan rộng. Để xác định phạm vi ảnh hưởng chính xác hơn, đội ƯCSC cần lưu ý một số thông tin quan trọng sau: nhật ký sự kiện (event logs), thông tin cảnh báo lỗi, dữ liệu trên thiết bị tường lửa, WAF, IDS, IPS…
Bước 3: Xử lý sự cố
Trong việc xử lý sự cố, điểm quan trọng là phải xác định các công việc ưu tiên cần làm trước để ngăn chặn sự cố. Mục đích chính của việc làm này là hạn chế thiệt hại và ngăn chặn bất kỳ thiệt hại nào xảy ra thêm. Hành động ngăn chặn có thể chia thành ngắn hạn và dài hạn.
Ngăn chặn ngắn hạn là các hành động ứng phó tức thời nhằm ngăn chặn sự ảnh hưởng của sự cố, không để thiệt hại lớn hơn. Hành động ngăn chặn ngắn hạn có thể gồm các hành động như cô lập hệ thống bị ảnh hưởng hay chặn địa chỉ IP trên các hệ thống an ninh.
Còn ngăn chặn dài hạn là hoạt động sau sự cố, các kế hoạch giúp nâng cao khả năng bảo mật cho hệ thống.
Bước 4: Tránh làm mất dữ liệu và chứng cứ quan trọng
Mất dữ liệu và các chứng cứ liên quan đến sự cố là vấn đề rất nghiêm trọng. Nó đồng nghĩa với việc tổ chức phải mất thêm thời gian và tiền bạc để khắc phục sự cố, còn làm mất đi chứng cứ quan trọng thì tổ chức sẽ không có cơ sở để điều tra, đưa sự việc ra pháp luật.
Có nhiều nguyên nhân dẫn đến mất dữ liệu, có thể trong quá trình ứng cứu xử lý sự cố người làm vô tình xóa mất dữ liệu, dữ liệu mất do bị tin tặc đánh cắp hay do hỏng thiết bị lưu trữ... Khi sự cố xảy ra, nhiều chứng cứ được lưu vết lại trên máy tính, trong đó có những chứng cứ ở trạng thái rất dễ bị mất nếu không biết xử lý đúng cách (như các chứng cứ được lưu trên RAM). Do đó, trước khi bắt đầu thực hiện công việc ứng cứu sự cố thì việc sao lưu dữ liệu và lưu trữ các chứng cứ là việc làm hết sức quan trọng.
Sự cố nếu được xử lý kịp thời và hiệu quả sẽ giúp giảm thiểu tối đa mức độ thiệt hại cho tổ chức. Vì vậy, đội ƯCSC cần có sự chuẩn bị tốt nhất để đối phó với các sự cố có thể xảy đến trong tương lai.
Ths. Lê Trung Anh
Phòng Cơ yếu và CNTT, Văn phòng Tỉnh ủy