Tuyến phòng thủ đầu tiên | Phác thảo một kế hoạch ứng phó sự cố hiệu quả

Các sự cố về an ninh mạng không còn là những sự kiện "thiên nga đen" trong thế giới hiện nay. Trong những thập kỷ gần đây, chúng đã trở nên quá phổ biến đến nỗi rất ít tổ chức tránh được tác động lan truyền của các cuộc tấn công mạng thành công. Xem thêm về các cuộc tấn công mạng lớn trong năm 2022 tại trang Exclusive Network Vietnam.

Có một chiến lược ứng phó sự cố mạnh mẽ là đường phòng thủ chủ chốt mà các tổ chức có để chống lại các nhân vật đe dọa. Tùy thuộc vào loại sự cố và mức độ tác động của nó đối với tổ chức đích, có một số lượng lớn các yếu tố di chuyển tạo thành quá trình ứng phó sự cố.

Bài đăng này mô tả các yếu tố cần thiết của một kế hoạch ứng phó sự cố mạng hiệu quả. Có nhiều yếu tố chính mà những người phụ trách quản lý an ninh số cần lưu ý để dẫn dắt đội nhóm của họ chuẩn bị cho sự cố mạng.

Tầm quan trọng của việc có một kế hoạch ứng phó sự cố

Trọng tâm của chu trình ứng phó sự cố là phát hiện và xác định các mối đe dọa mạng, tiếp đó là giảm thiểu hoặc kiểm soát, phân tích và học hỏi kinh nghiệm. Mỗi sự cố mạng đều khác nhau, và mỗi sự cố đều nên được xem như là một trải nghiệm học hỏi cho đội ngũ.

Coi rủi ro mạng là rủi ro chiến lược

Khi lập kế hoạch ứng phó sự cố mạng, hiểu được 'lý do' đằng sau sự cố sẽ tạo nền tảng vững chắc hơn để  xây dựng chiến lược, chính sách và quy trình. Ví dụ: hãy sử dụng Vòng tròn vàng của Simon Sinek để vạch ra cách tiếp cận của tổ chức đối với ứng phó sự cố. Mô hình của Sinek bao gồm ba câu hỏi sau đây theo thứ tự: Tại sao? Làm sao? Cái gì?

• Tại sao chúng ta cần an ninh mạng trong tổ chức? Các nhà lãnh đạo có thể trả lời rằng họ phải bảo vệ tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin và tài nguyên của tổ chức.
• Làm thế nào chúng ta có thể làm điều đó? Nhiều tổ chức tiếp cận an ninh mạng một cách toàn diện, tập trung vào con người, quy trình và công nghệ.
• Điều đó có lợi gì cho doanh nghiệp? Lãnh đạo cấp cao có thể gắn bảo mật với việc đáp ứng sứ mệnh và mục tiêu của họ vì nó giúp họ phục vụ khách hàng và bảo vệ lợi ích của các bên liên quan với sự tin cậy và minh bạch.

Khi các nhà lãnh đạo tổ chức coi rủi ro không gian mạng là rủi ro chiến lược, điều đó sẽ khiến tổ chức phải suy nghĩ về bảo mật trước khi thực hiện bất kỳ nhiệm vụ nào. Trong trường hợp ứng phó sự cố mạng, bắt đầu với "tại sao", trao quyền cho các nhóm thực hiện phương pháp chủ động để ứng phó sự cố thay vì phương pháp phản ứng.

Xác định trách nhiệm của nhóm ứng phó sự cố

Mục tiêu chung của nhóm ứng phó sự cố an ninh mạng là giảm thiểu sự gián đoạn và tổn thất bằng cách xác định sự cố kịp thời và giảm thiểu sự cố một cách hiệu quả nhanh nhất có thể.

Một nhóm như vậy thường bao gồm các chuyên gia từ các đơn vị kinh doanh khác nhau. Một nỗ lực hợp tác sau đó sẽ được phối hợp để đưa ra một giải pháp nhanh chóng cho một sự cố trước khi tổ chức bị tổn thất về tài chính và danh tiếng.

Mặc dù các nhóm ứng phó sự cố sẽ trông khác nhau dựa trên quy mô, ngành và nhu cầu của doanh nghiệp, nhưng họ thường chịu trách nhiệm về các nhiệm vụ chính sau:

• Thiết lập Quy trình, Kế hoạch & Thủ tục – Nhóm ứng phó sự cố sẽ xem xét “nguyên do” mà các quản lý đã xác định. Sau đó, các quy trình được điều chỉnh để giải quyết "nguyên do" đó và xác định tác động của một sự cố đối với tổ chức. Bằng cách sử dụng điều này, ma trận ưu tiên sự cố và cẩm nang có thể được tạo dựa trên các kịch bản bảo mật có khả năng xảy ra liên quan đến doanh nghiệp và ngành.
• Dự trữ tài nguyên ứng phó sự cố – Các nhóm ứng phó sự cố cần nhận thức được các mối đe dọa mạng đang có xu hướng và tự cập nhật về tất cả các tài sản quan trọng trong tổ chức. Tính khả dụng của các tài nguyên phân tích sự cố như sơ đồ mạng, danh sách liên hệ và kho ứng dụng là yếu tố thành công chính để ứng phó sự cố.
• Phân tích sự cố – Các nhóm ứng phó sự cố thường xuyên đánh giá và giám sát các chỉ số về sự xâm phạm và thực hiện các hoạt động thu thập dữ liệu để phân tích. Trong các sự cố đang diễn ra, nhóm chịu trách nhiệm xác định xem có cần sự hỗ trợ của bên thứ ba để ngăn chặn mối đe dọa hay không. Nhóm trung tâm điều hành an ninh (SOC) đóng một vai trò quan trọng trong lĩnh vực này bằng cách xác định các chỉ số sự cố và ứng phó với sự cố kịp thời. Trong thời gian gần đây, các tổ chức đang sử dụng công nghệ AI trong ngăn xếp bảo mật của họ để giảm thời gian ngăn chặn trung bình và ứng phó với các mối đe dọa mạng một cách hiệu quả.
• Truyền thông & Báo cáo – Các nhóm ứng phó sự cố tuân theo các kênh được xác định trước để liên lạc trong và sau sự cố bảo mật. Các kênh này sẽ vạch ra những gì cần báo cáo, khi nào cần báo cáo và báo cáo cho ai. Theo các trách nhiệm đã xác định, các thông tin liên lạc nội bộ và bên ngoài có thể được xử lý bởi nhóm ứng phó sự cố với sự chỉ đạo của các nhóm pháp lý và PR. Việc thông báo cho các nhà cung cấp bảo hiểm không gian mạng thích hợp, cơ quan hỗ trợ sự cố bên thứ ba, cơ quan pháp lý và cơ quan quản lý theo yêu cầu có thể cứu các tổ chức khỏi trách nhiệm pháp lý và gánh nặng tài chính.

Tùy thuộc vào quy mô, mức độ tác động và ngành của tổ chức, một số vai trò trong nhóm ứng phó sự cố có thể chồng chéo lên nhau. Đây là lý do tại sao việc xác định trách nhiệm cho từng vai trò trong kế hoạch ứng phó sự cố là rất quan trọng đối với sự thành công của nó.

Xác định sự tham gia từ các bên nội bộ và bên ngoài

Một quan niệm sai lầm phổ biến là việc ứng phó sự cố chỉ giới hạn trong nhóm CNTT và bảo mật, và không có bên nào khác tích cực tham gia xử lý sự cố mạng. Để có nỗ lực ứng phó sự cố mạnh mẽ và gắn kết, các nhóm ứng phó sự cố hoạt động hiệu quả nhất bằng cách biết khi nào nên mời những người liên hệ chính từ các bộ phận khác thực hiện kế hoạch.

Phụ thuộc nội bộ

Ứng phó sự cố là trách nhiệm chung và những người tiên phong từ mỗi bộ phận và cần được thông báo,  đào tạo về cách hỗ trợ tốt nhất cho nhóm ứng phó sự cố trong một sự kiện bảo mật đang diễn ra.

Sự phụ thuộc nội bộ đề cập đến thông tin liên lạc giữa nhóm ứng phó sự cố và các đại diện từ CNTT, An ninh vật lý, Pháp lý, Quản lý rủi ro, Nhân sự, Quan hệ công chúng & truyền thông, Ban cố vấn và bất kỳ người đứng đầu bộ phận hiện hành nào khác.

Phụ thuộc bên ngoài

Sự phụ thuộc bên ngoài liên quan đến những người không phải là nhân viên và không phải là chủ sở hữu của công ty. Nhóm này đề cập đến khách hàng, nhà cung cấp, đối tác ứng phó sự cố bên thứ ba, nhà cung cấp bảo hiểm mạng, đại diện pháp lý, cơ quan quản lý và cơ quan thực thi pháp luật. Việc gửi thông điệp tới khách hàng và nhà cung cấp phải được nhóm Quan hệ công chúng & truyền thông chỉ đạo cẩn thận với sự tư vấn của nhóm Pháp lý để đảm bảo một thông điệp được phê duyệt và thống nhất được gửi đi trên diện rộng.

Sự tham gia của các nhà cung cấp bảo hiểm mạng và bất kỳ đối tác phản hồi bên thứ ba nào là chìa khóa từ góc độ tài chính và từ góc độ phản hồi. Thông thường, các thành viên của nhóm ứng phó sự cố, bao gồm cả đầu mối liên hệ được xác định, có trách nhiệm thông báo cho các cơ quan quản lý thích hợp và cơ quan thực thi pháp luật theo yêu cầu của pháp luật để tránh bị phạt.

Xác định phạm vi cải tiến trong tương lai

Mặc dù điều quan trọng là phải ghi lại các quy trình và chính sách trước khi các cuộc tấn công mạng xảy ra, nhưng các nhóm ứng phó sự cố cũng không thể thiếu việc cải thiện chúng trong trường hợp xảy ra sự cố. Nhóm đảm bảo rằng lãnh đạo cấp cao dành thời gian để đánh giá các bài học rút ra sau các sự cố và khắc phục mọi lỗ hổng đã xác định và các nhiệm vụ khắc phục.

Bằng cách tổ chức các phiên rút kinh nghiệm, các nhóm ứng phó sự cố có thể giúp các nhà lãnh đạo đánh giá hiệu quả hoạt động, xác định các thách thức mang tính hệ thống và cải thiện khả năng trong tương lai. Đây là một yếu tố vô giá trong việc cải thiện tình trạng bảo mật của một tổ chức theo thời gian mà thường bị bỏ qua. Xác định phạm vi cải tiến trong tương lai gồm:

• Các hoạt động sau sự cố – Điều quan trọng là phải hiểu điều gì hiệu quả và điều gì không hiệu quả trong quá trình ứng phó sự cố. Mọi đề xuất để hợp lý hóa quy trình hoặc kế hoạch có thể giúp cải thiện kế hoạch ứng phó sự cố tổng thể cho các sự kiện tương tự trong tương lai. Việc ghi nhật ký các sự cố cũng có thể chứng minh giá trị đối với các tổ chức để tiếp cận phản hồi theo cách có cấu trúc và sắp xếp hợp lý hơn vì nó tạo ra một điểm chuẩn có thể đo lường mà các nhóm có thể tham khảo lại.
• Các chỉ số có thể hành động – Việc xác định các chỉ số xung quanh các danh mục sự cố cho phép các tổ chức xem xét quy trình đánh giá rủi ro của họ, điều này có thể giúp các nhà lãnh đạo cấp cao lặp lại các biện pháp kiểm soát và giảm thiểu cần thiết. Theo dõi các loại sự cố tương tự và hiểu xem thời gian cho mỗi sự cố có giảm hay không là những chỉ số mạnh mẽ chứng minh rằng ứng phó sự cố hiện tại đang hoạt động.
• Đào tạo cập nhật tình huống mới – Thực hiện đào tạo định kỳ đa chức năng và bài tập trên bàn có thể giúp các nhóm chuẩn bị tốt hơn và hỗ trợ xác định các lỗ hổng. Quan trọng nhất, nó cho phép các nhóm hiểu cách họ cần giao tiếp với nhau và cộng tác trong sự cố.

Kết luận

Ứng phó sự cố thành công đòi hỏi sự cộng tác giữa các bên gồm cả trong và ngoài tổ chức. Khi các nhóm ứng phó sự cố mạng làm việc để giảm thời gian xử lý, điều cần thiết là các tổ chức phải suy nghĩ về ứng phó sự cố một cách tổng thể. Cách tiếp cận từ trên xuống trong đó lãnh đạo cấp cao khuyến khích văn hóa bảo mật mạnh mẽ khuyến khích mọi bộ phận thực hiện phần việc của mình để hỗ trợ trong trường hợp xảy ra sự cố.

Các nhà lãnh đạo bảo mật từ tất cả các ngành dọc đã hợp tác với SentinelOne để nâng cao tầm nhìn bảo mật của họ và bảo vệ dữ liệu quan trọng của công ty họ. Khi các nhóm ứng phó sự cố và các nhà lãnh đạo làm việc cùng nhau để xây dựng khả năng phục hồi bảo mật và triển khai các sáng kiến dài hạn, các chuyên gia trong ngành của SentinelOne luôn sẵn sàng hỗ trợ các tổ chức khi họ xây dựng các chiến lược mới của mình. Liên hệ với chúng tôi để biết thêm thông tin hoặc đăng ký bản demo ngay hôm nay.

Nguồn: Sentinel One