Đây là bài viết dành cho các bạn IT, quản trị mạng, quản lý, chủ doanh nghiệp. Tình huống đặt ra là nếu doanh nghiệp của bạn bị hack, bị tấn công mạng, các bạn cần làm gì. Bài viết nêu bật 5 bước quan trọng nhất cần thực hiện sau một cuộc tấn công mạng và những điều các bạn cần tránh thực hiện.
Nội dung
Doanh nghiệp của bạn có thể nhỏ hoặc rất lớn như tập đoàn đa quốc gia. Mối đe dọa bị tấn công mạng luôn thường trực và có thể gây thiệt hại nặng nề.
Cách bạn xử lý sự cố hack tại doanh nghiệp có thể đem lại khả năng phục hồi nhanh chóng. Doanh nghiệp tổn hại thấp nhất. Hoặc nó có thể dẫn đến một hành động pháp lý kéo dài nhiều tháng. Doanh nghiệp bị tổn hại về tài chính, mất dữ liệu, công việc tắc ứ và khách hàng tức giận.
Dưới đây là một số hành động chính mà bạn cần thực hiện với tư cách là bên liên quan khi ứng phó một cuộc tấn công mạng.
Xem thêm bài: Lừa đảo trực tuyến bùng phát bởi AI
1. Giữ bình tĩnh, không thực hiện hành động đầu tiên xuất hiện trong đầu trước cuộc tấn công mạng
Đó có thể là một thời điểm nào đó, thậm chí lúc ngày làm việc sắp kết thúc. Bạn bỗng phát hiện cửa sổ bật lên của phần mềm tống tiền hoặc email lừa đảo từ một địa chỉ email nội bộ khác. Đây là thông điệp, nó cho thấy có thể công ty bạn đã bị hack. Một cuộc tấn công mạng bắt đầu.
Có thể lúc này bạn cảm thấy khá hoảng loạn. Một cảm giác tận thế chẳng hạn. Và bây giờ tôi nói với bạn nguyên tắc đầu tiên để đối phó một cuộc tấn công mạng. Đó là hãy bình tĩnh, không nên đưa ra quyết định ngay lập tức mà không suy nghĩ kỹ thật sự. Vì quyết định đó sẽ không giúp được gì. Bạn cần một chút thời gian để suy nghĩ kỹ càng hơn. Thay vì một quyết định tức thời có thể gây hậu quả rất lớn về sau.
Liên lạc nhóm ứng phó sự cố
Cách bạn tiến hành từ đó phụ thuộc rất nhiều vào cách sự việc diễn ra. Nếu bạn cho rằng mình đã phát hiện ra bằng chứng về kẻ tấn công. Bạn cần thông báo cho nhóm ứng phó sự cố của mình. Từ đây họ có thể bắt đầu điều tra, thu thập bằng chứng và đưa ra phản hồi. Nếu bạn không có kế hoạch ứng phó sự cố, hãy xem mẹo số 6.
Điều quan trọng cần nhớ là nếu một nhóm hack đã xâm nhập vào hệ thống của bạn. Họ có thể có quyền truy cập hoặc thậm chí chiếm lấy hệ thống liên lạc của bạn. Nghĩa là những kẻ xâm nhập này ngồi trong hệ thống doanh nghiệp bạn một thời gian dài. Chúng có thể đang theo dõi các email được gởi đến nhóm bảo mật nội bộ để tìm các từ khóa liên quan đến cảnh báo xâm nhập.
Một phương thức liên lạc dự phòng trước cuộc tấn công mạng
Có thể bạn sẽ cảm thấy như thế giới đang ngày tận thế. Nhưng đây là nguyên tắc đầu tiên: đừng hoảng sợ.
Trước khi một cuộc tấn công mạng xảy ra, doanh nghiệp của bạn cần thiết lập một đường dây liên lạc dự phòng riêng nằm ngoài hệ thống liên lạc thường dùng hàng ngày. Điều này đảm bảo, trong trường hợp doanh nghiệp bị hack, bạn có thể đưa ra cảnh báo mà không bị giám sát bởi kẻ xâm nhập. Bạn có thể lặng lẽ thông báo cho nhóm bảo mật. Và có thể tiếp tục phối hợp với các nhóm ứng phó giả như trường hợp bạn phải tắt hoàn toàn mạng của mình.
Áp lực thời gian từ kẻ tấn công thử thách tâm lý bạn
Mọi việc có lẻ sẽ hơi khác, căng thẳng hơn. Nếu như màn hình của bạn hiện lên một cửa sổ yêu cầu trả tiền hoặc các tập tin của bạn bị mã hóa. Trong tình huống này, kẻ tấn công biết bạn biết họ đang ở trong mạng của họ. Họ tất nhiên đã chuẩn bị mọi thứ. Lúc này thời gian không thực sự đứng về phía bên bạn.
Trong tình huống tấn công mạng này, kẻ tấn công sẽ gây áp lực thời gian lên bạn. Họ sẽ ép bạn trả tiền chuộc càng nhanh càng tốt. Nhưng trong tình huống này, thời hạn vẫn được tính bằng giờ hoặc bằng ngày. Cho nên bạn cũng không nên hoảng hốt và đưa ra quyết định ngay từ suy nghĩ đầu tiên. Đây là một cuộc chiến tâm lý. Điều bạn cần làm là phải giành quyền kiểm soát về mặt tinh thần. Đặc biệt nếu bạn ở vị trí điều hành, bạn càng phải cố giữ vài trò chủ đạo.
Cái bạn cần là tập trung vào nhiệm vụ khắc phục phía trước. Và lưu ý tính giờ từ thời điểm bạn báo cáo cho nhóm ứng phó sự cố của mình. Vì sao điều đó là cần thiết sẽ được giải thích rõ ở mục số 4.
2. Kích hoạt kế hoạch ứng phó tấn công mạng IRP
Kế hoạch ứng phó tấn công mạng IRP là gì?
Khi một cuộc tấn công mạng xảy ra, bạn không thể nào ứng phó với nó một cách ngẫu nhiên đầy cảm tính. Cái bạn cần là một kế hoạch ứng phó đã được thiết kế từ trước.
IRP là một bản kế hoạch ứng phó tấn công mạng. Nó nêu rõ các bước cần tiến hành tùy theo mức độ bị xâm phạm. Nhân sự bộ phận nào, vị trí nào sẽ tham gia với vai trò gì. Nó quy định sự phối hợp giữa các nhân sự chủ chốt ở các bộ phận khác nhau để xử lý tấn công mạng. Quy trình liên lạc cả nội bộ và bên ngoài cũng như quy trình phân tích và phục hồi sau sự cố.
Sau khi bạn có được chút thời gian giải tỏa sự căng thẳng bộc phát. Bạn cần kích hoạt kế hoạch ứng phó sự cố IRP của mình. Mọi tổ chức nên có sẵn kế hoạch ứng phó sự cố IRP mạnh mẽ để hướng dẫn hành động của mình trong trường hợp vi phạm an ninh mạng.
Thời điểm viết ra IRP
IRP là một tài liệu được nghiên cứu kỹ lưỡng, dễ thực hiện và thực hành tốt. Nó được viết ra bởi các nhân tài của doanh nghiệp ở thời điểm doanh nghiệp vẫn đang hoạt động tốt. Đó là lúc cuộc tấn công chưa xảy ra. Người viết IRP có cái đầu tỉnh táo và đầy đủ thời gian cần thiết để thực hiện nghiên cứu chi tiết.
Việc đưa ra một quyết định trong tình huống căng thẳng là rất khó khăn. IRP sẽ là một tài liệu tham khảo cho các quyết định ứng phó cuộc tấn công mạng. Bạn không nên viết hoặc viết lại IRP của mình giữa lúc khủng hoảng.
IRP cần được thực hành nhiều lần trước đó. Vì vậy bạn nên tổ chức các sự kiện thực hành có sự tham gia của các bên liên quan cùng làm việc khi xảy ra sự cố.
Các nhân sự tham gia ứng phó tấn công mạng
Một cuộc tấn công mạng không chỉ là vấn đề về bảo mật hay về toàn bộ CNTT. Nó đòi hỏi hành động từ đội ngũ điều hành, từ bộ phận nhân sự, bộ phận Pháp lý và từ các bên liên quan chịu trách nhiệm về liên lạc nội bộ và bên ngoài.
Việc đưa ra quyết định khi đang gặp khủng hoảng là điều khó khăn. Vì vậy Kế hoạch ứng phó sự cố IRP có tác dụng như một tài liệu tham khảo cho các quyết định được đưa ra với một cái đầu tỉnh táo.
Do đó, một trong những chức năng chính của IRP là chỉ ra cách phân bổ nhân lực từ bên trong doanh nghiệp cho các nhóm ứng phó sự cố. Không phải tất cả những người có ích trong sự cố đều sẽ làm việc trong lĩnh vực bảo mật CNTT. Nhưng các kỹ sư CNTT có thể được điều động để giúp xác định những điểm bất thường trong lĩnh vực chuyên môn của họ tùy theo loại mối đe dọa mà bạn đang gặp phải. Sự thành công của tất cả các hành động tiếp theo sẽ tương ứng trực tiếp với mức độ tổ chức của bạn xác định phạm vi vi phạm.
Cần tìm hiểu cách hệ thống bị xâm phạm và bảo quản bằng chứng
Nếu bạn đang xử lý phần mềm độc hại tống tiền doanh nghiệp. Nhóm hack này sẽ thực hiện một số bước khác nhau để triển khai cuộc tấn công mạng này. Bạn cần phải tìm hiểu ngược lại. Họ đã xâm phạm hệ thống và đẩy phần mềm độc hại vào hệ thống như thế nào.
Có thể bạn chỉ là đang gặp một vài email lừa đảo bị bộ phận nhân sự gắn cờ. Hoặc chỉ có một số lưu lượng truy cập đáng ngờ nào đó được gửi ra khỏi mạng.
Một điều quan trọng bạn cần lưu ý là phải bảo quản bằng chứng. Nó sẽ rất quan trọng để thiết lập chuỗi giám sát sau này. Do vậy bạn chỉ nên quay trở lại làm việc trên hệ thống khi mọi thứ đã sẵn sàng.
3. Dùng sự giúp đỡ từ bên ngoài
Giúp doanh nghiệp tiết kiệm thời gian
Bạn có thể không có đủ năng lực nội bộ để thực hiện mọi nhiệm vụ được nêu trong IRP của mình. Một số nhân viên có thể đang đi nghỉ. Những người khác có thể không có kỹ năng kỹ thuật cần thiết. Một số vấn đề có thể chưa được xác định khi thiết lập IRP của bạn.
Lúc này, bạn không nên ngại liên hệ với các cá nhân và tổ chức bên ngoài doanh nghiệp của mình. Họ có thể lấp đầy mọi khoảng trống mà bạn có thể gặp phải trong thời kỳ khủng hoảng. Sự giúp đỡ từ bên ngoài có thể giúp bạn tiết kiệm được rất nhiều thời gian.
Việc liên hệ với các nhà cung cấp an ninh mạng để được hỗ trợ và tư vấn khẩn cấp có thể giảm đáng kể thời gian bạn dành để thực hiện các nhiệm vụ kỹ thuật. Nhóm của bạn sẽ có nhiều thời gian để tập trung vào các hành động cốt lõi cần thiết để khắc phục và phục hồi.
Bên ngoài có đầy đủ chuyên môn và kinh nghiệm về tấn công mạng
Một tổ chức hoặc cá nhân chuyên gia có thể có đủ kinh nghiệm chuyên môn. Họ có thể giúp bạn tiết kiệm rất nhiều tiền. Vì vấn đề bạn gặp không phải điều mới lạ với họ.
Bạn không nên ngại liên hệ với các cá nhân và tổ chức bên ngoài doanh nghiệp của mình để lấp đầy mọi khoảng trống mà bạn có thể gặp phải trong hoạt động trong thời kỳ khủng hoảng.
Không phải tất cả các nhóm tấn công mạng bằng phần mềm độc hại đều sử dụng phần mềm phát triển riêng. Chúng thường dựa vào các phần mềm sẵn có công khai với các lỗ hổng đã biết. Vì vậy các giải pháp có thể có sẵn. Thậm chí miễn phí trên Internet.
Một lần nữa, bạn không muốn dành thời gian tìm hiểu sự cố tấn công mạng. Bạn muốn giao nhiệm vụ cho một nhóm an ninh mạng bên ngoài đã chứng minh được đủ kinh nghiệm xử lý các tấn công tương tự. Như vậy bạn có thể quay lại xử lý các công việc khác.
Sự giúp đỡ từ công ty bảo hiểm
Chúng ta đang nói đến sự giúp đỡ từ công ty bảo hiểm. Một công ty bảo hiểm đóng vai trò gì ở đây vậy nhỉ?
Nói đến trường hợp thứ nhất là bạn muốn trả tiền. Băng đảng tội phạm thường sẽ yêu cầu một số lượng lớn tiền ảo như Bitcoin chẳng hạn. Nhưng bạn không thể kiếm ngay một lượng lớn tiền Bitcoin được. Các sàn giao dịch tiền ảo đều yêu cầu vài ngày để hoàn thành các yêu cầu liên quan đến việc giới thiệu khách hàng mới. Nếu bạn là một doanh nghiệp thì điều này có mất thời gian hơn.
Sau đó rồi lại bị giới hạn trao đổi hàng ngày, phí trao đổi tiền xu v.v. Đủ thứ trên trời dưới đất cản trở bạn. Đó là lý do vì sao bạn cần công ty bảo hiểm. Họ có sẵn thủ tục để cho phép trao đổi tiền ảo.
Trường hợp thứ hai là bạn không muốn trả tiền. Công ty bảo hiểm thường có kinh nghiệm giúp bạn lấy được thông tin quý giá từ tội phạm. Họ có thể giúp bạn hỏi chi tiết về tập tin mà nhóm này đang tống tiền. Nó sẽ giúp bạn xác định có phải thật sự chúng đang nắm giữ hay không. Nhóm bảo mật của bạn cũng có thể liên kết với một máy chủ cụ thể và tìm hiểu cách thức tin tặc xâm nhập.
4. Thông báo cho khách hàng
Thông báo vụ tấn công mạng cho cơ quan chính phủ
Một số khu vực pháp lý yêu cầu bạn thông báo vụ tấn công mạng cho cơ quan chính phủ. Việc này phải được thực hiện trong một khoảng thời gian nhất định nếu bạn phát hiện ra hành vi vi phạm dữ liệu. Ví dụ ở Anh Quốc, việc áp dụng GDPR có nghĩa là bạn cần báo cáo cho Văn phòng Ủy viên Thông tin ICO trong vòng 72 giờ kể từ khi bạn phát hiện vi phạm.
Hạn 72 giờ để thông báo cho ICO
Không phải 72 giờ kể từ thời điểm bạn phát hiện ra có tin tặc xâm nhập vào hệ thống của mình. Bạn cần điều tra đến mức bạn tin chắn rằng thông tin khách hàng đã bị tin tặc truy cập. Tại thời điểm này, bất kể quyết định tiết lộ tiếp theo của bạn là gì. Bạn cần ghi lại phạm vi vi phạm trong nội bộ. Sau đó, bạn cần đánh giá liệu việc vi phạm dữ liệu có thể gây rủi ro cho các cá nhân bị ảnh hưởng hay không.
Tính từ thời điểm bạn xác định chắc chắn đó, bạn có 72 giờ để thông báo ICO. Nếu bạn không báo thì cũng phải ghi lại lý do về việc không thông báo cáo cho ICO trong trường hợp cuộc điều tra yêu cầu. Bạn cũng phải có khả năng đánh giá lại quyết định này. Và nếu bạn thấy hoàn cảnh đã thay đổi, đồng hồ sẽ bắt đầu tích tắc trở lại.
Nên thông báo ICO dù là những điều không cần thiết
Việc tiết lộ cho ICO sẽ không ảnh hưởng nghiêm trọng đến tiến trình điều tra nội bộ của bạn. Vì vậy bạn nên báo cáo ngay khi bạn chắc chắn về tác động của hành vi vi phạm. Ngay cả trong trường hợp bạn không chắc chắn. Tốt hơn hết là bạn nên tiết lộ những điều không cần thiết hơn là không tiết lộ những điều cần thiết.
Cần thông báo khách vụ tấn công mạng
Việc tiết lộ thông tin về cuộc tấn công mạng sẽ không ảnh hưởng nghiêm trọng đến tiến trình điều tra nội bộ của bạn. Vì vậy, bạn nên báo cáo ngay khi chắc chắn về tác động của hành vi vi phạm.
Có một câu hỏi phức tạp hơn là. Khi nào và bằng cách nào bạn tiết lộ cho khách hàng của mình rằng dữ liệu của họ có thể đã bị truy cập. Số liệu mà ICO sử dụng để tiết lộ là liệu vi phạm có gây ra “rủi ro cao” đối với các quyền và quyền tự do của các cá nhân liên quan đến vi phạm hay không. Nếu bạn đánh giá rằng hành vi vi phạm đã vượt quá giới hạn cho phép. Bạn buộc phải thông báo cho họ mà không được “chậm trễ quá mức”.
Nguy cơ khi thực hiện thông báo cho khách hàng vụ tấn công mạng
Khi bạn thực hiện thông báo cho khách hàng vụ tấn công mạng đang xảy ra. Thông báo cho họ rõ các nguy cơ và họ cần tự hành động nhằm bảo vệ mình. Có một nguy có khả năng xảy ra là tin tặc phát hiện bạn đã phát hiện ra chúng. Lúc này chúng có thể thực hiện các hành động ảnh hưởng đến tính bảo mật dữ liệu. Thậm chí ảnh hưởng tính toàn vẹn và tính sẵn có của dữ liệu.
Tin tặc có thể tiêu hủy ngay dữ liệu hoặc bắt đầu mã hóa dữ liệu.
Đây là một lập luận chính đáng để bạn có thể trì hoãn việc tiết lộ thông tin cho người liên quan.
Trường hợp tấn công bằng ransomware
Trường hợp doanh nghiệp của bạn bị tấn công mạng bằng ransomeware. Nghĩa là bị cài cắm vào một phần mềm phá hoại. Trong trường hợp này, không có lợi ích gì nếu không thông báo cho những người liên quan càng nhanh càng tốt. Đặc biệt nếu có nguy cơ tiết lộ dữ liệu một cách công khai.
Bạn cần trực tiếp liên hệ nhanh chóng và lặng lẽ với những người có liên quan để giải thích mức độ vi phạm. Đồng thời nêu rõ các biện pháp cần thiết như thay đổi mật khẩu và cảnh giác trước các nỗ lực lừa đảo trực tuyến.
5. Đánh giá lại hành động ứng phó khủng hoảng của bạn
Tắt mạng nội bộ
Bạn có thể chỉ cần tắt mạng nội bộ của mình cho đến khi có thể xác định được vi phạm xảy ra. Mặc dù đây là lựa chọn hạt nhân. Nhưng việc cho phép hệ thống CNTT nội bộ của bạn duy trì hoạt động trong khi cuộc tấn công đang diễn ra có thể còn tồi tệ hơn. Nó không đơn giản như quay lại các hình ảnh sao lưu được thực hiện một tuần trước khi xảy ra vụ vi phạm.
Cho đến khi cuộc điều tra hoàn tất, bạn hoàn toàn không biết tin tặc đã thực sự ở bên trong hệ thống của mình trong bao lâu. Họ có thể đã dành nhiều tháng để chuẩn bị cho cuộc tấn công này. Vì vậy việc quay trở lại có thể chỉ đơn giản là mang lại cho họ quyền truy cập cần thiết để thử lại với một số điều bất ngờ bổ sung.
Để tạo cho bạn không gian để nghỉ ngơi khi xảy ra vi phạm lần đầu tiên. Việc tắt mạng của bạn trong thời gian chờ đợi có thể đơn giản là cách tốt nhất trong số các lựa chọn tồi. Bạn sẽ cần phải trình bày trường hợp này với các bên liên quan kinh doanh. Tất nhiên điều này có thể khá khó khăn và có thể đồng nghĩa với việc giảm doanh thu.
Hãy chắc chắn việc tắt mạng không làm mất bằng chứng quan trọng
Bạn cũng cần tham khảo ý kiến của các chuyên gia CNTT và chuyên gia điều tra để đảm bảo rằng bạn không mất bất kỳ bằng chứng quan trọng nào khi cắt quyền truy cập mạng. Phân tích lưu lượng truy cập thời gian thực có thể cho phép bạn xác định máy chủ nào bị xâm phạm bằng cách xác định việc truyền dữ liệu lớn bất thường hoặc chữ ký lưu lượng truy cập kỳ lạ sẽ bị mất nếu mạng mất kết nối.
Đánh giá lại hành động ứng phó cuộc tấn công mạng
Điều quan trọng là phải nắm chặt diễn biến chi tiết vụ việc. Thực hiện thay đổi IRP của doanh nghiệp theo những gì diễn ra tốt đẹp và những gì phải được thực hiện tốt hơn.
Khi cuộc điều tra hoàn tất. Những người phản hồi pháp y chắc chắn rằng họ đã xác định được tất cả các điểm xâm nhập. Lúc này đã đến lúc xác định các công nghệ đã kích hoạt vụ hack và vá lỗi, gỡ cài đặt, chặn cổng hoặc ngừng hoạt động.
Khi bạn đã vượt qua được sự cố, tài liệu chính là chìa khóa. Không chỉ về những gì tin tặc đã ảnh hưởng hoặc cách thức hoạt động của sự xâm phạm mà còn về cách toàn bộ công ty hoạt động. Điều gì đã diễn ra tốt đẹp? Điều gì đã chậm? Các đường dây liên lạc có hoạt động hiệu quả không? Các bên liên quan bên ngoài có thực hiện theo mong đợi của bạn không? Có cá nhân hay tập thể nào phải gánh quá nhiều trách nhiệm không? Có ai bị quá tải không?
Việc xác định những vấn đề này trong vòng một hoặc hai tuần kể từ khi xảy ra sự cố sẽ cho phép bạn nắm bắt được diễn biến của sự việc một cách chi tiết và cho phép thay đổi IRP của bạn theo những gì đã diễn ra tốt đẹp và những gì phải được thực hiện tốt hơn.
6. NẾU TÔI KHÔNG CÓ KẾ HOẠCH ỨNG PHÓ SỰ CỐ THÌ SAO?
Nếu bạn hiện không ở trong tình huống bị tấn công mạng thì tuyệt vời! Bạn nên sử dụng một số mẹo ở đây để bắt đầu soạn thảo Kế hoạch ứng phó sự cố. Bạn cần phân công hoặc thuê các thành viên trong nhóm thực hiện các vai trò ứng phó sự cố.
Nếu bạn hiện đang gặp phải tình huống tấn công mạng? Bạn nên có người chịu trách nhiệm liên lạc với các nhà cung cấp an ninh bên ngoài. Họ cần liên hệ với một công ty an ninh mạng chuyên ứng phó sự cố. Cách liên lạc lý tưởng nhất là thông qua kênh liên lạc được mã hóa như WhatsApp hoặc Signal.
Vi phạm an ninh mạng thực sự là một căng thẳng. Nó có thể có tác động sâu rộng đến công ty của bạn. Nhưng phản ứng nhanh chóng và phối hợp có thể giúp giảm thiểu thiệt hại và tạo điều kiện phục hồi.
Bạn có thể đối diện hiệu quả các thách thức do một cuộc tấn công mạng gây ra nếu bạn nhớ những điểm chính vừa được thảo luận ở đây. Nhưng phần lớn lời khuyên ở đây đều tóm gọn là “Hãy chuẩn bị trước”.
Đó là thực tế khi đối phó với một cuộc tấn công mạng. Sự chuẩn bị sẵn sàng là bảo vệ tài sản kỹ thuật số và danh tiếng của công ty bạn trong bối cảnh mối đe dọa mạng ngày nay.
