Lập kế hoạch ứng phó sự cố an toàn thông tin là yếu tố then chốt giúp tăng khả năng tồn tại trên mạng của tổ chức. Làm thế nào để giảm thiểu thiệt hại và khôi phục hoạt động của hệ thống? Những công cụ tự động hóa nào có thể được sử dụng để quản lý quá trình phản hồi?
- Giới thiệu
- Ứng phó sự cố an toàn thông tin
- Tự động hóa quá trình ứng phó sự cố
- Dự báo của chuyên gia về phát triển ngành
- kết luận
Giới thiệu
Không thể ngăn chặn mọi cuộc tấn công mạng. Những hành động có chủ đích và dai dẳng của tội phạm mạng cuối cùng sẽ dẫn đến sự cố bảo mật thông tin. Vì vậy, điều quan trọng không chỉ là ngăn chặn các cuộc tấn công mạng mà còn phải tìm hiểu cách ứng phó chính xác và kịp thời trước các sự cố nhằm giảm thiểu rủi ro và ngăn ngừa hậu quả nghiêm trọng cho tổ chức.
Các chuyên gia hàng đầu trong ngành trong buổi phát sóng AM Live đã đề cập đến các vấn đề quan trọng như xây dựng kế hoạch ứng phó sự cố, công việc chung của bộ phận CNTT và an ninh thông tin, nhu cầu tự động hóa quy trình ứng phó, đồng thời bày tỏ ý kiến của họ về triển vọng phát triển của hệ thống tự động trong lĩnh vực này.
Hình 1. Các chuyên gia trong ngành trong trường quay của dự án truyền hình AM Live
Diễn giả truyền hình trực tiếp:
- Vyacheslav Tupikovtrưởng nhóm an toàn thông tin của dịch vụ bảo mật, Tập đoàn các công ty Solar;
- Dmitry DudkoPhó Tổng Giám đốc Spacebit;
- Stanislav GribanovGiám đốc sản phẩm Garda NDR, Garda Technologies (thuộc tập đoàn Garda);
- Maxim Strupinskykiến trúc sư dự án bảo mật thông tin, R-Vision;
- Nikita NazarovTrưởng phòng Nghiên cứu mối đe dọa nâng cao, Kaspersky Lab;
- Ilnaz GataullinGiám đốc Sản phẩm Thị trường Doanh nghiệp, MTS RED;
- Maxim Sukhanovchuyên gia pháp y hàng đầu tại CICADA8, Future Crew.
Người lãnh đạo và người điều hành cuộc thảo luận – Ilya ShabanovTổng Giám đốc AM Media.
Ứng phó sự cố an toàn thông tin
Quy trình ứng phó sự cố
Các chuyên gia đặc biệt chú ý đến các giai đoạn chính của phản ứng. Đặc biệt, Maxim Strupinsky đã mô tả ngắn gọn về từng giai đoạn của mô hình Quy trình ứng phó sự cố 6 bước nổi tiếng của Viện SANS.
- Chuẩn bị và lập kế hoạch: Ở giai đoạn này, chính sách bảo mật và mô hình mối đe dọa được phát triển và việc đánh giá kẻ tấn công được thực hiện. Phân tích lỗ hổng được thực hiện và các biện pháp chủ động được thực hiện để ngăn ngừa các sự cố có thể xảy ra. Công tác đào tạo, bồi dưỡng cán bộ được đặc biệt quan tâm.
- Phát hiện và thông báo: ở đây cần ghi lại sự việc và thông báo cho đội ứng phó.
- Đánh giá và ra quyết định: Khi một sự cố được phát hiện, quy mô, tính chất và tác động của nó đối với tổ chức phải được đánh giá. Điều này cho phép bạn xác định các hệ thống, dữ liệu và tài nguyên quan trọng cũng như phân loại sự cố theo thang đo nhất định.
- Bài học trả lời và rút kinh nghiệm: cách ly các phân đoạn, thực hiện các biện pháp ngăn chặn sự lây lan của sự cố, giảm thiểu thiệt hại và loại bỏ nguy hiểm. Các thủ tục và chính sách bảo mật thông tin cũng đang được xem xét và các biện pháp bảo mật bổ sung đang được đưa ra.
Maxim Strupinsky, kiến trúc sư dự án bảo mật thông tin, R-Vision
Tầm quan trọng của kế hoạch ứng phó sự cố
Dmitry Dudko:
— Thảo luận về tầm quan trọng của việc đào tạo, nâng cao kiến thức và kỹ năng của nhân viên đi đến quan điểm chung là nếu không đào tạo nhân viên phù hợp và cần được thực hiện thường xuyên thì việc ứng phó với các sự cố về an toàn thông tin sẽ không đủ tốt.
Vậy điều gì đóng vai trò quan trọng hơn: các quy tắc bằng văn bản để ứng phó với sự cố hoặc đào tạo thực tế cho nhân viên?
Dmitry Dudko, Phó Tổng Giám đốc, Spacebit
Theo ý kiến của Dmitry Dudko, điều đáng chú ý là an ninh phát sinh từ “giấy tờ”, tức là được xây dựng trên quy hoạch, và động lực chính của an ninh trong thời gian gần đây là sự tuân thủ.
Stanislav Gribanov:
— Gần đây, thái độ đối với an ninh đã thay đổi đáng kể; cái gọi là “bảo mật giấy” dưới dạng các chính sách bảo mật thông tin và các mô hình mối đe dọa đã bắt đầu tiếp thu các công nghệ thực sự. Trên toàn cầu, việc xử lý sự cố đã thay đổi và giờ đây chúng ta có thể thấy sự đầu tư nhiều hơn vào sản xuất bảo mật.
Stanislav Gribanov, giám đốc sản phẩm Garda NDR, Garda Technologies (một phần của tập đoàn Garda)
Tương tác giữa bộ phận IT và IS
Điều quan trọng là phải phân định các khu vực trách nhiệm giữa bộ phận CNTT và an ninh thông tin hay họ nên tổ chức công việc chung? Dmitry Kostrov, Phó Tổng Giám đốc An toàn Thông tin tại iEK, cho biết cần phải xây dựng chính sách điều tra vì trong trường hợp xảy ra sự cố, sẽ rõ ràng phạm vi trách nhiệm là gì và ai là người phải chịu trách nhiệm về những gì đã xảy ra.
Theo Dmitry Dudko, cách tổ chức công việc tốt nhất là bổ sung các chuyên gia ứng phó sự cố an toàn thông tin vào bộ phận CNTT.
Việc tổ chức công việc của các bộ phận CNTT và an ninh thông tin trước hết phải dựa trên việc xây dựng mối quan hệ lành mạnh và thân thiện giữa các cơ cấu; Vyacheslav Tupikov cho biết trong trường hợp này, công việc của các chuyên gia sẽ được phối hợp và hiệu quả, điều này cực kỳ quan trọng để ứng phó nhanh chóng với các sự cố.
Vyacheslav Tupikov, người đứng đầu nhóm bảo mật thông tin của dịch vụ bảo mật, Tập đoàn các công ty năng lượng mặt trời
Maxim Strupinsky cho biết, ngoài quy trình quản lý sự cố, bạn cũng không nên quên việc quản lý lỗ hổng. Ở giai đoạn này, bộ phận CNTT và bảo mật thông tin phải xây dựng mối quan hệ tin cậy, nếu không sẽ không có bảo mật thông tin như vậy.
Theo khảo sát người xem về khả năng chuẩn bị ứng phó sự cố, 38% sẽ phản hồi khi hoàn cảnh cho phép. 32% xây dựng quy định và mô tả quy trình. 11% đã xây dựng các kịch bản rõ ràng cho các loại sự cố khác nhau. 9% số người được hỏi đã thực hiện mọi thứ trong danh sách trên và tiến hành các bài tập trên mạng, đồng thời 6% số người được hỏi đã triển khai hệ thống tự động hóa phản hồi (SOAR, XDR). 4% còn lại thuê ngoài phản hồi của họ.
Hình 2. Bạn chuẩn bị như thế nào để ứng phó với các sự cố an toàn thông tin?
Ilnaz Gataullin đã nhận xét về sự phong phú của việc “phản ứng tùy theo hoàn cảnh”. Theo ông, nếu một công ty không chuẩn bị sẵn sàng để ứng phó với sự cố thì do thiếu thuật toán hành động nên hiệu quả làm việc của cả nhóm sẽ giảm 50%. Trong những trường hợp như vậy, điều quan trọng là phải xây dựng kế hoạch ứng phó sự cố và các chuyên gia phải có kinh nghiệm làm việc trong những điều kiện như vậy.
Ilnaz Gataullin, Giám đốc Sản phẩm Thị trường Kinh doanh, MTS RED
Đào tạo và chuẩn bị nhân sự cho các sự cố an toàn thông tin
Ilya Shabanov, người dẫn chương trình và người điều hành cuộc thảo luận, tổng giám đốc “AM Media”
Người trình bày lưu ý tầm quan trọng của việc đào tạo các chuyên gia chất lượng cao, đồng thời đặt câu hỏi cho các diễn giả về những việc cần phải làm đối với công việc phối hợp của nhóm trong trường hợp phát hiện sự cố.
Bước đầu tiên là xây dựng các quy định để xây dựng sự tương tác giữa các phòng ban, chuyên gia Nikita Nazarov chia sẻ quan điểm của mình. Sau này, bạn cần kiểm tra cẩn thận bối cảnh mối đe dọa và theo dõi các vấn đề về cơ sở hạ tầng.
Nikita Nazarov, Trưởng phòng Nghiên cứu mối đe dọa nâng cao, Kaspersky Lab
Nếu không được đào tạo thì không thể xây dựng được an ninh. Một người phải hoàn thành khóa học bảo mật thông tin tối thiểu và đầy đủ. Dmitry Kostrov lưu ý cũng nên xây dựng một trang web bảo mật thông tin nội bộ, nơi mỗi nhân viên có thể đặt một câu hỏi và nhận được câu trả lời nhanh chóng về thuật toán hành động trong trường hợp xảy ra sự cố.
Chuyên gia bảo mật thông tin độc lập Oleg Fedyukin đảm bảo rằng khả năng nhân viên sử dụng các công cụ bảo mật, giải thích chính xác dữ liệu đến cũng như chuẩn bị tâm lý cho nhân viên là chìa khóa để phối hợp làm việc trong trường hợp xảy ra nhiều loại sự cố khác nhau.
Công cụ bảo mật thông tin
Khi thảo luận về các công cụ, các diễn giả lưu ý tầm quan trọng của việc có hệ thống quản lý sự cố và sự kiện có thể được sử dụng để điều phối và quản lý các quy trình. Tuy nhiên, chúng hầu như không phù hợp để ứng phó sự cố.
Hầu hết các chuyên gia đều gọi EDR và SOAR là một trong những công cụ bảo mật phổ biến nhất. Vyacheslav Tupikov đã thêm một nhận xét quan trọng, người kết luận rằng không phải lúc nào cũng cần có các giải pháp phức tạp và tốn kém: trong hầu hết các trường hợp, các biện pháp bảo mật cơ bản là đủ, cũng như sự hiểu biết về mức độ quan trọng của thông tin đối với công ty.
Hình 3. Bạn sử dụng công cụ nào để ứng phó với các sự cố an toàn thông tin?
Theo kết quả khảo sát, 43% người xem chỉ sử dụng các tính năng bảo mật thông tin tích hợp sẵn (diệt virus, NGFW). 18% trả lời rằng họ làm được với phần mềm nguồn mở và miễn phí. 16% số người được hỏi sử dụng SOAR, XDR và các khả năng bảo mật thông tin tích hợp, 11% sử dụng dịch vụ của một công ty chuyên biệt. 10% bỏ phiếu độc quyền cho SOAR và 2% còn lại lưu ý rằng họ sử dụng XDR (EDR/NDR).
Tự động hóa quá trình ứng phó sự cố
Maxim Sukhanov lưu ý rằng tầm quan trọng của việc tự động hóa quy trình phản hồi đặc biệt lớn ở các công ty lớn.
Maxim Sukhanov, chuyên gia pháp y hàng đầu tại CICADA8, Future Crew
Đối với một chuyên gia bảo mật thông tin, điều quan trọng là tự động hóa giúp đơn giản hóa công việc rất nhiều vì nó có thể được sử dụng trong việc thu thập và xử lý dữ liệu, giúp phân tích các sự kiện đã xảy ra và cũng cho phép bạn cách ly các máy chủ.
Dmitry Dudko nêu tên một yếu tố khác góp phần thúc đẩy việc triển khai ngày càng nhiều các công cụ tự động hóa: thiếu nhân sự. Tình hình trên thị trường lao động đang buộc các nhà quản lý phải ngày càng sử dụng các hệ thống triển khai có thể giúp các chuyên gia làm việc dễ dàng hơn.
Ứng phó hiệu quả với sự cố an toàn thông tin
Maxim Strupinsky lưu ý, để nâng cao chất lượng ứng phó sự cố cần tiến hành phân tích. Sự chú ý của khán giả cũng tập trung vào tầm quan trọng của việc phân tích kỹ lưỡng các mối đe dọa và lỗ hổng mới xuất hiện cũng như tầm quan trọng của việc chuẩn bị cho đội ngũ làm việc khi đối mặt với sự xuất hiện của các phương án tấn công mới.
Hình 4: Bạn cần điều gì nhất để ứng phó hiệu quả với sự cố?
Kết quả khảo sát cho thấy 30% số người được hỏi ghi nhận sự thiếu kinh nghiệm và sự gắn kết trong nhóm. 22% thiếu kế hoạch ứng phó và sách hướng dẫn. 19% nhấn mạnh sự thiếu hiểu biết về quy trình. 10% số người được hỏi ghi nhận sự thiếu hụt của các công cụ tự động hóa. 4% khác phàn nàn về việc thiếu thiết bị bảo hộ. 15% số người được hỏi không tìm được câu trả lời phù hợp.
Để giải quyết vấn đề thường gặp nhất (thiếu kinh nghiệm), Ilnaz Gataullin đề xuất tích cực tổ chức các cuộc tập trận mạng và điều chỉnh lại thời gian để cải thiện tính nhất quán trong hành động của đội.
Các diễn giả lưu ý tầm quan trọng của cả việc sử dụng các cẩm nang làm sẵn để ứng phó với sự cố và việc điều chỉnh các kịch bản này sau đó cho phù hợp với cơ sở hạ tầng cụ thể.
Lỗi tự động hóa
Mỗi diễn giả đều nêu rõ những sai lầm chính khi tự động hóa ứng phó sự cố. Đặc biệt, sau đây đã được đặt tên:
- thiếu kiến thức về cơ sở hạ tầng của hệ thống của bạn,
- thiếu cái nhìn bao quát về vấn đề trước mắt,
- tự động hóa các quy trình mà không cần nghiên cứu chi tiết,
- thiếu đánh giá mô hình mối đe dọa,
- đào tạo đội không đủ hoặc thiếu nó,
- giám sát không đầy đủ,
- thiết lập kiểm toán kém,
- không chú ý đầy đủ đến những sự cố nhỏ.
Dự báo của chuyên gia về phát triển ngành
Maxim Sukhanov tin rằng sẽ không có bước đột phá kỹ thuật đáng kể nào trong việc ứng phó sự cố trong những năm tới. Tuy nhiên, ông khuyến nghị nên tập trung vào việc cải thiện các chiến lược hiện có và chuẩn bị cho các tình huống khác nhau.
Ilnaz Gataullin nhận thấy tương lai sẽ có nhiều chuyên gia bảo mật thông tin có trình độ hơn.
Maxim Nazarov lưu ý rằng trong mười năm tới, dự kiến sẽ có xu hướng hướng tới “một cửa” và lập hồ sơ.
Maxim Strupinsky dự đoán rằng trí tuệ nhân tạo sẽ được cả kẻ tấn công và người phòng thủ tích cực sử dụng.
Stanislav Gribanov tin rằng cách tiếp cận nền tảng và hệ sinh thái sẽ phát triển, đặc biệt là về các vở kịch và nhà thiết kế làm sẵn.
Dmitry Dudko dự đoán trong tương lai gần tình trạng thiếu nhân sự sẽ gia tăng và nhu cầu tự động hóa để làm phong phú thêm thông tin và chuẩn bị bối cảnh. Theo chuyên gia, việc đánh giá pháp lý về các sự cố cũng sẽ phát triển, đặc biệt là trong bối cảnh dữ liệu cá nhân và các khoản phạt có thể xảy ra.
Vyacheslav Tupikov lưu ý rằng tự động hóa có thể giúp giải quyết vấn đề thiếu nhân sự, nhưng điều quan trọng là phải nhớ những hậu quả có thể xảy ra, chẳng hạn như mất việc làm cho người dân.
Hình 5. Bạn có ý kiến gì về việc tổ chức quy trình ứng phó sự cố an toàn thông tin sau phát sóng?
30% số người được hỏi tin chắc rằng họ đang làm mọi việc đúng đắn. 26% cho biết họ sẽ cải thiện quy trình phản hồi. 15% số người được hỏi quan tâm đến các công cụ phản hồi và tự động hóa. 11% cho rằng tất cả điều này thú vị nhưng vẫn dư thừa. 9% đề nghị tổ chức một buổi phát sóng khác và cùng số lượng người xem lần này không hiểu chủ đề của cuộc trò chuyện.
kết luận
Ứng phó sự cố an toàn thông tin là quá trình phát hiện và phân tích các hoạt động độc hại, thực hiện các biện pháp đối phó và khôi phục hệ thống thông tin sau khi bị xâm phạm. Nó nhằm mục đích giảm thiểu thiệt hại do sự cố gây ra và khôi phục hoạt động bình thường của hệ thống.
Chương trình phát sóng AM Live đã thảo luận về các khía cạnh và nguyên tắc chính để ứng phó với các vi phạm an ninh của hệ thống thông tin. Có thể kết luận rằng để ứng phó hiệu quả đòi hỏi một cách tiếp cận tổng hợp, không chỉ bao gồm các biện pháp kỹ thuật mà còn phải có chiến lược rõ ràng và quản lý quy trình hiệu quả. Ứng phó sự cố đòi hỏi phải theo dõi, phân tích và cập nhật liên tục các kỹ thuật để chuẩn bị cho các mối đe dọa thay đổi liên tục. Các biện pháp ứng phó phải kịp thời, đầy đủ và hiệu quả. Điều quan trọng là giảm thiểu thiệt hại và kiểm soát các sự cố an toàn thông tin.
Dự án truyền hình AM Live hàng tuần quy tụ các chuyên gia trong ngành trong trường quay để thảo luận về các chủ đề hiện tại trên thị trường CNTT và bảo mật thông tin của Nga. Luôn cập nhật các xu hướng và sự kiện quan trọng. Để thực hiện việc này, hãy đăng ký kênh của chúng tôi Kênh Youtube. Hẹn gặp lại!
