BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CÔNG NGHỆ THÔNG TIN CƠ SỞ AN TOÀN THÔNG TIN TÌM HIỂU VỀ KẾ HOẠCH ỨNG PHÓ SỰ CỐ Ngành An toàn thông tin Giảng viên hướng dẫn Vũ Thị Vân Mục lục Mục lụ[.]
BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA CƠNG NGHỆ THƠNG TIN CƠ SỞ AN TỒN THƠNG TIN TÌM HIỂU VỀ KẾ HOẠCH ỨNG PHĨ SỰ CỐ Ngành: An tồn thơng tin Giảng viên hướng dẫn: MỤC LỤC Vũ Thị Vân Mục lục Giới thiệu ỨNG PHÓ SỰ CỐ 1.1 Ứng phó cố 1.2 Tại ứng phó cố lại quan trọng 1.3 Các loại cố phổ biến .5 1.3.1 Tấn công giả mạo (Phishing) .6 1.3.2 Tấn công từ chối dịch vụ (Denial of Services) 1.3.3 Tấn công ransomware 1.3.4 SQL Injection .8 1.3.5 Tấn công phần mềm độc hại 1.4 Kế hoạch ứng phó cố 1.4.1 Kế hoạch ứng phó cố .9 1.4.2 Tại bạn nên có kế hoạch ứng phó cố? .9 1.4.3 Một kế hoạch ứng phó cố nên bao gồm .9 Quy trình ứng phó cố 11 2.1 Quy trình ứng phó cố 11 2.2 Tổng quát 11 2.2.1 Quản lý cố (Incident Management) .13 2.2.2 Đánh giá (Triage) .14 2.2.3 Vòng lặp OODA(OODA loop) 16 2.2.4 Phục hồi (Recover) 19 2.2.5 Rút kinh nghiệm (Review) .19 Các giai đoạn IRP 21 Cách phát triển thực kế hoạch ứng phó cố 23 Kết luận .24 GIỚI THIỆU VỀ ỨNG PHÓ SỰ CỐ 1.1 ỨNG PHÓ SỰ CỐ LÀ GÌ Ứng phó cố (Incident Response) là q trình ngăn chặn, điều tra ngun nhân, khơi phục hệ thống nhằm giảm thiểu mối đe dọa liên quan tới vấn đề an ninh mạng Nó địi hỏi phương pháp tiếp cận có tổ chức để ngăn chặn nguy an ninh đảm bảo bảo mật cho hệ thống Quy trình ứng phó cố có mục đích xác định, ngăn chặn giảm thiểu thiệt hại công mạng cố trực tiếp Một kế hoạch ứng phó cố xây dựng tốt khắc phục vấn đề tiềm ẩn để ngăn chặn công tương lai, khơng phải trị chơi tổng Phản ứng phần Xử lý cố, từ xem xét hậu cần, thơng tin liên lạc, đồng lập kế hoạch cần thiết để giải cố Loại công việc thường thực Nhóm ứng phó cố bảo mật máy tính (CSIRT) với trợ giúp Trung tâm điều hành bảo mật Trong cốt lõi CSIRT quản lý cố, vai trị bao gồm báo cáo, phân tích phản hồi Tuy nhiên, trước giai đoạn này, điều quan trọng cố phải xác định báo cáo kịp thời Chính giai đoạn này, vai trị nhà phân tích SOC trở nên quan trọng Tất điều giảng dạy tốt Chương trình xử lý cố Ec-Council - khóa học thực số học viên giỏi ngành 1.2 TẠI SAO ỨNG PHÓ SỰ CỐ LẠI QUAN TRỌNG Bất kỳ cố không xử lý trở thành vấn đề lớn an ninh mạng cuối dẫn tới phá hủy liệu làm sụp đổ hệ thống Đối phó kịp thời với cố cách nhanh chóng giúp tổ chức giảm thiểu thiệt hại, hạn chế lỗ hổng, ngăn chặn mã độc cơng, phục hồi quy trình dịch vụ giảm thiểu rủi ro an ninh mà cố tương lai gây Ứng cứu cố vừa tạo thách thức cho tổ chức để thiết lập phương pháp tốt nhằm ngăn chặn xâm nhập tin tặc vào hệ thống, đồng thời hội để chứng minh lực kỹ ứng cứu an ninh tổ chức Sai sót liệu khiến cơng ty phí phạm thời gian, uy tín tài Một sai sót tồn lâu hệ thống trở nên nguy hiểm Đối với hầu hết tổ chức, sai sót dẫn đến giá cổ phiếu niềm tin khách hàng Để loại bỏ rủi ro vậy, công ty cần kế hoạch ứng phó cố an ninh mạng lên kế hoạch tốt, nhằm mục đích: - Phục hồi trì hoạt động kinh doanh hàng ngày - Giảm thiểu tổn thất uy tín tài - Khắc phục lỗ hổng mạng cách tồn diện nhanh chóng - Cải thiện hệ thống an ninh để tránh công tương lai - Biết nguyên tắc ứng phó cố 1.3 CÁC LOẠI SỰ CỐ PHỔ BIẾN Khái niệm tấn công mạng (hoặc công không gian mạng) tiếng Anh Cyber attack (hoặc Cyberattack), ghép từ: Cyber (thuộc không gian mạng internet) và attack (sự công, phá hoại) Tấn cơng mạng tất hình thức xâm nhập trái phép vào hệ thống máy tính, website, sở liệu, hạ tầng mạng, thiết bị cá nhân tổ chức thông qua mạng internet với mục đích bất hợp pháp Các cố an tồn thơng tin hầu hết hậu cơng mạng Có nhiều hình thức công mạng khác nhau: 1.3.1 Tấn công giả mạo (Phishing) Phishing (Tấn cơng giả mạo) là hình thức cơng mạng mà kẻ công giả mạo thành đơn vị uy tín để lừa đảo người dùng cung cấp thông tin cá nhân cho chúng Thông thường, tin tặc giả mạo thành ngân hàng, trang web giao dịch trực tuyến, ví điện tử, cơng ty thẻ tín dụng để lừa người dùng chia sẻ thông tin nhạy cảm như: tài khoản & mật đăng nhập, mật giao dịch, thẻ tín dụng thơng tin quý giá khác Phương thức công thường tin tặc thực thông qua email tin nhắn Người dùng mở email click vào đường link giả mạo yêu cầu đăng nhập Nếu “mắc câu”, tin tặc có thơng tin tức khắc Đơi phishing hình thức để lừa người dùng cài đặt malware vào thiết bị (khi đó, phishing cơng đoạn cơng malware) Nguồn gốc từ Phishing kết hợp từ: fishing for information (câu thơng tin) và phreaking (trị lừa đảo sử dụng điện thoại người khác khơng trả phí) Do giống việc “câu cá” “câu thông tin người dùng”, nên thuật ngữ Phishing ra đời Cường độ xuất hiên trang web lừa đảo tăng 350% vào đầu năm 2020 – theo báo cáo Liên Hợp Quốc Dữ liệu phân tích Atlas VPN cho thấy đại dịch COVID-19, có 300 nghìn phishing web tạo vào tháng với từ khóa liên quan đến coronavirus 1.3.2 Tấn cơng từ chối dịch vụ (Denial of Services) DoS (Denial of Service) hình thức cơng mà tin tặc “đánh sập tạm thời” hệ thống, máy chủ, mạng nội Để thực điều này, chúng thường tạo lượng traffic/request khổng lồ thời điểm, khiến cho hệ thống bị tải, từ người dùng truy cập vào dịch vụ khoảng thời gian mà công DoS diễn Một hình thức biến thể DoS DDoS (Distributed Denial of Service): tin tặc sử dụng mạng lưới máy tính (botnet) để cơng nạn nhân Điều nguy hiểm máy tính thuộc mạng lưới botnet thân bị lợi dụng để làm công cụ công Mặc dù DDoS cung cấp chế độ cơng phức tạp dạng công mạng khác, chúng ngày mạnh mẽ tinh vi Tăng 595% so với năm trước công DDoS chống lại tiện ích tồn giới – NETSCOUT 1.3.3 Tấn công ransomware Ransomware dạng phần mềm độc hại chuyên mã hóa liệu khóa quyền truy cập thiết bị người dùng Để trả lại quyền truy cập thiết bị liệu, người dùng phải trả cho hacker khoản tiền định, gọi tiền chuộc Ransomware biết đến với tên phần mềm tống tiền hay mã độc tống tiền Tăng 20% cơng ransomware vịng tháng, lên tới 121,4 triệu kiện – SonicWall 1.3.4 SQL Injection SQL injection – gọi SQLi – sử dụng lỗ hổng kênh đầu vào (input) website để nhắm mục tiêu vào sở liệu nằm phần phụ trợ ứng dụng web, nơi lưu giữ thông tin nhạy cảm có giá trị Đơi tin tặc công cách chèn đoạn mã độc vào cơng cụ “Tìm kiếm” cơng website Chúng kẻ công sử dụng để ăn cắp xáo trộn liệu, cản trở hoạt động ứng dụng, và, trường hợp xấu nhất, chiếm quyền truy cập quản trị vào máy chủ sở liệu Tăng 8000% công SQL Injection vào năm 2019, so với năm 2018 – WatchGuard 1.3.5 Tấn công phần mềm độc hại Tăng 176% công phần mềm độc hại ngụy trang dạng loại tệp Microsoft Office – SonicWall 1.4 KẾ HOẠCH ỨNG PHÓ SỰ CỐ 1.4.1 Kế hoạch ứng phó cố Kế hoạch ứng phó cố (Incident Response Plan) hướng dẫn giúp người ứng phó cố phát ứng phó với cố bảo mật Kế hoạch đảm bảo phục hồi thành công hệ thống bị ảnh hưởng IRP kế hoạch lên chiến lược tốt chống lại vi phạm bảo mật, liệu dịch vụ 1.4.2 Tại bạn nên có kế hoạch ứng phó cố? Khơng có hệ thống tổ chức mạng an toàn cơng mạng Vì kế hoạch ứng phó cố giúp giảm thiểu rủi ro bảo mật chống lại tội phạm mạng cần thiết 1.4.3 Một kế hoạch ứng phó cố nên bao gồm Một kế hoạch IRP phải bao gồm đầy đủ kịch nhằm phát hiện, phản ứng, xử lí cố an ninh xảy Ngồi ra, kế hoạch cần mơ tả cụ thể cho kịch có kế hoạch diễn tập tương ứng Trong bản kế hoạch xử lý cố thường bao gồm: + Xác định kịch ứng cứu tình cụ thể: Tấn cơng DDoS, xử lí mã độc, cơng chiếm quyền điều khiển website … + Tài liệu hướng dẫn kịch thử nghiệm + Tài liệu mô tả cụ thể bước tiến hành có kèm theo cơng cụ phương pháp tương ứng: Thu thập chứng; Phát ngun nhân cơng; Khơi phục hệ thống; Phịng chống phát công + Các loại báo cáo định dạng báo cáo tương ứng Nếu khơng có kế hoạch ứng phó cố chỗ, tổ chức khơng phát cơng khơng làm theo quy trình để ngăn chặn mối đe dọa internet phục hồi cố sau xảy Một hệ thống quản lý cố hiệu cần có giai đoạn sau: # Chuẩn bị Chuẩn bị kịch cố xảy tiến hành diễn tập Chuẩn bị tài liệu hướng dẫn, quy trình cơng cụ cần thiết để thực #2 Xác định Khi có dấu hiệu an ninh cần tiến hành xác định xem dấu hiệu có phải cố an ninh hay không Sau xác định cố cần phân loại cố vào nhóm cụ thể để có phương án xử lí tương ứng #3 Hạn chế Hạn chế thiệt hại vụ việc cô lập hệ thống bị ảnh hưởng để ngăn chặn hệ thống bị thiệt hại thêm 10 #4 Xóa bỏ Tìm nguyên nhân gốc rễ vụ việc, loại bỏ hệ thống bị ảnh hưởng từ môi trường bên #5 Phục hồi Cho phép hệ thống bị ảnh hưởng trở lại môi trường bên trong, đảm bảo khơng có mối đe dọa liên quan tới vấn đề an ninh mạng tồn đọng #6 Rút học kinh nghiệm QUY TRÌNH ỨNG PHĨ SỰ CỐ 2.1 QUY TRÌNH ỨNG PHĨ SỰ CỐ LÀ GÌ Một q trình ứng phó cố giúp tổ chức trì hoạt động kinh doanh Đây tích lũy thủ tục khác nhằm xác định, phân tích ứng phó với cố bảo mật tiềm ẩn Mục tiêu q trình giảm thiểu tác động cung cấp phục hồi nhanh chóng Nói cách đơn giản, phương pháp ứng phó cố xử lý cố bảo mật, vi phạm mối đe dọa mạng xảy Nó kèm với kế hoạch ứng phó cố thiết kế để xác định công mạng, giảm thiểu tác động giảm gánh nặng tài 2.2 TỔNG QT Q trình ứng phó cố tuân theo nguyên tắc 'vòng lặp OODA' (OODA Loop) gồm: quan sát (Observe), định hướng (Orient), định (Decide) hành động (Act) hiển thị 11 Điều mang lại linh hoạt để xử lý nhiều tình kịch 12 2.2.1 Quản lý cố (Incident Management) Điều phối trình ứng phó cố trách nhiệm Người quản lý cố Họ chịu trách nhiệm thiết lập trì nhịp độ trình xử lý, đảm bảo bên liên quan cập nhật thông tin cách kịp thời, báo cáo cố cần báo cáo kết Khi cố phát hiện, Người quản lý cố định Họ cần đảm nhiệm vai trị cơng việc sau ● Theo dõi, phân công nhiệm vụ kiểm soát liệu thu thập để đảm bảo thông tin cần thiết, giả thiết trọng điểm trọng ● Huy động nhóm phản ứng để hồn thành cơng việc cần thiết ● Sắp xếp họp để cập nhật tình hình cho bên liên quan ● Báo cáo cố nghiêm trọng cho quản lý cấp cao ● Đảm bảo cập nhật tình hình cố cho bên liên quan cách rõ ràng phù hợp ● Đảm bảo cố theo dõi từ lúc phát xử lý xong ● luận Đảm bảo tính khách quan thực tiễn thảo Việc ghi lại biết lý đưa định quan trọng - cố kéo dài nhiều ngày nhiều tuần yêu cầu bàn giao nhiều Người quản lý cố - trường hợp sau quan quản lý tòa án xem xét Bản ghi giúp phát hoạt động tội phạm, vi phạm 13 liệu cá nhân, liệu nhạy cảm sai sót sử dụng máy tính Nó quan trọng để đánh giá cố cách hiệu Danh sách đầu việc quản lý cố: ❏ Thiết lập thời điểm kiểm tra với chu kỳ phù hợp ❏ Xác định nhân lực phù hợp cho đội xử lý cố ❏ Cân nhắc việc yêu cầu hỗ trợ quan luật pháp ❏ Xem xét thông tin cần thiết để báo cáo với nhân viên xử lý quan quản lý 2.2.2 Đánh giá (Triage) Đánh giá trách nhiệm người quản lý đánh giá, người tìm kiếm ý kiến đóng góp từ Trưởng nhóm kỹ thuật Trưởng phận khác Mục đích ban đầu giai đoạn đánh giá để xác định xem kiện bảo mật phát có đáng coi cố bảo mật cố giả mạo Vai trò người quản lý phân đánh giá đảm nhận nhân viên hoạt động hàng ngày xem xét cảnh báo bảo mật từ hệ thống người từ nhóm định sở đặc biệt để xem xét biết trường hợp Vai trị họ đưa cảnh báo cố đủ điều kiện để huy động đội phản ứng cố thức (Họ tiếp tục trở thành Người quản lý cố.) Tất kiện bảo mật phải ghi lại phân loại để hỗ trợ phân tích nhằm hiểu hiệu biện pháp đối phó bảo mật Các báo động giả huỷ quy tình phân loại 14 Khi kiện bảo mật có dấu hiệu cần điều tra thêm, cố bảo mật khởi tạo quy trình xử lý cố tiếp tục Là phần phận đánh giá, tất cố bảo mật phải xác định mức độ nghiêm trọng hạng mục Tùy thuộc vào mức độ nghiêm trọng cố, yêu cầu xử lý cao Những điểm cần ý đánh giá cố bảo mật: ● Ai báo cáo, điều dẫn đến việc phát kiện cần xem xét? ● Các đối tượng liên quan ● Hậu kiện gì? ● Nguồn gốc phát kiện ● quan? ● Những thiết bị, hệ thống bị ảnh hưởng có liên Nguồn gốc dẫn đến kiện? Mẫu đánh giá ❏ Ghi lại cố ❏ Ghi lại nguồn gốc cố ❏ Ghi lại chi tiết biết kiện ❏ Lập giả thuyết cho kiện ❏ Xác nhận cố ❏ Ấn định mức độ nghiêm trọng ❏ Báo cáo, thông báo cố (theo yêu cầu) ❏ Huy động nhóm xử lý cố dựa theo tình hình phù hợp 15 ❏ Xem xét yêu cầu hỗ trợ từ bên thứ ba ❏ Xem xét yêu cầu hỗ trợ từ quan hành pháp ❏ Xem xét cần thiết phải báo cho khách hàng Mức độ nghiêm trọng: Khi xác định mức độ nghiêm trọng cố, xem xét tính bảo mật, tính tồn vẹn tính khả dụng liệu hệ thống bị ảnh hưởng Tính bảo mật - Confidentiality - Dữ liệu có bị rị rỉ, truy cập hay đánh cắp khơng? Tính tồn vẹn - Integrity - Dữ liệu hay hệ thống có bị ảnh hưởng đến mức khơng thể tin cậy khơng? Tính khả dụng - Availability - Tính khả dụng liệu hệ thống có bị ảnh hưởng không? Chúng ấn định mức độ nghiêm trọng cố theo thang điểm bốn từ S1 (nghiêm trọng nhất) đến S4 (ít nghiêm trọng nhất) Các ví dụ định nghĩa mức S1-S4 chúng tơi tìm thấy ma trận mức độ nghiêm trọng 2.2.3 Vòng lặp OODA(OODA loop) Vòng lặp OODA phát triển chiến lược gia quân John Boyd Không quân Hoa Kỳ OODA viết tắt Observe, Orient, Decide, and Act Nó sử dụng để giải xử lý cố môi trường thời gian thực 16 17 Công cụ chiến thuật Bí Giám sát bảo mật liên tục giúp xác (Observe) định hành vi mạng / hệ thống bất thường Phân tích nhật ký, cảnh báo SIEM IDS, giám sát mạng, phân tích lỗ hổng, giám sát hiệu suất dịch vụ / ứng dụng Quan sát nhiều tốt ghi lại tất phát liên quan đến hệ thống bảo mật, mạng hoạt động kinh doanh Giai đoạn giúp ứng phó bảo vệ thành công cố Đánh giá bối cảnh mối đe dọa mạng tổ chức Kết nối hợp lý đưa bối cảnh thời gian thực để ưu tiên cố bảo mật Phân loại cố, thơng tin tình báo mối đe dọa, nhận thức tình hình tại, nghiên cứu bảo mật Hãy suy nghĩ tội phạm mạng để xây dựng chiến lược phòng thủ triệt để Hãy nhờ đến trợ giúp thông tin đe dọa để nắm bắt thơng tin đáng Vịng lặp Miêu tả Phân tích Xác định giải pháp (Orient) Quyết định (Decide) Hành động (Act) Dựa quan sát bối cảnh, định kế Chính sách bảo mật hoạch hành động Ghi lại khía cạnh doanh nghiệp tổ cung cấp thời gian khác quy trình chức chết tối thiểu phục hồi hệ thống nhanh Khắc phục, phục hồi ghi lại học kinh nghiệm để sử dụng tương lai Công cụ phân tích pháp y, lưu hệ thống, cơng cụ phục hồi liệu, cơng cụ chương trình đào tạo nhận thức bảo mật, quản lý vá 18 Cải tiến phương pháp huấn luyện truyền thông để loại bỏ cố hiệu 2.2.4 Phục hồi (Recover) Người quản lý cố khuyến nghị 'đèn xanh' cho quản lý cấp cao để tiếp tục kinh doanh hoạt động thông thường sau dẫn đầu kỹ thuật phận khác dẫn đầu Xác nhận môi trường kinh doanh trở lại trạng thái phù hợp cố bảo mật cho kiềm chế hậu giải quyết, mục tiêu trở lại trở lại 'kinh doanh bình thường.' Tùy thuộc vào mức độ nghiêm trọng quy mô cố, số kiểm tra ngắn, nhiều trình liên quan Đối với phần mềm độc hại hệ thống thỏa hiệp kiện liên quan đến hệ thống quay lại 'sạch' 'nổi tiếng' biết đến ' Điều liên quan đến việc áp dụng giảm thiểu rủi ro bảo mật biện pháp đối phó để ngăn chặn giảm tần số kiện tương tự xảy tương lai, chẳng hạn thay đổi cấu hình áp dụng vá bảo mật để làm cứng tư bảo mật Tất nỗ lực phục hồi nên theo dõi chặt chẽ để bạn đáp ứng nhanh chóng kiện tái phát tự tin 'các hệ thống đăng xuất' trở lại hoạt động trực tiếp Bất kỳ vấn đề pháp lý, quy định, phương tiện truyền thơng khách hàng nên hồn thành 2.2.5 Rút kinh nghiệm (Review) Người quản lý cố chịu trách nhiệm xếp 'Đánh giá hậu kỳ ' theo dõi phục hồi thành công từ cố, tham dự thành viên nhóm phản hồi cố (cả nhà cung cấp nhà bên thứ ba.) Sau giai đoạn phục hồi, điều quan trọng phải xem xét cố để hiểu rõ nguyên nhân gốc rễ kiện, nơi giám sát đối phó cố được cải thiện, học khác kinh 19 nghiệm Có thể sử dụng kết báo cáo sau tai nạn đội an ninh mạng để biết đánh giá rủi ro mạng họ Đánh giá sau cố thực khơng có vơ trách nhiệm trỏ tăng lên hăng hái trung thực tham gia để học học cải tiến tốt Thất bại tạo mơi trường an tồn, mở phù hợp, khiến người tham gia giữ lại thơng tin quan trọng để ngăn chặn kiện xảy lần Điều quan trọng xem xét người, quy trình cơng nghệ, 'những diễn tốt đẹp' 'thậm chí tốt nếu' liên tục cải thiện khả tổ chức Điều quan trọng để nhận tốt đẹp để giải khoảng trống 20 ... hại 1.4 Kế hoạch ứng phó cố 1.4.1 Kế hoạch ứng phó cố .9 1.4.2 Tại bạn nên có kế hoạch ứng phó cố? .9 1.4.3 Một kế hoạch ứng phó cố nên bao gồm .9 Quy trình ứng phó cố 11... Office – SonicWall 1.4 KẾ HOẠCH ỨNG PHĨ SỰ CỐ 1.4.1 Kế hoạch ứng phó cố Kế hoạch ứng phó cố (Incident Response Plan) hướng dẫn giúp người ứng phó cố phát ứng phó với cố bảo mật Kế hoạch đảm bảo phục... giai đoạn IRP 21 Cách phát triển thực kế hoạch ứng phó cố 23 Kết luận .24 GIỚI THIỆU VỀ ỨNG PHÓ SỰ CỐ 1.1 ỨNG PHĨ SỰ CỐ LÀ GÌ Ứng phó cố (Incident Response) là trình ngăn chặn,