Xem nhanh
Theo Kaspersky, để giảm thiểu thiệt hại do sự cố bảo mật gây ra, ngoài việc ngăn chặn các cuộc tấn công, bộ phận an ninh mạng trong doanh nghiệp còn cần xác định nhanh các vấn đề và đưa ra phương án ứng phó kịp thời.
Mặc dù việc ứng phó với sự cố an ninh mạng (Incident Response – IR) là cần thiết nhưng trong quá trình thực hiện các Giám đốc An ninh mạng (CISO) vẫn hay bị rơi vào những tình huống khó khăn.
Theo Maxim Frolov, Phó Chủ tịch Kinh doanh Toàn cầu Kaspersky Lab, có năm yếu tố mà các CISO nên xem xét khi tổ chức hoạt động IR trong doanh nghiệp:
1. Thiếu chuyên gia có trình độ
Việc ứng phó với sự cố an ninh mạng thường bị hiểu nhầm là diễn ra ở giai đoạn khắc phục sự cố. Tuy nhiên, quá trình này đã bắt đầu từ trước lúc diễn ra cuộc tấn công mạng và vẫn tiếp tục sau khi cuộc tấn công dừng lại. Nhìn chung, hoạt động IR bao gồm bốn giai đoạn:
- Giai đoạn chuẩn bị: đảm bảo tất cả nhân viên biết rõ trách nhiệm của mình khi bị tấn công mạng.
- Giai đoạn phát hiện sự cố
- Giai đoạn loại bỏ cuộc tấn công và phục hồi hệ thống bị ảnh hưởng
- Giai đoạn hậu sự cố: xem xét lại chiến lược ứng phó dựa trên kinh nghiệm vừa có để giảm thiểu các sự cố tương tự trong tương lai.
Mỗi hoạt động đòi hỏi các chuyên gia bảo mật khác nhau. Tuy nhiên, số lượng chuyên gia ở lĩnh vực này đang rất thấp. Theo khảo sát của Kaspersky Lab, 43% CISO gặp khó khăn trong việc tìm chuyên gia về mã độc, 20% CISO cảm thấy khó khăn để tìm chuyên gia có khả năng phản ứng trước tấn công mạng và 13% CISO thấy khó khăn trong việc tìm chuyên gia có thể nhận diện mối đe dọa.
Một vấn đề khác là khả năng giữ chân nhân viên. Các chuyên gia đang được “săn lùng” trên thị trường, do đó họ có thể dễ dàng chuyển sang công ty đối thủ với mức lương hấp dẫn hơn. Thế nên các công ty ngày càng khó tuyển dụng một team có thể thực hiện toàn bộ quy trình IR.
2. Lựa chọn nhà thầu phù hợp
Để đạt hiệu quả, nhóm thầu phải hội tụ tất cả nhân lực đáp ứng công việc của IR, như nghiên cứu mối đe dọa, phân tích phần mềm độc hại và điều tra kỹ thuật số. Ngoài ra, cần chú ý đến kinh nghiệm của họ trong vai trò này. Nhà thầu càng làm việc cho nhiều khách hàng trong các ngành khác nhau thì sẽ càng gặp nhiều sự cố an ninh mạng điển hình, có thể đưa ra giải pháp trong những trường hợp khác nhau.
Các công ty trong những ngành có quy định chặt chẽ hơn sẽ có quy định bổ sung khi lựa chọn nhà thầu. Do đó, doanh nghiệp chỉ được phép chọn nhà thầu trong số các đơn vị đáp ứng được những yêu cầu cụ thể.
3. Chi phí ứng phó sự cố
Thiết lập hoạt động IR nội bộ sẽ rất tốn kém. Doanh nghiệp cần phải trả lương cho nhân viên có những kỹ năng đặc biệt và chuyên nghiệp. Họ cũng cần mua những giải pháp và dịch vụ (báo cáo mối đe dọa) cần thiết để tìm kiếm các mối nguy, phân tích dữ liệu và khắc phục khi bị tấn công.
Tuy nhiên, chi phí trung bình của doanh nghiệp cho việc bị tấn công dữ liệu cũng đang tăng trên toàn cầu, hiện đã lên đến 1,23 triệu USD (tăng 24% so với 992 nghìn USD năm 2017).
Với chi phí được hacker đầu tư cho các sự cố an ninh mạng ngày càng tăng, các doanh nghiệp cũng phải chi tiêu nhiều hơn cho an ninh mạng.
Một số công ty đã tìm ra mô hình nhà thầu linh hoạt và hiệu quả hơn về chi phí, họ chỉ trả tiền cho dịch vụ nhận được. Đối với những doanh nghiệp phải xử lý nhiều sự cố, sở hữu bộ phận IR trong công ty là điều bắt buộc.
Tuy nhiên, công ty vẫn có thể tìm thấy một mô hình tiết kiệm chi phí hơn khi sử dụng nhân viên nội bộ để giải quyết sự cố IR trong giai đoạn đầu. Bộ phận nội bộ này sẽ phân tích sự cố khi vừa xảy ra và xử lý theo quy trình hoặc chuyển đến các chuyên gia bên ngoài để giải quyết.
4. Hợp tác với bộ phận IT
Khi sự cố xảy ra, nhóm IT có thể chọn giải pháp tắt máy bị nhiễm để giảm tác động. Tuy nhiên, đối với bộ phận phản hồi, điều quan trọng trước nhất là phải thu thập bằng chứng – nghĩa là sau khi sự cố xảy ra, máy bị nhiễm mã độc sẽ không được đụng tới trong một thời gian.
Do vậy, công việc thu thập và lưu trữ thông tin trong ba tháng và việc ngắt kết nối các máy bị nhiễm mã độc khiến công việc của team IR trở nên khó khăn hơn. Để tránh xảy ra trường hợp này, team IR nội bộ cần chuẩn bị những hướng dẫn cụ thể cho các đồng nghiệp bộ phận IT hoặc thực hiện chương trình đào tạo đặc biệt để bổ sung kiến thức bảo đảm an ninh mạng cho những chuyên gia công nghệ thông tin. Sáng kiến này giúp đảm bảo cả team nội bộ và bên ngoài phối hợp tốt với nhau hơn.
5. Chậm trễ trong việc đưa ra phản hồi
Các tổ chức thuê dịch vụ IR bên ngoài có thể thiết lập các quy trình nhanh hơn, vì team IR bên ngoài luôn sẵn sàng để giải quyết sự cố an ninh mạng khi cần thiết. Tuy nhiên, điều này lại có thể đi kèm với những rủi ro. Chẳng hạn, doanh nghiệp và bên thứ ba phải ký hợp đồng và thỏa thuận trước khi thực hiện bất kỳ công việc nào. Điều này có thể dẫn đến chậm trễ trong phản ứng sự cố.
Thông thường, khi khách hàng quay lại làm việc vào thứ Hai, họ mới kiểm tra và phát hiện công ty có bị vi phạm bảo mật vào cuối tuần trước hay không và cố gắng tự xử lý vấn đề. Khi không thể kiểm soát được sự cố, họ mới quyết định chuyển sang các chuyên gia bên ngoài.
Vì vậy, công ty cần cố gắng phê duyệt tất cả những thỏa thuận với bên thứ ba một cách nhanh chóng vào trước cuối tuần tới để nhóm IR có thể làm việc. Nếu doanh nghiệp có một nhóm xử lý nội bộ thì sẽ đưa ra đánh giá tốt hơn trong mỗi trường hợp và giải quyết sự cố nhanh chóng.
Đối với hầu hết các tổ chức lớn, cách tiếp cận hỗn hợp kết hợp với bên thứ ba cho nhiệm vụ phản hồi và nhóm nội bộ cho trách nhiệm phản ứng khi sự cố xảy ra là lựa chọn hiệu quả. Điều này mang lại lợi ích và loại bỏ điểm thiếu sót của cả hai phương pháp.
Nhìn chung, việc doanh nghiệp có sẵn kế hoạch ứng phó vẫn là quan trọng nhất. Để phản ứng kịp thời, một công ty phải chuẩn bị và có phản ứng tức thời khi sự cố xảy ra, hoặc có hướng dẫn cụ thể bất cứ khi nào cần yêu cầu sự hỗ trợ bên ngoài. Mỗi nhân viên trong công ty cũng nên được giao nhiệm vụ ưu tiên hành động và có sự hợp tác giữa các bộ phận nội bộ và nhóm thuê bên ngoài.
Theo Kaspersky Lab