Năm yếu tố CISO nên xem xét khi xây dựng quy trình phản ứng sự cố an ninh mạng

24/05/2019 05:48

Bài viết bởi ông Maxim Frolov, Phó Chủ tịch Kinh doanh Toàn cầu Kaspersky Lab.

Ông Maxim Frolov, Phó Chủ tịch Kinh doanh Toàn cầu Kaspersky Lab

Khi tấn công mạng trở nên tinh vi và diễn ra thường xuyên hơn, 86% Giám đốc An ninh mạng (CISO) cho rằng việc xảy ra sự cố bảo mật mạng trong công ty là không thể tránh khỏi. Do đó, trong việc đo lường hiệu suất bảo vệ an ninh mạng, 76% CISO tin rằng tốc độ và chất lượng ứng phó với sự cố an ninh mạng là quan trọng nhất. Điều này có nghĩa là để giảm thiểu thiệt hại do sự cố bảo mật gây ra, bộ phận an ninh trong doanh nghiệp không chỉ nên tập trung vào việc ngăn chặn các cuộc tấn công mà còn cần xác định nhanh các vấn đề, từ đó đưa ra phương án ứng phó kịp thời.

Mặc dù việc ứng phó với sự cố an ninh mạng (IR) là cần thiết, các CISO vẫn phải đối mặt với những tình huống khó trong quá trình thực hiện. Có năm yếu tố mà các CISO nên cân nhắc khi tổ chức hoạt động IR trong doanh nghiệp:

1. Thiếu chuyên gia có trình độ

Việc ứng phó với sự cố an minh mạng (Incident Response - IR) thường bị hiểu nhầm là diễn ra ở giai đoạn khắc phục khi sự cố xảy ra. Tuy nhiên, quá trình này đã bắt đầu từ trước lúc diễn ra cuộc tấn công mạng và vẫn tiếp tục sau khi cuộc tấn công dừng lại. Nhìn chung, hoạt động IR bao gồm bốn giai đoạn: Giai đoạn chuẩn bị - đảm bảo tất cả nhân viên, tùy theo trách nhiệm công việc của mình, biết cách hành động khi bị tấn công; Giai đoạn phát hiện sự cố; Giai đoạn loại bỏ cuộc tấn công và phục hồi hệ thống bị ảnh hưởng; Giai đoạn hậu sự cố - xem xét chiến lược ứng phó dựa trên kinh nghiệm vừa có để giảm thiểu các sự cố tương tự trong tương lai.

Những hoạt động này đòi hỏi các chuyên gia bảo mật khác nhau. Tuy nhiên, số lượng những chuyên gia này đang rất thấp. Theo khảo sát của Kaspersky Lab, 43% CISO gặp khó khăn trong việc tìm chuyên gia về mã độc. Tỷ lệ CISO cảm thấy khó khăn để tìm chuyên gia có khả năng phản ứng trước tấn công mạng là 20% và tỷ lệ CISO thấy khó khăn trong việc tìm chuyên gia có thể nhận diện mối đe dọa là 13%. Một vấn đề khác là khả năng giữ chân nhân viên. Các chuyên gia biết rằng họ đang được “săn lùng” trên thị trường lao động, do đó họ có thể dễ dàng chuyển sang công ty đối thủ với mức lương hấp dẫn hơn. Vì những yếu tố này, các công ty ngày càng khó khăn trong việc tuyển dụng một team có thể thực hiện toàn bộ quy trình IR.

2. Lựa chọn nhà thầu phù hợp

Lựa chọn nhà thầu cũng không phải là công việc đơn giản. Để đạt hiệu quả, nhóm thầu phải hội tụ tất cả nhân lực đáp ứng công việc của IR; như nghiên cứu mối đe dọa, phân tích phần mềm độc hại và điều tra kỹ thuật số. Ngoài ra, cần chú ý đến kinh nghiệm của họ trong vai trò này. Họ càng làm việc cho nhiều khách hàng trong nhiều ngành khác nhau thì họ sẽ càng gặp nhiều sự cố điển hình và có thể đưa ra giải pháp trong nhiều trường hợp khác nhau.

Đối với các công ty trong những ngành có quy định chặt chẽ hơn, có thể có những quy định bổ sung khi lựa chọn nhà thầu. Do đó, doanh nghiệp sẽ chỉ được phép chọn nhà thầu trong số những đơn vị đáp ứng được những yêu cầu cụ thể.

3. Chi phí ứng phó sự cố

Thiết lập hoạt động IR nội bộ sẽ rất tốn kém. Doanh nghiệp cần phải trả lương cho nhân viên có những kỹ năng đặc biệt và chuyên nghiệp. Họ cũng cần mua những giải pháp và dịch vụ (báo cáo mối đe dọa) cần thiết để tìm kiếm các mối đe dọa, phân tích dữ liệu và khắc phục khi bị tấn công.

Tuy nhiên, chi phí trung bình của doanh nghiệp cho việc bị tấn công dữ liệu cũng đang tăng lên trên toàn cầu - với số tiền trung bình hiện nay lên đến 1,23 triệu USD (tăng 24% so với 992 nghìn USD năm 2017). Với chi phí được hacker đầu tư cho các sự cố bảo mật ngày càng tăng, các doanh nghiệp nhận ra rằng họ cũng phải chi tiêu nhiều hơn cho an ninh mạng.

Một số doanh nghiệp tìm ra mô hình nhà thầu linh hoạt và hiệu quả hơn về chi phí, khi nó cho phép họ chỉ trả tiền cho dịch vụ nhận được. Đối với những doanh nghiệp phải xử lý nhiều sự cố, sở hữu bộ phận IR trong công ty là điều bắt buộc. Tuy nhiên, họ vẫn có thể tìm thấy một mô hình tiết kiệm chi phí hơn khi sử dụng nhân viên nội bộ để giải quyết sự cố IR trong giai đoạn đầu. Bộ phận nội bộ này sẽ phân tích sự cố khi vừa xảy ra và xử lý sự cố theo quy trình hoặc chuyển đến các chuyên gia bên ngoài để giải quyết.

4. Hợp tác với bộ phận IT

Khi sự cố xảy ra, nhóm IT có thể chọn giải pháp tắt máy bị nhiễm để giảm tác động. Tuy nhiên, đối với bộ phận phản hồi sự cố, điều quan trọng trước nhất là phải thu thập bằng chứng - nghĩa là sau khi sự cố xảy ra, máy bị nhiễm mã độc sẽ không được đụng tới trong một thời gian. Do vậy, công việc thu thập và lưu trữ thông tin trong ba tháng và việc ngắt kết nối các máy bị nhiễm mã độc khiến công việc của team IR trở nên khó khăn hơn.

Để tránh xảy ra trường hợp này, team IR nội bộ cần chuẩn bị những hướng dẫn cụ thể cho các đồng nghiệp bộ phận IT hoặc thực hiện chương trình đào tạo đặc biệt để bổ sung kiến thức bảo đảm an ninh mạng cho những chuyên gia công nghệ thông tin. Sáng kiến này giúp đảm bảo cả team nội bộ và bên ngoài phối hợp tốt với nhau hơn.

5. Chậm trễ trong việc đưa ra phản hồi

Các tổ chức thuê dịch vụ IR bên ngoài có thể thiết lập các quy trình nhanh hơn, vì team IR bên ngoài luôn sẵn sàng để giải quyết sự cố khi cần thiết. Tuy nhiên, điều này lại có thể đi kèm với những rủi ro. Chẳng hạn, doanh nghiệp và bên thứ ba phải ký hợp đồng và thỏa thuận trước khi thực hiện bất kỳ công việc nào. Điều này có thể dẫn đến chậm trễ trong phản ứng sự cố.

Theo kinh nghiệm của chúng tôi, khi quay lại làm việc vào thứ Hai, khách hàng mới có thể kiểm tra và phát hiện công ty có bị vi phạm bảo mật vào cuối tuần vừa rồi hay không. Nhiều ngày sau đó, họ cố gắng tự xử lý vấn đề. Khi nhận ra rằng họ không thể tự mình đối phó được sự việc, họ mới quyết định chuyển sang các chuyên gia bên ngoài. Đến lúc này thường đã gần hết tuần rồi. Vì vậy, công ty cố gắng phê duyệt tất cả những thỏa thuận với bên thứ ba một cách vội vàng vào trước cuối tuần tới để nhóm IR có thể làm việc. Nếu doanh nghiệp có một nhóm xử lý nội bộ, họ có thể đưa ra đánh giá tốt hơn trong mỗi trường hợp và giải quyết sự cố nhanh chóng hơn.

***

Đối với hầu hết các tổ chức lớn, cách tiếp cận hỗn hợp kết hợp với bên thứ ba cho nhiệm vụ phản hồi và nhóm nội bộ cho trách nhiệm phản ứng khi sự cố xảy ra là lựa chọn hiệu quả. Nó mang lại lợi ích và loại bỏ điểm thiếu sót của cả hai phương pháp.

Nhìn chung, việc doanh nghiệp có sẵn kế hoạch ứng phó vẫn là tối quan trọng. Để phản ứng kịp thời, một công ty phải được chuẩn bị và có phản ứng tức thời khi sự cố xảy ra, hay có hướng dẫn khi nào cần yêu cầu sự hỗ trợ bên ngoài. Mỗi nhân viên trong công ty cũng nên được giao nhiệm vụ ưu tiên hành động và phối hợp hợp tác giữa các bộ phận nội bộ và nhóm bên ngoài thuê ngoài. Đây là những thiết lập vai trò rất nên làm khi doanh nghiệp muốn thực hiện tốt hoạt động ứng phó khi sự cố bảo mật mạng xảy ra.

Theo Kaspersky Lab
Bài liên quan:
Ý kiến bạn đọc (0)
Tên   Email

Lên đầu trang