Các cuộc tấn công mạng có thể có tác động nghiêm trọng đến doanh nghiệp của bạn, một cuộc tấn công thành công có thể dẫn đến hậu quả về tài chính như đánh cắp tiền, thông tin, gián đoạn hoạt động kinh doanh do tổn hại danh tiếng.
Sau một cuộc tấn công mạng, các doanh nghiệp phải đối phó với chi phí khôi phục và báo cáo cuộc tấn công cho các cơ quan chức năng, cũng như bất kỳ thủ tục pháp lý nào. Điều quan trọng là doanh nghiệp của bạn biết phải làm gì trong trường hợp bị tấn công mạng hoặc vi phạm dữ liệu. Theo Báo cáo Đe dọa Không gian mạng của ACSC 2020-2021, trong năm tài chính vừa qua, thiệt hại tài chính do tội phạm mạng tự báo cáo trong các báo cáo tội phạm mạng có trụ sở tại Úc lên tới hơn 33 tỷ đô la (AUD). Những chi phí này có thể được giảm đáng kể hoặc thậm chí tránh được nếu doanh nghiệp của bạn có sẵn Kế hoạch Ứng phó Sự cố (IRP). Dưới đây là sáu bước chính cần xem xét khi đối mặt với cuộc tấn công mạng hoặc vi phạm dữ liệu: 1. Xác định loại tấn công mạng Bước đầu tiên để đối phó với một cuộc tấn công mạng là xác định đó là loại tấn công nào, mức độ và nguồn gốc của cuộc tấn công. Bằng cách này, nhóm bảo mật thông tin của bạn có thể thực hiện chiến lược thích hợp để hạn chế thiệt hại mà cuộc tấn công gây ra cho doanh nghiệp của bạn. Ví dụ: nếu doanh nghiệp của bạn đang đối phó với một cuộc tấn công ransomware, nhân viên có thể nhìn thấy thông báo bật lên yêu cầu thanh toán để mở khóa tệp trên hệ thống của họ, nhân viên có thể bị thu hồi quyền truy cập vào thiết bị của họ hoặc có thể không đăng nhập được vào tài khoản của họ. Mặt khác, nếu hiệu suất trên máy tính bị suy giảm nghiêm trọng và các máy chủ phản hồi cực kỳ chậm hoặc thậm chí ngừng hoạt động, bạn có thể đang phải đối mặt với một cuộc tấn công DDoS. Mỗi loại tấn công mạng đòi hỏi một giải pháp duy nhất, do đó, điều cần thiết là xác định mối đe dọa là bước đầu tiên. Sau khi xác định được điều này, nhóm bảo mật thông tin của bạn cần xác định xem vấn đề đang bị cô lập hay đang lan rộng, nếu nó đang lan rộng, nó đang diễn ra như thế nào và làm thế nào để vô hiệu hóa nó một cách tốt nhất. 2. Ngăn chặn vi phạm lây lan và vô hiệu hóa nó Bước tiếp theo là ngăn chặn vi phạm, nhiều cuộc tấn công được thiết kế để cung cấp cho những kẻ tấn công một cửa hậu vào các hệ thống và mạng của tổ chức để chúng có thể trích xuất dữ liệu có giá trị mà không được chú ý theo thời gian hoặc thậm chí thực hiện các cuộc tấn công mạng bổ sung từ bên trong. Trên thực tế, theo Báo cáo về vi phạm dữ liệu năm 2020 của IBM, các doanh nghiệp đã mất tới 9 tháng để phát hiện ra một vi phạm dữ liệu, trong thời gian đó tội phạm mạng có thể gây ra thiệt hại không thể sửa chữa. Đây là lý do tại sao điều quan trọng đối với các nhóm bảo mật thông tin là xác định những gì đã được truy cập, cách nó được truy cập và đóng tất cả các quyền truy cập để ngăn chặn các phần tử độc hại thực hiện thêm bất kỳ tác hại nào. Điều này có thể liên quan đến việc ngắt kết nối các hệ thống hoặc mạng bị ảnh hưởng khỏi internet, thay đổi thông tin đăng nhập của người dùng, vô hiệu hóa mọi quyền truy cập từ xa và thậm chí định tuyến lại lưu lượng mạng. Bằng cách cách ly cuộc tấn công càng nhiều càng tốt, các chuyên gia bảo mật có thể làm việc để vô hiệu hóa mối đe dọa. 3. Đánh giá và sửa chữa thiệt hại Khi mối đe dọa đã được vô hiệu hóa, điều quan trọng là phải xem xét các hệ thống và mạng lưới để xác định cách tốt nhất để giảm thiểu bất kỳ rủi ro nào tiếp theo. Điều này liên quan đến việc kiểm tra tất cả dữ liệu để xác định xem có dữ liệu nào bị ảnh hưởng không, có dữ liệu nào bị thiếu hoặc bị ảnh hưởng hay không và tìm hiểu xem dữ liệu đó có thể khôi phục được hay không. Điều cần thiết là đảm bảo rằng dữ liệu được khôi phục không dẫn đến tái nhiễm, do đó, tốt nhất là chỉ cung cấp quyền truy cập cho những nhân viên quan trọng có khả năng phê duyệt chức năng. Cơ sở hạ tầng cũng có thể cần được cấu hình lại, tức là hệ điều hành và chương trình có thể cần được cài đặt lại hoặc thay thế phần cứng. Ngoài ra như một phần của quá trình đánh giá, các nhóm bảo mật thông tin cần phải vá tất cả các lỗ hổng, đặc biệt là những lỗ hổng dẫn đến vi phạm hoặc tấn công dữ liệu. Trước khi các hệ thống bị ảnh hưởng được đưa hoàn toàn trực tuyến và kết nối lại với mạng, điều quan trọng là nhóm bảo mật thông tin phải kiểm tra xem mọi thứ có hoạt động bình thường hay không và mối đe dọa mạng đã được vô hiệu hóa hoàn toàn. 4. Báo cáo vụ tấn công với cơ quan chức năng Điều quan trọng là phải thông báo cho nhà chức trách về bất kỳ cuộc tấn công mạng hoặc vi phạm dữ liệu nào, tại Úc, Trung tâm An ninh mạng Úc (ACSC) dẫn đầu các nỗ lực của Chính phủ Úc nhằm cải thiện an ninh mạng. Vai trò của họ là giúp Úc trở thành nơi an toàn nhất để kết nối trực tuyến. ACSC sử dụng các báo cáo sự cố an ninh mạng mà ACSC nhận được làm cơ sở để cung cấp hỗ trợ cho các tổ chức. Họ cũng sử dụng các sự cố được báo cáo làm cơ sở để xác định các xu hướng và duy trì một bức tranh chính xác về môi trường đe dọa. Điều này giúp họ phát triển các lời khuyên, khả năng và kỹ thuật an ninh mạng mới và cập nhật để ngăn chặn và ứng phó tốt hơn với các mối đe dọa mạng đang phát triển. 5. Giao tiếp với khách hàng Một trong những bước cuối cùng để xử lý một cuộc tấn công mạng là thông báo cho khách hàng về vi phạm dữ liệu hoặc sự cố bảo mật. Điều quan trọng là duy trì lòng tin của công chúng và một cách để làm điều đó là duy trì tính minh bạch trong khi bị tấn công. Theo chương trình Vi phạm Dữ liệu Đáng chú ý, của OAIC (Văn phòng Ủy ban Thông tin Úc), một tổ chức hoặc cơ quan phải tuân thủ luật bảo mật của Úc phải thông báo cho khách hàng của mình nếu một vi phạm dữ liệu có thể gây ra bất kỳ tổn hại nghiêm trọng nào cho họ. Hành vi trộm cắp danh tính, có thể ảnh hưởng đến tài chính và báo cáo tín dụng của khách hàng, tổn thất tài chính do gian lận hoặc bất kỳ thiệt hại nào về danh tiếng đều được coi là gây tổn hại nghiêm trọng cho khách hàng của tổ chức. Nói chung, một tổ chức hoặc cơ quan có 30 ngày để đánh giá xem liệu một vi phạm dữ liệu có thể dẫn đến tổn hại nghiêm trọng hay không. Tuy nhiên, nếu một tổ chức thành công trong việc giảm thiểu bất kỳ nguy cơ gây hại nghiêm trọng nào khi gặp phải vi phạm dữ liệu thì họ không cần thông báo cho bất kỳ khách hàng nào. 6. Suy ngẫm và rút ra bài học Bước cuối cùng là tiến hành điều tra kỹ lưỡng về sự cố bảo mật để đảm bảo rằng sự cố này không xảy ra nữa. Điều gì đã được thực hiện tốt trong phản ứng của nhóm bảo mật thông tin của bạn đối với sự cố bảo mật này và điều gì có thể được thực hiện tốt hơn nếu một cuộc tấn công khác xảy ra. Điều quan trọng là xác định các lĩnh vực trong chiến lược an ninh mạng của bạn cần được cải thiện để có thể tránh được các cuộc tấn công trong tương lai.
Comments