Làm thế nào để tạo kế hoạch ứng phó sự cố (Incident Response) hiệu quả
Sự phúc tạp và chính xác của các cuộc tấn công mạng ngày nay khiến bạn khao khát quay trở lại những ngày đơn giản như thời virus Michelangelo. Thêm số lượng cảnh báo bảo mật và thông báo sai, và điều này dễ hiểu tại sao các đội phản ứng sự cố bị kiệt sức, khiến các tổ chức gặp nguy hiểm.
Phản ứng sự cố (Incident response) là quá trình phát hiện và xử lý sự cố an ninh, tấn công mạng hoặc vi phạm dữ liệu, khắc phục mối đe dọa đó và phục hồi sau hậu quả. Nó yêu cầu các nhà phân tích chống lại những kẻ tấn công, xem xét kết quả phản ứng của họ và áp dụng những bài học kinh nghiệm để tránh mối đe dọa lặp lại.
Vi phạm an ninh có thể gây tổn hại không chỉ cho doanh nghiệp và khách hàng của bạn, mà còn cả danh tiếng, tài sản quý giá nhất của bạn. Chi phí trung bình của vi phạm dữ liệu là 3,86 triệu đô la, theo “2019 Cost of a Data Breach Study.” Một vi phạm an ninh mạng điển hình cần trung bình 69 ngày để ngăn chặn. Nhưng các công ty có phản ứng sự cố hiệu quả hơn đã giảm thời gian ngăn chặn xuống còn 30 ngày và chi phí liên quan thấp hơn 25%. Điều đó khiến thiệt hại giảm đi khoảng 1 triệu đô la cho mỗi sự cố, tiền có thể được đầu tư vào các quy trình, công nghệ và nguồn nhân lực tốt hơn để chống lại các cuộc tấn công mạng.
Mặc dù bạn không thể kiểm soát liệu những kẻ tấn công mạng có nhắm mục tiêu vào công ty của bạn hay không, bạn có thể kiểm soát cách bạn phản hồi. Ứng phó nhanh chóng và hiệu quả với các sự cố không gian mạng có thể giúp cải thiện khả năng phục hồi của công ty bạn – khả năng duy trì hoạt động và tính toàn vẹn của bạn khi đối mặt với các cuộc tấn công mạng, như được định nghĩa bởi Larry Ponemon.
Bắt đầu phát triển một kế hoạch ứng phó sự cố
Kế hoạch là rất quan trọng trước khi bắt đầu nỗ lực ứng phó với bất kỳ sự cố nào. Dưới đây là ba chiến lược để giúp bạn trau dồi khả năng ứng phó sự cố và củng cố tư thế phục hồi không gian mạng của tổ chức.
- Tạo một kế hoạch ứng phó sự cố năng động (dynamic)
Trong số các tổ chức được xếp hạng cao về hiệu suất phục hồi an ninh mạng, tức là họ ít gặp vi phải vi phạm dữ liệu và gián đoạn kinh doanh, có đến 55% đã thực hiện kế hoạch ứng phó sự cố. Các công ty không có kế hoạch đang thiếu một yếu tố cơ bản của an ninh mạng. Khi IBM điều tra lý do tại sao một tổ chức sẽ bỏ qua bước này, các câu trả lời dao động từ việc thiếu nhân sự và lãnh đạo đến một cấu trúc tổ chức không hỗ trợ một cách tiếp cận tập trung để ứng phó sự cố.
Trọng tâm của một kế hoạch ứng phó sự cố là playbook – ‘một cuốn sổ tay’. Nó sẽ nêu chi tiết các nhiệm vụ và hành động mà tổ chức của bạn nên thực hiện để đối phó với các sự cố khác nhau. Nó bắt đầu với các tác vụ thủ công có thể theo dõi phát triển theo thời gian dựa trên những gì bạn học được từ kinh nghiệm hoặc mô phỏng. Sử dụng phản hồi từ phân tích và đánh giá sau sự cố, bạn có thể liên tục đánh giá và tinh chỉnh playbook phản ứng sự cố của mình để cải thiện thời gian phản hồi và hiệu quả. Khi bối cảnh mối đe dọa thay đổi, bạn có thể cần các playbook mới cho các mối đe dọa và kịch bản mới nổi.
Hợp tác là chìa khóa để theo kịp sự phát triển. Bằng cách là một phần của cộng đồng các chuyên gia bảo mật, bạn có quyền truy cập vào playbooks, quy trình vận hành tiêu chuẩn, thực tiễn tốt nhất và mẹo khắc phục sự cố. Tất cả đều giúp bạn thích nghi với sự phát triển mới ngay khi chúng phát sinh. Nhưng để có một phản ứng thực sự hiệu quả, yêu cầu thiết yếu nhất là thực hành.
- Thực hành và xem lại phản hồi của bạn
Chỉ phát triển một playbook là không đủ; bạn cần thường xuyên thực hành và cập nhật phản hồi sự cố của mình, trong nội bộ hoặc với sự giúp đỡ của chuyên gia tư vấn. Các quyết định cần được đưa ra nhanh chóng trong các tình huống khẩn cấp với số lượng thông tin ít ỏi. Nếu bạn có kinh nghiệm trong các tình huống này, sẽ tránh được các sai lầm không đáng có.
Trong một cuộc tấn công mạng, các chuyên gia phân tích có thể phải làm việc từ 16-18 giờ mỗi ngày, trong nhiều tuần liên tục. Các nhà cung cấp dịch vụ Incident response có thể giúp doanh nghiệp đào tạo nhân viên về cách ứng phó với sự cố từ các cảnh báo ban đầu. Và khi đó, việc phản ứng sự cố trở thành kỹ năng của IT team, doanh nghiệp của bạn sẽ được trang bị tốt hơn để xử lý mọi vi phạm xảy ra.
Với một kế hoạch ứng phó sự cố vững chắc, được ghi chép lại và đào tạo để thực hiện nó, bạn có thể đặt nền tảng cho một chương trình điều phối và tự động hóa thành công.
- Phối hợp và tự động hóa
Một trong những chìa khoá để cải thiện khả năng phản ứng sự cố là thay đổi lập trường về an ninh mạng của tổ chức của bạn, từ phản ứng thành chủ động. Theo Forrester, công nghệ cung cấp các quy trình bảo mật tự động, phối hợp và dựa trên chính sách giúp cho hoạt động hiệu quả hơn và ít bị lỗi hơn.
Mỗi ngày, 27% các trung tâm hoạt động an ninh (SOC) nhận được hơn 1 triệu cảnh báo, theo Imperva. Trung bình, một nhà phân tích bảo mật điều tra 20 đến 26 sự cố mỗi ngày, mất 13 đến 18 phút cho mỗi sự cố. Làm thế nào để SOC xử lý khối lượng công việc khổng lồ này? Hầu hết sẽ chọn cách sửa đổi chính sách để nhận được ít cảnh báo hơn.
Sự điều phối giải phóng các nhóm an ninh mạng bằng cách hợp lý hóa các quy trình, tối ưu hóa tài nguyên và nâng cao văn hóa bảo mật. Bằng cách kết hợp trí thông minh của con người và máy móc để tăng tốc độ và sự nhanh nhẹn, việc điều phối có thể tăng gấp ba khối lượng phản ứng sự cố.
Bằng cách tự động hóa các nhiệm vụ lặp đi lặp lại và tốn thời gian, việc phối hợp thông minh cũng có thể giải phóng thời gian của các nhà phân tích về các ưu tiên chiến lược hơn. Tự động hóa làm giảm chi phí trung bình của một vụ vi phạm dữ liệu 1,55 triệu đô la, theo Ponemon, và cải thiện việc phát hiện, phản ứng và ngăn chặn các cuộc tấn công mạng. Các nhà phân tích có thể làm việc thông minh hơn với thông tin tốt hơn và hành động dựa trên superior intelligence.
Điều phối có thể khiến phản ứng sự cố nhanh hơn tới 40 lần, như đã lưu ý trong “Third Annual Study on the Cyber Resilient Organization“. Bạn có thể loại bỏ tiếng ồn, xác định các mối đe dọa quan trọng và tập trung vào công việc của mình nhanh hơn bao giờ hết.
Nguồn: How to Create an Effective Incident Response Plan