4 thiếu sót phổ biến trong ứng phó với các mối đe dọa an toàn thông tin mạng

An toàn thông tin - Ngày đăng : 18:18, 14/12/2021

An ninh mạng đang trở thành mối quan tâm hàng đầu của các tổ chức, doanh nghiệp (DN) thuộc mọi quy mô khi các chiến thuật tấn công của tội phạm mạng ngày càng tinh vi.

Theo một số báo cáo, có khoảng hơn 2.200 cuộc tấn công mạng mỗi ngày, tương đương với cứ 40 giây lại có một cuộc tấn công mạng. Nhìn chung, các mối đe dọa an toàn thông tin mạng (ATTTM) tiếp tục gia tăng với xu hướng ngày càng có nhiều tổ chức, DN và người dân dựa vào Internet để thực hiện các hoạt động hàng ngày, đặc biệt trong bối cảnh đại dịch COVID-19 vẫn còn diễn biến phức tạp.

Theo người đứng đầu Uỷ ban Giải trừ quân bị Liên Hợp Quốc, tội phạm mạng đã tăng 600% kể từ khi bắt đầu đại dịch. Trong bối cảnh đó, gần như mọi lĩnh vực cũng đã nhanh chóng thích nghi và đón nhận các giải pháp mạng mới. Và vấn đề ATTTM không còn là câu hỏi về "nếu" mà là "khi nào" sẽ xảy ra xâm phạm dữ liệu.

Các sự cố an ninh mạng gần đây cho thấy tội phạm mạng không chỉ truy quét dữ liệu người dùng, chúng đã bắt đầu nhắm mục tiêu vào nhiều đối tượng khác nhau từ chính quyền địa phương, các tổ chức chính phủ, đến các DN và tổ chức phi lợi nhuận. Đáng lo ngại là sự gia tăng các cuộc tấn công vào các cơ sở hạ tầng như bệnh viện, đường ống cung cấp nhiên liệu, nhà máy đóng gói thịt và trung tâm cấp nước... Những cuộc tấn công này có thể gây ra tổn hại nghiêm trọng về mặt thể chất.

Bốn thiếu sót phổ biến trong ứng phó với các mối đe dọa an ninh mạng - Ảnh 1.

Y tế là một trong những lĩnh vực đang phải gánh chịu áp lực lớn nhất từ các cuộc tấn công ransomware.

Theo Check Point, các lĩnh vực hiện đang hứng chịu số lượng nỗ lực tấn công ransomware cao nhất trên toàn cầu là y tế, với trung bình 109 vụ tấn công cho mỗi tổ chức mỗi tuần, tiếp theo là lĩnh vực tiện ích với 59 cuộc tấn công và bảo hiểm/pháp lý với 34 cuộc.

Điều này đang tạo ra những thách thức lớn cho vấn đề ATTTM nói chung. Từ thực tế đó, các tổ chức, DN cũng đã thực hiện những giải pháp nhằm nâng cao năng lực ứng phó với sự cố vi phạm, trong đó có mô phỏng kịch bản khủng hoảng.

Mô phỏng khủng hoảng được thiết kế để phát hiện các lỗ hổng nghiêm trọng trong đội ngũ, quy trình và công nghệ của một tổ chức, từ đó giúp những người tham gia đạt được các kỹ năng hữu ích trong một môi trường an toàn và được kiểm soát.

Ưu điểm của giải pháp này là mô phỏng như thật và ấn tượng nhất có thể, đồng thời tùy chỉnh từng mô phỏng để giúp các tổ chức chuẩn bị tốt cho các cuộc tấn công tiềm ẩn liên quan đến rủi ro thông tin và cơ sở hạ tầng của tổ chức.

Bên cạnh đó, các tổ chức có thể xác định tính hiệu quả của các khả năng ứng phó sự cố và các hoạt động hiện có, xác định các lĩnh vực tiềm năng để cải tiến hoặc sàng lọc cũng như cập nhật tài liệu và quy trình dựa trên những bài học kinh nghiệm. Với những hiểu biết sâu sắc này, các tổ chức có thể trang bị tốt hơn khả năng phòng thủ của mình và ứng phó tối ưu với các trường hợp khẩn cấp về không gian mạng.

Tiến trình của các tình huống được thiết kế nhằm theo dõi và đo lường khả năng của những người tham gia làm việc như một nhóm gắn kết cho các nhiệm vụ như xử lý thông tin được trình bày, xác định những sai lệch tiềm ẩn, kiểm soát thông tin liên lạc và sử dụng thích hợp các nguồn lực sẵn có.

Các bài kiểm tra ransomware thường là những mô phỏng khủng hoảng phổ biến nhất. Mục tiêu của các bài kiểm tra này là cung cấp một cái nhìn tổng quan về các thách thức an ninh mạng, những kiến thức cơ bản về cách các mối đe dọa ransomware được đặt ra cũng như công nghệ và thuật ngữ cơ bản cần nắm vững để có thể nhận ra một cuộc tấn công ransomware.

Mặc dù các cuộc tấn công bằng ransomware đang ở mức cao nhất mọi thời đại, tuy nhiên các tổ chức cũng cần phải có sự chuẩn bị cho tất cả loại hình cuộc tấn công và sự cố khủng hoảng khác có thể xảy ra.

Thông qua các bài tập mô phỏng cuộc khủng hoảng an ninh mạng, Trustwave gần đây đã xác định một loạt các thiếu sót bảo mật phổ biến và các bước mà các tổ chức cần thực hiện để chuẩn bị cho cuộc khủng hoảng an ninh tiếp theo.

Không giới hạn các nhóm xử lý khủng hoảng đối với nhân viên CNTT và ATTTM

Một sự cố đơn lẻ có thể gây ảnh hưởng đến mọi bộ phận trong tổ chức. Do đó, để ứng phó với một cuộc khủng hoảng đòi hỏi cần phải có sự tham gia của một nhóm gồm các bộ phận như pháp lý, tài chính, PR, truyền thông, tiếp thị, rủi ro, CNTT, bảo mật và nhân sự.

Các nội dung chi tiết của mỗi kịch bản nên được xác định trước, tuy nhiên những người tham gia sẽ không được cung cấp trước bất kỳ thông tin chi tiết nào của kịch bản mô phỏng.

Quyết định cách truyền tải các thông tin nhạy cảm về an ninh mạng cho nhân viên trong mọi chi nhánh của tổ chức là điều tối quan trọng, đặc biệt trong bối cảnh nhiều điểm xâm nhập mối đe dọa mạng tồn tại bên ngoài lĩnh vực an ninh và trên các thiết bị công nghệ của mỗi nhân viên. Việc thiếu tầm nhìn vào toàn bộ hệ sinh thái thông tin bảo mật trong tổ chức và thiếu sự thống nhất trong các biện pháp an toàn có thể gây ra mối đe dọa cho chính tổ chức.

Bất kỳ phần mềm công nghệ nào trong văn phòng của nhân viên đều có thể được nhắm mục tiêu lấy thông tin cần thiết để đòi tiền chuộc, theo đó, yêu cầu về mô phỏng ransomware phải toàn diện. Khi sự cố leo thang, các vấn đề phát sinh đòi hỏi chuyên môn về chủ đề trong nhiều lĩnh vực khác nhau như pháp lý, truyền thông DN, nguồn nhân lực và CNTT. Do đó, để xử lý các vấn đề một cách hiệu quả nhất cần sự nỗ lực của tập thể, tránh do dự và phản ứng một cách thụ động.

Bốn thiếu sót phổ biến trong ứng phó với các mối đe dọa an ninh mạng - Ảnh 2.

Các tổ chức cần xác định một nhóm nhân viên dự phòng được chỉ định ở các múi giờ khác nhau để có thể ứng phó với khủng hoảng ngoài giờ làm việc thông thường.

Các tổ chức phải tuân thủ mô hình hoạt động suốt ngày đêm

Các tác nhân của khủng hoảng không đợi thời điểm thuận tiện nhất để tấn công. Nếu không có tầm nhìn phù hợp, một cuộc tấn công mạng có thể dễ dàng xảy ra trong khung thời gian mà một tổ chức không có nhân viên hoạt động.

Để giảm thiểu mối đe dọa này, các tổ chức nên xác định một nhóm nhân viên dự phòng được chỉ định ở các múi giờ khác nhau để có thể ứng phó với khủng hoảng ngoài giờ làm việc thông thường. Trên thực tế, nhằm thích ứng với tình hình mới, ngày càng có nhiều nhân viên làm việc từ xa, các tổ chức nên tích cực xem xét và thậm chí tận dụng sự khác biệt về múi giờ này.

Lập một kế hoạch hiệu quả, bám sát và liên tục đánh giá kế hoạch

Các kế hoạch bảo mật đã lỗi thời hoặc không được cập nhật thường xuyên sẽ không thể đảm bảo an toàn cho một tổ chức. Do đó, các tổ chức cần cân nhắc xây dựng các kế hoạch hoặc chiến lược phục hồi được xác định trước nhằm ứng phó với các sự cố có khả năng xảy ra, đồng thời phác thảo các kế hoạch truyền thông và kế hoạch phục hồi.

Sau đó, các tổ chức có thể xây dựng danh sách các đầu việc đơn giản để đảm bảo những giai đoạn cần thiết của một sự cố được thực hiện trước khi kết thúc. Lập trước các bản công bố để sử dụng làm mẫu trong các sự cố được yêu cầu tuyên bố công khai như thông báo vi phạm và công bố cho báo chí.

Chỉ định người ghi chép tài liệu để chuẩn bị tốt hơn cho lần sau

Các tổ chức cũng nên quan tâm đến việc duy trì hiệu quả của các biện pháp bảo mật bằng cách chỉ định một người để ghi chép lại mọi thứ. Mỗi mô phỏng hoặc khủng hoảng thực tế đều có những thông tin hữu ích cho sự kiện tiếp theo và những thông tin sẽ luôn có liên quan trực tiếp nhất đến ngành dọc, hồ sơ rủi ro hoặc thiết lập công nghệ của một tổ chức.

Sau khi tiến hành mô phỏng khủng hoảng, các nhà cung cấp đáng tin cậy của bên thứ ba có thể giúp các tổ chức thiết kế và thúc đẩy các hoạt động ngăn ngừa mối đe dọa mạng, cải thiện năng lực săn tìm mối đe dọa và tăng tốc thời gian phản ứng. Giám sát 24x7 cũng có thể được thực hiện khi sử dụng nhà cung cấp thuê ngoài để giúp các tổ chức bảo vệ dữ liệu, người dùng và tài sản bất kỳ lúc nào trong ngày. Tuy nhiên, các tổ chức nên thực hiện kiểm tra liên tục - cũng giống như cơ sở hạ tầng của tổ chức không ngừng phát triển, thì bề mặt tấn công tiềm năng của họ cũng vậy./.

Tâm An