Vào thời điểm đó, bạn cần phải biết đến ba điều gồm sự rõ ràng, khả năng kiểm soát và một đường dây cứu sinh hỗ trợ. Nếu không có chúng, ngay cả đội ngũ CNTT hoặc nhà cung cấp dịch vụ (MSP) giàu kinh nghiệm nhất cũng có thể không “cứu” được bạn ngay tức thì. Nhưng với sự rõ ràng, khả năng kiểm soát và một đường dây hỗ trợ, bạn hoặc doanh nghiệp có thể hành động quyết đoán, bảo vệ khách hàng và giảm thiểu hậu quả từ cuộc tấn công.
 |
Tìm hiểu ngay cách phát triển ba yếu tố quan trọng này mà mọi nhà cung cấp dịch vụ (MSP) và đội ngũ CNTT nên sẵn sàng trước khi xảy ra vi phạm. Bởi khi hỗn loạn ập đến, nếu có sự chuẩn bị trước có thể giúp bạn hoặc doanh nghiệp kiểm soát tốt tình huống và vượt qua được thảm họa thực sự.
Biết rõ điều gì đang xảy ra, nhanh chóng (Sự rõ ràng)
Làn sóng hoảng loạn đầu tiên của một cuộc tấn công mạng đến từ sự không chắc chắn. Đó có phải là ransomware (phần mềm tống tiền)? Một chiến dịch lừa đảo? Lạm dụng nội bộ? Hệ thống nào bị xâm nhập? Hệ thống nào vẫn an toàn?
Nếu không có sự rõ ràng, bạn sẽ chỉ đang đoán mò. Trong an ninh mạng, việc đoán mò có thể lãng phí thời gian quý báu hoặc khiến tình hình trở nên tồi tệ hơn.
Đó là lý do tại sao khả năng hiển thị theo thời gian thực là điều đầu tiên bạn cần khi bị tấn công. Bạn cần các giải pháp và quy trình cho phép bạn:
Phát hiện ngay lập tức các bất thường, cho dù đó là hành vi đăng nhập bất thường, mã hóa tệp bất ngờ hay lưu lượng mạng bất thường.
Cung cấp một bức tranh duy nhất, chính xác, một cái nhìn thống nhất về các sự kiện thay vì các cảnh báo rải rác trên các bảng điều khiển khác nhau.
Xác định phạm vi ảnh hưởng để xác định dữ liệu, người dùng và hệ thống nào bị ảnh hưởng, cũng như mức độ lan rộng của cuộc tấn công.
Sự rõ ràng biến sự hỗn loạn thành một tình huống có thể kiểm soát được. Với những hiểu biết đúng đắn, bạn có thể nhanh chóng quyết định: Chúng ta nên cô lập cái gì? Chúng ta nên bảo tồn cái gì? Chúng ta nên tắt cái gì ngay bây giờ?
Các nhà cung cấp dịch vụ (MSP) và đội ngũ CNTT ứng phó tốt nhất với các cuộc tấn công là những người có thể trả lời những câu hỏi đó mà không bị chậm trễ.
Ngăn chặn sự lây lan (Kiểm soát)
Khi bạn đã biết điều gì đang xảy ra, điều quan trọng tiếp theo là kiểm soát. Các cuộc tấn công mạng được thiết kế để lây lan thông qua di chuyển ngang, leo thang đặc quyền và đánh cắp dữ liệu. Nếu bạn không thể ngăn chặn cuộc tấn công nhanh chóng, chi phí sẽ tăng gấp bội.
Kiểm soát nghĩa là có khả năng:
Cô lập ngay lập tức các điểm cuối bị xâm phạm bằng cách ngắt kết nối chúng khỏi mạng để ngăn chặn ransomware hoặc phần mềm độc hại lây lan xa hơn.
Thu hồi quyền truy cập theo yêu cầu để tắt thông tin đăng nhập trong trường hợp kẻ tấn công đã khai thác chúng.
Tự động thực thi các chính sách, từ chặn các quy trình đáng ngờ đến dừng việc truyền tệp trái phép.
Hãy liên tưởng đến việc chữa cháy, đó là Sự rõ ràng cho bạn biết ngọn lửa ở đâu, nhưng kiểm soát cho phép bạn ngăn chặn ngọn lửa thiêu rụi toàn bộ tòa nhà.
Đây cũng là lúc các kế hoạch ứng phó sự cố hiệu quả trở nên quan trọng. Chỉ có các công cụ thôi là chưa đủ; bạn cần các vai trò được xác định trước, sổ tay hướng dẫn và các lộ trình leo thang để nhóm của bạn biết chính xác cách khẳng định quyền kiểm soát dưới áp lực.
Một điều thiết yếu khác trong tình huống này là có một nền tảng công nghệ với các giải pháp tích hợp dễ quản lý. Việc chạy từ hệ thống này sang hệ thống khác trong một cuộc tấn công không chỉ nguy hiểm mà còn rất kém hiệu quả.
Càng nhiều khả năng phục hồi có thể được kiểm soát bởi một giao diện duy nhất thì càng tốt. Khi mọi thứ ở cùng một nơi, việc phục hồi sẽ nhanh hơn và đơn giản hơn. Phát hiện và ứng phó điểm cuối (EDR) và phát hiện và ứng phó mở rộng (XDR) đặc biệt quan trọng.
Phục hồi được đảm bảo (Một đường dây cứu sinh)
Ngay cả khi có khả năng hiển thị và ngăn chặn, các cuộc tấn công mạng vẫn có thể để lại thiệt hại. Chúng có thể mã hóa dữ liệu và khiến hệ thống ngừng hoạt động. Khách hàng hoảng loạn yêu cầu câu trả lời. Ở giai đoạn này, điều bạn cần nhất là một đường dây cứu sinh mà bạn có thể tin tưởng để khôi phục mọi thứ và giúp tổ chức hoạt động trở lại.
Đường dây cứu sinh đó chính là giải pháp sao lưu và phục hồi của bạn. Nhưng nó phải đáp ứng được tính cấp bách của một cuộc tấn công trực tiếp với:
Sao lưu bất biến để ransomware không thể can thiệp vào dữ liệu phục hồi của bạn.
Các tùy chọn khôi phục chi tiết để khôi phục không chỉ toàn bộ hệ thống mà còn cả các tệp và ứng dụng quan trọng chỉ trong vài phút.
Phục hồi thảm họa được điều phối để khởi động toàn bộ khối lượng công việc trong một môi trường an toàn trong khi bạn khắc phục sự cố.
Lựa chọn phòng thủ tốt nhất là biết rằng, bất kể cuộc tấn công tồi tệ đến đâu, bạn có thể khôi phục hoạt động nhanh chóng. Sự đảm bảo này khôi phục cả hệ thống và niềm tin.
Đối với các nhà cung cấp dịch vụ (MSP), việc khôi phục là cứu cánh giúp khách hàng có thêm niềm tin duy trì sự trung thành của mình bất chấp sau khi bị xâm phạm. Đối với các nhóm CNTT nội bộ, đó là điều giúp hoạt động kinh doanh không bị đình trệ.
Cần phải có phương án chuẩn bị
Tấn công mạng xảy ra bất ngờ và khó đoán. Khi chúng xảy ra, bạn không có thời gian để ứng biến. Bạn sẽ cần sự rõ ràng, kiểm soát và một cứu cánh đã được thiết lập sẵn sàng để thực hiện.
Điều đó có nghĩa là đầu tư vào các khả năng giám sát và phát hiện tiên tiến, xây dựng các cẩm nang ứng phó sự cố, triển khai một nền tảng sao lưu và phục hồi được thiết kế riêng cho khả năng phục hồi.
Hà Linh
Bình luận