7 sai lầm cần tránh khi xây dựng kế hoạch phản ứng sự cố an ninh

[nktung]

Các doanh nghiệp hiện đều yêu cầu cần phải phản ứng nhanh với các sự cố an ninh mạng. Để có thể làm được như vậy, cần xây dựng kế hoạch. Tuy nhiên trong quá trình xây dựng kế hoạch, nếu không kỹ lưỡng sẽ có những sai lầm phổ biến. Bài viết này dựa trên thông tin từ Talos, đề cập tới 7 sai lầm phổ biến khi lập kế hoạch phản ứng sự cố an ninh mạng.

​

1. Không xác định được cấu trúc tài liệu​

Một sai lầm phổ biến khi bắt đầu làm việc trên một kế hoạch phản ứng sự cố mới hoặc được cập nhật là chỉ xem xét kế hoạch một cách độc lập, mà không cân nhắc đến tất cả các tài liệu an ninh mạng tồn tại trong tổ chức của bạn. Thuật ngữ "cấu trúc tài liệu" có thể nghe có vẻ phức tạp và xa lạ, nhưng thật ra là đơn giản: Tất cả các tài liệu trong một tổ chức nên có phạm vi, mục đích và đối tượng đọc cụ thể. Hình dưới minh họa cấu trúc tài liệu.

2. Quá chung chung​

Một kế hoạch phản ứng sự cố ít nhất phải trả lời các câu hỏi "Who, What, When, How?" của một sự cố an ninh mạng.

• Who: Ai sẽ là một phần của quy trình phản ứng sự cố, những kỹ năng hoặc khả năng nào mà thành viên tham gia cần có (chỉ đạo, kỹ thuật, quản lý rủi ro và điều phối).
• What: Những hoạt động nào được thực hiện tại mỗi giai đoạn của quy trình phản ứng sự cố?
• When: Thời gian là rất quan trọng khi xử lý một sự cố, vì vậy tốt nhất là nên có trước một trình tự các hành động cần thực hiện để khi sự cố an ninh xảy ra, cứ theo thế mà làm. Mỗi hành động cũng nên có một "who" để gán trách nhiệm cho ông đó.
• How: Một kế hoạch phản ứng sự cố nên chứa thông tin tổng quan về các công cụ kỹ thuật sẽ được sử dụng (thu thập dữ liệu, phát hiện xâm nhập và phân tích). Tuy nhiên, kế hoạch chỉ nên cung cấp một cái nhìn tổng quan tính năng các công cụ thay vì chi tiết quy trình về cách sử dụng chúng. Các chi tiết này nên được thêm vào tài liệu hướng dẫn của tổ chức.

3. Quá chi tiết​

Nếu kế hoạch lại bao gồm cả hướng dẫn xử lý chi tiết khi loại mã độc Ransomware tấn công, hoặc hướng dẫn chi tiết khi bị tấn công DDoS thì không cần thiết. Các thông tin đó nên nằm ở tài liệu hướng dẫn chứ không phải bản kế hoạch.

4. Kế hoạch được xây dựng một cách "cô đơn"​

Không nên giao việc xây dựng kế hoạch này cho chỉ một hoặc một vài cá nhân. Nên kết hợp giữa các phòng ban, đối tác...để xây dựng. Đơn giản là bởi vì khi sự cố xảy ra cần có sự phối kết hợp của nhiều bên.

5. Xây dựng xong, không cho chạy thử​

Cũng giống như trong lĩnh vực cháy nổ, khi xây dựng xong kế hoạch phòng cháy, chữa cháy, cần có những buổi thử nghiệm để đảm bảo rằng mọi thứ sẽ diễn ra theo kế hoạch.

6. Không cập nhật kế hoạch định kỳ​

Thực tế luôn thay đổi theo thời gian. Các mối đe dọa xuất hiện mỗi lúc một khác. Do đó bản kế hoạch cũng cần được cập nhật định kỳ.

7. Quá tập trung vào vấn đề kỹ thuật​

Kế hoạch được xây dựng dựa trên sự phối kết hợp của nhiều bộ phận trong một doanh nghiệp (lãnh đạo, điều phối, quản lý rủi ro, kỹ thuật, đối tác...) chứ không chỉ là trách nhiệm từ bộ phận An ninh mạng. Do đó không nên quá chú trọng vào vấn đề kỹ thuật mà quên mất đây là một bản kế hoạch.

Tham khảo: talosintelligence​

 

thanks