Professional Documents
Culture Documents
Lec 05
Lec 05
Nội dung
• Gia cố hệ thống
• Sao lưu dự phòng
• Ứng phó sự cố
1
1. GIA CỐ HỆ THỐNG
2
Quy trình gia cố hệ thống
• Lập kế hoạch gia cố
• Thời gian thực hiện
• Trình tự thực hiện các tác vụ
• Phân vùng hệ thống, dịch vụ và danh sách các thao tác thực hiện
phù hợp(checklist)
• Thông báo tới người dùng cuối
• Sao lưu và chuẩn bị kế hoạch khôi phục nếu có sự cố
• Quét, khảo sát và đánh giá hệ thống
• Tiến hành gia cố
• Đánh giá hệ thống sau khi gia cố
3
Gia cố hệ thống tường lửa
Tham khảo chi tiết hướng dẫn của nhà cung cấp
1. Gia cố vật lý
1.1 Kiểm tra hệ thống nguồn điện
1.2 Kiểm tra môi trường hoạt động (nhiệt độ, độ ẩm) theo khuyến
cáo của nhà sản xuất
1.3 Kiểm tra kết nối mạng
1.4 Kiểm tra hệ thống kiểm soát vào-ra
2. Gia cố truy cập từ xa
2.1 Tắt các dịch vụ truy cập từ xa không cung cấp kết nối bảo mật
(HTTP, Telnet)
2.2 Cài đặt dịch vụ truy cập từ xa bảo mật (HTTPS, SSH)
2.3 Hạn chế địa chỉ IP có thể truy cập từ xa tới tường lửa
2.4 Thiết lập thời gian chờ time-out cho phiên truy cập
7
4
Gia cố hệ thống tường lửa
4. Các gia cố khác
4.1 Kích hoạt giao thức NTP để đồng bộ đồng hồ
4.2 Gia cố các giao thức định tuyến (RIPv2, OSPF, BGP)
4.3 Tắt các dịch vụ không cần thiết (DHCP, ARP Proxy…)
4.4 Kích hoạt các mô-đun phát hiện và phòng chống tấn công
4.5 Gia cố tính năng nhật ký
4.6 Kích hoạt cơ chế dự phòng, chịu lỗi
Case study
• CIS Cisco Firewall Benchmark v4.0
10
5
Gia cố router, switch
5. Gia cố các tính năng của router
5.1 Thay thế giao thức RIPv1 bằng RIPv2
5.2 Gia cố các giao thức định tuyến khác (OSPF, EIGRP, BGP)
5.3 Lọc lưu lượng cập nhật thông tin định tuyến
5.4 Cài đặt tính năng chống giả mạo địa chỉ IP
6. Gia cố các tính năng của switch
6.1 Tắt default-native VLAN khi không cần thiết
6.2 Cài đặt các tính năng chống tấn công giao thức VLAN
6.3 Cài đặt các tính năng chống giả mạo ARP, giả mạo địa chỉ MAC
11
11
Gia cố WLAN
1. Gia cố Access Point
1.1 Thay đổi thông tin tài khoản mặc định
1.2 Lọc địa chỉ MAC nếu cần
2. Gia cố kết nối WLAN
2.1 Sử dụng giao thức bảo mật WPA, WPA2
2.2 Xóa các tài khoản không khả dụng khi sử dụng chế độ
Enterprise
12
12
6
1.2. GIA CỐ HỆ ĐIỀU HÀNH
13
13
Các công cụ
• Quét và phân tích, đánh giá:
• Linux: Lynis(https://cisofy.com/lynis/)
• Windows: Microsoft Baseline Security Analyzer
• Bộ tiêu chuẩn cơ sở:
• CIS benchmark baseline
• Tham khảo:
• Red Hat Enterprise Linux 7 Security Guide
• Windows Server Secure Guide
14
14
7
Nguyên tắc chung
• Gia cố vật lý
• Gia cố trong quá trình cài đặt
• Cập nhật bản vá lỗi Tuân thủ
theo bộ
• Tắt và gỡ các dịch vụ không cần thiết tiêu
• Gia cố các ứng dụng chuẩn
cơ sở
• Gia cố kết nối mạng
• Gia cố nhóm và tài khoản người dùng: xác thực
và phân quyền
• Sao lưu
• Gia cố mở rộng
15
15
16
16
8
Case study: Gia cố HĐH Linux Redhat
Bước Công việc
Gia cố vật lý
1 Ngắt kết nối mạng nếu đang trong quá trình cài đặt
2 Thiết lập mật khẩu BIOS/firmware
3 Thiết lập thứ tự thiết bị được khởi động
Gia cố tập tin hệ thống
4 Tạo phân vùng /tmp với tùy chọn nodev, nosuid, và noexec
5 Tạo phân vùng độc lập cho thư mục /var, /var/log,
/var/log/audit, và /home
6 Gắn thư mục /var/tmp vào phân vùng /tmp
7 Thiết lập tùy chọn nodev cho thư mục home
8 Thiết lập tùy chọn nodev, nosuid, và noexec cho /dev/shm
9 Thiết lập sticky bit cho các thư mục có quyền ghi (writable)
17
17
18
9
Case study: Gia cố HĐH Linux Redhat
Bước Công việc
Gia cố hệ điều hành
18 Gỡ các dịch vụ mặc định có cơ chế bảo mật kém, ví dụ telnet-
server; rsh, rlogin, rcp; ypserv, ypbind; tftp, tftp-server; talk, talk-
server
19 Tắt các dịch vụ không cần thiết với xinetd hoặc inetd
20 Gỡ xinetd nếu có thể
21 Tắt các dịch vụ có các cơ chế bảo mật kém, ví dụ chargen-
dgram, chargen-stream, daytime-dgram, daytime-stream, echo-
dgram, echo-stream, tcpmux-server
22 Tắt hoặc gỡ các dịch vụ không còn sử dụng (DNS, FTP, LDAP,
DHCP, HTTP, SNMP, …)
23 Thiết lập mặt nạ umask cho Deamon
19
19
20
10
Case study: Gia cố HĐH Linux Redhat
Bước Công việc
Gia cố kết nối SSH
34 Thiết lập phiên bản SSHv2
35 Thiết lập trình ghi nhật ký của SSH
36 Không cho phép truy cập bằng tài khoản root
37 Thiết lập giá trị SSH PermitEmptyPasswords = No
Cài đặt các tính năng IDPS
38 Cài đặt và cấu hình AIDE
39 Cấu hình SELinux
40 Cài đặt OSSec HIDS
41 Cài đặt trình quét và diệt phần mềm độc hại
21
21
22
22
11
1.3. GIA CỐ CƠ SỞ DỮ LIỆU
23
23
Công cụ
• Phân tích và đánh giá:
• MSSQL.DataMask
• Scuba: MySQL, MS SQL, Oracle, SAP Sybase, IBM DB2
• Bộ tiêu chuẩn:
• CIS Oracle MySQL Community Server 5.6 Benchmark
• CIS Microsoft SQL Server 2012 Benchmark
• Tham khảo:
• MySQL 5.7 Reference Manual
• Securing Microsoft SQL Server
• Oracle Database Security Guide
24
24
12
Nội dung gia cố
1. Gia cố vật lý
2. Cài đặt và thiết lập tường lửa
3. Gia cố phần mềm DBMS
3.1 Cập nhật các bản vá bảo mật
3.2 Tắt các dịch vụ không sử dụng
3.3 Xóa các tài khoản không còn khả dụng
3.4 Thay đổi mật khẩu mặc định theo chính sách mật khẩu
4. Gia cố ứng dụng truy cập CSDL
4.1 Giới hạn CSDL được phép truy cập
4.2 Rà soát phân quyền của HĐH cho tài khoản của ứng dụng
4.4 Quét rà soát lỗ hổng SQL Injection
25
25
26
26
13
Nội dung gia cố
7. Phân quyền và quản trị tài khoản
7.1 Sử dụng mật khẩu mạnh
7.2 Phân quyền tối thiểu cho các tài khoản truy cập CSDL
7.3 Sử dụng tài khoản riêng biệt cho các ứng dụng khác nhau
8. Các tác vụ khác
8.1 Đảm bảo trình ghi nhật ký hoạt động
8.2 Sao lưu CSDL định kỳ
8.3 Mã hóa CSDL và quản lý khóa
27
27
28
28
14
Công cụ
• Bộ tiêu chuẩn:
• CIS Apache HTTP Server Benchmark
• CIS Apache Tomcat Benchmark
• CIS Microsoft IIS Benchmark
• Tham khảo:
• Microsoft IIS: Securing Your Web Server
• Apache HTTP Server: Secure Tips
• Apache Tomcat: Security Considerations
• OWASP Secure Configuration Guide
29
29
30
30
15
Nội dung gia cố
3. Gia cố ứng dụng Web
3.1 Tắt phương thức TRACE
3.2 Thiết lập thuộc tính HttpOnly và Secure cho cookie
3.3 Thiết lập X-Frame-Options header chống tấn công Clickjacking
3.4 Thiết lập tùy chọn X-XSS Protection để yêu cầu trình duyệt bật tính
năng chống tấn công XSS
3.5 Tắt giao thức HTTP1.0
3.6 Thiết lập lại giá trị time-out để chống tấn công DoS
4. Cài đặt giao thức HTTPS
4.1 Cài đặt chứng thư số SSL
4.2 Thiết lập tùy chọn để loại bỏ các thuật toán yếu(RC4, DES)
Tắt giao thức SSL 2.0 và SSL 3.0
5. Cài đặt tường lửa cho dịch vụ Web
5.1 Cài đặt Mod Security và cấu hình tập luật
31
31
32
32
16
Khái niệm chung
• Không có giải pháp ATBM nào có thể loại trừ hoàn toàn
các nguy cơ:
• Con người: hệ thống bị tấn công, sai sót khi vận hành
• Tự nhiên: thiên tai
• Bản thân hệ thống bị suy hao theo thời gian
hệ thống cần được sao lưu để có thể sẵn sàng khôi phục
khi cần thiết
• Các phương pháp sao lưu:
• Sao lưu dữ liệu theo thời gian thực
• Sao lưu dữ liệu theo thời điểm
• Sao lưu ứng dụng
• Sao lưu máy chủ
33
34
34
17
Các chế độ sao lưu
• Sao lưu đầy đủ (full backup)
• Sao lưu toàn bộ hệ thống (dữ liệu, hệ điều hành, ứng dụng)
• Ưu điểm: cung cấp snapshot toàn diện cho hệ thống
• Nhược điểm: Tốn không gian lưu trữ, thời gian sao lưu dài
• Sao lưu sai biệt(differential backup)
• Chỉ sao lưu dữ liệu có sự thay đổi hoặc được thêm mới sau lần
sao lưu đầy đủ gần nhất
• Ưu điểm: nhanh, tốn ít không gian lưu trữ
• Hạn chế: Tốc độ và không gian lưu trữ có thể tăng dần theo thời
gian
35
35
36
36
18
6-tape
• Lịch sao lưu: hàng ngày, hàng tuần
• 2 nhóm được sử dụng luân phiên để sao lưu đầy đủ hàng tuần
• 4 nhóm được sử dụng để sao lưu hàng ngày
sao lưu đầy đủ
Mon Tue Wed Thu Fri
Day-1 Day-2 Day-3 Day-4 Week-1 bị sự cố ở tuần thứ 2 sẽ được sao lưu từ tuần trước
37
37
Grandfather-Father-Son
• Lịch sao lưu: hàng ngày, hàng tuần, hàng tháng
• 4 nhóm thiết bị sử dụng để sao lưu hàng ngày
• 3 nhóm thiết bị để sao lưu hàng tuần
• N nhóm thiết bị để sao lưu hàng tháng chu kỳ sao lưu N-1
tháng
Mon Tue Wed Thu Fri
Day-1 Day-2 Day-3 Day-4 Week-1
Day-1 Day-2 Day-3 Day-4 Week-2
Day-1 Day-2 Day-3 Day-4 Week-3
Day-1 Day-2 Day-3 Day-4 Month-1
• Khả năng khôi phục:
• Short-term: 1 ngày bất kỳ trong mỗi 7 ngày
• Long-term: 1 tháng bất kỳ trong mỗi N-1 tháng
38
38
19
Tháp Hà Nội
• Đặt lịch sao lưu dựa trên bài toán tháp Hà Nội
• Ưu điểm: giảm số lượng nhóm thiết bị cần sử dụng
• Hạn chế:
• Thực hiện phức tạp
• Mất thời gian khôi phục dài
• Khả năng khôi phục:
• Short-term: 1 ngày bất kỳ trong mỗi 2 ngày
• Long-term: chu kỳ 2N - 1 trong đó N là số nhóm thiết bị lưu trữ
• Ví dụ: 3 nhóm đĩa
lỗi thì dùng đầy đủ ở A hoặc cua ngày thứ 5
1 2 3 4 5 6 7 1 2 3 4 5 6 7
A A A A A A A A
B B B B
C C 39
đầy đủ
39
40
40
20
Các chế độ của RAID
tăng tốc truy nhập
41
41
42
42
21
Dự phòng cho máy chủ và ứng dụng
nếu bị hỏng k dùng được nữa thì sẽ dùng máy chủ khác
• Dự phòng cho máy chủ vật lý:
hoạt động liên tục
• Hot server: máy chủ đang hoạt động hot vs warm cần phần mềm quản lý
• Warm server: máy chủ dự phòng duy trì trạng thái hoạt động
máy k hoạt động, nếu mãy chủ lỗi mới được đánh thức thay thế
• Có thể sử dụng để chia sẻ tải với hot server
• Cool server: máy chủ dự phòng, không duy trì hoạt động
• Bare metal recovery: công nghệ cho phép thay thế trực
tiếp hệ điều hành và các ứng dụng bị lỗi trong khi hoạt
động máy chủ local bị lỗi, sẽ tải lại tới local
• Application recovery(clustering plus replication):
• Ứng dụng được triển khai đồng thời trên nhiều server
• Thực hiện các cơ chế nhất quán và nhân bản
43
43
44
44
22
Công nghệ NAS và SAN
như truy cập vào dịch vụ mạng
NAS SAN như truy cập trên ổ cứng
45
45
NAS vs SAN
sử dụng kết nnoois quang đảm bảo tốc độ giống như truy cập trên ổ cứng
46
46
23
Kế hoạch sao lưu và khôi phục
• Nội dung kế hoạch:
• Phương pháp và thời gian sao lưu
• Người chịu trách nhiệm
• Phương thức bảo quản thiết bị sao lưu
• Lập lịch sao lưu
• Diễn tập
• Phương pháp sao lưu được sử dụng phụ thuộc vào chính
sách:
• Chu kỳ sao lưu
• Loại dữ liệu cần sao lưu
• Thời gian duy trì bản sao lưu
47
47
48
48
24
Khái niệm cơ bản
• Kế hoạch dự phòng (Contingency plan): là kế hoạch được
chuẩn bị để phát hiện, phản ứng với các sự cố ATTT và khôi
phục hoạt động của hệ thống sau khi xử lý sự cố
• Sự cố (incident): sự kiện bất thường xảy ra gây tổn hại tới hệ
thống thông tin
• Hệ thống bị tấn công ATTT
• Vận hành hệ thống không đúng cách
• Sự hỏng hóc của thiết bị, phần mềm
• Thiên tai
• Các thành phần của kế hoạch dự phòng: và duy trì
49
50
50
25
Những thách thức
Những thách thức tổ chức phải đối mặt khi triển khai công
tác ứng phó sự cố
1. Phân tích thông tin để xác định những sự cố tiềm ẩn có thể
xảy ra
2. Nhận biết dấu hiệu cho thấy sự cố xảy ra
3. Xác định sự cố đã xảy ra là gì?
4. Sự cố đã bắt đầu như thế nào, từ bao giờ?
5. Xác định đối tượng tấn công và động cơ
6. Khoanh vùng vị trí xảy ra sự cố
7. Cách thức xử lý sự cố
8. Xác định những thông tin nào đã bị đánh cắp
9. Ảnh hưởng của sự cố tới hoạt động của hệ thống
10. Điều tra và phân tích
51
51
Ngăn
Phát hiện
chặn, làm Hoạt động
Chuẩn bị và phân sạch và sau sự cố
tích phục hồi
52
52
26
Chuẩn bị ứng phó hiệu quả hay không phụ thuộc rất nhiều vào chuẩn bị
53
53
Chuẩn bị
• Chuẩn bị liên lạc và truyền thông: đảm bảo quá trình xử lý
sự cố được thông suốt
• Thiết lập tổng đài báo cáo sự cố(điện thoại đường dây nóng, email,
web, văn phòng…)
• Kênh thông tin liên hệ với các bộ phận trong tổ chức: ban lãnh đạo,
đội ngũ kỹ thuật viên, các phòng ban, người dùng cuối…
• Kênh thông tin liên hệ với các tổ chức bên ngoài
• Xây dựng tuyến liên hệ dưới dạng cây
• Banner thông báo, cảnh báo trên giao diện hệ thống rất quan trọng
• Đánh giá quy trình, diễn tập thử nghiệm
54
54
27
Xây dựng đội ứng phó sự cố
• Đội ứng phó sự cố là đơn vị nhân lực chịu trách nhiệm
chính trong quy trình phản ứng sự cố
• Mô hình xây dựng:
• Đội ứng phó tập trung: một đội ứng phó phụ trách tất cả các công
đoạn trong quy trình
• Các đội ứng phó phân tán: nhiều đội ứng phó, đội chuyên trách
từng khâu, hoặc khu vực tài nguyên, hoặc vị trí địa lý
• Đội ứng phó điều phối, hỗ trợ
• Nhân lực: số lượng thành viên phụ thuộc và quy mô và
độ phức tạp
• Toàn bộ nhân viên đều nằm trong tổ chức
• Thuê khoán một phần
• Thuê khoán toán bộ
55
55
56
56
28
Tương tác với các thành phần bên ngoài
Khách hàng,
cổ đông,
truyền thông
Đội
Nhà cung ứng phó
cấp khác
Đội
ứng phó
Tổ chức
khác
57
57
Chiến lược ứng phó sự cố mục tiêu và cách thức thực hiện
• Khi xây dựng kế hoạch ứng phó sự cố, tổ chức lựa chọn
chiến lược phù hợp với khả năng và yêu cầu
• Chiến lược “Protect and Forget”
• Thời gian xử lý sự cố nhanh
• Quy trình thực hiện đơn giản
• Không đòi hỏi lớn về nguồn lực
• Không có đầy đủ thông tin để điều tra, phân tích sự cố khả năng
ngăn chặn hệ thống gặp sự cố trở lại không cao
• Chiến lược “Apprehend and Prosecute”
• Quy trình thực hiện phức tạp
• Đòi hỏi cao về nguồn lực thực hiện
• Giai đoạn điều tra, phân tích có thể kéo dài, nhưng có thể thu nhận
được thông tin đầy đủ và giá trị về sự cố
58
58
29
Chiến lược ứng phó sự cố
Chiến lược “Protect and Forget”. Các bước chính:
1. Xác định sự cố có thực sự xảy ra không
2. Tìm mọi cách để dừng tấn công sau khi phát hiện
3. Phân tích dữ liệu để xác định bằng cách nào hệ thống đã bị
xâm nhập, những tài nguyên đã bị ảnh hưởng
4. Cách ly các tài nguyên đã bị tổn hại
5. Khôi phục các tài nguyên bị tổn hại
6. Gia cố xác thực và phân quyền truy cập tới tài nguyên
7. Phân tích, đánh giá sau sự cố
8. Báo cáo, tổng kết và rút kinh nghiệm
59
59
60
60
30
Chiến lược ứng phó sự cố
Chiến lược “Apprehend and Prosecute”(tiếp)
8. Sau khi thu thập xong chứng cứ, hoặc các tài nguyên sống
còn của hệ thống có nguy cơ bị ảnh hưởng, chặn dừng tấn
công sớm nhất có thể
9. Báo cáo trạng thái hiện tại của vùng tài nguyên bị ảnh hưởng
bởi sự cố
10. Khôi phục hoạt động của hệ thống
11. Gia cố xác thực và phân quyền truy cập tới tài nguyên
12. Báo cáo chi tiết quá trình xử lý, hậu quả của sự cố
13. Giữ an toàn thông tin dấu vếu, bằng chứng của sự cố
14. Phân tích, đánh giá sau sự cố
15. Báo cáo, tổng kết và rút kinh nghiệm
61
61
Ngăn
Phát hiện
chặn, làm Hoạt động
Chuẩn bị và phân sạch và sau sự cố
tích phục hồi
62
62
31
Phát hiện và phân tích
• Việc phát hiện các dấu hiệu của sự cố là thách thức lớn
nhất đối với công tác phản ứng sự cố:
• Sự cố có thể được phát hiện theo nhiều cách và với mức độ khác
nhau
• Khối lượng thông tin phải phân tích rất lớn để xác định chính xác
các dấu hiệu
• Đòi hỏi sự hiểu biết, kinh nghiệm rộng và sâu khi phân tích
• Dấu hiệu tiềm tàng: dấu hiệu cho thấy sự cố có thể xảy ra
trong tương lai tiềm tàng chứ k phải rõ ràng là ví nếu ki cài đặt một phần mềm mới. ....
là dấu hiệu cho sự cố xảy ra
63
63
64
32
Các nguồn thông tin để phân tích
• Cảnh báo:
• Các hệ thống IDPS
• Hệ thống giám sát SIEM
• Phần mềm quét và phát hiện mã độc
• Phần mềm kiểm tra tính nguyên vẹn của dữ liệu
• Dịch vụ của bên thứ 3
• Logs:
• Hệ điều hành, dịch vụ
• Thiết bị mạng
• Thông tin lưu lượng mạng
• Thông tin công bố về các lỗ hổng, kỹ thuật tấn công mới
• Thông tin từ người dùng
65
65
66
66
33
Lập báo cáo về sự cố
lúc trình bày thì tuần tự, nhưng mà nếu xảy ra thật thì sẽ làm song song với nhau
67
Đánh giá sự cố
• Sự cố cần được đánh giá, phân loại để xác định thứ tự
ưu tiên khi ứng phó
• Mức độ ảnh hưởng tới khả năng cung cấp dịch vụ
Không Không ảnh hưởng tức thời tới khả năng cung cấp tất cả
dịch vụ tới mọi người dùng
Thấp Ảnh hưởng rất thấp, chỉ làm giảm hiệu năng dịch vụ
Trung Hệ thống mất khả năng cung cấp 1 dịch vụ quan trọng
bình nào đó cho một nhóm người dùng
Cao Hệ thống mất khả năng cung cấp một số dịch vụ quan
trọng nào đó tới tất cả người dùng
68
68
34
Đánh giá sự cố
• Mức độ ảnh hưởng tới thông tin
Không Dữ liệu không bị ảnh hưởng bởi sự cố
Lộ dữ liệu cá nhân Dữ liệu cá nhân nhạy cảm bị lộ
Lộ dữ liệu sở hữu trí tuệ Thông tin dự án, bí mật công nghệ…
Mất tính nguyên vẹn Dữ liệu thị sửa đổi, thay thế, xóa
của dữ liệu
• Điều kiện khôi phục:
Cơ sở Khả năng khôi phục có thể xác định được với tài
nguyên sẵn có
Bổ sung Khả năng khôi phục có thể xác định được nếu có
thêm tài nguyên
Mở rộng Khả năng khôi phục chưa xác định, cần sự trợ giúp
từ bên ngoài
Không thể khôi phục Ví dụ: dữ liệu bị đánh cắp
69
69
Thông báo về sự cố
• Thông báo tới các bên liên quan
• Các cấp lãnh đạo, quản lý
• Các đội ứng phó khác trong và ngoài tổ chức
• Bộ phận quản trị, vận hành tài nguyên bị ảnh hưởng
• Bộ phận phụ trách các công việc nhân sự, pháp lý, truyền
thông(trong trường hợp sự cố có thể kéo theo thảm họa truyền
thông)
• Các đối tác
• VN-CERT
• Nhà chức trách
• Sử dụng mọi kênh thông tin phù hợp có thể
70
70
35
Một số lưu ý trong giai đoạn này
Trước khi thu nhận được đầy đủ dữ liệu, dấu vết cần thiết
cho công tác điều tra phân tích và xác định rõ các đặc điểm
của sự cố:
• Giữ nguyên hiện trạng của hệ thống
• Đặt hệ thống vào trong phân vùng cách ly và theo dõi, giám sát
chặt chẽ
• Sử dụng hệ thống dự phòng để thay thế nếu có thể
• Không chủ động tương tác với nguồn tấn công
• Sao lưu dữ liệu, dấu vết thu thập được
• Phân quyền truy cập tới dữ liệu thu thập được
• Ghi nhật ký quá trình xử lý, có thể sử dụng video, máy ghi âm
71
71
Ngăn
Phát hiện
chặn, làm Hoạt động
Chuẩn bị và phân sạch và sau sự cố
tích phục hồi
72
72
36
Ngăn chặn
• Công tác ngăn chặn cần được thực hiện ngay khi có thể
• Có thể tiến hành đồng thời với các hoạt động trong giai
đoạn trước
• Cách thức tiến hành ngăn chặn phụ thuộc vào các yếu tố
sau:
• Dạng sự cố đã xảy ra
• Khả năng và mức độ tài nguyên bị đánh cắp, tổn hại
• Sự cần thiết phải duy trì để điều tra, truy vết tấn công
• Mức độ ngăn chặn: một phần hay toàn phần
• Khả năng sẵn sàng của dịch vụ
• Thời gian và tài nguyên cần để triển khai các hoạt động ngăn chặn
73
73
74
74
37
Làm sạch và phục hồi
• Xác định tất cả các vùng tài nguyên bị ảnh hưởng
• Nếu cần thiết, kết nối các vùng tài nguyên bị ảnh hưởng
vào môi trường có mức an ninh và giám sát cao để làm
sạch
• Trong trường hợp sự cố do tấn công ATTT, dựa trên
thông tin các dấu vết để lại, loại trừ sự hiện diện của các
thành phần tấn công trên tài nguyên
• Lưu ý: Trong giai đoạn này, cần sẵn sàng đối phó với các
tình huống kẻ tấn công thay đổi phương thức tấn công
khác.
75
75
76
76
38
Quy trình ứng phó sự cố
Ngăn
Phát hiện
chặn, làm Hoạt động
Chuẩn bị và phân sạch và sau sự cố
tích phục hồi
77
77
78
39
Cập nhật các giải pháp phòng vệ
• Chiến lược, các phương pháp và quá trình ứng phó sự cố
• Quản trị rủi ro
• Tập chính sách ATBM
• Triển khai các giải pháp nâng cấp, thay thế
• Đào tạo, diễn tập
79
79
40