Nhiệm vụ, quy trình của công việc ứng cứu sự cố

Đề xuất cách thức xử lý sự cố theo NIST SP 800-61, Thông tư 20/btttt

I. Nhiệm vụ và quy trình Ứng cứu sự cố (UCSC)

1. Nhiệm vụ của UCSC

Theo Khoản 2, Điều 2 của Thông tư số 20/2017/TT-BTTTT, UCSC an toàn thông tin
mạng là hoạt động nhằm xử lý, khắc phục sự cố gây mất an toàn thông tin mạng gồm:
theo dõi, thu thập, phân tích, phát hiện, cảnh báo, điều tra, xác minh sự cố, ngăn chặn sự
cố, khôi phục dữ liệu và khôi phục hoạt động bình thường của hệ thống thông tin.

2. Quy trình UCSC theo Thông tư số 20/2017/TT-BTTTT

● Bước 1: Phát hiện, tiếp nhận thông tin sự cố

- Tiếp nhận báo cáo sự cố qua điện thoại, email, …
- Phát hiện sự cố qua các dấu hiệu trên hệ thống hoặc qua scan, internet, …

● Bước 2: Phân tích, xác minh sự cố

 - Sau khi tiếp nhận sự cố, tiến hành phân tích, những điều sau để thu thập
bằng chứng xác minh sự cố đã diễn ra:
+ Tình trạng sự cố (có thể xảy ra, đang xảy ra, đã xảy ra)
+ Phạm vi (diện rộng, mạng máy tính, một máy tính)
+ Thời điểm xảy ra sự cố
+ Mức độ ưu tiên
- Nếu đó không phải là sự cố thì phản hồi lại cá nhân, tổ chức báo cáo và quy
trình kết thúc.

● Bước 3: Triển khai các bước ưu tiên ban đầu

- Đánh giá phân loại sự cố (nghiêm trọng thường, rất nghiêm trọng hay sự cố
có yếu tố nước ngoài)
- Sau khi xem xét các phân tích trên và tiến hành lên kế hoạch từng bước xử
lý và ngăn chặn sự cố.

● Bước 4: Điều phối, chỉ đạo công tác

- Đơn vị chủ trì: Ban Chỉ đạo ứng cứu sự cố cấp bộ, tỉnh.
- Đơn vị phối hợp: Chủ quản hệ thống thông tin
- Phòng UCSC có trách nhiệm xem xét lại sự cố và tùy theo đối tượng sự cố
sẽ tiến hành phân công cho các thành viên trong nhóm
 - Các thành viên được phân công sẽ tiếp nhận công việc và xác định các bên
liên quan để phối hợp xử lý sự cố

● Bước 5: Ngăn chặn, gỡ bỏ và khôi phục

- Sau khi thu thập đủ các thông tin cần thiết, đội UCSC tiến hành gỡ bỏ sự cố,
xác định và gỡ bỏ các mã độc
- Phân tích, kiểm tra lỗ hổng sau khi thực hiện bản vá lỗi nhằm ngăn chặn sự
cố tương tự xảy ra trong tương lai
- Khôi phục lại tài nguyên (file, hình ảnh, …) đưa hệ thống hoạt động bình
thường
- Ghi nhận lại đầy đủ thông tin sự cố và quá trình xử lý sự cố để lưu lại giải
pháp cũng như có những đề xuất giải pháp tốt hơn sau này.
II. Quy trình xử lý sự cố theo Thông tư số 20/2017/TT-BTTTT

Quy trình xử lý sự cố Phishing

Khi một cuộc tấn công malware xảy ra trong một tổ chức. Những bước sau đây là 1 phương
án ứng cứu theo quy chuẩn của Thông tư số 20/2017/TT-BTTTT:
 Nguyên nhân dẫn đến Phishing: Phishing là hình thức tấn công nhắm vào lỗ hổng người
dùng, tận dụng sự thiếu nhận thức về an toàn trên không gian mạng của người dùng

Các tổ chức cần giám sát các hoạt động của nhân viên qua những phương tiện liên lạc
(email, zalo, …), mạng xã hội hay các truy cập tìm kiếm thông tin hoặc tải tài liệu, ứng dụng trên
mạng, những điều trên nếu không cảnh giác sẽ tạo điều kiện cho chính mình bị tấn công. Những
dấu hiệu cho thấy ta đang bị tấn công Phishing:

- Khi ta nhận được 1 email trông rất giống với những công ty, tổ chức lớn uy tín chỉ
khác một vài chi tiết nhỏ ở địa chỉ email hoặc nội dung khiến cho nhiều người dùng
nhầm lẫn và trở thành nạn nhân của cuộc tấn công.
- Khi ta truy cập vào 1 website có đường link gần giống như website gốc chỉ khác 1 hoặc
2 kí tự, ví dụ: google.com vs gugle.com; microsoft.com vs mircosoft.com
- Luôn có những thông điệp cấp bách hoặc hậu quả nghiêm trọng nếu người dùng
không nhập thông tin cá nhân vào website, form hoặc chuyển tiền cho họ ngay lập tức.
- Khi ta nhận được một email hay một tin nhắn lạ yêu cầu ta phải tải 1 file lạ nào đó về
máy.
- Khi ta truy cập vào một website để tìm kiếm hoặc tải file với giao diện không đáng tin
cậy (chứa nhiều quảng cáo, nội dung trình bày xấu hoặc thiếu liên quan hoặc thiếu
chuyên nghiệp, …)
● Bước 1: Phát hiện tiếp nhận thông tin sự cố
- VNCERT/CC, P.UCSC, các tổ chức ứng cứu sự cố mạng tiếp nhận báo cáo về
Phishing từ người dùng hoặc các tổ chức khác qua các phương tiện, cổng thông
tin nhận báo cáo

● Bước 2: Phân tích, xác minh sự cố

- Phân tích các dấu hiệu sự cố, Phishing. Có rất nhiều cách để một cá nhân hay
một tổ chức bị tấn công Phishing. Những dấu hiệu của sự cố này có thể đến từ
nhiều nguồn khác nhau:
+ Email giả mạo
+ Email hoặc tin nhắn chứa những đường link lạ
+ Những email không thể gửi lại hoặc không thể gửi đi
+ Những website không đáng tin cậy
- Phạm vi tấn công:
+ Xác định số lượng người dùng bị ảnh hưởng
+ Thời điểm và tình trạng sự cố
- Xác định hình thức Phishing:
+ Xác định mục đích của kẻ tấn công là lấy thông tin cá nhân hay phát tán mã
độc
+ Kiểm tra chủ đề và nội dung email, tin nhắn
 + Sử dụng máy ảo để kiểm tra các tệp đính kèm độc hại
+ Phân tích các đường link, tên miền hoặc địa chỉ email
- Bằng chứng:
+ Chụp lại thời gian, hình ảnh của các nguồn lừa đảo có thể có trong source
code, địa chỉ email, …
+ Một website sử dụng giao diện giống với website gốc
- Hiểu hành động của người dùng, ví dụ: họ có dễ dàng tải xuống các tệp đính
kèm hoặc cung cấp bất kỳ thông tin cá nhân nào cho người lạ hay không

● Bước 3: Triển khai các bước ưu tiên ban đầu

- Đánh giá độ nguy hiểm của sự cố
- Dựa vào hình thức lây nhiễm của Phishing và lên kế hoạch gỡ bỏ theo tình huống
sự cố cụ thể

● Bước 4: Điều phối, chỉ đạo công tác

- P.UCSC dựa theo đối tượng sự cố chỉ đạo phân công các chuyên viên xử lý
- Các thành viên được phân công sẽ tiếp nhận công việc và xác định các bên liên
quan để phối hợp xử lý sự cố
● Bước 5: Ngăn chặn, gỡ bỏ và khôi phục
a) Ngăn chặn và gỡ bỏ:
- Đối với cá nhân:
+ Người dùng phải phối hợp với đội UCSC để điều tra đối tượng giả mạo
+ Tùy vào loại malware lây nhiễm thì đội UCSC sẽ có kế hoạch xử lý tương
ứng
+ Sử dụng các công cụ tiện ích trên trình duyệt như chongluadao, netcraft,
… sẽ cảnh báo khi bạn truy cập các trang web nguy hiểm, lừa đảo, phần
mềm độc hại, giả mạo, có nội dung vi phạm,…
+ Báo cáo các website lừa đảo cho Cục An toàn thông tin hoặc các tổ chức
chống phishing như Chống lừa đảo, Phishing-Initiative, Federal trade
commission (FTC) , …
 + Bật firewall và virus protection của Windows, sử dụng các phần mềm
antivirus được update thường xuyên để đảm bảo an toàn khi có một tập
tin độc hại được tải xuống
+ Sử dụng những công cụ antivirus thường xuyên được update phiên bản
mới nhất nhằm phát hiện mã độc khi thiết bị bị xâm nhập
- Đối với tổ chức, doanh nghiệp:
+ Tổ chức các buổi đào tạo nhân viên với các tình huống giả mạo
+ Triển khai và sử dụng các phương thức Standards like Sender Policy
Framework (SPF), DomainKeys Identified Mail (DKIM), and Domain-
based Message Authentication, Reporting, and Conformance (DMARC)
cho hệ thống nhằm ngăn chặn và phòng chống giả mạo, thư rác
+ Mã hóa và backup dữ liệu như cloud để phòng chống mất dữ liệu nếu
thiết bị hoặc hệ thống nhiễm virus

b) Khôi phục:
- Đội UCSC gỡ bỏ mã độc và đưa hệ thống hoạt động bình thường
- Báo cáo các website hoặc email lừa đảo cho các đơn vị xử lý và đảm bảo
rằng các trang web đã ngừng hoạt động
 - Ngắt kết nối internet của thiết bị bị phishing để tránh lây nhiễm mã độc trong
mạng
- Xem xét tất cả các log để tiến hành điều tra, ví dụ: Xem log firewall để tìm ra
các lưu lượng đáng ngờ, xem log mail server để xem ai đã nhận được email
lừa đảo, cũng như nhật ký DNS của bạn để xác định người dùng nào đã tra
cứu trên các tên miền độc hại.
- Thay đổi mật khẩu khi có thể, một số trường hợp kẻ tấn công khi có được
tài khẩu thì hắn sẽ thay đổi mật khẩu ngay để ta không thể truy cập được
account nữa, tuy nhiên ta vẫn phải thay đổi mật khẩu ngay khi nhận ra có
dấu hiệu phishing để tránh bị mất tài khoản và các nền tảng khác có liên kết
với tài khoản đó

c) Sau sự cố:
- Viết báo cáo chi tiết về sự cố gồm những nội dung sau:
+ Sự cố gì đã diễn ra, loại, mức độ của sự cố, thời gian và vị trí xảy ra sự
cố
+ Các hành động của những bên tham gia xử lý sự cố giúp hệ thống khôi
phục như bình thường
+ Những tổn hại do sự cố gây ra
 + Các đề xuất trong đó có thể cải thiện bất kỳ khía cạnh nào của con
người, quy trình hoặc công nghệ trong toàn tổ chức để giúp ngăn chặn
sự cố mạng tương tự tái diễn
- Phối hợp với các cơ quan pháp lý nếu cần phải thực hiện hành động pháp
lý
- Đừng đời sự cố xảy ra mới bắt đầu đào tạo. Hướng dẫn nhận biết thế nào
là lừa đảo, giả mạo vì lý do chính của Phishing là nhắm vào lỗ hổng người
dùng:
+ Các tổ chức nên có những thông báo thông tin chính thức rằng công ty
sẽ không bao giờ hối thúc yêu cầu người dùng phải cung cấp những
thông tin cá nhân hoặc trả tiền cho một thông tin nào đó
+ Chú ý, kiểm tra kĩ địa chỉ email có thật sự đến từ đúng người gửi gốc
+ Đọc kĩ nội dung email, tin nhắn gửi tới xem cách trình bày có đúng
chuẩn không. Hay có những thông điệp yêu cầu hoặc đe dọa người
dùng phải tải xuống một file nào đó hoặc phải thực hiện cung cấp thông
tin hoặc chuyển tiền ngay lập tức.
+ Chú ý kĩ tên miền xem có những ký tự khác so với website gốc không
+ Thiết lập xác thực 2 lớp cho các tài khoản mxh để tránh login vào các
website giả. Nếu các tài khoản bị đổi mật khẩu thì các website liên kết
với tài khoản đó cũng sẽ bị mất
III. Hướng dẫn xử lý sự cố Phishing qua email

Khi VNCERT/CC và các tổ chức UCSC nhận được thông báo của một cá nhân hoặc tổ
chức bị tấn công Phishing. Những điều sau đây cần được xem xét để phân tích xác minh sự
cô và lên kế hoạch:
- Nguyên nhân của sự cố
- Các thiết bị bị ảnh hưởng
- Chi phí thiệt hại
- Các thức lừa đảo. Tùy vào cách lừa đảo sẽ có kế hoạch xử lý sự cố khác nhau

a) Phishing lừa đánh cắp thông tin cá nhân hoặc lừa chuyển tiền:
- Tìm hiểu, điều tra nguồn lừa đảo bắt nguồn từ đâu
- Liên hệ với ngân hàng sớm nhất có thể để kịp thời xử lý nếu đã cung cấp thông tin như
tài khoản ngân hàng, số điện thoại, cccd hoặc đã phát hiện các giao dịch lạ làm mất
tiền trong tài khoản
- Thiết lập xác thực 2 lớp để giảm thiểu mất tài khoản khi nhập thông tin login vào các
website giả
- Nâng cao nhận thức về nhận biết lừa đảo để tránh bị tấn công
b) Phishing nhằm phát tán mã độc:
Nếu hệ thống hoặc thiết bị bị dính mã độc ta sẽ tiến hành các bước trong quy trình xử
lý mã độc
Khi quyết định nên thực hiện hành động nào để kiểm soát cuộc tấn công và nhanh
chóng khôi phục hệ thống, những điều sau đây phải được xem xét:
- Lượng thời gian cần thiết để khôi phục hệ thống về hoạt động bình thường
- Các tài nguyên cần thiết và có sẵn để thực hiện công việc
- Chuyên môn của nhân viên thực hiện xử lý
- Chi phí cho doanh nghiệp có thể dẫn đến mất dữ liệu, ảnh hưởng truyền thông,
mất mát dữ liệu khách hàng …

● Bước 1: Xác nhận sự cố

Tại thời điểm này, cần xác định xem mã độc lây nhiễm cho một cá nhân hay cả hệ
thống. Tuy nhiên, cần thực hiện ngay các bước để ngăn ngừa lây nhiễm. Thông tin
nên được thu thập từ người dùng và cả về hệ thống để giúp đánh giá mức độ nghiêm
trọng

● Bước 2: Cô lập mối đe dọa

- Cô lập thiết bị lây nhiễm
- Tắt nguồn, ngắt kết nối internet để tránh mã độc lây nhiễm trong mạng hoặc hệ
thống
 - Thông báo cho người khác để cảnh giác
- Thu thập thông tin xác định loại mã độc
- Đánh giá mức độ sự cố

● Bước 3: Lên kế hoạch

- Xác định rủi ro dữ liệu (xem có dữ liệu nào quan trọng bị mất, đã backup hau
chưa, …)
- Quyết định xem có nên dọn sạch mã độc, khôi phục trạng thái làm việc của hệ
thống hay xây dựng lại hệ thống hay không
- Những yếu tố cần xem xét cho quyết định này:
+ Có bao nhiêu hệ thống bị ảnh hưởng?
+ Có cách nào để loại bỏ mã độc hay không? Nếu không, tổ chức có thời gian
chờ đợi đến khi có hướng dẫn từ các nhà cung cấp phần mềm chống virus
+ Mất bao lâu để khôi phục các hệ thống bị ảnh hưởng? Nếu xây dựng lại hệ
thống, có tệp tin, hình ảnh nào của hệ thống có thể khôi phục hay không và
các cấu hình máy tính có được ghi lại không?
+ Có đảm bảo việc hệ thống có thể được làm sạch hoặc khôi phục về trạng
thái ban đầu hay không?

● Bước 4: Làm sạch hệ thống

 Tùy chọn Ưu điểm
Dọn dẹp hệ thống - Thực hiện đơn giản và
nhanh chóng nếu có sẵn
công cụ
- Cơ hội giữ lại các ứng
dụng và dữ liệu cao
- Một số mã độc có thể
được dọn dẹp bằng cách
quét từ các công cụ
antivirus
Khôi phục hệ - Khôi phục cài đặt hệ thống
thống và tệp tin vào thời điểm tốt
nhất trước đó
- Ít thiệt hại hơn xây dựng lại
hệ thống
- Quá trình diễn ra khá
nhanh chóng
Nhược điểm
- Loại mã độc phải được biết
và quá trình loại bỏ phải có
sẵn từ các nhà cung cấp
phần mềm antivirus
- Có thể không xoá hoàn
toàn mã độc hoặc có thể
không bị phát hiện việc lây
nhiễm thứ cấp
- Không nhất thiết phải loại
bỏ mã độc, chỉ có thể vô
hiệu hoá nó
- Yêu cầu điểm sao lưu hoặc
khôi phục được tạo ra
trước khi xảy ra sự cố. Nếu
không biết mã độc đã
nhiễm vào hệ thống, điểm
sao lưu hoặc khôi phục
không thể tin cậy được
- Có thể không mở rộng
được với số lượng lớn máy

Xây dựng lại hệ - Cung cấp mức độ đảm bảo
thống cao nhất để loại bỏ việc lây
nhiễm hay tấn công
tính trừ khi có thể tự động
hoá
- Quá trình phức tạp hơn,
đặc biệt là nếu không có
giải pháp sao lưu và phục
hồi trước khi bị lây nhiễm

Dọn dẹp hệ thống:

- Sử dụng phần mềm antivirus đc update thường xuyên
- Sử dụng các công cụ quét trực tuyến với hệ điều hành khởi động bình
thường và/hoặc ở chế độ an toàn với sự hỗ trợ của mạng
- Chạy quét ngoại tuyến bằng bộ quét ngoại tuyến
- Ngoài ra, một số mã độc có khả năng che giấu bản thân khỏi bộ quét. Mã
độc có thể ngăn phần mềm chống mã độc được cài đặt, cập nhật hay khởi
chạy.
Đánh giá hiệu quả:
- Mã độc có còn tồn tại trên hệ thống?
- Có bất kỳ cài đặt bảo mật hoặc hệ thống nào không được sửa chữa không?

● Bước 5: Cố gắng khôi phục hệ thống

 Bước này thực hiện một nỗ lực để khôi phục trạng thái hệ thống từ bản sao lưu.
Điều này ít phá hủy hơn so với việc xây dựng lại hệ thống bằng cách khôi phục hoàn
toàn hệ điều hành nhưng có thể không thể mở rộng cho số lượng lớn máy tính trừ khi
có thể tự động hóa.
Khôi phục trạng thái hệ thống: Tác vụ này sử dụng các công cụ để khôi phục các
tệp hệ điều hành trở lại điểm trước khi phần mềm độc hại ảnh hưởng đến hệ thống.
Khôi phục trạng thái hệ thống không xóa các tệp khỏi hệ thống, nó trả lại bất kỳ tệp hệ
thống hoặc ứng dụng nào về trạng thái trước đó, vô hiệu hóa phần mềm độc hại một
cách hiệu quả. Các công cụ làm sạch có thể cần được chạy sau bước này để loại bỏ
phần mềm độc hại không hoạt động
Đánh giá hiệu quả:
- Phần mềm độc hại còn trên hệ thống không?
- Có bất kỳ cài đặt bảo mật hoặc hệ thống nào không được sửa chữa không?
- Hệ thống có hoạt động đúng theo mong đợi của người dùng không?

● Bước 6: Xây dựng lại hệ thống

Tổ chức có thể đã quyết định xây dựng lại hệ thống vì những lý do sau:
- Để có độ tin cậy cao nhất rằng hệ thống không có phần mềm độc hại nào
trên đó và các cài đặt khác chưa được sửa đổi bởi phần mềm độc hại.
- Vì các bước làm sạch hệ thống thất bại
Xây dựng lại hệ thống:
 - Sau khi xác minh dữ liệu sao lưu cho hệ thống là đáng tin cậy.
- Trong quá trình xây dựng lại hệ thống, đĩa cứng được định dạng và hệ điều
hành được tải lại hoàn toàn, sẽ xóa tất cả các tệp hiện tại.
- Nếu có sẵn, người ta có thể chọn xây dựng lại hệ thống bằng đĩa cứng mới
hoặc dự phòng. Điều này không chỉ cho phép các đĩa cứng ban đầu được
sử dụng để điều tra phần mềm độc hại, nó còn có thể cung cấp một điểm
quay lại trong trường hợp dữ liệu quan trọng bị bỏ qua trong quá trình sao
lưu hoặc xây dựng lại hệ thống hóa ra quá tốn kém, không thể hoặc không
cần thiết.
- Là một phần của quy trình xây dựng lại, hãy đảm bảo cập nhật hệ thống mới
được cài đặt với các bản cập nhật phần mềm và kiểm tra hệ thống xem có lỗ
hổng nào còn lại không bằng cách sử dụng trình quét lỗ hổng.
Khôi phục cài đặt và dữ liệu người dùng: Sau khi hệ thống được tải lại và cập
nhật, các cài đặt và dữ liệu người dùng có thể được khôi phục từ bản sao lưu.
Đảm bảo rằng các tệp sạch trước khi khôi phục bằng cách quét chúng bằng trình
quét phần mềm độc hại có khả năng phát hiện phần mềm độc hại đã lây nhiễm hệ
thống.

Sau tất cả nỗ lực khôi phục, giai đoạn cuối cùng cũng như là giai đoạn quan trọng nhất
vẫn là đào tạo nâng cao nhận thức về an toàn thông tin trên không gian mạng cho tất cả nhân
viên hoặc người dùng như chi tiết kể trên quy trình.