Professional Documents
Culture Documents
Quy trình xử lý sự cố theo Thông tư số 20
Quy trình xử lý sự cố theo Thông tư số 20
Theo Khoản 2, Điều 2 của Thông tư số 20/2017/TT-BTTTT, UCSC an toàn thông tin
mạng là hoạt động nhằm xử lý, khắc phục sự cố gây mất an toàn thông tin mạng gồm:
theo dõi, thu thập, phân tích, phát hiện, cảnh báo, điều tra, xác minh sự cố, ngăn chặn sự
cố, khôi phục dữ liệu và khôi phục hoạt động bình thường của hệ thống thông tin.
Khi một cuộc tấn công malware xảy ra trong một tổ chức. Những bước sau đây là 1 phương
án ứng cứu theo quy chuẩn của Thông tư số 20/2017/TT-BTTTT:
Nguyên nhân dẫn đến Phishing: Phishing là hình thức tấn công nhắm vào lỗ hổng người
dùng, tận dụng sự thiếu nhận thức về an toàn trên không gian mạng của người dùng
Các tổ chức cần giám sát các hoạt động của nhân viên qua những phương tiện liên lạc
(email, zalo, …), mạng xã hội hay các truy cập tìm kiếm thông tin hoặc tải tài liệu, ứng dụng trên
mạng, những điều trên nếu không cảnh giác sẽ tạo điều kiện cho chính mình bị tấn công. Những
dấu hiệu cho thấy ta đang bị tấn công Phishing:
- Khi ta nhận được 1 email trông rất giống với những công ty, tổ chức lớn uy tín chỉ
khác một vài chi tiết nhỏ ở địa chỉ email hoặc nội dung khiến cho nhiều người dùng
nhầm lẫn và trở thành nạn nhân của cuộc tấn công.
- Khi ta truy cập vào 1 website có đường link gần giống như website gốc chỉ khác 1 hoặc
2 kí tự, ví dụ: google.com vs gugle.com; microsoft.com vs mircosoft.com
- Luôn có những thông điệp cấp bách hoặc hậu quả nghiêm trọng nếu người dùng
không nhập thông tin cá nhân vào website, form hoặc chuyển tiền cho họ ngay lập tức.
- Khi ta nhận được một email hay một tin nhắn lạ yêu cầu ta phải tải 1 file lạ nào đó về
máy.
- Khi ta truy cập vào một website để tìm kiếm hoặc tải file với giao diện không đáng tin
cậy (chứa nhiều quảng cáo, nội dung trình bày xấu hoặc thiếu liên quan hoặc thiếu
chuyên nghiệp, …)
● Bước 1: Phát hiện tiếp nhận thông tin sự cố
- VNCERT/CC, P.UCSC, các tổ chức ứng cứu sự cố mạng tiếp nhận báo cáo về
Phishing từ người dùng hoặc các tổ chức khác qua các phương tiện, cổng thông
tin nhận báo cáo
b) Khôi phục:
- Đội UCSC gỡ bỏ mã độc và đưa hệ thống hoạt động bình thường
- Báo cáo các website hoặc email lừa đảo cho các đơn vị xử lý và đảm bảo
rằng các trang web đã ngừng hoạt động
- Ngắt kết nối internet của thiết bị bị phishing để tránh lây nhiễm mã độc trong
mạng
- Xem xét tất cả các log để tiến hành điều tra, ví dụ: Xem log firewall để tìm ra
các lưu lượng đáng ngờ, xem log mail server để xem ai đã nhận được email
lừa đảo, cũng như nhật ký DNS của bạn để xác định người dùng nào đã tra
cứu trên các tên miền độc hại.
- Thay đổi mật khẩu khi có thể, một số trường hợp kẻ tấn công khi có được
tài khẩu thì hắn sẽ thay đổi mật khẩu ngay để ta không thể truy cập được
account nữa, tuy nhiên ta vẫn phải thay đổi mật khẩu ngay khi nhận ra có
dấu hiệu phishing để tránh bị mất tài khoản và các nền tảng khác có liên kết
với tài khoản đó
c) Sau sự cố:
- Viết báo cáo chi tiết về sự cố gồm những nội dung sau:
+ Sự cố gì đã diễn ra, loại, mức độ của sự cố, thời gian và vị trí xảy ra sự
cố
+ Các hành động của những bên tham gia xử lý sự cố giúp hệ thống khôi
phục như bình thường
+ Những tổn hại do sự cố gây ra
+ Các đề xuất trong đó có thể cải thiện bất kỳ khía cạnh nào của con
người, quy trình hoặc công nghệ trong toàn tổ chức để giúp ngăn chặn
sự cố mạng tương tự tái diễn
- Phối hợp với các cơ quan pháp lý nếu cần phải thực hiện hành động pháp
lý
- Đừng đời sự cố xảy ra mới bắt đầu đào tạo. Hướng dẫn nhận biết thế nào
là lừa đảo, giả mạo vì lý do chính của Phishing là nhắm vào lỗ hổng người
dùng:
+ Các tổ chức nên có những thông báo thông tin chính thức rằng công ty
sẽ không bao giờ hối thúc yêu cầu người dùng phải cung cấp những
thông tin cá nhân hoặc trả tiền cho một thông tin nào đó
+ Chú ý, kiểm tra kĩ địa chỉ email có thật sự đến từ đúng người gửi gốc
+ Đọc kĩ nội dung email, tin nhắn gửi tới xem cách trình bày có đúng
chuẩn không. Hay có những thông điệp yêu cầu hoặc đe dọa người
dùng phải tải xuống một file nào đó hoặc phải thực hiện cung cấp thông
tin hoặc chuyển tiền ngay lập tức.
+ Chú ý kĩ tên miền xem có những ký tự khác so với website gốc không
+ Thiết lập xác thực 2 lớp cho các tài khoản mxh để tránh login vào các
website giả. Nếu các tài khoản bị đổi mật khẩu thì các website liên kết
với tài khoản đó cũng sẽ bị mất
III. Hướng dẫn xử lý sự cố Phishing qua email
Khi VNCERT/CC và các tổ chức UCSC nhận được thông báo của một cá nhân hoặc tổ
chức bị tấn công Phishing. Những điều sau đây cần được xem xét để phân tích xác minh sự
cô và lên kế hoạch:
- Nguyên nhân của sự cố
- Các thiết bị bị ảnh hưởng
- Chi phí thiệt hại
- Các thức lừa đảo. Tùy vào cách lừa đảo sẽ có kế hoạch xử lý sự cố khác nhau
a) Phishing lừa đánh cắp thông tin cá nhân hoặc lừa chuyển tiền:
- Tìm hiểu, điều tra nguồn lừa đảo bắt nguồn từ đâu
- Liên hệ với ngân hàng sớm nhất có thể để kịp thời xử lý nếu đã cung cấp thông tin như
tài khoản ngân hàng, số điện thoại, cccd hoặc đã phát hiện các giao dịch lạ làm mất
tiền trong tài khoản
- Thiết lập xác thực 2 lớp để giảm thiểu mất tài khoản khi nhập thông tin login vào các
website giả
- Nâng cao nhận thức về nhận biết lừa đảo để tránh bị tấn công
b) Phishing nhằm phát tán mã độc:
Nếu hệ thống hoặc thiết bị bị dính mã độc ta sẽ tiến hành các bước trong quy trình xử
lý mã độc
Khi quyết định nên thực hiện hành động nào để kiểm soát cuộc tấn công và nhanh
chóng khôi phục hệ thống, những điều sau đây phải được xem xét:
- Lượng thời gian cần thiết để khôi phục hệ thống về hoạt động bình thường
- Các tài nguyên cần thiết và có sẵn để thực hiện công việc
- Chuyên môn của nhân viên thực hiện xử lý
- Chi phí cho doanh nghiệp có thể dẫn đến mất dữ liệu, ảnh hưởng truyền thông,
mất mát dữ liệu khách hàng …
Sau tất cả nỗ lực khôi phục, giai đoạn cuối cùng cũng như là giai đoạn quan trọng nhất
vẫn là đào tạo nâng cao nhận thức về an toàn thông tin trên không gian mạng cho tất cả nhân
viên hoặc người dùng như chi tiết kể trên quy trình.