Dịch vụ

Quy trình Incident Response gồm:

Identification
Xác định các yếu tố liên quan đến sự cố, làm rõ luồng tấn công thông qua Digital Forensic.

Containment
Triển khai biện pháp ngăn chặn tạm thời, cách ly các đối tượng liên quan; sau đó thực hiện các biện pháp ngăn chặn dài hạn như vá lỗi và khắc phục cấu hình.

Remediation
Khắc phục sự cố bao gồm loại bỏ mã độc, vá lỗ hổng bảo mật, sao lưu dữ liệu.

Recovery
Khôi phục hệ thống bị ảnh hưởng và giám sát nhằm đảm bảo sự cố đã được xử lý hoàn toàn.

Lessons Learned
Tổng hợp báo cáo chi tiết, đưa ra giải pháp phòng ngừa và rút kinh nghiệm cho các sự cố tương lai.

a. Tiếp nhận

• Tiếp nhận thông tin về thời điểm tấn công, hậu quả và hiện trạng hệ thống

• Nhận định tình huống: đã bị tấn công, đang bị tấn công hoặc đã thay đổi hiện trạng

• Xác định phạm vi sự cố: toàn hệ thống, một máy tính hoặc dữ liệu

b. Phân loại sự cố

• Tấn công lừa đảo

• Tấn công mã độc mã hóa dữ liệu

• Tấn công phá hoại

• Các hình thức khác

c. Thu thập bằng chứng

• Thông tin đầu mối liên hệ

• Sơ đồ mạng hệ thống

• Mục tiêu bị ảnh hưởng

• Tài khoản truy cập hệ thống

• Nhật ký hệ thống (Log)

• Bộ nhớ và trạng thái kết nối mạng

• Mẫu dữ liệu bị can thiệp

• Mẫu mã độc

d. Phân tích

• Phân tích điểm yếu máy chủ, thiết bị mạng và phần mềm

• Phân tích mẫu Log

• Xây dựng timeline các sự kiện trước, trong và sau sự cố

• Phân tích mã độc

e. Báo cáo

• Tổng hợp báo cáo điều tra đầy đủ bằng chứng số

• Nhận định nguyên nhân và kết quả xử lý

• Đề xuất giải pháp cải thiện an toàn thông tin về quy trình, phần cứng và phần mềm

• Ứng phó sự cố với tốc độ và độ chính xác cao

• Thực hiện điều tra theo quy trình nhất quán

• Giảm thiểu mất mát dữ liệu và tổn hại danh tiếng

• Tăng cường giao thức và quy trình bảo mật hiện có

• Phục hồi nhanh, hạn chế gián đoạn kinh doanh

• Hỗ trợ truy tố kẻ đe dọa thông qua bằng chứng và tài liệu