1. Mục đích

Điều tra các sự cố đã xảy ra trên hệ thống, xác định được nguồn lây nhiễm, cách thức lấy nhiễm, mức độ ảnh hưởng và đưa ra phương án để khắc phục sự cố.

2. Phạm vi dịch vụ

Theo phạm vi yêu cầu của khách hàng.

3. Các thức thực hiện

Xác định (Identification) các yếu tố liên quan tới sự cố bằng quá trình thực hiện điều tra số (digital forensic) để xem xét các yêu tố, bao gồm:

• Lỗ hổng bảo mật đã bị khai thác
• Các đối tượng đã bị khai thác (PC/máy chủ/tài khoản người dùng, …)
• Các dữ liệu thông tin bị ảnh hưởng.
• Hình thức kẻ tấn công thực hiện: Các file mã độc, công cụ tấn công, luồng tấn công.

Khoanh vùng và cô lập (Containment): Triển khai phương án cách ly, ngăn chặn nguồn lấy nhiễm, các đối tượng đã bị lây nhiễm để hạn chế tối đa mức độ ảnh hưởng.

Giảm thiểu và khắc phục sự cố (Remediation): Thực hiện quá trình khắc phục sự cố như loại bỏ mã độc, khắc phục lỗ hỏng, sao lưu dữ liệu, …)

Khôi phục lại hệ thống (Recovery): Khôi phục lại các hệ thống để trở về trạng thái hoạt động nguyên trạng trước khi xảy ra sự cố.

4. Kết quả đầu ra

Khắc phục được tối đa hoặc hoàn toàn các tổn hại mà kẻ tấn công đã gây ra.

Báo cáo chi tiết về kết quả thực hiện: Các thức thực hiện, công cụ thực hiện, thông tin thu thập được làm bằng chứng để chứng minh về dấu hiệu xâm nhập.

Đề xuất phương án khắc phục tạm thời để giảm thiểu rủi ro cũng như các giải pháp triệt để để không lặp lại sự cố, đồng thời đưa ra được các bài học (lession learn) để tổ chức có thể truyền thông, rút kinh nghiệm tránh các sự cố tương tự không mong muốn.

Các bài viết liên quan