Điểm tin

Xử lý sự cố bảo mật: Hơn 50% doanh nghiệp "kêu cứu" khi đã muộn

| PV

Theo Kaspersky, trong năm 2018, quá nửa số yêu cầu Phản hồi sự cố (IR) được gửi về Trung tâm bảo mật Kaspersky khá muộn, khi công ty đã bị ảnh hưởng bởi tấn công mạng

Cụ thể, Báo cáo phân tích phản ứng sự cố mới nhất của Kaspersky (Kaspersky’s Incident Response Analytics Report) cho biết, năm 2018, khoảng 56% yêu cầu Phản hồi sự cố (IR) được gửi về Trung tâm bảo mật Kaspersky sau khi công ty đã bị ảnh hưởng bởi tấn công mạng (như phát sinh giao dịch chuyển tiền trái phép, máy trạm bị ransomware mã hóa hay lỗi không có dịch vụ...).  Trong đó, có 44% yêu cầu được gửi đi ngay khi phát hiện tấn công ngay ở giai đoạn đầu, giúp tổ chức tránh khỏi những hậu quả nghiêm trọng về sau.

bảo mật doanh nghiệp, tấn công mạng, Kaspersky, an ninh mạng, phản ứng sự cố,
Theo Kaspersky, có đến 81% công ty cung cấp dữ liệu phân tích được phát hiện có dấu hiệu ngầm ẩn hoạt động độc hại trong mạng nội bộ (Ảnh minh họa)

Thực tế, đây là chủ đề khá "hot", khi mà nhiều người vẫn cho rằng phản ứng sự cố chỉ cần thiết khi tấn công mạng xảy ra và gây hậu quả nghiêm trọng.

Tuy nhiên, phân tích về những trường hợp ứng phó sự cố mà Kaspersky thực hiện năm 2018 cho thấy hoạt động phản ứng sự cố không chỉ đóng vai trò điều tra mà còn là công cụ đẩy lùi tấn công mạng ngay từ giai đoạn đầu để ngăn chặn thiệt hại.

Năm 2018, 22% phản ứng sự cố được thực hiện sau khi phát hiện hoạt động độc hại ẩn trong hệ thống mạng và 22% được thực hiện sau khi phát hiện có tệp độc hại trong hệ thống mạng. Ngoài hai dấu hiệu trên, không còn dấu hiệu nào khác cho thấy có thể có một cuộc tấn công mạng sẽ diễn ra.

Vấn đề là không phải bộ phận bảo mật của doanh nghiệp nào cũng có thể xác định được rằng công cụ bảo mật tự động đã phát hiện và dừng hoạt động độc hại hay chưa, hay đây chỉ là bước đầu cho những hoạt động tấn công không nhìn thấy được, sẽ trở nên nghiêm trọng hơn về lâu dài và cần có sự trợ giúp của chuyên gia bên ngoài.

Do bước đầu đánh giá không chính xác, hoạt động mạng độc hại phát triển thành những cuộc tấn công mạng nghiêm trọng với hậu quả cực kỳ nặng nề. Năm 2018, 26% trường hợp phản ứng sự cố muộn là do bị mã độc mã hóa tấn công, trong đó có 11% vụ dẫn đến bị mất cắp tiền. 19% được báo cáo sự cố sau khi phát hiện thư rác từ tài khoản email của công ty; phát hiện lỗi không có dịch vụ hoặc lỗ hổng bảo mật.

Ayman Shaaban, chuyên gia bảo mật tại Kaspersky cho biết: “Hiện nay, nhiều công ty đã cải tiến các phương pháp phát hiện và xây dựng quy trình ứng phó sự cố an ninh mạng. Nếu công ty phát hiện các cuộc tấn công càng sớm, hậu quả của chúng sẽ càng được giảm thiểu. Tuy nhiên theo kinh nghiệm của chúng tôi, các công ty thường không quan tâm đúng mức đến các dấu hiệu của những cuộc tấn công mạng nghiêm trọng, và bộ phận phản ứng sự cố của chúng tôi khi nhận được tin thì cũng đã quá muộn. Mặt khác, chúng tôi thấy rằng nhiều công ty đã học được cách nhận biết dấu hiệu của một cuộc tấn công mạng nghiêm trọng, từ đó chúng tôi có thể giúp họ ngăn chặn được những hậu quả nặng nề về sau.”

Cũng theo Báo cáo này, có đến 81% công ty cung cấp dữ liệu phân tích được phát hiện có dấu hiệu ngầm ẩn hoạt động độc hại trong mạng nội bộ; 34% công ty cho thấy có dấu hiệu của một cuộc tấn công mạng tiên tiến; 54,2% tổ chức tài chính bị tấn công bởi một hoặc nhiều tấn công APT.

Để ứng phó hiệu quả với các sự cố, Kaspersky đưa ra một số khuyến nghị, trong đó có việc các công ty nên có bộ phận/ nhân viên chuyên trách về hoạt động bảo mật mạng;Thực hiện sao lưu các dữ liệu quan trọng thường xuyên...; Xây dựng kế hoạch ứng phó sự cố với các hướng dẫn và quy trình chi tiết đối với các loại tấn công mạng khác nhau.