Quy trình ứng phó mã độc (incident response malware) (Phần mở đầu)

Trong cuộc chiến không gian mạng hiện nay phần mềm độc hại (malware) là một trong những phương thức tấn công được ưa chuộng nhất của các attacker. Bài này sẽ hướng dẫn các kiến thức sơ bộ khi thực hiện phản ứng sự cố mã độc.

Phần mềm độc hại là gì?

Phần mềm độc hại là mã độc hoặc phần mềm độc hại được chèn vào hệ thống để xâm phạm tính bảo mật, toàn vẹn hoặc tính khả dụng của dữ liệu hoặc ứng dụng. Sự cố phần mềm độc hại có thể gây ra nhiều thiệt hại và gián đoạn hoạt động của tổ chức, cần nhiều nỗ lực và tốn kém chí phí để khôi phục bảo mật hệ thống khi bị nhiễm mã độc.

Phân loại mã độc hại?

• Virus: mã tự sao chép chèn các bản sao của vi-rút vào các chương trình (tiến trình) máy chủ hoặc tệp dữ liệu. Virus có thể tấn công cả hệ điều hành và ứng dụng.
• Worms: Một chương trình tự sao chép, khép kín thực hiện mà không cần sự can thiệp của người dùng. Worms tạo ra các bản sao của chính chúng, và chúng không yêu cầu một chương trình chủ để lây nhiễm vào một hệ thống.
• Trojan: Chương trình độc lập, không nhân bản, nhưng nó rất nguy hiểm và có mục đích ẩn hoặc che dấu các chương trình độc hại. Trojan thường che dấu và cung cấp các công cụ tấn công khác vào hệ thống.
• Malicious mobile code: Phần mềm này có mục đích độc hại truyền từ hệ thống từ xa sang hệ thống cục bộ. Những kẻ tấn công sử dụng nó để truyền virus, sâu và Trojan đến máy trạm của người dùng. Malicious mobile code khai thác lỗ hổng bằng cách tận dụng các đặc quyền mặc định và các hệ thống chưa được vá.
• Tracking cookies: Được truy cập bởi nhiều trang web, các cookie liên tục này cho phép bên thứ ba tạo hồ sơ về hành vi của người dùng. Những kẻ tấn công thường sử dụng cookie theo dõi cùng với lỗi Web.

Để chống lại mã độc cần thực hiện

• Chuẩn bị: Phát triển các chính sách và thủ tục xử lý sự cố phần mềm độc hại cụ thể. Tiến hành đào tạo theo định hướng phần mềm độc hại và các bài tập để kiểm tra các chính sách và thủ tục. Xác định các quy trình đã xây dựng có hoạt động đúng theo mong muốn trước khi đưa nó vào là quy trình được sử dụng trên tình huống thực tế.
• Phát hiện và phân tích: Sau khi phát hiện các dấu hiệu của việc bị lây nhiễm mã độc trên hệ thống cần ngay lập tức sử dụng các biện pháp nghiệp vụ để nhằm phát hiện mã độc trên hệ thống đã bị lây nhiễm. Triển khai và giám sát thông tin từ các phần mềm chống vi rút. Sử dụng công cụ rà quét để xác định phần mềm độc hại, kiểm tra các quy trình đang chạy và thực hiện các hành động phân tích khác.
• Ngăn: Cảnh báo và khuyến cáo tạm thời đến người sử dụng về phần mềm độc hại .Hãy chuẩn bị để tắt máy chủ / máy trạm hoặc dịch vụ (ví dụ: e-mail, duyệt web hoặc truy cập Internet) để chứa sự cố phần mềm độc hại. Quyết định ai có quyền đưa ra quyết định này dựa trên hoạt động của phần mềm độc hại. Ngăn chặn sớm có thể ngăn chặn sự lây lan của phần mềm độc hại và ngăn chặn thiệt hại thêm cho các hệ thống cả bên trong lẫn bên ngoài mạng.
• Xóa bỏ: Hãy chuẩn bị sẵn sàng để sử dụng một loạt các kỹ thuật loại bỏ để loại bỏ phần mềm độc hại khỏi các hệ thống bị nhiễm.
• Phục hồi: Khôi phục tính bảo mật, tính toàn vẹn và tính khả dụng của dữ liệu trên các hệ thống bị nhiễm và các biện pháp ngăn chặn ngược lại. Điều này bao gồm việc kết nối lại các hệ thống / mạng và xây dựng lại các hệ thống bị xâm nhập từ các bản sao lưu tốt hoặc được biết đến tốt. Nhóm phản ứng sự cố nên đánh giá các rủi ro của việc khôi phục các dịch vụ mạng, và đánh giá này nên hướng dẫn các quyết định quản lý về việc khôi phục các dịch vụ.
• Báo cáo: Thu thập các bài học kinh nghiệm sau mỗi sự cố phần mềm độc hại để ngăn chặn các sự cố tương tự trong tương lai. Xác định các thay đổi đối với chính sách bảo mật, cấu hình phần mềm và việc bổ sung các điều khiển ngăn chặn và phát hiện phần mềm độc hại.
• Cập nhật quy trình (nếu có)