- Nguyễn Thị Minh Anh - 21048501 - Nguyễn Duy Bảo - 21044391 - Trần Thị Bích Phượng -21060651 - Phạm Võ Hoàng Phi - 21061491 Tình huống Ban Giám đốc của một tổ chức dịch vụ tài chính quốc tế đang xem xét kế hoạch sáp nhập bí mật. CIO nhận được một email đòi tiền chuộc từ một nguồn không xác định nói rằng họ biết về kế hoạch sáp nhập và có thông tin cá nhân của 150.000 khách hàng. Một mẫu chi tiết cá nhân của 500 khách hàng đã được đưa vào email đòi tiền chuộc làm "bằng chứng". Tổ chức phải trả khoản tiền chuộc đáng kể bằng Bitcoin. Nếu không, kế hoạch sáp nhập sẽ bị công bố và thông tin khách hàng sẽ bị bán công khai trên mạng. Yêu cầu 1. Tài sản bị thiệt hại, nguyên tắc bảo mật bị vi phạm, thiệt hại? 2. Phương thức tấn công? Xử lý tình huống: 3. Ứng phó - Cô lập các hệ thống chứa thông tin quan trọng để tránh bị đột nhập. - Báo cáo sự việc cho ban giám đốc và các cơ quan chức năng - Xác minh Email và nội dung Email - Phối hợp với chuyên gia an ninh mạng để đánh giá rủi ro, xác định các lỗ hổng và đưa ra các hướng giải quyết: Các chuyên gia an ninh mạng có thể giúp tổ chức đánh giá mức độ rủi ro, xác định cách mà thông tin đã bị rò rỉ, và đề xuất các biện pháp để ngăn chặn tình hình xấu đi hơn. - Thông báo cho cơ quan chức năng có thẩm quyền, Liên hệ tư vấn với công ty bảo hiểm trách nhiệm mạng. - Phân tích tình hình, xác định mức độ nghiêm trọng của sự việc: Tìm hiểu rõ hơn về nguồn gốc và cách thức tấn công, mức độ nghiêm trọng của vụ việc. - Giảm thiểu thiệt hại bằng cách thông báo cho khách hàng để họ chủ động bảo vệ thông tin cá nhân, thực hiện biện pháp ngăn chặn thông tin bị rò rỉ. - Truyền thông: Tổ chức chiến lược truyền thông để thông báo cho mọi người và các bên liên quan cũng như thông báo các biện pháp mà tổ chức đang thực hiện để giải quyết vụ việc. - Rút kinh nghiệm và cải thiện Gợi ý: Phân tích, giảm thiểu thiệt hại, truyền thông, … 4. Khắc phục - Khôi phục dữ liệu từ bản sao lưu: Sử dụng các bản sao lưu đã được tạo ra để khôi phục lại dữ liệu bị mất do tấn công. ( thông tin 150.000 khách hàng và một số file về kế hoạch sáp nhập của tổ chức) đảm bảo rằng chúng không bị nhiễm ransomware hoặc bất kỳ phần mềm độc hại nào khác. -Hợp tác với cơ quan chức năng và chuyên gia bảo mật: Hợp tác chặt chẽ với cơ quan pháp luật để điều tra vụ việc và bắt kẻ tấn công. Tìm kiếm sự hỗ trợ từ các chuyên gia bảo mật mạng và tư vấn về cách cải thiện bảo mật hệ thống và ngăn chặn các cuộc tấn công tương lai. -Phân tích và đánh giá: Tiến hành một cuộc phân tích chi tiết về nguyên nhân và cơ chế của cuộc tấn công để hiểu rõ hơn về những gì đã xảy ra và cách tổ chức có thể ngăn chặn tình trạng tương tự trong tương lai -Tăng cường bảo mật: Đánh giá lại kiến trúc bảo mật hiện có của tổ chức để xác định và sửa chữa các lỗ hổng và yếu điểm có thể đã cho phép cuộc tấn công xảy ra.Triển khai các biện pháp bảo mật mới nhất như giải pháp phòng chống ransomware, tường lửa mạng tiên tiến, hệ thống phát hiện xâm nhập (IDS), hệ thống phòng thủ chống malware, và kiểm soát truy cập tiên tiến. -Hỗ trợ và thông tin cho khách hàng: Thiết lập một trung tâm hỗ trợ dành riêng cho khách hàng bị ảnh hưởng để cung cấp hỗ trợ kỹ thuật, tài chính, và tâm lý.Cung cấp thông tin chi tiết và dễ hiểu về tình trạng của cuộc tấn công, loại thông tin cá nhân bị tiết lộ, và biện pháp bảo vệ cá nhân cho khách hàng. -Cập nhật bảo mật hệ thống: cập nhật bảo mật cho hệ thống và phần mềm để bảo vệ chống lại các lỗ hổng bảo mật đã được khai thác bởi kẻ tấn công. Triển khai các giải pháp bảo mật mới nhất để ngăn chặn các cuộc tấn công tương lai. Gợi ý: Phân tích thiệt hại biện pháp khắc phục Bài học kinh nghiệm: 5. Bảo vệ - Cảnh giác với các trang web có domain lạ , tránh nhấp vào quảng cáo, pop-up trên internet , không mở các file lạ qua email, không tải các phần mềm , ứng dụng trên website không đáng tin cậy,… - Kiểm soát truy cập : sử dụng các phương thức truy cập để hạn chế truy cập vào hệ thống và các thông tin nhạy cảm. - Cài đặt tường lửa để ngăn chặn các truy cập trái phép - Cập nhật hệ thống, hệ điều hành thường xuyên - Thường xuyên sao lưu dữ liệu - Cập nhật phần mềm bảo vệ - Đào tạo nhân viên về quy trình bảo mật hệ thống - Cập nhật chính sách về an toàn thông tin. - Tổ chức kiểm soát hoạt động của người dùng trên hệ thống. - Liên tục cập nhật kiến thức về công nghệ bảo mật mới nhất Gợi ý: Kiểm soát truy cập, nhận thức và đào tạo, bảo mật dữ liệu, quy trình, thủ tục bảo vệ thông tin, bảo trì, công nghệ/dịch vụ bảo mật 6. Phát hiện - Sử dụng chương trình giám sát hoạt động của hệ thống - Theo dõi lịch sử truy cập dữ liệu, giám sát nhật ký hoạt động của hệ thống, hành vi người dùng - Phân tích các file log của hệ thống để xác định các hoạt động truy cập bất thường - Sử dụng các phần mềm phát hiện xâm nhập - Thực hiện kiểm tra an ninh hệ thống thường xuyên, định kỳ - Sử dụng các phần mềm dùng để quản lý hoạt động của người dùng trong hệ thống. - Thiết lập quy trình báo cáo sự cố an ninh mạng Gợi ý: Phát hiện các thao tác bất thường, giám sát liên tục an ninh, quy trình phát hiện