Bài tập nhóm chương 3

Danh sách thành viên nhóm

- Nguyễn Thị Minh Anh - 21048501
- Nguyễn Duy Bảo - 21044391
- Trần Thị Bích Phượng -21060651
- Phạm Võ Hoàng Phi - 21061491
Tình huống
Ban Giám đốc của một tổ chức dịch vụ tài chính quốc tế
đang xem xét kế hoạch sáp nhập bí mật.
CIO nhận được một email đòi tiền chuộc từ một nguồn
không xác định nói rằng họ biết về kế hoạch sáp nhập và
có thông tin cá nhân của 150.000 khách hàng. Một mẫu
chi tiết cá nhân của 500 khách hàng đã được đưa vào
email đòi tiền chuộc làm "bằng chứng".
Tổ chức phải trả khoản tiền chuộc đáng kể bằng Bitcoin.
Nếu không, kế hoạch sáp nhập sẽ bị công bố và thông tin
khách hàng sẽ bị bán công khai trên mạng.
Yêu cầu
1. Tài sản bị thiệt hại, nguyên tắc bảo mật bị vi phạm,
thiệt hại?
2. Phương thức tấn công?
Xử lý tình huống:
3. Ứng phó
- Cô lập các hệ thống chứa thông tin quan trọng để
tránh bị đột nhập.
- Báo cáo sự việc cho ban giám đốc và các cơ quan
chức năng
- Xác minh Email và nội dung Email
- Phối hợp với chuyên gia an ninh mạng để đánh giá
rủi ro, xác định các lỗ hổng và đưa ra các hướng
giải quyết: Các chuyên gia an ninh mạng có thể giúp tổ chức
đánh giá mức độ rủi ro, xác định cách mà thông tin đã bị rò rỉ,
và đề xuất các biện pháp để ngăn chặn tình hình xấu đi hơn.
- Thông báo cho cơ quan chức năng có thẩm quyền,
Liên hệ tư vấn với công ty bảo hiểm trách nhiệm
mạng.
- Phân tích tình hình, xác định mức độ nghiêm trọng
của sự việc: Tìm hiểu rõ hơn về nguồn gốc và cách
thức tấn công, mức độ nghiêm trọng của vụ việc.
- Giảm thiểu thiệt hại bằng cách thông báo cho
khách hàng để họ chủ động bảo vệ thông tin cá
nhân, thực hiện biện pháp ngăn chặn thông tin bị rò
rỉ.
- Truyền thông: Tổ chức chiến lược truyền thông để
thông báo cho mọi người và các bên liên quan cũng
như thông báo các biện pháp mà tổ chức đang thực
hiện để giải quyết vụ việc.
- Rút kinh nghiệm và cải thiện
 Gợi ý: Phân tích, giảm thiểu thiệt hại, truyền thông,
…
4. Khắc phục
- Khôi phục dữ liệu từ bản sao lưu: Sử dụng các bản sao lưu
đã được tạo ra để khôi phục lại dữ liệu bị mất do tấn công.
( thông tin 150.000 khách hàng và một số file về kế hoạch sáp
nhập của tổ chức) đảm bảo rằng chúng không bị nhiễm
ransomware hoặc bất kỳ phần mềm độc hại nào khác.
-Hợp tác với cơ quan chức năng và chuyên gia bảo mật: Hợp
tác chặt chẽ với cơ quan pháp luật để điều tra vụ việc và bắt
kẻ tấn công. Tìm kiếm sự hỗ trợ từ các chuyên gia bảo mật
mạng và tư vấn về cách cải thiện bảo mật hệ thống và ngăn
chặn các cuộc tấn công tương lai.
-Phân tích và đánh giá: Tiến hành một cuộc phân tích chi tiết
về nguyên nhân và cơ chế của cuộc tấn công để hiểu rõ hơn
về những gì đã xảy ra và cách tổ chức có thể ngăn chặn tình
trạng tương tự trong tương lai
-Tăng cường bảo mật: Đánh giá lại kiến trúc bảo mật hiện có
của tổ chức để xác định và sửa chữa các lỗ hổng và yếu điểm
có thể đã cho phép cuộc tấn công xảy ra.Triển khai các biện
pháp bảo mật mới nhất như giải pháp phòng chống
ransomware, tường lửa mạng tiên tiến, hệ thống phát hiện
xâm nhập (IDS), hệ thống phòng thủ chống malware, và kiểm
soát truy cập tiên tiến.
-Hỗ trợ và thông tin cho khách hàng: Thiết lập một trung tâm
hỗ trợ dành riêng cho khách hàng bị ảnh hưởng để cung cấp
 hỗ trợ kỹ thuật, tài chính, và tâm lý.Cung cấp thông tin chi tiết
và dễ hiểu về tình trạng của cuộc tấn công, loại thông tin cá
nhân bị tiết lộ, và biện pháp bảo vệ cá nhân cho khách hàng.
-Cập nhật bảo mật hệ thống: cập nhật bảo mật cho hệ thống
và phần mềm để bảo vệ chống lại các lỗ hổng bảo mật đã
được khai thác bởi kẻ tấn công. Triển khai các giải pháp bảo
mật mới nhất để ngăn chặn các cuộc tấn công tương lai.
Gợi ý: Phân tích thiệt hại  biện pháp khắc phục
Bài học kinh nghiệm:
5. Bảo vệ
- Cảnh giác với các trang web có domain lạ , tránh
nhấp vào quảng cáo, pop-up trên internet , không mở các
file lạ qua email, không tải các phần mềm , ứng dụng trên
website không đáng tin cậy,…
- Kiểm soát truy cập : sử dụng các phương thức truy
cập để hạn chế truy cập vào hệ thống và các thông tin
nhạy cảm.
- Cài đặt tường lửa để ngăn chặn các truy cập trái
phép
- Cập nhật hệ thống, hệ điều hành thường xuyên
- Thường xuyên sao lưu dữ liệu
- Cập nhật phần mềm bảo vệ
- Đào tạo nhân viên về quy trình bảo mật hệ thống
 - Cập nhật chính sách về an toàn thông tin.
- Tổ chức kiểm soát hoạt động của người dùng trên
hệ thống.
- Liên tục cập nhật kiến thức về công nghệ bảo mật
mới nhất
Gợi ý: Kiểm soát truy cập, nhận thức và đào tạo,
bảo mật dữ liệu, quy trình, thủ tục bảo vệ thông tin,
bảo trì, công nghệ/dịch vụ bảo mật
6. Phát hiện
- Sử dụng chương trình giám sát hoạt động của hệ
thống
- Theo dõi lịch sử truy cập dữ liệu, giám sát nhật ký
hoạt động của hệ thống, hành vi người dùng
- Phân tích các file log của hệ thống để xác định các
hoạt động truy cập bất thường
- Sử dụng các phần mềm phát hiện xâm nhập
- Thực hiện kiểm tra an ninh hệ thống thường xuyên,
định kỳ
- Sử dụng các phần mềm dùng để quản lý hoạt động
của người dùng trong hệ thống.
- Thiết lập quy trình báo cáo sự cố an ninh mạng
Gợi ý: Phát hiện các thao tác bất thường, giám sát
liên tục an ninh, quy trình phát hiện