Khi các sự cố an ninh mạng xảy ra, khách hàng và các bên liên quan sẽ mất niềm tin vào tổ chức. Do đó, các tổ chức không chỉ cần có kế hoạch ứng phó với các mối đe dọa bảo mật, mà còn cần có kế hoạch phòng ngừa nhằm ngăn chặn các sự cố xảy ra ngay từ đầu.

Trước tiên cần phải hiểu rõ sự khác biệt giữa sự kiện bảo mật (security event), cảnh báo bảo mật (security alert) và sự cố bảo mật (security incident). Trong lĩnh vực an ninh mạng, những thuật ngữ này sẽ mô tả giai đoạn và cấp độ khác nhau của các mối đe dọa hoặc những vi phạm có thể xảy ra trong hạ tầng công nghệ thông tin của tổ chức.

Giờ bạn cứ tưởng tượng, mọi hành động của bạn trong trong tổ chức đều được ghi chép một cách đầy đủ (được gọi là Events Logs). Sau đó, chúng được chuyển đi (ship) gần như ngay lập tức (realtime) tới trung tâm chuyên giám sát SIEM (Security information and event management).

Mỗi dòng logs hay mỗi sự kiện được tập hợp về về trung tâm giám sát sẽ là bước cực kỳ quan trọng. Để bạn có thể giám sát, phân tích chuyên sâu nhằm xác định các vấn đề bảo mật tiềm ẩn hoặc đưa ra hành động ứng phó kịp thời.

Việc hiểu rõ sự khác biệt giữa ba thuật ngữ này là yếu tố then chốt giúp bạn nên theo dõi cái gì, xử cái gì và nghiên cứu kỹ hơn về cái gì. Với lại đỡ bị quê khi ra thị trường lao động 🤡

Security Events là gì?

Events: Là các sự kiện thường xuyên diễn ra trong những hệ thống bảo mật hoặc hệ thống công nghệ thông tin. Nó có thể vô hại hoặc có thể gây hại. Ví dụ:

• User Thanhlo đăng nhập thành công vào hệ thống
• Chigger đăng nhập sai
• Hazy vừa sửa file
• Thành Lò vừa khởi động lại máy
• TigerNude vừa tắt firewall.

Security Alerts là gì?

Alerts: Là cảnh báo được kích hoạt dựa trên một hoặc nhiều quy tắc, vượt hoặc dưới ngưỡng (baseline), hoặc từ một tổ hợp cơ chế phát hiện các dấu hiệu bất thường được xác định trước.

Ví dụ, tự nhiên phát hiện ThanhLo đăng nhập ở địa chỉ IP lạ (không nằm trong whitelist của cty), trong giờ hành chính. Thực ra, ThanhLo đang đi phượt ở Đà Lạt và vẫn làm việc từ xa. Nên địa chỉ IP khác nhau là điều bình thường.

Security Incidents là gì

Incident: Không phải là một nghi ngờ hay tin đồn, cảnh báo hay một sự kiện. Nó là một sự cố đã được xác minh là có xảy ra chuyện đó thật. Các bên liên quan đã kiểm tra và đánh giá giá mức độ nghiêm trọng của sự cố. Và cần phải ngay lập tức thực hiện điều tra và phản ứng ngay, không chậm trễ.

Các sự cố có thể là:

• Một ai đó cố gắng truy cập trái phép
• Nhiễm mã độc (virus, ransomware)
• rò rỉ dữ liệu, tấn công từ chối dịch vụ (DoS/DDoS)
• hoặc bất kỳ hành vi độc hại nào gây tổn hại đến an ninh (security posture) của tổ chức.

Ví dụ, User Thanhlo đăng nhập thành công vào hệ thống trong giờ hành chính. Nhưng phiên đăng nhập đến từ một địa chỉ IP lạ . Mà rõ ràng ngày hôm đó, Thanhlo không làm việc từ xa, cũng không đi nghỉ mát, vẫn ngồi lù lù 1 đống trên văn phòng. Phải điều tra ngay tại sao!

Tài liệu tham khảo

• ISO/IEC 27035 – Information Security Incident Management
  • ISO/IEC 27035-1:2016 — Principles of incident management
  • ISO/IEC 27035-2:2016 — Guidelines to plan and prepare for incident response

• NIST SP 800-61 Revision 2 – Computer Security Incident Handling Guide