Mục đích
- Thực hiện điều tra số – Digital Forensic nhằm xác định các yếu tố liên quan tới sự cố, bao gồm:
- Các lỗ hổng bảo mật đã bị khai thác
- Các hệ thống máy chủ/PC/tài khoản người dùng đã bị ảnh hưởng
- Các dữ liệu/thông tin tài khoản bị ảnh hưởng
- Các file mã độc, công cụ tấn công đã được sử dụng
- Luồng tấn công của attacker
- Thực hiện quá trình ứng phó sự cố theo từng giai đoạn:
- Identification: Xác định các yếu tố liên quan đến sự cố, làm rõ luồng tấn công thông qua quá trình Digital Forensic
- Containment: Triển khai các phương án ngăn chặn tạm thời, cách ly các đối tượng liên quan tới sự cố. Sau đó tập trung vào các ngăn chặn dài hạn bao gồm các khắc phục, vá lỗi.
- Remediation: Thực hiện quá trình khắc phục và giải quyết các vấn đề liên quan tới sự cố (loại bỏ mã độc, khắc phục lỗ hổng bảo mật, sao lưu dữ liệu,…)
- Recovery: Khôi phục lại các hệ thống bị ảnh hưởng, đưa ra các phương án giám sát nhằm xác định sự cố đã được giải quyết hoàn toàn và không có mối đe dọa tương tự đang tồn tại trong hệ thống.
- Lessons Learned: Tổng hợp báo cáo chi tiết về sự cố, đưa ra các giải pháp nhằm phát hiện, ngăn chặn sự cố có thể xảy ra trong tương lai, đúc rút các kinh nghiệm có được trong quá trình xử lý sự cố.