Nhiều ý kiến cho rằng phản ứng sự cố chỉ cần thiết khi tấn công mạng xảy ra và gây hậu quả nghiêm trọng. Tuy nhiên, phân tích về những trường hợp ứng phó sự cố mà Kaspersky thực hiện năm 2018 cho thấy hoạt động phản ứng sự cố không chỉ đóng vai trò điều tra mà còn là công cụ đẩy lùi tấn công mạng ngay từ giai đoạn đầu để ngăn chặn thiệt hại.
Tính trong năm 2018, 22% phản ứng sự cố được thực hiện sau khi phát hiện hoạt động độc hại ẩn trong hệ thống mạng và 22% được thực hiện sau khi phát hiện có tập tin độc hại trong hệ thống mạng. Ngoài 2 dấu hiệu nêu trên, không còn dấu hiệu nào khác cho thấy có thể có một cuộc tấn công mạng sẽ diễn ra.
ảnh minh họa. |
Cũng trong năm 2018, 26% trường hợp phản ứng sự cố muộn là do bị mã độc mã hóa tấn công. 11% vụ dẫn đến bị mất cắp tiền.19% được báo cáo sự cố sau khi phát hiện thư rác từ tài khoản email của công ty; phát hiện lỗi không có dịch vụ hoặc lỗ hổng bảo mật.
Quay trở lại với số liệu 56% yêu cầu Phản ứng sự cố (IR) được gửi về Trung tâm bảo mật Kaspersky Lab, thì 44% yêu cầu được gửi đi ngay khi phát hiện tấn công ngay ở giai đoạn đầu đã giúp tổ chức, doanh nghiệp tránh khỏi những hậu quả nghiêm trọng về sau.
Tuy nhiên, không phải mọi bộ phận bảo mật của doanh nghiệp nào cũng có thể phân biệt, liệu rằng công cụ bảo mật tự động đã phát hiện và dừng hoạt động độc hại hay chưa, hay đây chỉ là bước đầu cho những hoạt động độc hại không nhìn thấy được, sẽ trở nên nghiêm trọng hơn về lâu dài, và cần có sự trợ giúp của chuyên gia bên ngoài.
Do bước đầu đánh giá không chính xác, hoạt động mạng độc hại phát triển thành những cuộc tấn công mạng nghiêm trọng với hậu quả cực kỳ nặng nề.
Ayman Shaaban, chuyên gia bảo mật tại Kaspersky cho biết: “Hiện nay, nhiều công ty đã cải tiến các phương pháp phát hiện và xây dựng quy trình ứng phó sự cố an ninh mạng. Nếu công ty phát hiện các cuộc tấn công càng sớm, hậu quả của chúng sẽ càng được giảm thiểu. Tuy nhiên theo kinh nghiệm của chúng tôi, các công ty thường không quan tâm đúng mức đến các dấu hiệu của những cuộc tấn công mạng nghiêm trọng, và bộ phận phản ứng sự cố của chúng tôi khi nhận được tin thì cũng đã quá muộn. Mặt khác, chúng tôi thấy rằng nhiều công ty đã học được cách nhận biết dấu hiệu của một cuộc tấn công mạng nghiêm trọng, từ đó chúng tôi có thể giúp họ ngăn chặn được những hậu quả nặng nề về sau.”
Theo khampha