Phần 17: Incident Response Preparation

Incident (Sự cố an ninh)

Incident là hành vi vi phạm chính sách bảo mật (rõ ràng hoặc ngầm định) của tổ chức.

Ví dụ thi hay gặp:

• Truy cập trái phép

• Rò rỉ dữ liệu

• Malware infection

• DDoS

Incident Response (IR)

Quy trình và hướng dẫn giúp tổ chức phát hiện, xử lý, khôi phục và rút kinh nghiệm sau một sự cố an ninh.

Mục tiêu:

• Giảm thiểu thiệt hại

• Khôi phục hoạt động

• Ngăn tái diễn

Incident Response Procedures

Tập hợp chính sách, quy trình, vai trò và trách nhiệm được xác định trước để xử lý sự cố một cách nhất quán.

Từ khóa thi:

• Priority

• Action

• Responsibility

• Predefined process

5 GIAI ĐOẠN INCIDENT RESPONSE

1⃣ Preparation (Chuẩn bị)

Giai đoạn chuẩn bị trước khi sự cố xảy ra nhằm tăng khả năng chống chịu của hệ thống.

Bao gồm:

• Hardening hệ thống

• Xây dựng chính sách & quy trình

• Thiết lập kênh liên lạc bảo mật

• Đào tạo đội IR

• Chuẩn bị công cụ & tài nguyên

Nhớ nhanh:
👉 Prepare before you detect

5 GIAI ĐOẠN INCIDENT RESPONSE

2⃣ Detection and Analysis (Phát hiện & Phân tích)

Xác định liệu sự cố có đang xảy ra hay không, đánh giá mức độ nghiêm trọng và phạm vi.

Hoạt động chính:

• Phân tích alert / log

• Triage sự cố

• Phân loại mức độ (severity)

• Thông báo stakeholders

Keyword thi:

• Triage

• Validate incident

• Notification

5 GIAI ĐOẠN INCIDENT RESPONSE

3⃣ Containment (Cô lập)

Giới hạn phạm vi và tác động của sự cố để tránh lan rộng.

Ví dụ:

• Cô lập máy bị nhiễm

• Chặn IP / tài khoản

• Ngắt kết nối mạng tạm thời

Mục tiêu:

• Bảo vệ dữ liệu

• Giảm ảnh hưởng kinh doanh

5 GIAI ĐOẠN INCIDENT RESPONSE

4⃣ Eradication and Recovery (Loại bỏ & Khôi phục)

• Eradication: loại bỏ nguyên nhân gốc rễ

• Recovery: đưa hệ thống trở lại trạng thái an toàn

Bao gồm:

• Xóa malware

• Vá lỗ hổng

• Reset credentials

• Restore từ backup sạch

5 GIAI ĐOẠN INCIDENT RESPONSE

5⃣ Post-Incident Activity (Sau sự cố)

Phân tích lại toàn bộ sự cố để cải thiện hệ thống và quy trình IR.

Hoạt động:

• Lessons learned

• Cập nhật playbook

• Điều chỉnh policy & control

Câu hỏi thi hay gặp:
👉 Giai đoạn nào dùng để cải tiến quy trình? → Post-incident

INCIDENT RESPONSE TEAM (IRT)

🔹 Incident Response Team

Nhóm nhân sự chịu trách nhiệm xử lý các sự cố đạt ngưỡng nghiêm trọng & ưu tiên theo IR plan.

INCIDENT RESPONSE TEAM (IRT)

🔹 Incident Response Manager

Vai trò:

• Điều phối toàn bộ hoạt động IR

• Ra quyết định chiến lược

• Giao tiếp cấp quản lý

INCIDENT RESPONSE TEAM (IRT)

🔹 Security Analyst

Vai trò:

• Phân tích log, alert

• Xác định IOC

• Hỗ trợ detection & analysis

INCIDENT RESPONSE TEAM (IRT)

🔹 Triage Analyst

Vai trò:

• Phân loại sự cố ban đầu

• Đánh giá mức độ ưu tiên

• Quyết định escalation

INCIDENT RESPONSE TEAM (IRT)

🔹 Forensic Analyst

Vai trò:

• Thu thập & bảo toàn chứng cứ

• Phân tích hệ thống, memory, disk

• Hỗ trợ điều tra pháp lý

INCIDENT RESPONSE TEAM (IRT)

🔹 Threat Researcher

Vai trò:

• Nghiên cứu TTPs của attacker

• Phân tích malware, campaign

• Cập nhật threat intelligence

INCIDENT RESPONSE TEAM (IRT)

🔹 Cross-Functional Support

Các bộ phận hỗ trợ như:

• IT Operations

• Legal

• HR

• PR / Communications

Documenting Procedures (Tài liệu hóa quy trình)

Việc xây dựng và duy trì các tài liệu chuẩn để hướng dẫn, ghi nhận và điều phối hoạt động ứng phó sự cố một cách nhất quán và có kiểm soát.

Mục tiêu:

• Phản ứng nhanh, đúng vai trò

• Tránh xử lý tùy tiện

• Hỗ trợ audit & pháp lý

🧩 RESPONSE PROCEDURES

🔹 Response Procedures (Quy trình ứng phó)

Các bước xử lý được xác định trước cho từng loại sự cố an ninh.

Keyword thi:

• Standardized

• Repeatable

• Documented

🧩 RESPONSE PROCEDURES

🔹 Playbook

Playbook là quy trình vận hành chuẩn (SOP) mô tả cụ thể từng bước cần làm khi xảy ra các kịch bản sự cố khác nhau.

Dùng để:

• Hướng dẫn junior analyst / incident handler

• Đảm bảo xử lý nhất quán

• Giảm sai sót khi áp lực cao

Ví dụ:

• Playbook xử lý malware

• Playbook DDoS

• Playbook ransomware

📞 COMMUNICATION & ESCALATION

🔹 Call List

Danh sách liên hệ ứng phó sự cố được xác định trước, sắp xếp theo thứ tự phân cấp để thông báo và leo thang (escalation).

Bao gồm:

• Incident Response Manager

• Security team

• IT Ops

• Legal / Management

Ý nghĩa thi:
👉 Giúp phản ứng nhanh và đúng người khi sự cố xảy ra

📝 INCIDENT RECORDING

🔹 Incident Form

Biểu mẫu ghi nhận chi tiết thông tin sự cố, đồng thời gán mã số vụ việc (case/job number) để theo dõi.

Date, Time, Location

Thời gian và vị trí xảy ra sự cố

Reporter & Incident Handler

Người báo cáo và người xử lý sự cố

Detection Method

Sự cố được phát hiện như thế nào
(ví dụ: SIEM alert, IDS, user report)

Incident Type

Loại sự cố
(malware, unauthorized access, DDoS, data breach…)

Incident Scope

Phạm vi ảnh hưởng
(hệ thống, người dùng, dữ liệu)

Incident Description & Event Logging

Mô tả chi tiết sự cố và các log liên quan phục vụ phân tích & forensics

🔹 Data Criticality (Mức độ quan trọng của dữ liệu)

Mức độ ưu tiên bảo vệ và xử lý của dữ liệu dựa trên tác động nếu dữ liệu bị lộ, mất hoặc bị thay đổi.

Ghi nhớ thi:
👉 Sự cố rò rỉ dữ liệu nhạy cảm luôn được ưu tiên cao hơn các sự cố khác.

🔹 Data Breach Priority

Các sự cố liên quan đến dữ liệu riêng tư hoặc dữ liệu mật thường được xử lý trước vì rủi ro pháp lý, tài chính và uy tín.

🔹 Personally Identifiable Information (PII)

Dữ liệu có thể dùng để xác định, liên hệ hoặc mạo danh một cá nhân.

Ví dụ:

• Họ tên

• Số CMND/CCCD

• Email, số điện thoại

• Địa chỉ

🔹 Sensitive Personal Information (SPI)

Dữ liệu cá nhân đặc biệt nhạy cảm, được luật bảo mật bảo vệ nghiêm ngặt.

Theo GDPR, SPI bao gồm:

• Tôn giáo

• Quan điểm chính trị

• Công đoàn

• Giới tính, xu hướng tính dục

• Chủng tộc, nguồn gốc dân tộc

• Dữ liệu di truyền

• Thông tin sức khỏe

Ghi nhớ thi:
👉 SPI nhạy cảm hơn PII

🔹 Personal Health Information (PHI)

Dữ liệu xác định một cá nhân liên quan đến hồ sơ y tế hoặc bảo hiểm y tế.

Ví dụ:

• Hồ sơ bệnh án

• Kết quả xét nghiệm

• Thông tin bảo hiểm

Lưu ý:

• PHI có thể là Personal hoặc Protected Health Information

• Dữ liệu đã ẩn danh (anonymized / de-identified) → không còn thông tin định danh

🔹 Financial Information

Dữ liệu liên quan đến tài chính và giao dịch thương mại.

Ví dụ:

• Tài khoản ngân hàng

• Thẻ tín dụng

• Lương, thuế

• Hồ sơ đầu tư

Chuẩn liên quan:
👉 PCI DSS – tiêu chuẩn bảo mật dữ liệu thẻ thanh toán

🔹 Intellectual Property (IP)

Tài sản trí tuệ do tổ chức tạo ra liên quan đến sản phẩm, dịch vụ hoặc công nghệ.

Ví dụ:

• Mã nguồn

• Thiết kế sản phẩm

• Công thức, thuật toán

• Bí mật kinh doanh

🔹 Corporate Information

Dữ liệu nội bộ và mật của doanh nghiệp.

Bao gồm:

• Thông tin sản phẩm

• Bán hàng, marketing

• Pháp lý, hợp đồng

• Lợi nhuận, dòng tiền

• Lương, khách hàng chiến lược

Nguy cơ:
👉 Rất có giá trị với đối thủ cạnh tranh

🔹 High Value Assets (HVA)

Hệ thống hoặc dữ liệu then chốt cho hoạt động sống còn của tổ chức.

Đặc điểm:

• Xử lý dữ liệu quan trọng

• Gắn với chức năng nhiệm vụ cốt lõi (mission-essential)

Yêu cầu:
👉 Phải đảm bảo CIA

• Confidentiality (Bảo mật)

• Integrity (Toàn vẹn)

• Availability (Sẵn sàng)

🔹 Communication Plan (Kế hoạch truyền thông)

Kế hoạch xác định cách thức, kênh và đối tượng liên lạc trong quá trình xử lý sự cố an ninh.

Mục tiêu:

• Đảm bảo thông tin chính xác

• Tránh rò rỉ thông tin

• Phối hợp hiệu quả giữa các bên

🔹 Secure Communication Method

Phương thức liên lạc an toàn và được bảo mật, dùng để quản lý sự cố mà không bị nghe lén hoặc can thiệp.

Ví dụ:

• Email mã hóa

• Secure messaging

• Encrypted VoIP

🔹 Out-of-Band Communication

Hình thức liên lạc sử dụng kênh khác với kênh chính đang được hệ thống sử dụng.

Ý nghĩa an ninh:

• Dùng khi kênh chính bị compromise

• Tránh attacker giám sát nội dung trao đổi

Ví dụ:

• Gọi điện khi email bị xâm nhập

• Chat bảo mật ngoài hệ thống nội bộ

🔹 Backup Communication Plan

Kế hoạch liên lạc dự phòng khi phương thức chính không khả dụng.

Yêu cầu quan trọng:
👉 Luôn duy trì danh sách liên hệ (contact list) được cập nhật

🔹 Escalation Procedures

Quy trình leo thang sự cố khi mức độ nghiêm trọng tăng cao.

Ví dụ:

• Từ SOC → Incident Response Manager → Ban lãnh đạo

🔹 Notification Scope

Xác định ai sẽ được thông báo khi sự cố xảy ra.

Có thể bao gồm:

• CSIRT

• IT Ops

• Legal

• Management

• PR (nếu có rò rỉ dữ liệu)

🔹 Notification Method

Xác định cách thức thông báo.

Ví dụ:

• Email

• Điện thoại

• Secure messaging

• Out-of-band channel

🔹 Prevent Unauthorized Information Disclosure

Ngăn chặn việc tiết lộ trái phép thông tin sự cố ra ngoài đội CSIRT.

Lý do:

• Tránh hoang mang

• Tránh vi phạm pháp lý

• Tránh giúp attacker thu thập thêm thông tin

🔹 Reporting Requirements (Yêu cầu báo cáo)

Các thông báo bắt buộc phải gửi tới những bên bị ảnh hưởng và/hoặc cơ quan quản lý khi xảy ra sự cố rò rỉ dữ liệu, theo yêu cầu của luật pháp hoặc quy định.

Ý nghĩa thi:
👉 Không báo cáo đúng hạn → vi phạm pháp luật

🔹 Data Breach Notification

Hoạt động thông báo chính thức về sự cố rò rỉ dữ liệu cho:

• Người dùng bị ảnh hưởng

• Cơ quan quản lý

• Đối tác liên quan (nếu cần)

1⃣ Data Exfiltration

Kẻ tấn công xâm nhập hệ thống và sao chép dữ liệu ra ngoài sang hệ thống khác.

Ví dụ:

• Hacker tải CSDL khách hàng về máy chủ ngoài

2⃣ Insider Data Exfiltration

Nhân viên hoặc cựu nhân viên có quyền truy cập hợp lệ nhưng cố ý lấy dữ liệu ra ngoài.

Đặc điểm:

• Nguy hiểm vì truy cập hợp pháp

• Khó phát hiện

3⃣ Device Theft / Loss

Thiết bị chứa dữ liệu (laptop, smartphone, USB…) bị mất hoặc bị trộm.

Lưu ý thi:
👉 Nếu dữ liệu chưa mã hóa → có thể là data breach

4⃣ Accidental Data Breach

Rò rỉ dữ liệu do lỗi con người hoặc cấu hình sai, không phải do tấn công chủ đích.

Ví dụ:

• Public nhầm bucket S3

• Gửi email chứa dữ liệu nhạy cảm sai người

5⃣ Integrity / Availability Breach

Sự cố làm hỏng dữ liệu (integrity) hoặc làm gián đoạn hệ thống xử lý dữ liệu (availability).

Ví dụ:

• Ransomware mã hóa dữ liệu

• Xóa nhầm database sản xuất

🔹 Response Coordination (Phối hợp ứng phó)

Hoạt động phối hợp giữa các bộ phận nội bộ và các tổ chức bên ngoài để xử lý sự cố an ninh một cách hiệu quả, đúng pháp lý và giảm thiểu tác động.

Ghi nhớ thi:
👉 Incident Response không chỉ là việc của SOC / IT

🧩 CÁC BÊN LIÊN QUAN (AFFECTED STAKEHOLDERS)

🔹 Senior Leadership (Lãnh đạo cấp cao)

Các giám đốc, quản lý cấp cao chịu trách nhiệm về hoạt động kinh doanh và các chức năng trọng yếu.

Vai trò khi incident xảy ra:

• Ra quyết định chiến lược

• Phê duyệt escalation

• Chấp nhận rủi ro kinh doanh

🧩 CÁC BÊN LIÊN QUAN (AFFECTED STAKEHOLDERS)

🔹 Regulatory Bodies (Cơ quan quản lý)

Các tổ chức nhà nước giám sát việc tuân thủ luật và quy định.

Ví dụ:

• Cơ quan bảo vệ dữ liệu

• Cơ quan tài chính

Liên quan thi:
👉 Báo cáo theo GDPR, PCI DSS, HIPAA…

🧩 CÁC BÊN LIÊN QUAN (AFFECTED STAKEHOLDERS)

🔹 Legal (Pháp lý)

Bộ phận tư vấn pháp lý của tổ chức.

Vai trò:

• Giảm thiểu rủi ro kiện tụng

• Tư vấn nghĩa vụ báo cáo

• Kiểm soát nội dung truyền thông

🧩 CÁC BÊN LIÊN QUAN (AFFECTED STAKEHOLDERS)

🔹 Law Enforcement (Cơ quan thực thi pháp luật)

Cơ quan có thể hỗ trợ điều tra hình sự hoặc chuẩn bị hành động pháp lý chống lại kẻ tấn công.

Lưu ý rất hay ra thi:
👉 Quyết định liên hệ phải do lãnh đạo cấp cao, với tư vấn từ Legal

🧩 CÁC BÊN LIÊN QUAN (AFFECTED STAKEHOLDERS)

🔹 Human Resources – HR (Nhân sự)

Bộ phận đảm bảo việc xử lý sự cố không vi phạm luật lao động hoặc hợp đồng nhân viên.

Đặc biệt quan trọng khi:

• Insider threat

• Nhân viên bị điều tra

🧩 CÁC BÊN LIÊN QUAN (AFFECTED STAKEHOLDERS)

🔹 Public Relations – PR (Quan hệ công chúng)

Bộ phận quản lý hình ảnh và truyền thông của tổ chức.

Vai trò:

• Xử lý truyền thông tiêu cực

• Soạn thông cáo báo chí

• Tránh gây hoang mang dư luận

🔹 CSIRT Information Requests

Đội CSIRT thường được yêu cầu cung cấp thông tin để hỗ trợ ra quyết định.

Bao gồm:

• Estimated Downtime – thời gian gián đoạn dự kiến

• Scope – phạm vi hệ thống & dữ liệu bị ảnh hưởng

• Impact Assessment – mức độ ảnh hưởng

• Thông tin kỹ thuật liên quan

Business Continuity Plan (BCP) – Kế hoạch duy trì hoạt động kinh doanh

BCP là tập hợp kế hoạch và quy trình được sử dụng để duy trì hoặc nhanh chóng khôi phục hoạt động kinh doanh khi xảy ra sự kiện gián đoạn.

Ghi nhớ thi:
👉 BCP dùng cho mọi loại sự cố gây gián đoạn, không chỉ thảm họa.

🔹 Disaster Recovery Plan (DRP) – Kế hoạch khôi phục thảm họa

DRP là các kế hoạch tập trung vào khôi phục hệ thống CNTT sau thảm họa (cháy, lũ, mất điện lớn…).

So sánh nhanh:

• BCP: duy trì hoạt động kinh doanh tổng thể

• DRP: khôi phục hạ tầng & hệ thống CNTT

🔹 Phạm vi của BCP

BCP được áp dụng cho bất kỳ sự kiện gián đoạn hoặc mối đe dọa nào, không phân biệt nguyên nhân (tấn công, lỗi kỹ thuật, thiên tai).

🔹 Trách nhiệm xây dựng BCP

Việc phát triển BCP là trách nhiệm của lãnh đạo cấp cao (senior managers).

Lý do:

• Liên quan đến rủi ro kinh doanh

• Liên quan đến mức chấp nhận rủi ro (risk appetite)

🔹 Business Continuity Committee (BCC)

Ủy ban chịu trách nhiệm xác định ưu tiên khôi phục cho các sự kiện có thể xảy ra.

Nhiệm vụ chính:

• Xác định mức độ rủi ro có thể chấp nhận

• Ưu tiên hệ thống & quy trình cần khôi phục trước

📘 7 BƯỚC BCP THEO NIST SP 800-34 (RẤT HAY RA THI)

1⃣ Develop a Contingency Planning Policy

Xây dựng chính sách lập kế hoạch dự phòng

📘 7 BƯỚC BCP THEO NIST SP 800-34 (RẤT HAY RA THI)

2⃣ Business Impact Analysis (BIA)

Phân tích tác động kinh doanh để xác định hệ thống & quy trình quan trọng

📘 7 BƯỚC BCP THEO NIST SP 800-34 (RẤT HAY RA THI)

3⃣ Identify Preventive Controls

Xác định các biện pháp phòng ngừa nhằm giảm khả năng gián đoạn

📘 7 BƯỚC BCP THEO NIST SP 800-34 (RẤT HAY RA THI)

4⃣ Create Recovery Strategies

Xây dựng chiến lược khôi phục cho từng kịch bản

📘 7 BƯỚC BCP THEO NIST SP 800-34 (RẤT HAY RA THI)

5⃣ Develop the BCP

Xây dựng tài liệu BCP chính thức

📘 7 BƯỚC BCP THEO NIST SP 800-34 (RẤT HAY RA THI)

6⃣ Test, Train, and Exercise the BCP

Kiểm thử, đào tạo và diễn tập BCP

📘 7 BƯỚC BCP THEO NIST SP 800-34 (RẤT HAY RA THI)

7⃣ Maintain the BCP

Duy trì và cập nhật BCP theo thay đổi của tổ chức

🔹 Hot Site

Địa điểm luôn sẵn sàng hoạt động, hệ thống được đồng bộ đầy đủ.

Ưu / Nhược:

• Khôi phục nhanh nhất

• Chi phí cao nhất

🔹 Warm Site

Địa điểm có một phần hạ tầng, chưa đầy đủ như hot site.

Ưu / Nhược:

• Chi phí trung bình

• Thời gian khôi phục trung bình

🔹 Cold Site

Địa điểm chỉ có không gian & hạ tầng cơ bản, cần nhiều thời gian để triển khai.

Ưu / Nhược:

• Rẻ nhất

• Thời gian khôi phục lâu

🔹 Mobile Site

Sử dụng đơn vị lưu động/di động để hỗ trợ khôi phục hoạt động.

Ví dụ:

• Container CNTT

• Trung tâm dữ liệu di động

🔹 Training (Đào tạo)

Training là hoạt động đào tạo, giáo dục nhằm đảm bảo nhân viên hiểu rõ quy trình, thủ tục và mức độ ưu tiên khi xảy ra sự cố an ninh.

Mục tiêu chính:

• Phản ứng đúng, nhanh, thống nhất

• Giảm sai sót trong xử lý sự cố

• Đảm bảo tuân thủ Incident Response Plan

🔹 Đối tượng cần được Training

Ai cần đào tạo?

• Responders: đội IR, SOC, security analyst

• Managers / Executives: lãnh đạo ra quyết định, truyền thông, pháp lý

• End Users: người dùng cuối – tuyến phòng thủ đầu tiên

👉 Lưu ý thi: Training không chỉ dành cho kỹ thuật

🔹 Soft Skills trong Training

Ngoài kỹ năng kỹ thuật, đào tạo cần bao gồm kỹ năng mềm và xây dựng mối quan hệ trong nhóm.

Ví dụ:

• Giao tiếp trong khủng hoảng

• Phối hợp liên phòng ban

• Báo cáo & leo thang sự cố (escalation)

🔹 Testing

Testing là việc thực hành và kiểm tra thực tế các quy trình Incident Response.

Đặc điểm:

• Mô phỏng sự cố thực tế

• Phức tạp, tốn kém

• Giúp phát hiện điểm yếu trong quy trình

🔹 Tabletop Exercise (TTX)

TTX là hình thức diễn tập trên bàn, sử dụng kịch bản sự cố giả định để đánh giá phản ứng dựa trên:

• Framework kiểm soát

• Red team (mô phỏng kẻ tấn công)

Đặc điểm:

• Không tấn công thật

• Chi phí thấp

• Rất phổ biến trong CySA+

👉 Ghi nhớ thi: TTX = discussion-based, scenario-based

🔹 Penetration Test (Pentest)

Pentest là hoạt động mà red team chủ động tấn công hệ thống theo một kịch bản dựa trên threat modeling.

Mục tiêu:

• Đánh giá khả năng phòng thủ

• Kiểm tra phát hiện & phản ứng sự cố

🔹 Rules of Engagement (RoE)

Pentest luôn phải có:

• Phạm vi rõ ràng

• Phương pháp được thống nhất

• Quy tắc và giới hạn cụ thể

👉 Tránh gây gián đoạn sản xuất hoặc vi phạm pháp lý