Hơn 50% doanh nghiệp yêu cầu xử lý sự cố bảo mật khi đã quá muộn

Qua báo cáo bảo mật từ Kaspersky năm 2018, hơn nửa số yêu cầu Phản Hồi Sự CỐ IR được gửi về Trung Tâm Bảo Mật Kaspersky trong tình trạng khá muộn, khi công ty đã bị ảnh hưởng từ các cuộc tấn công mạng.

Báo cáo phân tích phản ứng sự cố mới nhất từ Kaspersky cho thấy năm 2018 có đến 56% yêu cầu Phản hồi sự cố IR được gửi về Trung Tâm Bảo Mật Kaspersky sau khi công ty đã bị ảnh hưởng nghiêm trọng từ tấn công mạng như bị phát sinh các giao dịch chuyển tiền trái phép, hay bị mã độc mã hóa máy trạm... Trong đó, 44% yêu cầu được gửi đi ngay khi phát hiện tấn công trong giai đoạn đầu, giúp tổ chức tránh được các hậu quả nghiêm trọng. Điều này cho thấy, rất nhiều người vẫn cho rằng phản ứng sự cố chỉ cần thiết khi các cuộc tấn công mạng xảy ra và để lại hậu quả cho doanh nghiệp.

Phân tích về những trường hợp ứng phó sự cố mà Kaspersky thực hiện vào năm 2018 cho thấy hoạt động phản ứng sự cố không chỉ đóng vai trò quan trọng trong điều tra mà còn là công cụ hữu hiệu đẩy lùi tấn công mạng ngay từ những giai đoạn đầu để ngăn chặn các thiệt hại.

Năm 2018, 22% phản ứng sự cố được thực hiện sau khi phát hiện hoạt động độc hại ẩn trong hệ thống mạng và 22% được thực hiện sau khi phát hiện có tệp độc hại trong hệ thống mạng. Ngoài hai dấu hiệu trên, không còn dấu hiệu nào khác cho thấy có thể có một cuộc tấn công mạng sẽ diễn ra.

Điều đáng nói ở đây là không phải bộ phận bảo mật của doanh nghiệp nào cũng có thể xác định được bằng công cụ bảo mật tự động và ngăn chặn các hoạt động độc hại này hay chưa, hay chỉ là dấu hiệu đầu cho những cuộc tấn công không nhìn thấy được, hậu quả sẽ trở nên nghiêm trọng hơn và cần một chuyên gia bên ngoài hỗ trợ. Năm 2018, 26% trường hợp phản ứng sự cố muộn là do bị mã độc mã hóa tấn công, trong đó có 11% vụ dẫn đến bị mất cắp tiền. 19% được báo cáo sự cố sau khi phát hiện thư rác từ tài khoản email của công ty; phát hiện lỗi không có dịch vụ hoặc lỗ hổng bảo mật.

Chuyên gia bảo mật tại Kaspersky cho biết : Nhiều doanh nghiệp đã cải tiến phương pháp phát hiện và xây dựng quy trình đối phó sự cố an ninh mạng. Nếu phát hiện các cuộc tấn công sớm, hậu quả của chúng sẽ được giảm thiểu. Tuy nhiên, các doanh nghiệp thường không quan tâm đúng mức  đến các dấu hiệu của những cuộc tấn công mạng, và những bộ phận phản ứng xử lý sự cố của Kaspersky thường nhận được tin trong tình trạng đã quá muộn.

Cũng theo Báo cáo này, có đến 81% công ty cung cấp dữ liệu phân tích được phát hiện có dấu hiệu ngầm ẩn hoạt động độc hại trong mạng nội bộ; 34% công ty cho thấy có dấu hiệu của một cuộc tấn công mạng tiên tiến; 54,2% tổ chức tài chính bị tấn công bởi một hoặc nhiều tấn công APT.

Để ứng phó hiệu quả với các sự cố, Kaspersky đưa ra một số khuyến nghị, trong đó có việc các công ty nên có bộ phận/ nhân viên chuyên trách về hoạt động bảo mật mạng;Thực hiện sao lưu các dữ liệu quan trọng thường xuyên...; Xây dựng kế hoạch ứng phó sự cố với các hướng dẫn và quy trình chi tiết đối với các loại tấn công mạng khác nhau.

Minh Hương – Theo Kaspersky