Định nghĩa về ứng phó sự cố
Trước khi định nghĩa về ứng phó sự cố, cần phải hiểu rõ sự cố là gì. Trong CNTT, có ba thuật ngữ đôi khi được dùng thay cho nhau nhưng lại đề cập tới những điều khác nhau:
- Sự kiện là một hành động vô hại thường xuyên xảy ra, chẳng hạn như tạo tệp, xóa thư mục hoặc mở email. Tự thân sự kiện thường không phải là chỉ báo cho một vụ vi phạm nhưng khi được kết hợp với các sự kiện khác thì lại có thể là dấu hiệu cho thấy một mối đe dọa.
- Cảnh báo là thông báo do sự kiện kích hoạt và có thể là mối đe dọa hoặc không.
- Sự cố là một nhóm các cảnh báo tương quan mà con người hoặc các công cụ tự động hóa cho rằng có khả năng là một mối đe dọa thực sự. Khi xét riêng lẻ, có vẻ như mỗi cảnh báo không phải là một mối đe dọa nghiêm trọng nhưng khi kết hợp lại, chúng báo hiệu về khả năng xảy ra vi phạm.
Ứng phó sự cố là những hành động mà một tổ chức thực hiện khi họ cho rằng các hệ thống CNTT hoặc dữ liệu có thể đã bị vi phạm. Ví dụ: các chuyên gia bảo mật sẽ hành động khi thấy bằng chứng chỉ ra có người dùng trái phép, phần mềm gây hại hoặc xảy ra lỗi với các biện pháp bảo mật.
Mục tiêu của hoạt động ứng phó là nhằm loại bỏ hành vi tấn công qua mạng nhanh nhất có thể, phục hồi về tình trạng ban đầu, thông báo tới mọi khách hàng hoặc cơ quan chính phủ theo yêu cầu của pháp luật tại khu vực, đồng thời tìm hiểu cách giảm rủi ro xảy ra những vụ vi phạm tương tự trong tương lai.
Theo dõi Microsoft Security