Ứng phó sự cố là gì?
Khám phá xem ứng phó sự cố hiệu quả giúp các tổ chức phát hiện, giải quyết và ngăn chặn các cuộc tấn công qua mạng ra sao.
Định nghĩa về ứng phó sự cố
Trước khi định nghĩa về ứng phó sự cố, cần phải hiểu rõ sự cố là gì. Trong CNTT, có ba thuật ngữ đôi khi được dùng thay cho nhau nhưng lại đề cập tới những điều khác nhau:
- Sự kiện là một hành động vô hại thường xuyên xảy ra như việc tạo tệp, xóa thư mục hoặc mở email. Tự thân sự kiện thường không phải là chỉ báo cho một vụ vi phạm nhưng khi được kết hợp với các sự kiện khác thì lại có thể là dấu hiệu của một mối đe dọa.
- Cảnh báo là thông báo do sự kiện kích hoạt và có thể hoặc có thể không là mối đe dọa.
- Sự cố là một nhóm các cảnh báo tương quan mà con người hoặc các công cụ tự động hóa đã cho rằng có khả năng là một mối đe dọa thực sự. Khi riêng lẻ, mỗi cảnh báo dường như có thể không phải là một mối đe dọa lớn nhưng khi kết hợp lại, chúng báo hiệu về một vụ vi phạm tiềm tàng.
Ứng phó sự cố là những hành động mà một tổ chức thực hiện khi họ cho rằng các hệ thống CNTT hoặc dữ liệu có thể đã bị vi phạm. Ví dụ: các chuyên gia bảo mật sẽ hành động khi họ thấy bằng chứng cho thấy có người dùng trái phép, phần mềm xấu hoặc lỗi ở các biện pháp bảo mật.
Mục tiêu của hoạt động ứng phó là nhằm loại bỏ cuộc tấn công qua mạng nhanh nhất có thể, phục hồi, thông báo tới mọi khách hàng hoặc cơ quan chính phủ theo yêu cầu của pháp luật khu vực, đồng thời tìm hiểu cách giảm rủi ro xảy ra những vụ vi phạm tương tự trong tương lai.
Ứng phó sự cố hoạt động như thế nào?
Đội bảo mật thường bắt đầu tiến hành thực hiện ứng phó sự cố khi họ nhận được cảnh báo xác tín từ hệ thống quản lý sự kiện và thông tin bảo mật (SIEM).
Các thành viên đội cần xác minh rằng sự kiện đủ điều kiện để được coi là sự cố, rồi cô lập hệ thống bị nhiễm độc và loại bỏ mối đe dọa. Nếu sự cố mang tính chất nghiêm trọng hoặc cần nhiều thời gian để giải quyết, các tổ chức có thể cần phải khôi phục dữ liệu sao lưu, giải quyết vấn đề tiền chuộc hoặc thông báo cho khách hàng rằng dữ liệu của họ đã bị xâm phạm.
Vì lý do này, những người không thuộc đội an ninh mạng thường được tham gia vào hoạt động ứng phó. Các chuyên gia về quyền riêng tư, luật sư và người ra quyết định về kinh doanh sẽ giúp xác định biện pháp tiếp cận của tổ chức đối với sự cố và hậu quả của sự cố.
Các loại sự cố bảo mật
Có một số cách để kẻ tấn công tìm cách truy nhập vào dữ liệu của công ty hay nói cách khác là xâm phạm vào các hệ thống và hoạt động kinh doanh của công ty. Sau đây là một số cách phổ biến nhất:
-
Lừa đảo qua mạng
Lừa đảo qua mạng là một loại lừa đảo phi kỹ thuật mà kẻ tấn công sử dụng email, tin nhắn văn bản hoặc cuộc gọi điện thoại để mạo danh thương hiệu hoặc người có uy tín. Một cuộc tấn công lừa đảo qua mạng điển hình sẽ tìm cách thuyết phục người nhận tải xuống phần mềm xấu hoặc cung cấp mật khẩu. Các cuộc tấn công kiểu này thường khai thác lòng tin của mọi người và triển khai các kỹ thuật về tâm lý như nỗi sợ để khiến mọi người hành động theo. Rất nhiều cuộc tấn công trong số này đều không có mục tiêu và được triển khai tới hàng ngàn người với hy vọng chỉ cần lấy được một phản hồi. Tuy nhiên, vẫn còn đó một phiên bản tinh vi hơn với tên gọi là tấn công lừa đảo. Phiên bản này sử dụng hoạt động nghiên cứu chuyên sâu để tạo ra tin nhắn nhằm thuyết phục một cá nhân duy nhất. -
Phần mềm xấu
Phần mềm xấu là bất kỳ phần mềm nào được thiết kế nhằm gây hại cho hệ thống máy tính hoặc trích rút dữ liệu. Loại phần mềm này có nhiều hình thức khác nhau bao gồm vi-rút, mã độc tống tiền, phần mềm gián điệp và trojan. Kẻ xấu cài đặt phần mềm xấu bằng cách lợi dụng các lỗ hổng ở phần cứng và phần mềm hoặc bằng cách thuyết phục một nhân viên thực hiện hành vi này qua kỹ thuật lừa đảo phi kỹ thuật.
-
Mã độc tống tiền
Với cuộc tấn công mã độc tống tiền, kẻ xấu sử dụng phần mềm xấu để mã hóa các dữ liệu và hệ thống quan trọng, rồi đe dọa phát tán công khai dữ liệu hoặc phá hủy dữ liệu nếu nạn nhân không chịu trả tiền chuộc.
-
Từ chối dịch vụ
Với cuộc tấn công từ chối dịch vụ (cuộc tấn công DDoS), tác nhân đe dọa sẽ dùng lưu lượng truy nhập để gây tràn mạng hoặc hệ thống cho tới khi mạng/hệ thống đó bị chậm đi hoặc gặp sự cố. Thông thường, kẻ tấn công nhắm mục tiêu vào các công ty tầm cỡ như ngân hàng hoặc chính phủ với mục tiêu là làm họ phải tiêu tốn thời gian và tiền bạc, tuy nhiên, các tổ chức thuộc mọi quy mô đều có thể trở thành nạn nhân của loại cuộc tấn công này.
-
Tấn công xen giữa
Một phương pháp khác mà tội phạm mạng sử dụng để đánh cắp dữ liệu cá nhân là tự chen vào giữa một cuộc hội thoại trực tuyến diễn ra giữa những người tin là họ đang trao đổi riêng tư. Bằng cách chặn các tin nhắn, rồi sao chép hoặc thay đổi những tin nhắn này trước khi gửi cho người nhận chủ định, tội phạm mạng cố gắng thao túng một trong những người trong cuộc cung cấp dữ liệu giá trị cho chúng.
-
Mối đe dọa từ nội bộ
Mặc dù đa số các cuộc tấn công đều do người bên ngoài tổ chức thực hiện, các đội bảo mật vẫn cần giám sát các mối đe dọa từ nội bộ. Nhân viên và những người khác có quyền truy nhập hợp pháp vào các tài nguyên bị hạn chế có thể vô tình hoặc trong một số trường hợp là cố ý làm rò rỉ dữ liệu nhạy cảm.
-
Hoạt động truy nhập trái phép
Rất nhiều vụ vi phạm bảo mật bắt đầu bằng thông tin xác thực của tài khoản bị đánh cắp. Dù kẻ xấu có được mật khẩu qua chiến dịch lừa đảo qua mạng hay bằng cách đoán mật khẩu phổ biến, một khi chúng truy nhập được vào hệ thống, chúng có thể cài đặt phần mềm xấu, tiến hành hoạt động do thám mạng hoặc tăng cấp đặc quyền cho chúng nhằm tạo điều kiện để chúng truy nhập được vào nhiều hệ thống và dữ liệu nhạy cảm hơn.
Thế nào là kế hoạch ứng phó sự cố?
Để ứng phó với sự cố, toàn đội phải cùng nhau cộng tác hiệu quả để loại bỏ được mối đe dọa và đáp ứng được các yêu cầu theo quy định. Trong những tình huống căng thẳng cao độ như thế này, thật dễ để trở nên bối rối và mắc sai lầm, đó cũng chính là lý do vì sao nhiều công ty phát triển kế hoạch ứng phó sự cố. Kế hoạch giúp xác định vai trò và trách nhiệm, đồng thời bao gồm các bước cần thiết để giải quyết, ghi chép và trao đổi đúng cách về sự cố.
Tầm quan trọng của kế hoạch ứng phó sự cố
Một cuộc tấn công lớn không chỉ gây tổn hại tới các hoạt động trong tổ chức mà còn ảnh hưởng tới danh tiếng của doanh nghiệp giữa các khách hàng và cộng đồng, đồng thời còn có thể mang tới hệ quả về pháp lý. Tất cả mọi thứ, bao gồm tốc độ ứng phó của đội bảo mật đối với cuộc tấn công và cách thức truyền đạt về sự cố từ ban điều hành, đều ảnh hưởng đến chi phí tổng thể của cuộc tấn công.
Những công ty che giấu tổn thất khỏi các khách hàng và chính phủ hoặc không đủ nghiêm túc xử lý mối đe dọa đều có thể vi phạm các quy định. Những loại sai lầm này càng trở nên phổ biến khi người trong cuộc không có kế hoạch. Trong lúc căng thẳng, có khả năng là mọi người sẽ đưa ra quyết định thiếu suy nghĩ được thúc đẩy bởi chính nỗi sợ sẽ gây tổn hại tới tổ chức.
Một kế hoạch được cân nhắc kỹ lưỡng sẽ giúp mọi người biết được điều nên làm ở từng giai đoạn của cuộc tấn công, nhờ vậy họ không cần phải lên kế hoạch một cách vội vàng. Sau khi phục hồi, nếu có câu hỏi nào từ công chúng, tổ chức sẽ chỉ ra được chính xác cách họ ứng phó và giúp khách hàng yên tâm rằng tổ chức đã xem xét sự cố một cách nghiêm túc, cũng như đã thực hiện các bước cần thiết để ngăn kết quả tồi tệ hơn xảy ra.
Các bước thực hiện ứng phó sự cố
Có nhiều cách để tiếp cận ứng phó sự cố và nhiều tổ chức dựa vào việc sắp xếp các tiêu chuẩn bảo mật để định hướng biện pháp tiếp cận của mình. SysAdmin Audit Network Security (SANS) là một tổ chức tư nhân cung cấp khung ứng phó sáu bước và khung này được nêu rõ ở bên dưới. Nhiều tổ chức cũng thực hiện khung phục hồi sau sự cố của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST).
- Chuẩn bị – Trước khi xảy ra sự cố, việc giảm bớt lỗ hổng cũng như xác định các chính sách và quy trình bảo mật là rất quan trọng. Trong giai đoạn chuẩn bị, các tổ chức tiến hành hoạt động đánh giá rủi ro để xác định nơi họ có điểm yếu, rồi ưu tiên tài nguyên. Giai đoạn này bao gồm các hoạt động soạn và tinh chỉnh quy trình bảo mật, xác định vai trò và trách nhiệm, cũng như cập nhật hệ thống để giảm bớt rủi ro. Đa số các tổ chức thường xuyên xem xét lại giai đoạn này và cải tiến các chính sách, quy trình cũng như hệ thống khi họ rút ra bài học hoặc thay đổi công nghệ.
- Xác định mối đe dọa – Trong một ngày bất kỳ, đội bảo mật có thể nhận được hàng nghìn cảnh báo cho thấy hoạt động đáng ngờ. Một vài cảnh báo trong số này có thể chỉ là dương tính giả hoặc không tăng tới cấp độ sự cố. Khi đã xác định được sự cố, đội sẽ tìm hiểu bản chất của vụ vi phạm và ghi chép lại các phát hiện, bao gồm nguồn của vụ vi phạm, loại cuộc tấn công và mục tiêu của kẻ tấn công. Ở giai đoạn này, đội cũng cần thông báo cho các bên liên quan và trao đổi về các bước thực hiện tiếp theo.
- Ngăn chặn mối đe dọa – Việc ngăn chặn mối đe dọa nhanh nhất có thể chính là ưu tiên tiếp theo. Kẻ xấu càng truy nhập được lâu thì những tổn thất chúng có thể gây ra sẽ càng lớn. Toàn đội bảo mật cùng phối hợp để nhanh chóng cô lập các ứng dụng hoặc hệ thống đang bị tấn công khỏi phần còn lại của mạng. Điều này giúp ngăn chặn những kẻ tấn công truy nhập vào các bộ phận khác của doanh nghiệp.
- Loại bỏ mối đe dọa – Sau khi hoàn tất quá trình ngăn chặn, đội sẽ loại bỏ kẻ tấn công cùng với mọi phần mềm xấu khỏi các hệ thống và tài nguyên bị ảnh hưởng. Việc này có thể liên quan đến việc chuyển các hệ thống về ngoại tuyến. Đội cũng vẫn tiếp tục thông báo cho các bên liên quan về tiến độ.
- Phục hồi và khôi phục – Có thể mất vài giờ để phục hồi sau sự cố. Khi mối đe dọa đã biến mất, đội sẽ khôi phục hệ thống, phục hồi dữ liệu từ bản sao lưu và giám sát các khu vực bị ảnh hưởng để đảm bảo kẻ tấn công không quay trở lại.
- Phản hồi và tinh chỉnh – Khi giải quyết xong sự cố, đội sẽ đánh giá những gì đã xảy ra và xác định những cải tiến có thể thực hiện đối với quy trình. Việc rút kinh nghiệm từ giai đoạn này giúp đội tăng cường khả năng phòng thủ cho tổ chức.
Thế nào là đội ứng phó sự cố?
Đội ứng phó sự cố còn được gọi là đội ứng phó sự cố bảo mật máy tính (CSIRT), đội ứng phó sự cố mạng (CIRT) hay đội ứng phó trường hợp khẩn cấp về máy tính (CERT), là một nhóm người đa năng trong tổ chức chịu trách nhiệm cho hoạt động thực thi kế hoạch ứng phó sự cố. Đội này không chỉ bao gồm những người có trách nhiệm loại bỏ mối đe dọa mà còn cả những người đưa ra các quyết định về kinh doanh hay pháp lý liên quan tới sự cố. Một đội điển hình bao gồm những thành viên sau:
Một người quản lý ứng phó sự cố (thường là giám đốc CNTT) có trách nhiệm giám sát toàn bộ các giai đoạn ứng phó và duy trì cập nhật thông tin cho các bên liên quan.
Các phân tích viên về bảo mật có trách nhiệm nghiên cứu sự cố để cố gắng hiểu được điều gì đang diễn ra. Họ cũng ghi chép các phát hiện của mình và thu thập bằng chứng điều tra số.
Các nhà nghiên cứu về mối đe dọa tìm kiếm ở bên ngoài tổ chức để thu thập thông tin giúp làm rõ hơn bối cảnh.
Một người từ ban quản lý, như giám đốc bảo mật thông tin hay giám đốc thông tin, có trách nhiệm đưa ra hướng dẫn và đóng vai trò là đầu mối liên lạc với các thành viên khác trong ban điều hành.
Các chuyên gia về nhân sự giúp quản lý mối đe dọa từ nội bộ.
Cố vấn chung giúp đội giải quyết các vấn đề về trách nhiệm pháp lý và đảm bảo hoạt động thu thập bằng chứng điều tra số được diễn ra.
- Các chuyên gia về quan hệ công chúng phối hợp truyền đạt chính xác ra bên ngoài với giới truyền thông, khách hàng và các bên liên quan khác.
Một đội ứng phó sự cố có thể là một tập hợp con của trung tâm hoạt động bảo mật (SOC), vốn xử lý các hoạt động bảo mật vượt trên cả ứng phó sự cố.
Tự động hóa ứng phó sự cố
Trong hầu hết các tổ chức, các mạng lưới và giải pháp bảo mật tạo ra lượng cảnh báo bảo mật nhiều hơn tương đối so với khả năng quản lý thực tế của đội ứng phó sự cố. Để giúp đội tập trung vào các mối đe dọa chính đáng, nhiều doanh nghiệp triển khai công nghệ tự động hóa ứng phó sự cố. Công nghệ tự động hóa sử dụng trí tuệ nhân tạo và máy học để phân loại cảnh báo, xác định sự cố và loại bỏ tận gốc các mối đe dọa bằng cách thực thi một cẩm nang ứng phó được dựa trên các tập lệnh có lập trình.
Security Orchestration, Automation and Response (SOAR) chính là một danh mục các công cụ bảo mật mà các doanh nghiệp sử dụng để tự động hóa ứng phó sự cố. Các giải pháp này cung cấp những chức năng sau:
Tương quan dữ liệu trên nhiều điểm cuối và giải pháp bảo mật nhằm xác định các sự cố để con người theo dõi.
Chạy một cẩm nang được lên sẵn kịch bản để cô lập và giải quyết các loại sự cố đã biết.
Tạo một đường thời gian điều tra bao gồm các hành động, quyết định và bằng chứng điều tra số có thể sử dụng được để phân tích.
Sử dụng thông tin bên ngoài có liên quan để phân tích về con người.
Cách triển khai kế hoạch ứng phó sự cố
Dường như khá khó khăn để phát triển được kế hoạch ứng phó sự cố, tuy nhiên việc này lại có thể giúp giảm đáng kể rủi ro để doanh nghiệp của bạn không bị rơi vào thế chưa sẵn sàng khi xảy ra sự cố lớn. Dưới đây là cách thức để bắt đầu:
-
Xác định và ưu tiên tài nguyên
Bước đầu tiên trong kế hoạch ứng phó sự cố chính là biết được mình đang bảo vệ gì. Hãy ghi chép các dữ liệu quan trọng của tổ chức, gồm cả nơi lưu trữ chúng và tầm quan trọng của chúng đối với doanh nghiệp.
-
Xác định rủi ro tiềm ẩn
Mỗi tổ chức lại có các rủi ro khác biệt. Hãy làm quen với những lỗ hổng lớn nhất trong tổ chức của bạn, đồng thời đánh giá cách thức mà kẻ tấn công có thể khai thác chúng.
-
Phát triển quy trình ứng phó
Khi đang xảy ra sự cố căng thẳng thì các quy trình rõ ràng sẽ giúp bạn đảm bảo giải quyết được sự cố một cách nhanh chóng và hiệu quả. Hãy bắt đầu bằng cách xác định những gì đủ điều kiện để được coi là sự cố, rồi xác định các bước mà đội bạn nên thực hiện để phát hiện, cô lập và phục hồi sau sự cố, bao gồm các quy trình ghi chép lại các quyết định và thu thập bằng chứng.
-
Tạo đội ứng phó sự cố
Xây dựng một đội đa năng có trách nhiệm tìm hiểu quy trình ứng phó và huy động khi xảy ra sự cố. Hãy nhớ xác định rõ các vai trò và tính đến những vai trò phi kỹ thuật mà có thể giúp đưa ra quyết định về hoạt động truyền thông và trách nhiệm pháp lý. Hãy bao gồm một người từ đội ngũ ban điều hành để họ ủng hộ đội và nhu cầu của đội ở cấp độ cao nhất trong công ty.
-
Xác định kế hoạch truyền thông
Kế hoạch truyền thông sẽ giúp bạn không cần phải đoán định thời điểm và cách thức thông báo cho những người khác ở trong và ngoài tổ chức biết điều gì đang diễn ra. Hãy suy nghĩ về các kịch bản khác nhau để giúp bạn xác định xem trong những trường hợp nào thì mình cần thông báo cho ban điều hành, toàn bộ tổ chức, khách hàng và giới truyền thông hoặc các bên liên quan bên ngoài khác.
-
Đào tạo nhân viên
Kẻ xấu nhắm mục tiêu vào nhân viên ở mọi cấp độ của tổ chức, đó là lý do tại sao việc mọi người phải hiểu được kế hoạch ứng phó của bạn và biết phải làm gì khi nghi ngờ rằng họ chính là nạn nhân của một cuộc tấn công lại trở nên quan trọng. Định kỳ kiểm tra nhân viên để xác nhận rằng họ có thể nhận diện email lừa đảo qua mạng và giúp họ dễ dàng thông báo cho đội ứng phó sự cố nếu họ vô tình bấm vào liên kết xấu hoặc mở tệp đính kèm bị nhiễm độc.
Các giải pháp ứng phó sự cố
Sẵn sàng xử lý sự cố lớn chính là một phần quan trọng trong việc giữ an toàn cho tổ chức của bạn khỏi các mối đe dọa. Việc thiết lập đội ứng phó sự cố nội bộ sẽ giúp bạn tự tin rằng bạn sẵn sàng xử lý sự cố khi bị trở thành nạn nhân của kẻ xấu.
Tận dụng các giải pháp SIEM và SOAR như Microsoft Sentinel. Các giải pháp này sử dụng công nghệ tự động hóa để giúp bạn xác định và tự động ứng phó với các sự cố. Những tổ chức có ít tài nguyên hơn có thể sử dụng một nhà cung cấp dịch vụ có khả năng xử lý nhiều giai đoạn ứng phó sự cố để củng cố cho đội ngũ của mình. Nhưng cho dù nhân viên của bạn ứng phó sự cố trong nội bộ hay bên ngoài, hãy đảm bảo rằng bạn đã có sẵn kế hoạch.
Tìm hiểu thêm về Microsoft Security
Tính năng chống mối đe dọa của Microsoft
Xác định và ứng phó với sự cố trong toàn tổ chức bằng tính năng mới nhất giúp bảo vệ trước mối đe dọa.
Microsoft Sentinel
Phát hiện các mối đe dọa tinh vi và ứng phó dứt khoát qua giải pháp SIEM mạnh mẽ, hoạt động trên nền tảng đám mây và trí tuệ nhân tạo.
Microsoft Defender XDR
Ngăn chặn các cuộc tấn công trên khắp các điểm cuối, email, danh tính, ứng dụng và dữ liệu.
Câu hỏi thường gặp
-
Ứng phó sự cố là mọi hoạt động mà một tổ chức thực hiện khi nghi ngờ có vi phạm bảo mật. Mục tiêu là cô lập và loại bỏ nhanh nhất có thể tận gốc những kẻ tấn công, tuân thủ các quy định về quyền riêng tư dữ liệu và phục hồi an toàn với ít thiệt hại nhất có thể cho tổ chức.
-
Đội đa năng sẽ chịu trách nhiệm ứng phó sự cố. Bộ phận CNTT thường sẽ chịu trách nhiệm xác định, cô lập và phục hồi từ các mối đe dọa. Tuy nhiên, chúng ta không chỉ tìm và loại bỏ kẻ xấu khi nhắc tới ứng phó sự cố. Tùy theo loại cuộc tấn công, sẽ có người có thể phải đưa ra quyết định về kinh doanh, chẳng hạn như cách giải quyết vấn đề tiền chuộc. Cố vấn pháp lý và các chuyên gia quan hệ công chúng sẽ giúp đảm bảo rằng tổ chức tuân thủ các luật về quyền riêng tư dữ liệu, gồm cả việc thông báo phù hợp cho khách hàng và chính phủ. Nếu mối đe dọa là do nhân viên gây ra thì bộ phận nhân sự sẽ tư vấn về hành động phù hợp.
-
CSIRT là một tên gọi khác của đội ứng phó sự cố. Đội là một đội đa năng với những người chịu trách nhiệm quản lý mọi khía cạnh của hoạt động ứng phó sự cố, bao gồm phát hiện, cô lập và loại bỏ mối đe dọa, phục hồi, truyền thông nội bộ và bên ngoài, ghi chép và phân tích pháp y.
-
Hầu hết các tổ chức đều sử dụng một giải pháp SIEM hoặc SOAR để giúp mình xác định và ứng phó với mối đe dọa. Các giải pháp này thường tổng hợp dữ liệu từ nhiều hệ thống và sử dụng máy học để giúp xác định các mối đe dọa thực sự. Chúng cũng có thể tự động hóa hoạt động ứng phó trước một số loại mối đe dọa dựa trên cẩm nang được lên sẵn kịch bản.
-
Vòng đời ứng phó sự cố gồm sáu giai đoạn:
- Giai đoạn chuẩn bị diễn ra trước khi đã xác định được sự cố và bao gồm cả việc định nghĩa về điều mà tổ chức coi là một sự cố cũng như toàn bộ các chính sách và quy trình cần thiết để ngăn chặn, phát hiện, loại bỏ và phục hồi sau một cuộc tấn công.
- Giai đoạn xác định mối đe dọa là một quá trình sử dụng cả phân tích viên con người và công nghệ tự động hóa để xác định sự kiện nào là mối đe dọa thực sự cần phải được giải quyết.
- Giai đoạn ngăn chặn mối đe dọa là các hành động mà đội thực hiện để cô lập mối đe dọa và ngăn không cho mối đe dọa đó lây lan sang các khu vực khác của doanh nghiệp.
- Giai đoạn loại bỏ mối đe dọa bao gồm các bước để loại bỏ phần mềm xấu và kẻ tấn công khỏi tổ chức.
- Giai đoạn phục hồi và khôi phục bao gồm việc khởi động lại hệ thống và máy móc, cũng như khôi phục mọi dữ liệu đã bị mất.
- Giai đoạn phản hồi và tinh chỉnh là quá trình nhóm thực hiện để khám phá các bài học từ sự cố, rồi áp dụng những bài học đó vào các chính sách và quy trình.
Theo dõi Microsoft Security