Em là newbie chưa biết nhiều về mấy cái bảo mật cho lắm (phải nói là chưa biết gì hết luôn ).
Cho em hỏi : Chúng ta nên làm gì đầu tiên khi hệ thống bị xâm nhập ?
Thanks 

Việc đầu tiên là tách rời hệ thống bị xâm nhập khỏi mạng và để yên đó, đừng restart, đừng cố gắng fix cái gì hết. Để yên như vậy thì mới bảo tồn "hiện trường" cho chuyên gia bảo mật có thể điều tra xem nguồn gốc và quy trình xâm nhập là gì để khắc phục và tránh không cho hệ thống được xây dựng lại bị lặp lại tình trạng như trước. 

Nếu như thế phải chăng là sẽ làm gián đoạn việc hoạt động của hệ thống, nhất là đối với hệ thống lớn như của ngân hàng.
Giải pháp:
- Sao lưu 1 bản để " bảo vệ hiện trường" chờ chuyên gia xử lý triệt để
- Fix ngay lập tức nếu như có thể. 

Một ngân hàng (có hệ thống lớn) mà không có DR (disaster recovery) mà chỉ sống trên một hệ thống thì tiêu như củ khoai thiu . 

Thế thì comale chưa biết rồi, có ngân hàng lớn hẳn hoi không có DR. Ngân hàng này không về tiền tệ.
Ý của mình trên chỉ là nâng cao quan điểm thôi và là ví dụ thôi, không bàn kỹ thuật mà. 

He hè, tớ làm cho hệ thống ngân hàng tài chính gần chục năm mà không biết thì còn biết cái gì?

Diễn đàn này là diễn đàn kỹ thuật mà không bàn kỹ thuật thì bàn cái gì? 

He hè, tớ làm cho hệ thống ngân hàng tài chính gần chục năm mà không biết thì còn biết cái gì?

Diễn đàn này là diễn đàn kỹ thuật mà không bàn kỹ thuật thì bàn cái gì? 

Kỹ thuật và giải pháp luôn đi cùng nhau mà. Ý tớ là đang nói giải pháp vì tiêu đề bạn ý hỏi mang ý giải pháp nhiều hơn mà.
Còn ngân hàng tớ nói là ngân hàng " sữa chua" ý, có chắc là nó có DR không?  

Việc đầu tiên là tách rời hệ thống bị xâm nhập khỏi mạng và để yên đó, đừng restart, đừng cố gắng fix cái gì hết. Để yên như vậy thì mới bảo tồn "hiện trường" cho chuyên gia bảo mật có thể điều tra xem nguồn gốc và quy trình xâm nhập là gì để khắc phục và tránh không cho hệ thống được xây dựng lại bị lặp lại tình trạng như trước. 

Việc đầu tiên là tách rời hệ thống bị xâm nhập khỏi mạng và để yên đó, đừng restart, đừng cố gắng fix cái gì hết. Để yên như vậy thì mới bảo tồn "hiện trường" cho chuyên gia bảo mật có thể điều tra xem nguồn gốc và quy trình xâm nhập là gì để khắc phục và tránh không cho hệ thống được xây dựng lại bị lặp lại tình trạng như trước. 

Nếu như chờ chuyên gia xem mất 1 tuần, thì ảnh hưởng ra sao đến hoạt động khác.
Thực sự ý của mình ở đây là muốn nhấn mạnh cái việc " bị gián đoạn hoạt động" và thêm vào 1 ý với ý kiến ban đầu của comale. Chứ không có chủ ý nói đến hệ thống lớn cỡ nào, có hay ko có DR.
(Vậy nếu restore lại hệ thống mất 2 ngày trong khi fix lỗi chỉ mất 1 tiếng? ta làm cái nào hơn?)

 

ntcvhc wrote:

Việc đầu tiên là tách rời hệ thống bị xâm nhập khỏi mạng và để yên đó, đừng restart, đừng cố gắng fix cái gì hết. Để yên như vậy thì mới bảo tồn "hiện trường" cho chuyên gia bảo mật có thể điều tra xem nguồn gốc và quy trình xâm nhập là gì để khắc phục và tránh không cho hệ thống được xây dựng lại bị lặp lại tình trạng như trước. 

Nếu như chờ chuyên gia xem mất 1 tuần, thì ảnh hưởng ra sao đến hoạt động khác.
Thực sự ý của mình ở đây là muốn nhấn mạnh cái việc " bị gián đoạn hoạt động" và thêm vào 1 ý với ý kiến ban đầu của comale. Chứ không có chủ ý nói đến hệ thống lớn cỡ nào, có hay ko có DR.
(Vậy nếu restore lại hệ thống mất 2 ngày trong khi fix lỗi chỉ mất 1 tiếng? ta làm cái nào hơn?)

 

Nếu bạn không biết hệ thống bị xâm nhập như thế nào thì có gì bảo đảm rằng sau khi phục hồi xong, hệ thống lại tiếp tục bị phá? Làm sao bạn biết hệ thống này bị xâm nhập nặng nhẹ, nông sâu như thế nào? Làm sao bạn xác định được "fix lỗi chỉ mất 1 tiếng"? Đừng quá chủ quan và đừng tự chọn những con số mơ hồ đó. 

conmale wrote:

ntcvhc wrote:

Việc đầu tiên là tách rời hệ thống bị xâm nhập khỏi mạng và để yên đó, đừng restart, đừng cố gắng fix cái gì hết. Để yên như vậy thì mới bảo tồn "hiện trường" cho chuyên gia bảo mật có thể điều tra xem nguồn gốc và quy trình xâm nhập là gì để khắc phục và tránh không cho hệ thống được xây dựng lại bị lặp lại tình trạng như trước. 

Nếu như chờ chuyên gia xem mất 1 tuần, thì ảnh hưởng ra sao đến hoạt động khác.
Thực sự ý của mình ở đây là muốn nhấn mạnh cái việc " bị gián đoạn hoạt động" và thêm vào 1 ý với ý kiến ban đầu của comale. Chứ không có chủ ý nói đến hệ thống lớn cỡ nào, có hay ko có DR.
(Vậy nếu restore lại hệ thống mất 2 ngày trong khi fix lỗi chỉ mất 1 tiếng? ta làm cái nào hơn?)

 

Nếu bạn không biết hệ thống bị xâm nhập như thế nào thì có gì bảo đảm rằng sau khi phục hồi xong, hệ thống lại tiếp tục bị phá? Làm sao bạn biết hệ thống này bị xâm nhập nặng nhẹ, nông sâu như thế nào? Làm sao bạn xác định được "fix lỗi chỉ mất 1 tiếng"? Đừng quá chủ quan và đừng tự chọn những con số mơ hồ đó. 

Mình không chủ quan, những con số chỉ là ví dụ, mang tính tham khảo. Thanks comale đã reply, với 1 câu hỏi chung chung như chủ topic đưa ra thì có ngồi gạch đầu dòng cả trang A4 cũng chưa hết. Vậy tiến trình sẽ phải làm cái gì trước và quan trọng trước ?
Mình đưa ra 1 ví dụ cụ thể như: Mình hiện là chủ tịch của ngân hàng ABC, mình được thông báo là có 1 tài khoản gian lận 1000 tỷ đồng khống. Như vậy mình biết là hệ thống đã bị xâm nhập, vậy việc trước tiên có phải là dừng toàn bộ hệ thống lại đề chờ chuyên gia xem xét và xử lý hay ta nên làm đồng thời là khoá tài khoản đó lại ngay lập tức để tránh bị rút tiền và vẫn chờ chuyên gia xử lý? 

Vậy cho mình hỏi theo comale thì sẽ shutdown toàn bộ hệ thống và chờ chuyên gia xử lý triệt để? Có hướng nào tốt nhất không? 

ntcvhc wrote:

Vậy cho mình hỏi theo comale thì sẽ shutdown toàn bộ hệ thống và chờ chuyên gia xử lý triệt để? Có hướng nào tốt nhất không? 

Đọc từ đầu cho kỹ. Tôi chưa bao giờ nói "shutdown toàn bộ hệ thống". Bồ nên trả lời câu tôi hỏi thay vì hỏi ngược lại.