Mình xin góp chút ý kiến, có vẻ mang tính lý thuyết nhưng mình nghĩ là cần thiết.
Chuẩn bị:
- Có kế hoạch dự phòng thảm họa - càng chi tiết càng tốt, chỉ rõ vai trò, chức năng các bộ phận, cách thức phản ứng với một số trường hợp cụ thể như DDoS, mất quyền, lỗi liên quan đến DNS v.v...
- Định kỳ diễn tập như diễn tập quân sự để tăng cường khả năng phối hợp
Trong quá trình vận hành:
- Định kỳ xem qua log, đặc biệt các log liên quan đến quản trị, có thể dung tool để filter - mình nghĩ cái này rất quan trọng, trong diễn đàn cũng nhiều chủ đề về cái này. giám sát log mới có khả năng phát hiện sớm những nguy cơ, rủi ro tấn công cũng như các lỗi khác của hệ thống - Nếu có thể, đẩy log ra 1 hệ thông ngoài để lưu trữ, phân tích định kỳ (Spunk chẳng hạn)
- Thường xuyên theo dõi, cập nhật các bản vá liên quan, signature của FW, IPS
Phản ứng khi bị tấn công:
- Nếu đã có kịch bản sẽ chủ động hơn trong việc phòng chống
- các biện pháp thì các bác phía trên đã bàn nhiều rồi
Sau khi bị tấn công:
- Rà soát xem có rút được bài học kinh nghiệm gì không, cố gắng học từ sai lầm của người khác chứ đừng để mình mắc lỗi rồi mà vẫn không học được gì
|