Checklist công việc cần thực hiện sau sự cố CIC

Dưới đây là bản “giải nghĩa + cách làm” theo đúng nội dung anh gửi trong ảnh. Chia thành 2 hóm yêu cầu như văn bản: (1) Tuân thủ quy định/tiêu chuẩn an toàn thông tin; (2) Công tác sao lưu – lưu trữ dữ liệu (quy tắc 3-2-1, bản sao offline…). Mỗi mục đều có: mục tiêu, bước triển khai (step-by-step), bằng chứng nghiệm thu, và rủi ro nếu không tuân thủ.

1) Tuân thủ quy định & tiêu chuẩn về bảo mật, an ninh, an toàn thông tin

1.1 Siết chặt “rules” trên thiết bị/giải pháp bảo đảm an toàn thông tin

Mục tiêu: Chặn tấn công lặp lại, giảm bề mặt tấn công.
Cách làm – step by step

1. Kiểm kê tất cả điểm bảo vệ: NGFW/WAF/IPS/EDR/AV/SWG/SIEM/Email GW/Proxy/VPN.

2. Xuất cấu hình hiện tại và đóng cứng theo nguyên tắc “deny-by-default”: chỉ mở đúng luồng cần.

3. Tạo/làm chặt các security policy:

   • FW/WAF: chặn RCE/SQLi/SSRF phổ biến; chặn tải xuống nhị phân; rate-limit API công khai.

   • Email: SPF/DKIM/DMARC ở chế độ quarantine/reject; sandbox tệp đính kèm.

   • EDR: block thực thi từ thư mục tạm, chặn LOLBins (rundll32, certutil…) bất thường.

4. Bật TLS mạnh (≥TLS1.2), cấm SSLv3/TLS1.0/1.1, HSTS cho web.

5. Lập change record (ai đổi gì, khi nào), kèm rollback.
   Bằng chứng: biên bản thay đổi, baseline policy mới, kết quả kiểm thử (nmap/waf test/report).
   Rủi ro nếu bỏ sót: lỗ hổng vẫn mở → tái xâm nhập cùng kỹ thuật.

---

1.2 Thay đổi mật khẩu định kỳ – đặc biệt tài khoản quản trị hệ thống (≥ 3 tháng/lần)

Mục tiêu: Giảm rủi ro tài khoản bị lộ/bị lưu trữ lâu ngày.
Cách làm

1. Trích xuất danh sách tài khoản đặc quyền (AD/Unix/DB/thiết bị mạng/ứng dụng).

2. Bật/bắt buộc MFA (ưu tiên FIDO2/WebAuthn) cho toàn bộ admin & truy cập từ xa.

3. Xoay mật khẩu/secret: dùng vault (HashiCorp/CyberArk…), random ≥ 14 ký tự, không lặp.

4. Thu hồi token/API key cũ; rotate SSH keys, DB links, tài khoản dịch vụ (service account).

5. Đặt lịch tự động nhắc quay vòng ≤ 90 ngày; emergency rotation khi IOC phát hiện.
   Bằng chứng: log PAM/PAM-JIT, danh mục secret đã xoay, ảnh chụp cấu hình MFA, báo cáo tuân thủ 90 ngày.
   Rủi ro: chiếm quyền trái phép kéo dài, leo thang đặc quyền.

---

1.3 Rà soát – loại bỏ – vô hiệu hoá tài khoản không sử dụng

Mục tiêu: Loại “tài khoản mồ côi/nhàn rỗi”.
Cách làm

1. So khớp HR vs IAM → tìm tài khoản người nghỉ việc/đổi đơn vị.

2. Lọc tài khoản không đăng nhập ≥ 45–60 ngày → disable, xét xoá sau 30 ngày.

3. Bỏ shared accounts; ràng buộc owner chịu trách nhiệm từng tài khoản dịch vụ.

4. Bật lastLogon/login audit; cảnh báo khi có đăng nhập từ tài khoản disabled.
   Bằng chứng: danh sách disable/xoá, báo cáo đối soát HR, log xác minh.
   Rủi ro: kênh hậu môn (backdoor) hợp lệ để xâm nhập.

---

1.4 Cập nhật bản vá lỗ hổng bảo mật cho hệ điều hành/ứng dụng/thiết bị

Mục tiêu: Đóng n-day/EOL – nhóm nguyên nhân thường thấy.
Cách làm

1. Lập bill of materials (BoM): OS, middleware (WebLogic/Tomcat…), DB (Oracle/PG), thiết bị mạng, VPN, hypervisor, phần mềm nội bộ.

2. So khớp CVE/CISA KEV; phân loại Critical/High → cam kết SLA: Critical ≤ 7 ngày; High ≤ 30 ngày.

3. Với EOL không còn bản vá: cô lập mạng hoặc nâng cấp thay thế.

4. Triển khai staging/UAT trước khi áp vào PROD; đặt bảo trì có giám sát.
   Bằng chứng: bảng vá theo SLA, scan trước/sau (Nessus/Qualys), biên bản UAT.
   Rủi ro: tái bị khai thác qua lỗ hổng công khai.

---

1.5 Rà soát – loại bỏ mã độc/mối nguy (malware/bot/webshell)

Mục tiêu: Làm sạch bền vững.
Cách làm

1. EDR “full sweep”: quét IOC đã biết, nhớ persistence (Run keys, Scheduled Tasks, crontab, services).

2. Web: tìm webshell (tệp lạ, timestamp bất thường); so checksum bản phát hành chuẩn.

3. Máy chủ: kiểm tra process/connection lạ (ss -tpn, lsof -Pi, pgrep -af rclone|aws|gsutil…), tệp nén lớn mới tạo (find / -mmin -60 -size +500M).

4. Cách ly/quarantine; re-image nếu cần; giữ ảnh đĩa phục vụ pháp y.
   Bằng chứng: báo cáo EDR clean, danh sách IOC xử lý, biên bản re-image.
   Rủi ro: kẻ tấn công vẫn lưu điểm bám (beacon) chờ cơ hội.

---

1.6 Tăng cường giám sát để ứng phó, xử lý kịp thời

Mục tiêu: Rút ngắn thời gian phát hiện (MTTD) & phản ứng (MTTR).
Cách làm

1. Tập trung log về SIEM (AD/VPN/WAF/DB/Proxy/EDR/K8s audit). Retention ≥ 90 ngày.

2. Viết use-case:

   • “DB full scan/COPY/EXP bất thường”, “data egress spike”, “login sau giờ hành chính”, “MFA thất bại liên tiếp”, “tạo user admin mới”.

3. Threat hunting hàng tuần theo MITRE ATT&CK; theo dõi diễn đàn ngầm/OSINT.

4. Thiết lập SLA cảnh báo (P1 < 15 phút, P2 < 1 giờ) và quy trình escalations 24/7.
   Bằng chứng: dashboard SIEM, danh mục use-case, báo cáo hunting định kỳ.
   Rủi ro: phát hiện chậm → thiệt hại lan rộng.

---

1.7 Rà soát – cập nhật – bổ sung quy trình bảo đảm an toàn theo tiêu chuẩn (TCVN 11930:2017…)

Mục tiêu: Chuẩn hoá vận hành – tránh “làm xong để đó”.
Cách làm

1. Cập nhật IRP/BCP/DRP, quy trình quản lý thay đổi, quản lý sự cố, quản lý bản vá, quản lý tài khoản.

2. Gắn KPI/OKR: % hệ thống có MFA/EDR; SLA vá lỗi; tần suất diễn tập; % log vào SIEM.

3. Table-top/DR drill tối thiểu 2 lần/năm; AAR & CAPA sau mỗi đợt.
   Bằng chứng: tài liệu đã phê duyệt, lịch & biên bản diễn tập, báo cáo KPI quý.
   Rủi ro: tái phạm do quy trình không theo kịp thực tế.

---

2) Công tác lưu trữ – sao lưu dữ liệu (quy tắc 3-2-1, bản sao offline/“air-gap”, mã hoá dữ liệu quan trọng)

2.1 Áp dụng quy tắc 3-2-1

Mục tiêu: Có khả năng khôi phục dù xảy ra mã độc/tống tiền/sự cố hạ tầng.
Cách làm

1. 3 bản sao: dữ liệu vận hành + 2 bản sao lưu.

2. 2 phương tiện khác nhau: ví dụ disk library (NAS/DAS) và object storage/tape.

3. 1 bản offline/air-gap/WORM: không gắn mạng; có retention bất biến (WORM).

4. Lịch full/incremental theo RPO; tối thiểu kiểm thử restore định kỳ (hàng quý với hệ trọng yếu).
   Bằng chứng: sơ đồ sao lưu, cấu hình retention, biên bản restore thử thành công.
   Rủi ro: backup bị mã độc xoá/ghi đè → không thể phục hồi.

---

2.2 Kiểm tra định kỳ & giám sát sao lưu

Mục tiêu: Backup không chỉ “chạy” mà khôi phục được.
Cách làm

1. Theo dõi job success rate, dung lượng, tốc độ, cảnh báo lỗi job.

2. Thử khôi phục mẫu (file/DB/VM/K8s) về môi trường sạch; ghi RTO/RPO thực tế.

3. Soát checksum & tính toàn vẹn sau restore.
   Bằng chứng: báo cáo job, log restore, biên bản UAT.
   Rủi ro: ngày xảy ra sự cố mới biết backup hỏng.

---

2.3 Mã hoá dữ liệu & bảo vệ thông tin quan trọng/thuộc bí mật nhà nước

Mục tiêu: Dữ liệu lộ vẫn không đọc được; tuân thủ phân loại thông tin.
Cách làm

1. Mã hoá at-rest (AES-256) cho bản sao lưu & kho dữ liệu; in-transit (TLS ≥1.2).

2. Quản lý khoá bằng KMS/HSM, phân quyền dual-control, xoay khoá định kỳ.

3. Phân loại dữ liệu: PII/tín dụng và bí mật nhà nước → áp chế độ mã hoá, lưu trữ, vận chuyển theo đúng thang phân loại và quy định tương ứng.
   Bằng chứng: sơ đồ KMS/HSM, biên bản kiểm kê/phan loại, log xoay khoá.
   Rủi ro: dữ liệu nhạy cảm bị khai thác trực tiếp nếu lộ lọt.

---

2.4 Rà soát hệ thống/phương tiện lưu trữ & quy trình thao tác

Mục tiêu: Thiết bị lưu trữ an toàn, quy trình vận hành không tạo lỗ hổng.
Cách làm

1. Kiểm tra firmware/OS của thiết bị lưu trữ, tắt dịch vụ dư thừa; phân vùng mạng riêng.

2. Quy định người – chìa khoá – thời gian khi mang bản sao offline ra/vào kho (2-person rule).

3. Nhật ký xuất/nhập bản sao offline, kiểm kê hàng tháng.
   Bằng chứng: checklist kiểm kê, nhật ký kho, báo cáo hardening thiết bị lưu trữ.
   Rủi ro: mất mát/đánh tráo bản sao; lộ dữ liệu do quy trình lỏng lẻo.

---

Gợi ý “đóng gói” thành bảng theo dõi (mẫu nhanh)

Hạng mục	Chủ trì	SLA/KPI	Bằng chứng “xong khi”
Siết rules (FW/WAF/EDR)	SecOps	Deny-by-default; HSTS/TLS≥1.2	Policy + kết quả kiểm thử
Rotate admin + MFA	IAM	100% admin có MFA; quay vòng ≤90 ngày	Báo cáo MFA + danh mục secret đã xoay
Vô hiệu tài khoản rác	IAM/HR	100% tài khoản nghỉ việc disabled ≤24h	Biên bản đối soát HR
Vá lỗi/EOL	IT Ops	Critical ≤7 ngày; High ≤30 ngày	Scan trước/sau đạt “no-critical”
Dọn mã độc/webshell	CSIRT	IOC=0; persistence=0	Báo cáo EDR clean
SOC/SIEM Use-cases	SOC	P1 alert <15’	Dashboard & playbook
Backup 3-2-1	DBA/Backup	1 bản WORM offline; test restore/quý	Biên bản restore OK
Mã hoá & KMS	Security	AES-256 at-rest; TLS ≥1.2; rotate khóa	Sơ đồ KMS/HSM + log rotate

---

Lưu ý thực thi nhanh

• Ưu tiên P0 trong 7 ngày: (1.1)–(1.4) + (2.1)–(2.2).

• Mỗi hạng mục đều phải có owner, deadline, và bằng chứng. Không có bằng chứng coi như chưa hoàn thành.

• Sau 30 ngày: diễn tập DR drill tối thiểu cho 1 hệ thống lõi, lập AAR/CAPA cập nhật quy trình.

=============================
Website không chứa bất kỳ quảng cáo nào, mọi đóng góp để duy trì phát triển cho website (donation) xin vui lòng gửi về STK 90.2142.8888 - Ngân hàng Vietcombank Thăng Long - TRAN VAN BINH
=============================
Nếu bạn không muốn bị AI thay thế và tiết kiệm 3-5 NĂM trên con đường trở thành DBA chuyên nghiệp hay làm chủ Database thì hãy đăng ký ngay KHOÁ HỌC ORACLE DATABASE A-Z ENTERPRISE, được Coaching trực tiếp từ tôi với toàn bộ bí kíp thực chiến, thủ tục, quy trình của gần 20 năm kinh nghiệm (mà bạn sẽ KHÔNG THỂ tìm kiếm trên Internet/Google) từ đó giúp bạn dễ dàng quản trị mọi hệ thống Core tại Việt Nam và trên thế giới, đỗ OCP.
- CÁCH ĐĂNG KÝ: Gõ (.) hoặc để lại số điện thoại hoặc inbox https://m.me/tranvanbinh.vn hoặc Hotline/Zalo 090.29.12.888
- Chi tiết tham khảo:
https://bit.ly/oaz_w
=============================
2 khóa học online qua video giúp bạn nhanh chóng có những kiến thức nền tảng về Linux, Oracle, học mọi nơi, chỉ cần có Internet/4G:
- Oracle cơ bản: https://bit.ly/admin_1200
- Linux: https://bit.ly/linux_1200
=============================
KẾT NỐI VỚI CHUYÊN GIA TRẦN VĂN BÌNH:
📧 Mail: binhoracle@gmail.com
☎️ Mobile/Zalo: 0902912888
👨 Facebook: https://www.facebook.com/BinhOracleMaster
👨 Inbox Messenger: https://m.me/101036604657441 (profile)
👨 Fanpage: https://www.facebook.com/tranvanbinh.vn
👨 Inbox Fanpage: https://m.me/tranvanbinh.vn
👨👩 Group FB: https://www.facebook.com/groups/DBAVietNam
👨 Website: https://www.tranvanbinh.vn
👨 Blogger: https://tranvanbinhmaster.blogspot.com
🎬 Youtube: https://www.youtube.com/@binhguru
👨 Tiktok: https://www.tiktok.com/@binhguru
👨 Linkin: https://www.linkedin.com/in/binhoracle
👨 Twitter: https://twitter.com/binhguru
👨 Podcast: https://www.podbean.com/pu/pbblog-eskre-5f82d6
👨 Địa chỉ: Tòa nhà Sun Square - 21 Lê Đức Thọ - Phường Mỹ Đình 1 - Quận Nam Từ Liêm - TP.Hà Nội

=============================
cơ sở dữ liệu, cơ sở dữ liệu quốc gia, database, AI, trí tuệ nhân tạo, artificial intelligence, machine learning, deep learning, LLM, ChatGPT, DeepSeek, Grok, oracle tutorial, học oracle database, Tự học Oracle, Tài liệu Oracle 12c tiếng Việt, Hướng dẫn sử dụng Oracle Database, Oracle SQL cơ bản, Oracle SQL là gì, Khóa học Oracle Hà Nội, Học chứng chỉ Oracle ở đầu, Khóa học Oracle online,sql tutorial, khóa học pl/sql tutorial, học dba, học dba ở việt nam, khóa học dba, khóa học dba sql, tài liệu học dba oracle, Khóa học Oracle online, học oracle sql, học oracle ở đâu tphcm, học oracle bắt đầu từ đâu, học oracle ở hà nội, oracle database tutorial, oracle database 12c, oracle database là gì, oracle database 11g, oracle download, oracle database 19c/21c/23c/23ai, oracle dba tutorial, oracle tunning, sql tunning , oracle 12c, oracle multitenant, Container Databases (CDB), Pluggable Databases (PDB), oracle cloud, oracle security, oracle fga, audit_trail,oracle RAC, ASM, oracle dataguard, oracle goldengate, mview, oracle exadata, oracle oca, oracle ocp, oracle ocm , oracle weblogic, postgresql tutorial, mysql tutorial, mariadb tutorial, ms sql server tutorial, nosql, mongodb tutorial, oci, cloud, middleware tutorial, docker, k8s, micro service, hoc solaris tutorial, hoc linux tutorial, hoc aix tutorial, unix tutorial, securecrt, xshell, mobaxterm, putty