Thứ Bảy, 18 tháng 10, 2025

Thủ tục Ứng cứu Sự cố (Incident Response Procedures – IRP) chi tiết cho 6 loại sự cố chính

🧭 THỦ TỤC ỨNG CỨU SỰ CỐ (IRP – INCIDENT RESPONSE PROCEDURES)

Đơn vị: Công ty Cổ phần Chứng khoán VNDIRECT
Ban hành: 17/10/2025  Phiên bản: 1.0

IR-A1: TẤN CÔNG MẠNG (Network Intrusion)

Bị truy cập trái phép, cài mã độc, web deface, RCE, khai thác API
Mức độ khẩn cấp: P1

1️⃣ Dấu hiệu nhận biết

  • Web bị thay đổi giao diện, có nội dung lạ.

  • Log Nginx/Apache xuất hiện yêu cầu POST khả nghi (/upload, /shell.php).

  • Tăng đột biến outbound traffic hoặc IP nước ngoài truy cập lặp lại.

  • EDR cảnh báo process chạy từ /tmp, /var/www/html.

2️⃣ Hành động khẩn

# Cô lập máy chủ nghi bị xâm nhập
iptables -A INPUT -s 0.0.0.0/0 -j DROP
iptables -A OUTPUT -s 0.0.0.0/0 -j DROP

# Ngắt ingress/public service tạm thời
kubectl -n web-app annotate ingress web-gw status="isolated" --overwrite

# Snapshot phục vụ forensics
curl -u admin:RedHat123 -X POST \
  -H "Content-Type: application/xml" \
  -d "<snapshot><description>IR-A1_$(date +%F_%H%M)</description></snapshot>" \
  https://rhv-mgr.local/ovirt-engine/api/vms/uuid-web01/snapshots

3️⃣ Điều tra – khắc phục

  • Phân tích log, tiến trình, IOC, file mới tạo 24h gần nhất.

  • Xác định vector tấn công (webshell, lỗ hổng RCE, credential reuse).

  • Gỡ mã độc, vá ứng dụng, đổi mật khẩu admin/API key.

4️⃣ Phục hồi

  • Restore từ bản backup sạch (Commvault).

  • Test giao diện, API, TLS certificate, permission.

5️⃣ Báo cáo & phòng ngừa

  • Gửi báo cáo A05/NHNN trong 24h.

  • Bật WAF (ModSecurity / Imperva).

  • Thực hiện pentest ứng dụng sau khắc phục.

IR-A2: RÒ RỈ DỮ LIỆU (Data Breach)

Thông tin khách hàng, tài khoản, giao dịch bị truy xuất hoặc tải ra ngoài
Mức độ: P1

1️⃣ Dấu hiệu

  • SIEM cảnh báo egress > 50 MB / 15 phút.

  • DB audit log ghi SELECT * FROM CUSTOMER bất thường.

  • Dữ liệu khách hàng xuất hiện trên diễn đàn ngầm / Telegram.

2️⃣ Hành động khẩn

  • Ngắt đường truyền Internet hoặc FW egress từ máy chủ nghi vấn.

  • Ghi lại bản dump network (tcpdump -i eth0 -w dump.pcap).

  • Cô lập user, revoke credential DB (ALTER USER <user> ACCOUNT LOCK;).

3️⃣ Điều tra

  • Truy ngược IP nguồn, thời gian, query, ứng dụng gọi API.

  • Kiểm tra quyền trên bảng nhạy cảm (CUSTOMER, ACCOUNT, CREDIT).

  • So sánh log backup – tìm bản dữ liệu bị tải ra.

4️⃣ Phục hồi

  • Reset toàn bộ credential có khả năng bị lộ.

  • Vá lỗi API hoặc xóa endpoint public.

  • Thông báo khách hàng theo quy định nếu có rò rỉ thực tế.

5️⃣ Phòng ngừa

  • Bật Database Activity Monitoring (DAM) hoặc FGA/PGAudit.

  • Mã hóa cột chứa PII (AES256).

  • Kiểm soát truy vấn lớn qua proxy DB.

IR-A3: DDOS / TỪ CHỐI DỊCH VỤ

Mất khả năng truy cập hệ thống giao dịch > 10 phút
Mức độ: P2

1️⃣ Dấu hiệu

  • Website / API timeout liên tục, CPU 100%.

  • Lưu lượng inbound tăng bất thường > 10x.

  • Firewall log: nhiều SYN/ACK từ cùng dải IP.

2️⃣ Hành động khẩn

  • Bật chính sách rate limit / SYN cookie trên load balancer.

  • Yêu cầu ISP kích hoạt DDoS Mitigation (Viettel, VNPT).

  • Giới hạn truy cập theo vùng địa lý (GeoIP filter).

3️⃣ Điều tra

  • Phân tích PCAP → phân loại tấn công (Layer 3, 4, 7).

  • Ghi nhận nguồn tấn công để báo cáo CERT-VN.

4️⃣ Phục hồi

  • Chuyển hướng traffic sang DR site hoặc CDN.

  • Thêm cache Cloudflare/Akamai.

5️⃣ Phòng ngừa

  • Đăng ký dịch vụ chống DDoS chuyên dụng.

  • Giám sát lưu lượng baseline và cảnh báo tự động.

IR-A4: SỰ CỐ NỘI BỘ / CẤU HÌNH SAI (Insider / Misconfig)

Sai cấu hình, lỗi vận hành gây lộ dữ liệu
Mức độ: P2

1️⃣ Dấu hiệu

  • File cấu hình chứa mật khẩu commit lên Git.

  • Quyền public trên bucket/object storage.

  • Dữ liệu nhạy cảm gửi sai người, email ngoài domain.

2️⃣ Hành động khẩn

  • Xóa thông tin public, đổi credential ngay.

  • Thông báo lãnh đạo + CISO trong vòng 30 phút.

3️⃣ Điều tra

  • Xác định nguồn thao tác (user / automation pipeline).

  • Phân tích log commit, thời điểm, công cụ CI/CD.

4️⃣ Phục hồi

  • Revoke token/API key, điều chỉnh pipeline, harden IAM.

5️⃣ Phòng ngừa

  • Bật secret scan trong GitLab CI, GitGuardian.

  • Đào tạo DevSecOps về “least privilege & secret hygiene”.

IR-A5: RANSOMWARE / MALWARE

Phát hiện mã độc mã hóa dữ liệu, cảnh báo EDR
Mức độ: P1

1️⃣ Dấu hiệu

  • File bị đổi đuôi .locked, .enc.

  • CPU/disk I/O tăng đột biến.

  • EDR cảnh báo process lạ (vssadmin delete shadows, powershell -enc).

2️⃣ Hành động khẩn

  • Ngắt kết nối mạng ngay (ifdown eth0).

  • Snapshot nhanh, không restart máy.

  • Thông báo CISO và TGĐ để kích hoạt IRP cấp cao.

3️⃣ Điều tra

  • Thu thập IOC, hash file, phân tích bằng YARA hoặc VirusTotal.

  • Kiểm tra máy đầu tiên bị nhiễm → nguồn lây (email, USB, VPN).

  • Kiểm tra có truy cập lateral (WinRM, SMB, RDP).

4️⃣ Phục hồi

  • Xóa sạch mã độc, reimage hệ điều hành.

  • Restore dữ liệu sạch từ bản sao WORM/Commvault.

5️⃣ Phòng ngừa

  • Bật EDR/XDR real-time protection.

  • Thực hiện backup 3-2-1 (có bản offline).

  • Tập huấn nhân viên nhận biết email phishing.

IR-A6: SỰ CỐ HẠ TẦNG (System Failure)

Lỗi DB, storage, hypervisor, network làm gián đoạn > 30 phút
Mức độ: P3

1️⃣ Dấu hiệu

  • VM unreachable, Storage I/O error, Network down.

  • Database crash / hung instance / corruption.

2️⃣ Hành động khẩn

  • Chuyển sang DR site nếu RTO/RPO cho phép.

  • Mở chế độ read-only tạm thời với hệ thống giao dịch.

3️⃣ Điều tra

  • Xem log hệ điều hành, storage, network, DB alert log.

  • Kiểm tra lỗi phần cứng (disk, switch, SAN).

4️⃣ Phục hồi

  • Restore từ snapshot / Commvault.

  • Kiểm tra tính toàn vẹn dữ liệu (checksum, consistency).

5️⃣ Phòng ngừa

  • Kiểm tra định kỳ hệ thống điện, storage, HA.

  • Định kỳ test DR drill 2 lần/năm.

🔚 TỔNG HỢP TRÁCH NHIỆM THEO GIAI ĐOẠN (RACI)

Giai đoạnNgười chủ trìBộ phận hỗ trợBáo cáo
Phát hiện (Detection)SOC ManagerIT Ops, DevSecOpsCISO
Khoanh vùng (Containment)CISONetSec, DBATGĐ
Điều tra (Analysis)CSIRT LeadSOC, IT, DevTGĐ, A05
Khắc phục (Eradication)IT OpsDBA, DevCISO
Phục hồi (Recovery)IT Ops + DBAApp OwnerCISO
Báo cáo (Post-IR)CISOComms, LegalTGĐ, NHNN

📄 Báo cáo & Đóng sự cố

Mẫu IR Closure Report

MụcNội dung
ID Sự cốIR-A# / Ngày / Hệ thống
Mô tả ngắn……………………………………………………………
Nguyên nhân gốc……………………………………………………………
Thiệt hại……………………………………………………………
Biện pháp khắc phục……………………………………………………………
Bài học & khuyến nghị……………………………………………………………
Người lậpCSIRT Lead
Phê duyệtCISO / TGĐ
=============================
Website không chứa bất kỳ quảng cáo nào, mọi đóng góp để duy trì phát triển cho website (donation) xin vui lòng gửi về STK 90.2142.8888 - Ngân hàng Vietcombank Thăng Long - TRAN VAN BINH
=============================
Nếu bạn không muốn bị AI thay thế và tiết kiệm 3-5 NĂM trên con đường trở thành DBA chuyên nghiệp hay làm chủ Database thì hãy đăng ký ngay KHOÁ HỌC ORACLE DATABASE A-Z ENTERPRISE, được Coaching trực tiếp từ tôi với toàn bộ bí kíp thực chiến, thủ tục, quy trình của gần 20 năm kinh nghiệm (mà bạn sẽ KHÔNG THỂ tìm kiếm trên Internet/Google) từ đó giúp bạn dễ dàng quản trị mọi hệ thống Core tại Việt Nam và trên thế giới, đỗ OCP.
- CÁCH ĐĂNG KÝ: Gõ (.) hoặc để lại số điện thoại hoặc inbox https://m.me/tranvanbinh.vn hoặc Hotline/Zalo 090.29.12.888
- Chi tiết tham khảo:
https://bit.ly/oaz_w
=============================
2 khóa học online qua video giúp bạn nhanh chóng có những kiến thức nền tảng về Linux, Oracle, học mọi nơi, chỉ cần có Internet/4G:
- Oracle cơ bản: https://bit.ly/admin_1200
- Linux: https://bit.ly/linux_1200
=============================
KẾT NỐI VỚI CHUYÊN GIA TRẦN VĂN BÌNH:
📧 Mail: binhoracle@gmail.com
☎️ Mobile/Zalo: 0902912888
👨 Facebook: https://www.facebook.com/BinhOracleMaster
👨 Inbox Messenger: https://m.me/101036604657441 (profile)
👨 Fanpage: https://www.facebook.com/tranvanbinh.vn
👨 Inbox Fanpage: https://m.me/tranvanbinh.vn
👨👩 Group FB: https://www.facebook.com/groups/DBAVietNam
👨 Website: https://www.tranvanbinh.vn
👨 Blogger: https://tranvanbinhmaster.blogspot.com
🎬 Youtube: https://www.youtube.com/@binhguru
👨 Tiktok: https://www.tiktok.com/@binhguru
👨 Linkin: https://www.linkedin.com/in/binhoracle
👨 Twitter: https://twitter.com/binhguru
👨 Podcast: https://www.podbean.com/pu/pbblog-eskre-5f82d6
👨 Địa chỉ: Tòa nhà Sun Square - 21 Lê Đức Thọ - Phường Mỹ Đình 1 - Quận Nam Từ Liêm - TP.Hà Nội

=============================
cơ sở dữ liệu, cơ sở dữ liệu quốc gia, database, AI, trí tuệ nhân tạo, artificial intelligence, machine learning, deep learning, LLM, ChatGPT, DeepSeek, Grok, oracle tutorial, học oracle database, Tự học Oracle, Tài liệu Oracle 12c tiếng Việt, Hướng dẫn sử dụng Oracle Database, Oracle SQL cơ bản, Oracle SQL là gì, Khóa học Oracle Hà Nội, Học chứng chỉ Oracle ở đầu, Khóa học Oracle online,sql tutorial, khóa học pl/sql tutorial, học dba, học dba ở việt nam, khóa học dba, khóa học dba sql, tài liệu học dba oracle, Khóa học Oracle online, học oracle sql, học oracle ở đâu tphcm, học oracle bắt đầu từ đâu, học oracle ở hà nội, oracle database tutorial, oracle database 12c, oracle database là gì, oracle database 11g, oracle download, oracle database 19c/21c/23c/23ai, oracle dba tutorial, oracle tunning, sql tunning , oracle 12c, oracle multitenant, Container Databases (CDB), Pluggable Databases (PDB), oracle cloud, oracle security, oracle fga, audit_trail,oracle RAC, ASM, oracle dataguard, oracle goldengate, mview, oracle exadata, oracle oca, oracle ocp, oracle ocm , oracle weblogic, postgresql tutorial, mysql tutorial, mariadb tutorial, ms sql server tutorial, nosql, mongodb tutorial, oci, cloud, middleware tutorial, docker, k8s, micro service, hoc solaris tutorial, hoc linux tutorial, hoc aix tutorial, unix tutorial, securecrt, xshell, mobaxterm, putty
By lúc
Labels: ,

ĐỌC NHIỀU
Trần Văn Bình - Oracle Database Master