# IT Security Basis for Corporates
## 1. Inventory
Bảo vệ cơ sở hạ tầng của bạn đòi hỏi phải biết thiết bị nào được kết nối với mạng của bạn, ứng dụng nào đang được sử dụng, ai có quyền truy cập vào chúng và áp dụng các biện pháp bảo mật nào.
### **What should your inventory contain and why?**
Giống như tất cả các vấn đề bảo mật IT, bạn sẽ cần một bản kiểm kê đầy đủ. Bản kiểm kê này phải bao gồm ít nhất các thông tin sau:
* phần cứng của từng máy trạm và máy chủ
* phần mềm được cài đặt với phiên bản chính xác
* ngày báo cáo cuối cùng
### **End-of-Life Equipment**
Nhờ có kho lưu trữ của mình, bạn đã có thể cách ly tất cả thiết bị (phần cứng và phần mềm) khi chúng kết thúc thời gian hỗ trợ.
Thiết bị không còn được bảo trì là thiết bị sẽ không còn nhận được các bản vá bảo mật. Khi đó, cần phải loại trừ khỏi mạng của bạn tất cả các thiết bị không thể bảo trì.
Trong trường hợp cực kỳ cần thiết, việc chấp nhận rủi ro của CISO (Giám đốc An toàn Thông tin) phải được thực hiện và truy tìm trong kho của bạn.
Phân tích này phải được xem xét định kỳ, lý tưởng nhất là ở mỗi lỗ hổng mới được phát hiện.
### **Secure Boot**
The secure boot phải được bật trên tất cả các thiết bị tương thích của bạn.
Tính năng này đảm bảo rằng máy tính chỉ khởi động bằng phần mềm được nhà sản xuất phê duyệt. Đây là một tính năng đã có từ 10 năm nay nên khó có khả năng xảy ra sự cố nếu bạn có mức sử dụng thông thường.
### **Softwares List**
Để giảm bề mặt tấn công, điều quan trọng là công ty của bạn phải có chính sách nghiêm ngặt về phần mềm được ủy quyền và trái phép.
#### **Allowed Softwares**
Để làm như vậy, việc sử dụng GPO (Group Policy Object) hoặc Intune cho phép bạn cung cấp cho người dùng của mình một thư viện phần mềm có sẵn nhanh chóng mà không cần có quyền quản trị đối với các trạm của nó. Nói cách khác GPO và Intune là công cụ quản lý và cấu hình.
Điều này tránh việc người dùng của bạn phải tự tải xuống các chương trình cài đặt và do đó hạn chế nguy cơ tải xuống chương trình độc hại.
#### **Forbidden Softwares (phần mềm bị cấm)**
Theo cách tương tự, cho dù thông qua Intune hay AppLocker, cần phải chặn phần mềm được xác định là bị cấm (vì bạn không hợp pháp hóa ứng dụng hoặc do phiên bản của nó phải tuân theo CVE (Các lỗ hổng và nguy cơ phơi nhiễm phổ biến) gây nguy hiểm cho bạn).
Mỗi lần sử dụng ứng dụng bị cấm phải được báo cáo cho nhóm CNTT của công ty bạn.
### **Security Hardening**
Công ty của bạn có dựa vào các hướng dẫn tăng cường đã được chứng minh để xác định cấu hình thiết bị của bạn không?
Các nguyên tắc tăng cường này có thể bao gồm các cấp độ khác nhau, chẳng hạn như:
* Quy trình chuyển giao trạm với danh sách kiểm tra tiên quyết
* Audit cấu hình an toàn của thiết bị
* Cảnh báo trong trường hợp sửa đổi cấu hình
Việc tăng cường này có thể được thực hiện theo một số cách, chẳng hạn như **Ansible**, **GPO** hoặc **Intune**.
### **Antivirus / EDR**
Đảm bảo rằng công ty của bạn triển khai phần mềm chống vi-rút hoặc thậm chí là EDR trên toàn bộ nhóm, bắt đầu từ các thiết bị quan trọng đối với doanh nghiệp của bạn. Đừng quên thiết lập theo dõi các cảnh báo được tạo.
## 2. Backups
Backups không phải là cơ chế để chống lại Ransomware nhưng chúng là tuyến phòng thủ cuối cùng của bạn. Một hệ thống sao lưu không hoạt động sau một cuộc tấn công có thể gây nguy hiểm cho sự tồn vong của doanh nghiệp bạn.
### Rule 3-2-1
Là quy tắc cơ bản và là quy tắc dự kiến tối thiểu đối với cơ sở hạ tầng, quy tắc 3-2-1 nêu rõ rằng bạn phải:
* Có ít nhất ba bản sao dữ liệu của mình
* Lưu trữ trên hai phương tiện khác nhau
* Một trong số đó phải là bản sao lưu bên ngoài ngoại vi
#### Three Copies (3 bản sao)
Nguyên tắc là có dữ liệu của bạn trên máy chủ và hai bản sao lưu. Điều này nhằm tránh việc lỗi sẽ khiến bản sao lưu của bạn không hoạt động.
#### Two Different Media (2 phương tiện khác nhau)
Ở đây, two media không nhất thiết phải được hiểu là hai định dạng vật lý khác nhau (hard disk and LTO tape) mà là bản sao lưu của một phương tiện trên hai điểm khác nhau và không liên quan.
Vì vậy, có thể có hai bản sao lưu trên đĩa cứng nếu cả hai không được lưu trữ trong cùng một trung tâm dữ liệu, không được liên kết qua cùng một RAID phần mềm (Redundant Array of Inexpensive Disks), v.v.
#### One Offsite External Backup
Ý tưởng đằng sau yêu cầu này là có một bản sao lưu được lưu trữ bên ngoài tòa nhà của bạn chứa dữ liệu chính để bảo vệ khỏi các rủi ro như hỏa hoạn.
### Rule 3-2-1-1-0
Quy tắc này ít nhất phải được áp dụng đối với các nguồn lực quan trọng của công ty bạn. Giống quy tắc 3-2-1, nó thêm hai điều kiện:
* 1 bản sao ngoại tuyến
* 0 lỗi trong quá trình khôi phục
#### One Offline Copy
Đây là việc có một bản sao lưu không được kết nối với mạng của bạn và bất kỳ cơ sở hạ tầng CNTT nào. Mục đích là để tránh điều đó nếu kẻ tấn công xâm phạm mạng của bạn, hắn có thể can thiệp vào bản sao lưu này.
#### Zero Errors During The Restoration
Điểm này có vẻ hợp lý, nhưng bạn nên thường xuyên kiểm tra các bản sao lưu đã tạo và kiểm tra xem chúng có thể được khôi phục mà không gặp lỗi hay không. Sẽ thật đáng tiếc nếu sau khi khôi phục lại người ta phát hiện ra một tập tin trên máy chủ cơ sở dữ liệu thực sự bị hỏng.
### Minimum Storage Time
Điều quan trọng là các bản sao lưu cho phép khôi phục dữ liệu cũ ít nhất 30 ngày. Tại sao 30 ngày?
Bởi vì thời gian trung bình từ khi đột nhập vào công viên đến khi bị công ty phát hiện là khoảng thời gian này.
### Backup Tests
Giờ đây, dữ liệu của bạn đã được sao lưu theo các phương pháp hay nhất, điều quan trọng là phải đảm bảo rằng quá trình khôi phục thử nghiệm của bạn được theo dõi và mỗi máy chủ được khôi phục ít nhất mỗi năm một lần.
## 3. Phishing Prevention
Các cuộc tấn công lừa đảo là một trong những vectơ tấn công ban đầu lớn nhất cùng với việc khai thác các lỗ hổng trên máy chủ trực tuyến của bạn.
### **Antispam and Email Protection**
Có phải tất cả các email mà nhân viên của bạn nhận được đều đi qua bộ lọc thư rác không?
Phần mềm Chống virus (AV) của bạn có phân tích tệp đính kèm trong thư không?
Cấu hình này có được xem xét và cập nhật với các mối đe dọa mới không?
### **Analysis Procedure**
Khi một trong các nhân viên của bạn nhận được email và có nghi ngờ, cô ấy/anh ấy có thể liên hệ với ai đó để thực hiện phân tích email.
### **Phishing Drill (**mô phỏng tấn công lừa đảo dành cho nhân viên)
Nó thường được coi là một cuộc tấn công vào nhân viên, có thể đáng để tiến hành một cuộc kiểm tra để đảm bảo rằng nhân viên của bạn nhận thức đúng đắn.
## 4. Internet Browsing Protection
Lọc các kết nối đến các trang web trái phép, tên miền đáng ngờ và tên miền độc hại đã biết.
### **DNS Filtering**
Chặn các trang web nguy hiểm và lọc nội dung không mong muốn thông qua **tường lửa** của bạn.
Ngoài những danh mục "unprofessional" như nội dung người lớn +18, còn có một danh mục hiếm khi bị chặn đó là URL rút ngắn. Dịch vụ này được sử dụng rộng rãi, đặc biệt là để lừa đảo.
Sau khi định cấu hình tính năng chặn, cần phải kiểm soát các trang web bị chặn mà nhân viên của bạn đã cố truy cập.
### **Centralized Management of Browsers (Quản lý tập trung các trình duyệt)**
Cập nhật cài đặt bảo mật của trình duyệt có thể khiến phần mềm độc hại khó cài đặt hơn.
Ví dụ: để giảm khả năng cài đặt plugin hoặc tắt tính năng tự động thực thi một số loại nội dung nhất định.
## 5. Patching
Triển khai các bản vá cho phần mềm và chương trình cơ sở của bạn càng nhanh càng tốt. Cho phép cập nhật tự động bất cứ khi nào có thể.
### **SLA for Patching According to CVE**
A service-level agreement (SLA) là hợp đồng giữa nhà cung cấp dịch vụ và khách hàng, ghi lại những dịch vụ mà nhà cung cấp sẽ cung cấp và xác định các tiêu chuẩn dịch vụ mà nhà cung cấp có nghĩa vụ phải đáp ứng.
Bạn đã thiết lập thời gian cập nhật tối đa cho máy trạm/máy chủ/phần mềm của mình chưa?
Nếu có, bạn có tính đến các tiêu chí như điểm CVSS (Common Vulnerability Scoring System), thực tế là máy chủ được vá có kết nối Internet hay không, lỗ hổng đó có bị khai thác hay không (0-day). )?
## 6. Access Control
Triển khai các chính sách, quy trình và công nghệ để đảm bảo rằng chỉ những người dùng được ủy quyền mới được cấp ít đặc quyền cần thiết nhất. Không có viên đạn thần kỳ nào ở đây phù hợp với tất cả mọi người, bạn cần phải thích nghi, thực hiện từng bước một.
### **Password & MFA**
Mức độ bảo vệ thấp nhất là việc thực hiện chính sách mật khẩu trong môi trường của bạn.
Trong trường hợp môi trường Windows, chính sách này phải được đặt trong "Default Domain Policy" để đảm bảo rằng nó áp dụng cho tất cả các máy tính.
Bất cứ khi nào có thể, hãy sử dụng các cơ chế mạnh hơn xác thực mật khẩu, chẳng hạn như sinh trắc học, mật khẩu một lần và mã thông báo ứng dụng.
Chúng tôi rất khuyến khích xác thực đa yếu tố (MFA), qua SMS hoặc trình xác thực ứng dụng, bắt đầu với người dùng có đặc quyền và mở rộng tới tất cả người dùng.
### **Zero Trust**
Identify (xác định danh tính) và vô hiệu hóa các tài khoản không sử dụng, xóa tài khoản dùng chung, xóa các đặc quyền không cần thiết và thực thi các chính sách mật khẩu mạnh.
### **Audit of Account Usage**
Giám sát và phân tích hoạt động của người dùng để phát hiện hành vi bất thường, chẳng hạn như các nỗ lực truy cập ngoài giờ làm việc bình thường hoặc từ các địa điểm bất thường.
Nhóm của bạn không được chứa quá 15% tài khoản có đặc quyền "domain administrator".
## 7. Risk Analysis
Sử dụng đánh giá rủi ro để ưu tiên phân bổ nguồn lực và đầu tư.
### **Return to Service**
Công ty của bạn đã tiến hành nghiên cứu để xác định tài nguyên nào cần được phục hồi trước chưa?
Phân tích này cũng có thể được sử dụng để ước tính tác động của sự gián đoạn và xác định thời gian ngừng hoạt động cho phép.
### **Review of Risks on Connected Networks**
Mọi kết nối với công ty của bạn đều là một rủi ro đối với nó. Cho dù đó là trong một thực thể của công ty bạn hay đối tác.
Hãy nhớ rằng mỗi bên trong số này có thể không có các yêu cầu bảo mật giống như bạn.
Các đối tác của bạn có cam kết mức độ bảo mật như bạn không, bạn có biết họ cập nhật nhanh như thế nào khi lỗ hổng được tiết lộ không? Họ có cam kết không sử dụng chứng chỉ mặc định trên VPN không?
Nếu họ sử dụng các giải pháp trực tuyến, bạn có chắc chắn rằng cấu hình của họ phù hợp với nhu cầu bảo mật của bạn không?
## 8. Network
Giám sát lưu lượng truy cập Internet đến và đi của tổ chức bạn.
### **PCAP**
Sử dụng SPAN ports của thiết bị mạng để nắm bắt các hoạt động mạng của bạn. Việc chụp này sẽ cho phép bạn phát hiện hành vi bất thường (increased use of a protocol, destination addresses bất thường, v.v.) cũng như thực hiện khám nghiệm tử thi trong trường hợp bị xâm phạm.
### **Segmentation**
Phân đoạn chia mạng máy tính thành các phần nhỏ hơn.
Phân đoạn mạng cải thiện hiệu suất và bảo mật mạng bằng cách giảm bề mặt tấn công và hạn chế phạm vi tấn công.
Việc sử dụng VLAN, PVLAN cho phép bạn tách các mạng khác nhau của mình.
Các giao diện quản trị thiết bị mạng của bạn có sẵn ở trạm kế toán của Alice (hoặc bất kỳ ai) không? Dịch vụ văn phòng từ xa chỉ khả dụng trên mạng chuyên dụng phải không?
### **Review of Blocked Flows**
Giờ đây, mạng công ty của bạn đã được phân đoạn và các luồng bị cấm, bước tiếp theo là thiết lập quá trình xem xét để xác định nguồn gốc của các yêu cầu bị chặn theo chính sách mới của bạn. Đó có thể là một máy trạm bị xâm nhập, một ứng dụng nằm trong tầm kiểm soát của bạn trong kho, v.v.
### **Alert Outside of Standard Use**
Khi tất cả điều này đã được thực hiện, bạn có thể tạo cảnh báo trong trường hợp sử dụng mạng bất thường. Bên cạnh lợi ích về bảo mật, những cảnh báo này có thể cho phép bạn xác định các điểm yếu trong tổ chức của mình, chẳng hạn như khi các công cụ sao lưu của bạn làm bão hòa mạng.
## 9. Incident Response for IT Security
Đảm bảo rằng bạn có sẵn các quy trình rõ ràng và được nhân viên của bạn biết về việc leo thang các sự cố lớn. Một sự cố lớn nhanh chóng được chuyển đến các chuyên gia có thể cho phép bạn giảm thiểu tác động của một cuộc tấn công mạng.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://viettaliii.gitbook.io/home/soc-and-dfir/it-security-basis-for-corporates.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.