Incident response là quy trình xử lý các sự cố bảo mật (vi phạm, tấn công) — phát hiện, ngăn chặn, loại bỏ, khôi phục và rút kinh nghiệm. Vì vi phạm có thể xảy ra dù đã có phòng thủ, có một kế hoạch để phản ứng hiệu quả là quan trọng để giới hạn thiệt hại.
Tại sao incident response quan trọng
Dù đã có phòng thủ, các sự cố bảo mật SẼ xảy ra (không hệ thống nào hoàn toàn an toàn):
→ SẴN SÀNG phản ứng giới hạn thiệt hại, downtime và mất dữ liệu
→ một phản ứng kém/chậm/hoảng loạn khiến vi phạm tồi tệ hơn nhiều
→ có một KẾ HOẠCH trước khi bạn cần đến nó (bạn không thể ứng biến một phản ứng tốt giữa khủng hoảng).
Vòng đời incident response
1. PREPARATION → kế hoạch, công cụ, vai trò, runbooks, monitoring/logging sẵn sàng từ trước
2. DETECTION & ANALYSIS → xác định sự cố (monitoring, cảnh báo); đánh giá phạm vi/mức độ nghiêm trọng
3. CONTAINMENT → ngăn lan rộng/giới hạn thiệt hại (cô lập hệ thống bị ảnh hưởng, thu hồi truy cập)
4. ERADICATION → loại bỏ mối đe dọa (vá lỗ hổng, gỡ malware/truy cập)
5. RECOVERY → khôi phục hệ thống an toàn; xác minh chúng sạch; tiếp tục hoạt động
6. POST-INCIDENT (bài học rút ra) → phân tích điều đã xảy ra, cải thiện phòng thủ & quy trình
(KHÔNG ĐỔ LỖI — tập trung vào sửa chữa, không phải đổ lỗi)
