Salesforce đã công bố một hướng dẫn điều tra pháp y toàn diện, nhằm hỗ trợ các tổ chức trong việc phát hiện xâm nhập, phân tích và khắc phục sự cố bảo mật trong môi trường Salesforce của họ.

Tài liệu này đúc kết các thực tiễn tốt nhất qua ba lĩnh vực quan trọng: nhật ký hoạt động, quyền người dùng và dữ liệu sao lưu.

Hướng dẫn cung cấp một khuôn khổ có cấu trúc để trả lời các câu hỏi như: “Người dùng cụ thể đã làm gì trong khoảng thời gian đó?” và “Dữ liệu nào bị ảnh hưởng?”.

Ba Trụ cột Chính trong Điều tra Pháp y

Salesforce nhấn mạnh mỗi sự cố là duy nhất, khuyến khích khách hàng điều chỉnh quy trình điều tra theo ngữ cảnh cụ thể của mình.

Tuy nhiên, hướng dẫn đưa ra lời khuyên chung cho một điểm khởi đầu hiệu quả, giúp nâng cao khả năng an ninh mạng.

Phân tích Nhật ký Hoạt động

Nhật ký hoạt động ghi lại ai đã thực hiện hành động nào, khi nào, ở đâu và bằng cách nào, đây là nền tảng cho việc phát hiện xâm nhập.

Các nhật ký mặc định, như Login History và Setup Audit Trail, tiết lộ các mẫu đăng nhập bất thường và thay đổi quản trị.

Đối với các tổ chức sử dụng Salesforce Shield, khả năng hiển thị nâng cao thông qua Event Monitoring bổ sung thông tin chi tiết về các cuộc gọi API, xuất báo cáo và tải xuống tệp.

Người dùng B2C Commerce Cloud có thêm phạm vi phủ sóng từ các nhật ký mua sắm chuyên biệt, hỗ trợ quá trình điều tra xâm nhập mạng.

Đánh giá Quyền Người dùng

Hiểu rõ quyền người dùng giúp đánh giá thiệt hại tiềm ẩn sau khi phát hiện xâm nhập.

Công cụ Who Sees What Explorer của Salesforce trong Security Center tổng hợp Profiles, Permission Sets, Sharing Rules và Role Hierarchies thành một chế độ xem thống nhất.

Quản trị viên có thể nhanh chóng xác định liệu một tài khoản có đặc quyền xuất dữ liệu nhạy cảm hoặc thay đổi cấu hình hay không.

Đây là một bước thiết yếu trong đánh giá tác động ban đầu của bất kỳ rủi ro bảo mật nào.

So sánh Dữ liệu Sao lưu

So sánh dữ liệu sao lưu làm sáng tỏ phạm vi thay đổi dữ liệu, hỗ trợ phát hiện xâm nhập.

Bằng cách phân tích các bản chụp được thực hiện trước, trong và sau một sự cố, các nhóm có thể xác định các sửa đổi hoặc xóa trái phép.

Salesforce đề cập đến các giải pháp sao lưu của bên thứ ba hỗ trợ phân tích so sánh.

Điều này đảm bảo các tổ chức có thể phục hồi về trạng thái tốt đã biết sau một sự kiện xâm nhập mạng.

Chiến lược Phân tích Nhật ký Nâng cao cho Phát hiện Xâm nhập

Hướng dẫn cũng cung cấp các chiến lược phân tích nhật ký nâng cao.

Real-Time Event Monitoring (RTEM) truyền các sự kiện quan trọng trong tối đa sáu tháng.

RTEM bao gồm các cảnh báo Threat Detection được điều khiển bởi máy học, giúp sớm phát hiện xâm nhập.

Các đối tượng Event Log Objects (ELO) có độ trễ thấp và tệp Event Log Files (ELF) hàng loạt cung cấp các nguồn bổ sung.

Chúng có các mức độ chi tiết và khả năng truy vấn khác nhau.

Salesforce khuyến nghị thường xuyên gửi nhật ký đến các hệ thống giám sát tập trung và phát triển sự quen thuộc với các đường cơ sở hoạt động bình thường.

Điều này giúp phân biệt các bất thường, một yếu tố quan trọng trong an ninh mạng hiệu quả.

Để biết thêm chi tiết về hướng dẫn, bạn có thể tham khảo tại Blog chính thức của Salesforce về Điều tra Pháp y.

Chính sách Bảo mật Giao dịch và Phản ứng Nhanh

Để tạo điều kiện phản ứng nhanh chóng, hướng dẫn điều tra pháp y nêu bật các chính sách Enhanced Transaction Security.

Các chính sách này có thể tự động chặn các hoạt động rủi ro, ví dụ như xuất báo cáo trái phép.

Chúng cũng có thể kích hoạt cảnh báo và hành động quy trình làm việc, bao gồm tạo case hoặc thông báo Slack.

Ví dụ, cảnh báo Guest User Anomaly trong một trang web trải nghiệm kỹ thuật số có thể vừa ngăn chặn truy cập thêm vừa cung cấp cho quản trị viên địa chỉ IP được sử dụng trong cuộc tấn công.

Điều này giúp nhanh chóng phát hiện xâm nhập và triển khai phản ứng kịp thời.

Nguyên tắc Tối thiểu Đặc quyền và Giám sát Liên tục

Cuối cùng, hướng dẫn nhấn mạnh nguyên tắc đặc quyền tối thiểu (least privilege) và giám sát thường xuyên các sự kiện Threat Detection.

Việc này nhằm mục đích giảm thiểu các cảnh báo sai trong khi vẫn duy trì mức độ bảo mật cao và khả năng phát hiện xâm nhập.

Các tổ chức chủ động định cấu hình phát trực tuyến sự kiện theo thời gian thực, lưu trữ nhật ký và chính sách phản ứng tự động sẽ có vị thế tốt hơn để ngăn chặn các vi phạm.

Điều này giúp giảm thời gian ngừng hoạt động và đáp ứng các nghĩa vụ tuân thủ, giảm thiểu rủi ro bảo mật tổng thể.

Bằng cách củng cố các thực tiễn tốt nhất và tận dụng các công cụ tích hợp của Salesforce, hướng dẫn điều tra pháp y này đóng vai trò là một nguồn tài nguyên quan trọng cho bất kỳ doanh nghiệp nào.

Nó giúp các tổ chức bảo vệ dữ liệu CRM quan trọng trong các hoạt động kinh doanh của mình khỏi các sự cố xâm nhập mạng.

Với các mối đe dọa không ngừng gia tăng, việc xuất bản hướng dẫn này thể hiện cam kết của Salesforce trong việc nâng cao khả năng phục hồi của toàn bộ cơ sở khách hàng trên toàn cầu.