SonicWall đã phát đi cảnh báo tới khách hàng về việc đặt lại toàn bộ thông tin đăng nhập sau sự cố rò rỉ các bản sao lưu cấu hình tường lửa gần đây. Nhà cung cấp nhấn mạnh ba giai đoạn quan trọng để giảm thiểu rủi ro bảo mật và khôi phục quyền truy cập an toàn: khoanh vùng, khắc phục và giám sát. Người dùng cần tuân thủ từng giai đoạn theo thứ tự để đảm bảo hiệu quả tối đa cho bảo mật mạng.

Chiến Lược Phản Ứng 3 Giai Đoạn Nâng Cao An Ninh Mạng

Để bảo vệ hệ thống khỏi các mối đe dọa tiềm ẩn sau một sự cố lộ lọt dữ liệu, SonicWall khuyến nghị một quy trình gồm ba bước liên tiếp. Việc thực hiện đầy đủ các giai đoạn này là cực kỳ quan trọng để khôi phục trạng thái an toàn và tăng cường an ninh mạng cho tổ chức.

Giai Đoạn 1: Khoanh Vùng (Containment)

Giai đoạn khoanh vùng nhằm mục đích ngăn chặn sự phơi nhiễm tiếp theo và chặn mọi truy cập trái phép. Đây là bước đầu tiên và thiết yếu để đảm bảo an toàn cho hạ tầng mạng.

Hạn Chế Truy Cập Quản Lý qua WAN

Quản trị viên cần ngay lập tức vô hiệu hóa hoặc hạn chế các dịch vụ quản lý trên giao diện WAN trước khi thực hiện bất kỳ thay đổi cấu hình nào.

• Điều hướng đến Network > System > Interfaces.
• Chỉnh sửa từng giao diện WAN và vô hiệu hóa quản lý HTTP, HTTPS, và SSH.

Nếu không thể vô hiệu hóa hoàn toàn, hướng dẫn của SonicWall Essential Credential Reset cung cấp thông tin chi tiết về việc giới hạn quyền truy cập quản lý chỉ cho các địa chỉ IP đáng tin cậy.

Vô Hiệu Hóa Dịch Vụ VPN trên WAN

Các dịch vụ SSL VPN và IPsec VPN cần được tắt cho vùng WAN để ngăn chặn kẻ tấn công giành lại quyền truy cập sau khi đặt lại mật khẩu.

• Thực hiện tại Network > SSL VPN > Server Settings.
• Và Network > IPsec VPN > Rules and Settings.

Chặn Truy Cập Inbound đến Máy Chủ Nội Bộ

Cuối cùng, việc chặn truy cập inbound đến các máy chủ nội bộ là cần thiết để bảo vệ dữ liệu nhạy cảm.

• Kiểm tra dưới Policy > Rules and Policies > Access Rules.
• Xác định các quy tắc cho phép lưu lượng WAN đến các máy chủ nội bộ.
• Vô hiệu hóa hoặc giới hạn các quy tắc này chỉ cho các nguồn đáng tin cậy cụ thể.

Hoàn tất giai đoạn khoanh vùng đảm bảo rằng bản sao lưu bị lộ không thể bị khai thác trong khi thông tin xác thực đang được thay đổi, góp phần củng cố bảo mật mạng.

Giai Đoạn 2: Khắc Phục (Remediation)

Sau khi khoanh vùng đã được thiết lập, trọng tâm chuyển sang đặt lại các thông tin đăng nhập có khả năng bị lộ. Đây là bước then chốt để loại bỏ các điểm yếu và phục hồi bảo mật mạng.

Đặt Lại Mật Khẩu Quản Trị Hệ Thống

Quản trị viên cần rà soát mọi tính năng có thể truy cập qua internet và đặt lại mật khẩu hoặc khóa chia sẻ của chúng.

• Đối với quản lý HTTPS và SSH, một mật khẩu quản trị viên mới cần được cấu hình dưới System > Administration.

Tái Tạo Chứng Chỉ và Khóa Chia Sẻ VPN

Chứng chỉ và khóa chia sẻ trước (pre-shared keys) của SSL VPN và IPsec VPN yêu cầu tái tạo thông qua các tab Cài đặt Máy chủ SSL VPN và Cài đặt IPsec VPN.

Cập Nhật Thông Tin Đăng Nhập Dịch Vụ Khác

Bất kỳ thông tin đăng nhập DNS động hoặc bí mật xác thực LDAP, RADIUS và không dây cũng phải được cập nhật, vì những thông tin này thường được lưu trữ trên tường lửa.

Hướng dẫn Quản trị viên và các bài viết trong cơ sở tri thức của SonicWall cung cấp hướng dẫn từng bước cho từng loại mật khẩu và khóa mã hóa.

Khôi Phục Ràng Buộc TOTP

Đối với các ràng buộc mật khẩu một lần dựa trên thời gian (TOTP), người dùng phải hủy liên kết và liên kết lại các trình xác thực của họ để đảm bảo các mã mới có hiệu lực.

Kiểm Tra Tương Thích GMS

Quản trị viên sử dụng Hệ thống Quản lý Toàn cầu (GMS) nên xác minh rằng HTTPS inbound bị hạn chế không ngăn chặn các kết nối quản lý cần thiết và điều chỉnh chính sách khi cần. Việc thực hiện đầy đủ các bước này giúp loại bỏ rủi ro do thông tin đăng nhập bị lộ, góp phần tăng cường bảo mật mạng.

Giai Đoạn 3: Giám Sát Liên Tục (Monitoring)

Sau khi đặt lại tất cả thông tin đăng nhập, việc giám sát liên tục là rất cần thiết. Giai đoạn này giúp phát hiện sớm mọi hoạt động bất thường và duy trì bảo mật mạng.

Kích Hoạt Ghi Nhật Ký và Cấu Hình Cảnh Báo

SonicWall khuyến nghị kích hoạt ghi nhật ký thời gian thực và xem xét các nhật ký sự kiện hệ thống để tìm kiếm các dấu hiệu bất thường.

• Tìm kiếm các lần đăng nhập thất bại.
• Phát hiện các thay đổi cấu hình.
• Ghi nhận các kết nối VPN bất thường.

Các cảnh báo có thể được cấu hình để thông báo cho quản trị viên khi tài khoản người dùng xác thực thất bại nhiều lần hoặc khi các dịch vụ mới được kích hoạt trên WAN.

Tích Hợp Với SIEM

Việc tích hợp nhật ký tường lửa với nền tảng Quản lý Thông tin và Sự kiện Bảo mật (SIEM) cung cấp khả năng hiển thị sâu hơn về các hành vi đe dọa tiềm ẩn.

Giám sát cần được duy trì ít nhất 30 ngày hoặc cho đến khi niềm tin vào tính toàn vẹn của mạng được khôi phục hoàn toàn. Bằng cách tuân thủ các bước khoanh vùng, khắc phục và giám sát theo trình tự, các tổ chức có thể nhanh chóng bảo vệ tường lửa SonicWall của mình sau sự cố rò rỉ dữ liệu cấu hình và giảm thiểu nguy cơ truy cập mạng trái phép. Điều này là tối quan trọng để duy trì một môi trường bảo mật mạng vững chắc.