Sau một cuộc tấn công ransomware, sai lầm nguy hiểm nhất là bấm restore quá sớm. Doanh nghiệp cần một playbook ngắn gọn, ưu tiên cô lập, xác minh phạm vi nhiễm và chỉ phục hồi từ bản sao sạch đã được kiểm tra.
Mục tiêu của giờ đầu tiên
Trong 60 phút đầu, mục tiêu không phải là khôi phục tất cả mọi thứ mà là ngăn lây lan, giữ bằng chứng, xác định mức độ tổn hại và chọn đúng đường phục hồi. Nếu hành động quá vội, backup sạch có thể bị ghi đè, log điều tra bị mất hoặc kẻ tấn công vẫn còn quyền truy cập vào hạ tầng.
Một quy trình tốt cần có vai trò rõ ràng: ai cô lập hệ thống, ai xem log, ai kiểm tra backup, ai giao tiếp với lãnh đạo và ai quyết định thời điểm phục hồi. Không có vai trò cụ thể thì 60 phút đầu thường trôi qua trong hỗn loạn.
4 hành động ưu tiên
- Cô lập máy/segment bị nghi ngờ và ngăn lan sang backup hoặc domain controller.
- Bảo toàn log, file mẫu và ảnh chụp hiện trạng để phục vụ điều tra.
- Xác định restore point sạch nhất, ưu tiên bản immutable hoặc offsite.
- Phục hồi theo thứ tự dịch vụ: identity, network core, ứng dụng lõi, rồi mới đến dịch vụ phụ trợ.
Checklist ứng phó
- Tắt các tài khoản nghi bị chiếm quyền và đổi credential quan trọng.
- Kiểm tra replication, sync job, backup job và alert để tránh lây sang kho lưu trữ.
- Xác minh bản backup gần nhất còn sạch bằng sandbox hoặc isolated environment.
- Lập nhật thời gian, quyết định và người chịu trách nhiệm ở từng bước.
Lỗi thường gây thiệt hại lớn hơn
- Chạy restore ngay vào production khi chưa biết nguyên nhân.
- Dùng lại credential đã bị lộ.
- Xóa hiện trạng hoặc log trước khi chụp bằng chứng.
