Các chuyên gia ước tính, chi phí trung bình của một vi phạm cho các tổ chức dao động từ 2,65 đến 5,11 triệu USD. Chi phí toàn cầu năm 2020 cho các nạn nhân của ransomware ước tính khoảng 20 tỷ USD. Điều này làm giảm năng suất và ảnh hưởng đến doanh thu của doanh nghiệp. Tuy nhiên, các chuyên gia CNTT có thể thực hiện cách dưới đây để giảm thiểu cả mối đe dọa và tác động của ransomware.
Dưới đây là các bước có thể thực hiện để bảo vệ các tổ chức/doanh nghiệp chống lại ransomware, hạn chế phạm vi tác động của cuộc tấn công và hành động nhanh chóng nếu tin tặc truy cập thành công.
Các tổ chức/doanh nghiệp cần lên kế hoạch cụ thể để sẵn sàng ứng phó nhanh chóng khi xảy ra sự cố. Thực hiện theo các phương pháp như: thiết lập chính sách vá và quản lý lỗ hổng bảo mật mạnh mẽ, xác thực đa yếu tố (MFA), hạn chế quyền và đặc quyền của quản trị viên cục bộ. Khuyến khích, đào tạo, kiểm tra định kỳ, cảnh báo người dùng không nhấp vào liên kết hoặc mở tệp đính kèm trong email không được yêu cầu. Thường xuyên tiến hành việc sao lưu dữ liệu, dữ liệu phải được lưu trữ dự phòng trong một thiết bị riêng biệt và lưu cả ngoại tuyến. Tuân thủ các phương pháp an toàn khi duyệt Internet.
Điều quan trọng nữa là cần sử dụng các công cụ bảo mật cung cấp tính năng lọc liên kết, chặn/lọc hệ thống tên miền (DNS), phát hiện phần mềm độc hại và ngăn chặn xâm nhập. Cài đặt chế độ không tin cậy để hạn chế khả năng cài đặt và chạy phần mềm của người dùng, đồng thời áp dụng nguyên tắc đặc quyền tối thiểu cho tất cả các hệ thống và dịch vụ. Cập nhật các bản vá phần mềm và hệ điều hành mới nhất vì các ứng dụng và hệ điều hành lỗi thời luôn là mục tiêu của hầu hết các cuộc tấn công.
Thực hiện hành động để giảm thiểu tác động của lỗ hổng. Điều này rất quan trọng vì tất cả các hệ thống đều có khả năng bị xâm nhập nếu kẻ xấu có đủ thời gian và nguồn lực để thực hiện các mục tiêu của chúng. Điều này bao gồm sao lưu, khôi phục tệp hoặc thực hiện các kiểm soát định kỳ để thu hồi và khôi phục tệp.
Các CSO cũng nên thiết lập một chương trình ứng phó sự cố chi tiết và thực hành nó theo định kỳ. Đồng thời cần tham gia vào các bài kiểm tra và sử dụng các chuẩn đối sánh (benchmarking) để cải thiện khả năng ứng phó.
Cuối cùng, thực hiện phân vùng các mạng để ngăn chặn các cuộc tấn công lây nhiễm, hạn chế thiệt hại có thể gây ra cho môi trường mạng của tổ chức/doanh nghiệp. Ngược lại, sự phân tách mạng cho phép cô lập một thiết bị hoặc người dùng khi có dấu hiệu xâm phạm đầu tiên. Ví dụ, nếu một hệ thống bắt đầu quét một môi trường, thiết bị bị nghi ngờ có thể được cách ly ngay lập tức cho đến khi tình hình có thể được xem xét.
Để hiểu rõ hơn về cách bảo vệ doanh nghiệp, hãy xem xét Cyber Kill Chain, trong đó phác thảo các bước mà tác nhân đe dọa sẽ thực hiện để lây nhiễm máy chủ và phát tán phần mềm độc hại.
Những kẻ tấn công thường bắt đầu bằng việc do thám. Dựa trên thông tin đó, họ chọn phương tiện thích hợp để vũ khí hóa phần mềm độc hại. Trinh sát cũng có thể liên quan đến kẻ tấn công có quyền truy cập vào môi trường đang chạy quét mạng và các công cụ khác để xây dựng một kho tài sản/lỗ hổng bảo mật. Với bản tóm tắt này, việc khởi chạy một khai thác được định cấu hình trước chống lại các lỗ hổng đã biết sẽ dễ dàng hơn nhiều.
Sau đó, kẻ tấn công sẽ quyết định cách phân phối tải trọng. Điều này thường được thực hiện thông qua các email lừa đảo hay thông qua lừa đảo trực tuyến. Kẻ tấn công sẽ gửi cho người dùng một email đính kèm tài liệu hoặc liên kết để nhấp vào.
Có thể phá Cyber Kill Chain bằng cách: Lọc liên kết; Chặn/lọc DNS; Phát hiện mã độc; Giám sát hành vi độc hại để chặn các địa chỉ email đã biết.
Khi những kẻ tấn công xâm nhập vào mục tiêu, chúng không nhất thiết phải phát tán phần mềm độc hại ngay lập tức. Thay vào đó, chúng sẽ cố gắng tối đa hóa tác động của mình, chuyển vùng mạng mà không bị phát hiện, làm hỏng các thiết bị bổ sung, khám phá sâu hơn và có thể lấy cắp dữ liệu.
Có thể chấm dứt Cyber Kill Chain tại thời điểm này bằng cách: Sandbox; Phân đoạn mạng; Phân tách các máy chủ; Ngắt nguồn các thiết bị bị ảnh hưởng.
Tin tặc ngày càng tấn công bằng nhiều phương thức tinh vi, khiến hệ thống của tổ chức/doanh nghiệp có thể bị tấn công bằng ransomware bất cứ lúc nào. Khi hệ thống bị tấn công, hãy thực hiện như dưới đây để giảm thiểu tác động và khôi phục dữ liệu.
Thực hiện kế hoạch ứng phó đã thiết lập trước đó sẽ giúp đẩy nhanh quá trình khôi phục khỏi một cuộc tấn công, giảm thiểu thời gian chết. Kế hoạch này phải xác định chính sách của công ty về việc trả tiền chuộc. Các chuyên gia khuyến cáo không nên trả tiền chuộc vì không có gì đảm bảo rằng doanh nghiệp sẽ lấy lại được dữ liệu của mình sau khi thanh toán; Doanh nghiệp có thể vi phạm cảnh báo gần đây từ Tổ chức Kiểm soát tài sản nước ngoài của Bộ Tài chính Hoa Kỳ và phải chịu các hình phạt nghiêm khắc; việc thanh toán chỉ càng làm vấn nạn đòi tiền chuộc bằng ransomware gia tăng nhiều hơn.
Xác định bản chất của cuộc tấn công bằng cách nhanh chóng tìm hiểu điều gì đã xảy ra, những thông tin về biến thể của ransomware đã lây nhiễm vào mạng của tổ chức, những tệp nào nó thường mã hóa và những tùy chọn tổ chức đó có để giải mã.
Sau đó, cô lập các thiết bị bị nhiễm. Đảm bảo rằng các thiết bị bị nhiễm đã được tách khỏi hệ thống mạng. Nếu chúng có kết nối mạng vật lý, hãy rút phích cắm của nó. Nếu chúng ở trên mạng không dây, hãy tắt bộ định tuyến không dây. Rút bất kỳ bộ nhớ nào được gắn trực tiếp để cố gắng lưu dữ liệu trên các thiết bị đó.
Tiếp đến là khôi phục dữ liệu, phương pháp khôi phục dễ dàng và an toàn nhất là xóa sạch các hệ thống bị nhiễm và sao chép lại chúng từ một bản sao lưu gần nhất được biết đến. Hãy đảm bảo rằng không còn dấu vết nào của phần mềm tống tiền đã dẫn đến mã hóa. Xác định xem phần mềm ransomware có ảnh hưởng đến hệ thống BIOS trên hệ thống hiện tại hay không. Triển khai kế hoạch để truy cập các máy chủ hoặc điểm cuối mới. Đảm bảo ngay lập tức rằng bất kỳ người dùng nào bị ảnh hưởng đều cập nhật thông tin đăng nhập của họ. Cuối cùng, khi ransomware đã được khắc phục, hãy khôi phục các tệp sao lưu được biết đến gần đây nhất.
Sau khi khôi phục khỏi phần mềm ransomware, hãy xem xét bất kỳ lỗ hổng hoặc sự kém hiệu quả nào gặp phải và phát triển kế hoạch cải thiện chúng. Cần thực hiện đánh giá toàn bộ về môi trường để xác định cách thức lây nhiễm bắt đầu và những bước cần thực hiện để giảm khả năng vi phạm khác.
Hồng Vân
(Theo securitymagazine)
12:00 | 29/05/2021
13:00 | 12/02/2020
13:45 | 15/07/2015
13:00 | 09/05/2023
10:00 | 22/03/2024
Với sự tương tác kinh tế, xã hội và văn hóa ngày càng diễn ra phổ biến trên Internet, nhu cầu ngày càng tăng trong vài thập kỷ qua nhằm bắt chước sự ngẫu nhiên của thế giới tự nhiên và tạo ra các hệ thống kỹ thuật số để tạo ra các kết quả không thể đoán trước. Các trường hợp sử dụng cho tính không thể đoán trước này bao gồm đưa vào sự khan hiếm nhân tạo, xây dựng các cơ chế bảo mật mạnh mẽ hơn và tạo điều kiện cho các quy trình ra quyết định trung lập đáng tin cậy. Trong bài viết này, tác giả sẽ phân tích tính ngẫu nhiên, tìm hiểu về các loại ngẫu nhiên và vai trò quan trọng của sự ngẫu nhiên đối với Blockchain và hệ sinh thái Web3.
10:00 | 26/10/2023
Trong thời gian gần đây, các trường hợp lừa đảo qua mã QR ngày càng nở rộ với các hình thức tinh vi. Bên cạnh hình thức lừa đảo cũ là dán đè mã QR thanh toán tại các cửa hàng khiến tiền chuyển về tài khoản kẻ gian, vừa qua còn xuất hiện các hình thức lừa đảo mới.
10:00 | 08/08/2023
Bên cạnh việc phát triển không ngừng của các công nghệ, giải pháp an toàn thông tin được ứng dụng, triển khai trên hệ thống mạng của các tổ chức, doanh nghiệp, các hoạt động tấn công mạng vẫn không ngừng diễn ra và có sự gia tăng cả về số lượng, phạm vi, cách thức với tính chất ngày càng tinh vi. Cùng với việc sử dụng các kỹ thuật và công cụ để vượt qua các hàng rào bảo mật, tin tặc còn tìm cách để lẩn tránh điều tra số. Bài báo sẽ trình bày về một trong những kỹ thuật mà tin tặc thường sử dụng để chống lại các hoạt động điều tra số, đó chính là việc xóa bỏ các chỉ mục trên máy tính nạn nhân.
09:00 | 28/02/2023
Hiện nay, việc nghiên cứu, ứng dụng các giải pháp trí tuệ nhân tạo để khai phá thông tin từ dữ liệu và hỗ trợ ra quyết định đang phát triển mạnh mẽ. Văn phòng Trung ương Đảng (TƯ Đảng) đã và đang triển khai hiệu quả hai hệ thống phần mềm tìm kiếm, tổng hợp thông tin dùng chung cho các cơ quan Đảng trong mạng thông tin diện rộng của Đảng và Phần mềm hệ thống thu thập, tổng hợp thông tin trên Internet hỗ trợ công tác tham mưu, thẩm định các đề án. Bài báo này sẽ mô tả các bước xây dựng, triển khai việc ứng dụng mô hình QAC (Query Auto Completion) cho việc tìm kiếm thông tin trong hai hệ thống nói trên, đồng thời đánh giá tính hiệu quả khi áp dụng hệ thống cho các phần mềm.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024
