Theo các chuyên gia ước tính, chi phí để giải quyết sự cố do mã độc tống tiền (ransomware) gây ra trung bình khoảng 713.000 USD, bao gồm: tiền chuộc cùng các tổn thất liên quan (như giá trị của dữ liệu, tổn thất phần cứng, chi phí cải thiện cơ sở hạ tầng, thời gian và kinh phí để khôi phục hình ảnh thương hiệu của cá nhân hay doanh nghiệp). Chi phí này có thể tăng theo cấp số nhân, kể cả khi các hệ thống quan trọng ngoại tuyến.
Trong một cuộc tấn công được ghi nhận vào năm 2019, tin tặc đã yêu cầu thanh toán 13 Bitcoin (tương đương 75.000 USD) cho mỗi máy tính bị ảnh hưởng, để người dùng lấy lại quyền truy cập. Yêu cầu này vượt xa các yêu cầu tiền chuộc thông thường (khoảng 13.000 USD).
Dưới đây là 10 bước quan trọng mà các tổ chức/doanh nghiệp (TC/DN) nên xem xét để xây dựng chiến lược phòng chống ransomware.
Lưu ý 1: Chỉ ra các điểm yếu có thể bị tấn công
Thông thường, người dùng cuối không thể biết được những gì cần phải bảo vệ đối với các thiết bị cá nhân. Vì vậy, quản trị viên cần xác định tất cả các vấn đề của hệ thống, thiết bị và dịch vụ trong môi trường mạng. Quá trình này không chỉ giúp xác định các mục tiêu dễ bị tấn công mà còn giúp chỉ ra các điểm yếu của hệ thống để phục hồi. Từ đó, nâng cao mức độ bảo mật ngay từ cấp độ người dùng.
Lưu ý 2: Vá lỗ hổng và nâng cấp các thiết bị dễ bị tấn công
Một trong những phương pháp cơ bản nhằm đảm bảo an toàn hệ thống là thiết lập, duy trì hoạt động cập nhật bản vá và nâng cấp định kỳ cho thiết bị. Trong trường hợp tổ chức, doanh nghiệp không thể thiết lập các chính sách vá định kỳ hoặc áp dụng cho các hệ thống ngoại tuyến, thì cần thay thế hoặc bảo vệ hệ thống bằng việc sử dụng chính sách cách ly hoặc chính sách không tin cậy (zero-trust).
Lưu ý 3: Cập nhật hệ thống an ninh, an toàn
Ngoài việc cập nhật các thiết bị kết nối mạng, TC/DN cũng cần đảm bảo rằng tất cả các giải pháp an ninh, an toàn đang sử dụng đều được cập nhật phiên bản mới nhất. Đặc biệt đối với giải pháp cổng thư điện tử an toàn (Secure Email Gateway - SEG), bởi hầu hết phương thức lây nhiễm của ransomware là qua email. Giải pháp SEG có thể xác định và xóa các tệp đính kèm, liên kết độc hại trước khi chúng được gửi đến người nhận. Tương tự vậy, giải pháp lọc web có sử dụng học máy phải có khả năng ngăn chặn các cuộc tấn công lừa đảo hiệu quả.
Ngoài ra, chiến lược an ninh, an toàn thông tin cần bao gồm danh sách trắng ứng dụng (là danh sách các ứng dụng phần mềm được phê duyệt hoặc các tệp thực thi được phép hoạt động trên các hệ thống máy tính), chỉ ra và giới hạn đặc quyền, thực hiện mô hình không tin cậy giữa các hệ thống quan trọng, thực thi chính sách mật khẩu mạnh và yêu cầu sử dụng xác thực đa yếu tố.
Lưu ý 4: Phân đoạn mạng
Tổ chức phân đoạn mạng trong hệ thống mạng đảm bảo tách biệt các hệ thống bị tấn công và phần mềm độc hại nằm trong một phân đoạn mạng cụ thể. Việc phân đoạn mạng này cũng bao gồm cách ly tài sản và cô lập thông tin định danh của nhân viên và khách hàng. Tương tự vậy, TC/DN cần thiết lập các dịch vụ quan trọng (như dịch vụ khẩn cấp hoặc tài nguyên vật lý) trên một phân mạng riêng biệt.
Lưu ý 5: Đảm bảo an toàn cho mạng mở rộng
Với xu hướng phát triển của TC/DN, quản trị viên cần đảm bảo các giải pháp an toàn được triển khai trên mạng lõi cũng được đồng bộ trong mạng mở rộng. Đồng thời, cần kiểm tra kết nối từ các tổ chức khác (khách hàng, đối tác, nhà cung cấp) một cách thường xuyên. Hãy chắc chắn rằng, các kết nối được áp dụng các biện pháp bảo mật phù hợp. Song song, các TC/DN cần gửi cảnh báo cho các đối tác về các vấn đề bất thường. Đặc biệt là các vấn đề liên quan đến nội dung độc hại được chia sẻ hoặc lan truyền qua các kết nối đó.
Lưu ý 6: Cách ly dữ liệu sao lưu và hệ thống khôi phục
Cần thực hiện sao lưu dữ liệu và hệ thống một cách thường xuyên, nghiêm túc. Việc lưu trữ các bản sao lưu phải thực hiện ngoại tuyến để không bị ảnh hưởng trong trường hợp hệ thống bị tấn công. Các tổ chức cũng nên rà quét các bản sao lưu đó, đề phòng chúng bị lây nhiễm mã độc. Cũng cần đảm bảo rằng mọi hệ thống, thiết bị và phần mềm cần thiết để khôi phục toàn bộ hệ thống đều được cách ly khỏi mạng để chúng luôn sẵn sàng sử dụng.
Lưu ý 7: Diễn tập khôi phục hệ thống
Diễn tập khôi phục hệ thống thường xuyên đảm bảo rằng dữ liệu sao lưu luôn sẵn sàng, tất cả các tài nguyên cần thiết có thể được khôi phục và toàn bộ hệ thống hoạt động như mong đợi. Việc diễn tập này cũng đảm bảo rằng với quy trình được đưa ra thì tất cả nhân viên trong hệ thống đều nắm rõ trách nhiệm của mình. Bất kỳ vấn đề nào được nêu ra trong một cuộc diễn tập cần được giải quyết và ghi lại.
Lưu ý 8: Sử dụng các chuyên gia bên ngoài
Thiết lập một danh sách các chuyên gia và chuyên gia tư vấn đáng tin cậy. Trong trường hợp hệ thống bị tấn công vượt qua ngưỡng xử lý của các chuyên gia nội bộ, việc sử dụng nguồn lực từ chuyên gia bên ngoài có thể tư vấn và khôi phục hệ thống một cách nhanh nhất, tránh để lại những hậu quả đáng tiếc xảy ra.
Lưu ý 9. Chú ý đến các sự kiện liên quan đến ransomware
Nắm bắt các thông tin mới nhất về ransomware bằng cách đăng ký nhận thông tin về các mối đe dọa và tin tức mới về an toàn thông tin. Tạo thói quen tìm hiểu cách thức và lý do các hệ thống bị xâm phạm, sau đó áp dụng các bài học đó vào môi trường mạng của TC/DN.
Lưu ý 10. Đào tạo nhân viên
Thay vì để nhân viên là liên kết yếu nhất trong hệ thống của các tổ chức, thì hãy biến đó thành tuyến phòng thủ đầu tiên của hệ thống. Do vậy, đào tạo nhân viên và nâng cao nhận thức cho người dùng là điều rất quan trọng trong công tác phòng chống ransomware. Một số kỹ năng cơ bản như: luôn thận trọng với email, đặc biệt những email lạ, đáng nghi ngờ; kiểm tra tên miền của người gửi email; kiểm tra các lỗi đánh máy, chính tả, xem xét chữ ký và tính hợp pháp của email…..
Lê Hải Hường, Nguyễn Như Chiến
10:00 | 16/01/2020
08:00 | 25/02/2020
08:00 | 01/06/2020
15:00 | 21/05/2020
17:00 | 23/07/2020
13:00 | 23/11/2020
10:00 | 28/12/2020
08:00 | 16/03/2020
19:00 | 30/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
14:00 | 04/03/2024
Ngày nay, tất cả các lĩnh vực trong đời sống xã hội đều có xu hướng tích hợp và tự động hóa, trong đó các giao dịch số là yêu cầu bắt buộc. Do vậy, các tấn công lên thiết bị phần cứng, đặc biệt là các thiết bị bảo mật có thể kéo theo những tổn thất to lớn như: lộ thông tin cá nhân, bị truy cập trái phép hoặc đánh cắp tài khoản ngân hàng,… So với các loại tấn công khác, tấn công kênh kề hiện đang có nhiều khả năng vượt trội. Trong bài báo này, nhóm tác giả sẽ trình bày sơ lược về kết quả thực hành tấn công kênh kề lên mã khối Kalyna trên hệ thống Analyzr của Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công thành công và khôi phục đúng 15 byte khóa trên tổng số 16 byte khóa của thuật toán Kalyna cài đặt trên bo mạch Nucleo 64.
10:00 | 26/10/2023
Trong thời gian gần đây, các trường hợp lừa đảo qua mã QR ngày càng nở rộ với các hình thức tinh vi. Bên cạnh hình thức lừa đảo cũ là dán đè mã QR thanh toán tại các cửa hàng khiến tiền chuyển về tài khoản kẻ gian, vừa qua còn xuất hiện các hình thức lừa đảo mới.
10:00 | 21/04/2023
Hiện nay, các ứng dụng sử dụng hệ thống Internet vạn vật (Internet of Things - IoT) phát triển nhanh về số lượng dẫn đến những nguy cơ tiềm ẩn về lộ lọt dữ liệu nhạy cảm. Trong bài báo này, nhóm tác giả đề xuất một phương pháp mã hóa phân vùng trên máy tính nhúng sử dụng dm-crypt và LUKS để bảo vệ dữ liệu cho ứng dụng camera, đồng thời tích hợp thêm thuật toán mật mã Kuznyechik trong chuẩn GOST R34.12-2015 trên máy tính nhúng Raspberry Pi. Trong phần I, bài báo đi tìm hiểu về các phương pháp mã hóa dữ liệu và trình bày về các giải pháp mã hóa dữ liệu lưu trữ, giới thiệu nguyên lý hoạt động và một số công cụ phần mềm hỗ trợ mã hóa dữ liệu cả về thương mại lẫn mã nguồn mở, tìm hiểu sâu hơn về giải pháp mã hóa phân vùng bằng dm-crypt và LUKS trên máy tính nhúng, cụ thể là Raspberry Pi.
Có một số phương pháp để xác định mức độ an toàn của các hệ mật sử dụng độ dài khóa mã (key length) tham chiếu làm thông số để đo độ mật trong cả hệ mật đối xứng và bất đối xứng. Trong bài báo này, nhóm tác giả tổng hợp một số phương pháp xác định độ an toàn của hệ mật khóa công khai RSA, dựa trên cơ sở các thuật toán thực thi phân tích thừa số của số nguyên modulo N liên quan đến sức mạnh tính toán (mật độ tích hợp Transistor theo luật Moore và năng lực tính toán lượng tử) cần thiết để phá vỡ một bản mã (các số nguyên lớn) được mã hóa bởi khóa riêng có độ dài bit cho trước. Mối quan hệ này giúp ước lượng độ an toàn của hệ mật RSA theo độ dài khóa mã trước các viễn cảnh tấn công khác nhau.
08:00 | 04/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024