Các chuyên gia ước tính, chi phí trung bình của một vi phạm cho các tổ chức dao động từ 2,65 đến 5,11 triệu USD. Chi phí toàn cầu năm 2020 cho các nạn nhân của ransomware ước tính khoảng 20 tỷ USD. Điều này làm giảm năng suất và ảnh hưởng đến doanh thu của doanh nghiệp. Tuy nhiên, các chuyên gia CNTT có thể thực hiện cách dưới đây để giảm thiểu cả mối đe dọa và tác động của ransomware.
Dưới đây là các bước có thể thực hiện để bảo vệ các tổ chức/doanh nghiệp chống lại ransomware, hạn chế phạm vi tác động của cuộc tấn công và hành động nhanh chóng nếu tin tặc truy cập thành công.
Các tổ chức/doanh nghiệp cần lên kế hoạch cụ thể để sẵn sàng ứng phó nhanh chóng khi xảy ra sự cố. Thực hiện theo các phương pháp như: thiết lập chính sách vá và quản lý lỗ hổng bảo mật mạnh mẽ, xác thực đa yếu tố (MFA), hạn chế quyền và đặc quyền của quản trị viên cục bộ. Khuyến khích, đào tạo, kiểm tra định kỳ, cảnh báo người dùng không nhấp vào liên kết hoặc mở tệp đính kèm trong email không được yêu cầu. Thường xuyên tiến hành việc sao lưu dữ liệu, dữ liệu phải được lưu trữ dự phòng trong một thiết bị riêng biệt và lưu cả ngoại tuyến. Tuân thủ các phương pháp an toàn khi duyệt Internet.
Điều quan trọng nữa là cần sử dụng các công cụ bảo mật cung cấp tính năng lọc liên kết, chặn/lọc hệ thống tên miền (DNS), phát hiện phần mềm độc hại và ngăn chặn xâm nhập. Cài đặt chế độ không tin cậy để hạn chế khả năng cài đặt và chạy phần mềm của người dùng, đồng thời áp dụng nguyên tắc đặc quyền tối thiểu cho tất cả các hệ thống và dịch vụ. Cập nhật các bản vá phần mềm và hệ điều hành mới nhất vì các ứng dụng và hệ điều hành lỗi thời luôn là mục tiêu của hầu hết các cuộc tấn công.
Thực hiện hành động để giảm thiểu tác động của lỗ hổng. Điều này rất quan trọng vì tất cả các hệ thống đều có khả năng bị xâm nhập nếu kẻ xấu có đủ thời gian và nguồn lực để thực hiện các mục tiêu của chúng. Điều này bao gồm sao lưu, khôi phục tệp hoặc thực hiện các kiểm soát định kỳ để thu hồi và khôi phục tệp.
Các CSO cũng nên thiết lập một chương trình ứng phó sự cố chi tiết và thực hành nó theo định kỳ. Đồng thời cần tham gia vào các bài kiểm tra và sử dụng các chuẩn đối sánh (benchmarking) để cải thiện khả năng ứng phó.
Cuối cùng, thực hiện phân vùng các mạng để ngăn chặn các cuộc tấn công lây nhiễm, hạn chế thiệt hại có thể gây ra cho môi trường mạng của tổ chức/doanh nghiệp. Ngược lại, sự phân tách mạng cho phép cô lập một thiết bị hoặc người dùng khi có dấu hiệu xâm phạm đầu tiên. Ví dụ, nếu một hệ thống bắt đầu quét một môi trường, thiết bị bị nghi ngờ có thể được cách ly ngay lập tức cho đến khi tình hình có thể được xem xét.
Để hiểu rõ hơn về cách bảo vệ doanh nghiệp, hãy xem xét Cyber Kill Chain, trong đó phác thảo các bước mà tác nhân đe dọa sẽ thực hiện để lây nhiễm máy chủ và phát tán phần mềm độc hại.
Những kẻ tấn công thường bắt đầu bằng việc do thám. Dựa trên thông tin đó, họ chọn phương tiện thích hợp để vũ khí hóa phần mềm độc hại. Trinh sát cũng có thể liên quan đến kẻ tấn công có quyền truy cập vào môi trường đang chạy quét mạng và các công cụ khác để xây dựng một kho tài sản/lỗ hổng bảo mật. Với bản tóm tắt này, việc khởi chạy một khai thác được định cấu hình trước chống lại các lỗ hổng đã biết sẽ dễ dàng hơn nhiều.
Sau đó, kẻ tấn công sẽ quyết định cách phân phối tải trọng. Điều này thường được thực hiện thông qua các email lừa đảo hay thông qua lừa đảo trực tuyến. Kẻ tấn công sẽ gửi cho người dùng một email đính kèm tài liệu hoặc liên kết để nhấp vào.
Có thể phá Cyber Kill Chain bằng cách: Lọc liên kết; Chặn/lọc DNS; Phát hiện mã độc; Giám sát hành vi độc hại để chặn các địa chỉ email đã biết.
Khi những kẻ tấn công xâm nhập vào mục tiêu, chúng không nhất thiết phải phát tán phần mềm độc hại ngay lập tức. Thay vào đó, chúng sẽ cố gắng tối đa hóa tác động của mình, chuyển vùng mạng mà không bị phát hiện, làm hỏng các thiết bị bổ sung, khám phá sâu hơn và có thể lấy cắp dữ liệu.
Có thể chấm dứt Cyber Kill Chain tại thời điểm này bằng cách: Sandbox; Phân đoạn mạng; Phân tách các máy chủ; Ngắt nguồn các thiết bị bị ảnh hưởng.
Tin tặc ngày càng tấn công bằng nhiều phương thức tinh vi, khiến hệ thống của tổ chức/doanh nghiệp có thể bị tấn công bằng ransomware bất cứ lúc nào. Khi hệ thống bị tấn công, hãy thực hiện như dưới đây để giảm thiểu tác động và khôi phục dữ liệu.
Thực hiện kế hoạch ứng phó đã thiết lập trước đó sẽ giúp đẩy nhanh quá trình khôi phục khỏi một cuộc tấn công, giảm thiểu thời gian chết. Kế hoạch này phải xác định chính sách của công ty về việc trả tiền chuộc. Các chuyên gia khuyến cáo không nên trả tiền chuộc vì không có gì đảm bảo rằng doanh nghiệp sẽ lấy lại được dữ liệu của mình sau khi thanh toán; Doanh nghiệp có thể vi phạm cảnh báo gần đây từ Tổ chức Kiểm soát tài sản nước ngoài của Bộ Tài chính Hoa Kỳ và phải chịu các hình phạt nghiêm khắc; việc thanh toán chỉ càng làm vấn nạn đòi tiền chuộc bằng ransomware gia tăng nhiều hơn.
Xác định bản chất của cuộc tấn công bằng cách nhanh chóng tìm hiểu điều gì đã xảy ra, những thông tin về biến thể của ransomware đã lây nhiễm vào mạng của tổ chức, những tệp nào nó thường mã hóa và những tùy chọn tổ chức đó có để giải mã.
Sau đó, cô lập các thiết bị bị nhiễm. Đảm bảo rằng các thiết bị bị nhiễm đã được tách khỏi hệ thống mạng. Nếu chúng có kết nối mạng vật lý, hãy rút phích cắm của nó. Nếu chúng ở trên mạng không dây, hãy tắt bộ định tuyến không dây. Rút bất kỳ bộ nhớ nào được gắn trực tiếp để cố gắng lưu dữ liệu trên các thiết bị đó.
Tiếp đến là khôi phục dữ liệu, phương pháp khôi phục dễ dàng và an toàn nhất là xóa sạch các hệ thống bị nhiễm và sao chép lại chúng từ một bản sao lưu gần nhất được biết đến. Hãy đảm bảo rằng không còn dấu vết nào của phần mềm tống tiền đã dẫn đến mã hóa. Xác định xem phần mềm ransomware có ảnh hưởng đến hệ thống BIOS trên hệ thống hiện tại hay không. Triển khai kế hoạch để truy cập các máy chủ hoặc điểm cuối mới. Đảm bảo ngay lập tức rằng bất kỳ người dùng nào bị ảnh hưởng đều cập nhật thông tin đăng nhập của họ. Cuối cùng, khi ransomware đã được khắc phục, hãy khôi phục các tệp sao lưu được biết đến gần đây nhất.
Sau khi khôi phục khỏi phần mềm ransomware, hãy xem xét bất kỳ lỗ hổng hoặc sự kém hiệu quả nào gặp phải và phát triển kế hoạch cải thiện chúng. Cần thực hiện đánh giá toàn bộ về môi trường để xác định cách thức lây nhiễm bắt đầu và những bước cần thực hiện để giảm khả năng vi phạm khác.
Hồng Vân
(Theo securitymagazine)
12:00 | 29/05/2021
13:00 | 12/02/2020
13:45 | 15/07/2015
13:00 | 09/05/2023
14:00 | 04/03/2024
Ngày nay, tất cả các lĩnh vực trong đời sống xã hội đều có xu hướng tích hợp và tự động hóa, trong đó các giao dịch số là yêu cầu bắt buộc. Do vậy, các tấn công lên thiết bị phần cứng, đặc biệt là các thiết bị bảo mật có thể kéo theo những tổn thất to lớn như: lộ thông tin cá nhân, bị truy cập trái phép hoặc đánh cắp tài khoản ngân hàng,… So với các loại tấn công khác, tấn công kênh kề hiện đang có nhiều khả năng vượt trội. Trong bài báo này, nhóm tác giả sẽ trình bày sơ lược về kết quả thực hành tấn công kênh kề lên mã khối Kalyna trên hệ thống Analyzr của Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công thành công và khôi phục đúng 15 byte khóa trên tổng số 16 byte khóa của thuật toán Kalyna cài đặt trên bo mạch Nucleo 64.
10:00 | 26/10/2023
Trong thời gian gần đây, các trường hợp lừa đảo qua mã QR ngày càng nở rộ với các hình thức tinh vi. Bên cạnh hình thức lừa đảo cũ là dán đè mã QR thanh toán tại các cửa hàng khiến tiền chuyển về tài khoản kẻ gian, vừa qua còn xuất hiện các hình thức lừa đảo mới.
14:00 | 22/08/2023
Trong sự phát triển mạnh mẽ của các trang mạng nói riêng và công nghệ thông tin nói chung, vấn đề an ninh, an toàn thông tin cũng trở thành một trong những thách thức lớn. Một trong những mối nguy cơ gây tác động đến nhiều hệ thống mạng vẫn chưa xử lý được triệt để trong nhiều năm qua chính là các hoạt động tấn công từ chối dịch vụ (DoS), một thủ đoạn phổ biến của tin tặc nhằm cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, Internet và thiết bị số. Bài báo phân tích thực trạng và các thủ đoạn tấn công DoS, đồng thời nêu lên thách thức trong đảm bảo an ninh, an toàn thông tin trên cổng thông tin điện tử dịch vụ công của các cơ quan nhà nước và các doanh nghiệp trong thời gian qua. Từ đó, đưa ra các giải pháp nhằm nâng cao hiệu quả bảo đảm an ninh, an toàn thông tin cho cổng thông tin điện tử trên mạng Internet trong thời gian tới.
14:00 | 14/08/2023
Xu hướng số hóa đã mang lại nhiều lợi ích cho ngành công nghiệp sản xuất, nhưng nó cũng bộc lộ những lỗ hổng trong hệ thống công nghệ vận hành (Operational Technology - OT) được sử dụng trong những môi trường này. Khi ngày càng có nhiều hệ thống điều khiển công nghiệp (Industrial Control System - ICS) được kết nối với Internet, nguy cơ tấn công mạng nhằm vào các hệ thống này sẽ càng tăng lên. Nếu các hệ thống này bị xâm phạm, nó có thể dẫn đến những hậu quả nghiêm trọng, chẳng hạn như ảnh hưởng sản xuất, bị mất cắp dữ liệu, hư hỏng vật chất đối với thiết bị, nguy hiểm cho môi trường làm việc và thậm chí gây hại đến tính mạng con người. Chính vì vậy, việc đưa ra các lưu ý giúp tăng cường bảo mật OT trong môi trường công nghiệp sản xuất trở nên vô cùng quan trọng.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024
