Các chuyên gia ước tính, chi phí trung bình của một vi phạm cho các tổ chức dao động từ 2,65 đến 5,11 triệu USD. Chi phí toàn cầu năm 2020 cho các nạn nhân của ransomware ước tính khoảng 20 tỷ USD. Điều này làm giảm năng suất và ảnh hưởng đến doanh thu của doanh nghiệp. Tuy nhiên, các chuyên gia CNTT có thể thực hiện cách dưới đây để giảm thiểu cả mối đe dọa và tác động của ransomware.
Dưới đây là các bước có thể thực hiện để bảo vệ các tổ chức/doanh nghiệp chống lại ransomware, hạn chế phạm vi tác động của cuộc tấn công và hành động nhanh chóng nếu tin tặc truy cập thành công.
Các tổ chức/doanh nghiệp cần lên kế hoạch cụ thể để sẵn sàng ứng phó nhanh chóng khi xảy ra sự cố. Thực hiện theo các phương pháp như: thiết lập chính sách vá và quản lý lỗ hổng bảo mật mạnh mẽ, xác thực đa yếu tố (MFA), hạn chế quyền và đặc quyền của quản trị viên cục bộ. Khuyến khích, đào tạo, kiểm tra định kỳ, cảnh báo người dùng không nhấp vào liên kết hoặc mở tệp đính kèm trong email không được yêu cầu. Thường xuyên tiến hành việc sao lưu dữ liệu, dữ liệu phải được lưu trữ dự phòng trong một thiết bị riêng biệt và lưu cả ngoại tuyến. Tuân thủ các phương pháp an toàn khi duyệt Internet.
Điều quan trọng nữa là cần sử dụng các công cụ bảo mật cung cấp tính năng lọc liên kết, chặn/lọc hệ thống tên miền (DNS), phát hiện phần mềm độc hại và ngăn chặn xâm nhập. Cài đặt chế độ không tin cậy để hạn chế khả năng cài đặt và chạy phần mềm của người dùng, đồng thời áp dụng nguyên tắc đặc quyền tối thiểu cho tất cả các hệ thống và dịch vụ. Cập nhật các bản vá phần mềm và hệ điều hành mới nhất vì các ứng dụng và hệ điều hành lỗi thời luôn là mục tiêu của hầu hết các cuộc tấn công.
Thực hiện hành động để giảm thiểu tác động của lỗ hổng. Điều này rất quan trọng vì tất cả các hệ thống đều có khả năng bị xâm nhập nếu kẻ xấu có đủ thời gian và nguồn lực để thực hiện các mục tiêu của chúng. Điều này bao gồm sao lưu, khôi phục tệp hoặc thực hiện các kiểm soát định kỳ để thu hồi và khôi phục tệp.
Các CSO cũng nên thiết lập một chương trình ứng phó sự cố chi tiết và thực hành nó theo định kỳ. Đồng thời cần tham gia vào các bài kiểm tra và sử dụng các chuẩn đối sánh (benchmarking) để cải thiện khả năng ứng phó.
Cuối cùng, thực hiện phân vùng các mạng để ngăn chặn các cuộc tấn công lây nhiễm, hạn chế thiệt hại có thể gây ra cho môi trường mạng của tổ chức/doanh nghiệp. Ngược lại, sự phân tách mạng cho phép cô lập một thiết bị hoặc người dùng khi có dấu hiệu xâm phạm đầu tiên. Ví dụ, nếu một hệ thống bắt đầu quét một môi trường, thiết bị bị nghi ngờ có thể được cách ly ngay lập tức cho đến khi tình hình có thể được xem xét.
Để hiểu rõ hơn về cách bảo vệ doanh nghiệp, hãy xem xét Cyber Kill Chain, trong đó phác thảo các bước mà tác nhân đe dọa sẽ thực hiện để lây nhiễm máy chủ và phát tán phần mềm độc hại.
Những kẻ tấn công thường bắt đầu bằng việc do thám. Dựa trên thông tin đó, họ chọn phương tiện thích hợp để vũ khí hóa phần mềm độc hại. Trinh sát cũng có thể liên quan đến kẻ tấn công có quyền truy cập vào môi trường đang chạy quét mạng và các công cụ khác để xây dựng một kho tài sản/lỗ hổng bảo mật. Với bản tóm tắt này, việc khởi chạy một khai thác được định cấu hình trước chống lại các lỗ hổng đã biết sẽ dễ dàng hơn nhiều.
Sau đó, kẻ tấn công sẽ quyết định cách phân phối tải trọng. Điều này thường được thực hiện thông qua các email lừa đảo hay thông qua lừa đảo trực tuyến. Kẻ tấn công sẽ gửi cho người dùng một email đính kèm tài liệu hoặc liên kết để nhấp vào.
Có thể phá Cyber Kill Chain bằng cách: Lọc liên kết; Chặn/lọc DNS; Phát hiện mã độc; Giám sát hành vi độc hại để chặn các địa chỉ email đã biết.
Khi những kẻ tấn công xâm nhập vào mục tiêu, chúng không nhất thiết phải phát tán phần mềm độc hại ngay lập tức. Thay vào đó, chúng sẽ cố gắng tối đa hóa tác động của mình, chuyển vùng mạng mà không bị phát hiện, làm hỏng các thiết bị bổ sung, khám phá sâu hơn và có thể lấy cắp dữ liệu.
Có thể chấm dứt Cyber Kill Chain tại thời điểm này bằng cách: Sandbox; Phân đoạn mạng; Phân tách các máy chủ; Ngắt nguồn các thiết bị bị ảnh hưởng.
Tin tặc ngày càng tấn công bằng nhiều phương thức tinh vi, khiến hệ thống của tổ chức/doanh nghiệp có thể bị tấn công bằng ransomware bất cứ lúc nào. Khi hệ thống bị tấn công, hãy thực hiện như dưới đây để giảm thiểu tác động và khôi phục dữ liệu.
Thực hiện kế hoạch ứng phó đã thiết lập trước đó sẽ giúp đẩy nhanh quá trình khôi phục khỏi một cuộc tấn công, giảm thiểu thời gian chết. Kế hoạch này phải xác định chính sách của công ty về việc trả tiền chuộc. Các chuyên gia khuyến cáo không nên trả tiền chuộc vì không có gì đảm bảo rằng doanh nghiệp sẽ lấy lại được dữ liệu của mình sau khi thanh toán; Doanh nghiệp có thể vi phạm cảnh báo gần đây từ Tổ chức Kiểm soát tài sản nước ngoài của Bộ Tài chính Hoa Kỳ và phải chịu các hình phạt nghiêm khắc; việc thanh toán chỉ càng làm vấn nạn đòi tiền chuộc bằng ransomware gia tăng nhiều hơn.
Xác định bản chất của cuộc tấn công bằng cách nhanh chóng tìm hiểu điều gì đã xảy ra, những thông tin về biến thể của ransomware đã lây nhiễm vào mạng của tổ chức, những tệp nào nó thường mã hóa và những tùy chọn tổ chức đó có để giải mã.
Sau đó, cô lập các thiết bị bị nhiễm. Đảm bảo rằng các thiết bị bị nhiễm đã được tách khỏi hệ thống mạng. Nếu chúng có kết nối mạng vật lý, hãy rút phích cắm của nó. Nếu chúng ở trên mạng không dây, hãy tắt bộ định tuyến không dây. Rút bất kỳ bộ nhớ nào được gắn trực tiếp để cố gắng lưu dữ liệu trên các thiết bị đó.
Tiếp đến là khôi phục dữ liệu, phương pháp khôi phục dễ dàng và an toàn nhất là xóa sạch các hệ thống bị nhiễm và sao chép lại chúng từ một bản sao lưu gần nhất được biết đến. Hãy đảm bảo rằng không còn dấu vết nào của phần mềm tống tiền đã dẫn đến mã hóa. Xác định xem phần mềm ransomware có ảnh hưởng đến hệ thống BIOS trên hệ thống hiện tại hay không. Triển khai kế hoạch để truy cập các máy chủ hoặc điểm cuối mới. Đảm bảo ngay lập tức rằng bất kỳ người dùng nào bị ảnh hưởng đều cập nhật thông tin đăng nhập của họ. Cuối cùng, khi ransomware đã được khắc phục, hãy khôi phục các tệp sao lưu được biết đến gần đây nhất.
Sau khi khôi phục khỏi phần mềm ransomware, hãy xem xét bất kỳ lỗ hổng hoặc sự kém hiệu quả nào gặp phải và phát triển kế hoạch cải thiện chúng. Cần thực hiện đánh giá toàn bộ về môi trường để xác định cách thức lây nhiễm bắt đầu và những bước cần thực hiện để giảm khả năng vi phạm khác.
Hồng Vân
(Theo securitymagazine)
12:00 | 29/05/2021
13:00 | 12/02/2020
13:45 | 15/07/2015
13:00 | 09/05/2023
17:00 | 22/11/2024
Trong bối cảnh thế giới số, chuỗi cung ứng trở thành huyết mạch cho thương mại toàn cầu, kết nối các nhà sản xuất với các nhà phân phối, bán lẻ. Tuy nhiên, điều này cũng khiến chuỗi cung ứng phải đối mặt với nhiều rủi ro an ninh mạng tiềm ẩn, đe dọa nghiêm trọng đến tính toàn vẹn và độ tin cậy. Dưới đây là 5 rủi ro an ninh mạng hàng đầu mà chuỗi cung ứng đang phải đối mặt, đồng thời đề xuất các chiến lược thiết yếu nhằm giảm thiểu các mối đe dọa này.
13:00 | 18/11/2024
Đứng trước thách thức về các mối đe dọa nâng cao, khái niệm về “chuỗi tiêu diệt” được sử dụng để phòng, chống các mối đe dọa này. Phần 2 của bài báo tập trung trình bày về các biện pháp phát hiện, bảo vệ hệ thống khỏi tấn công APT, khai thác lỗ hổng Zero-day và tấn công chuỗi cung ứng.
10:00 | 19/06/2024
Ngày 18/6, tại Thừa Thiên Huế, Cục Cơ yếu Đảng - Chính quyền, Ban Cơ yếu Chính phủ đã tổ chức triển khai máy tính an toàn đa giao diện có cài đặt sản phẩm mật mã - MTCD-3M (3M) và tập huấn, hướng dẫn quản lý, sử dụng máy 3M cho cán bộ, chuyên viên các phòng chuyên môn thuộc Văn phòng Tỉnh ủy và văn thư các cơ quan tham mưu giúp việc Tỉnh ủy.
09:00 | 13/06/2024
Trong phạm vi của bài báo này, chúng tôi sẽ trình bày những nội dung xoay quanh các vấn đề về sự tác động của trí tuệ nhân tạo (AI) cùng với hậu quả khi chúng ta tin tưởng tuyệt đối vào sức mạnh mà nó mang tới. Cũng như chúng tôi đề xuất sự cần thiết của việc xây dựng và hoàn thiện các chính sách bảo vệ các nội dung do AI tạo ra tuân thủ pháp luật và bảo vệ người dùng.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Trong bối cảnh mua sắm trực tuyến ngày càng trở nên phổ biến, các thủ đoạn lừa đảo cũng đang ngày càng tinh vi và thường nhắm vào những người tiêu dùng bất cẩn. Những nạn nhân này thường có thói quen mua sắm trực tuyến thường xuyên, nhưng lại thiếu chú ý đến các phương thức thanh toán trước khi hoàn tất giao dịch. Cục An toàn thông tin (Bộ TT&TT) vừa đưa ra cảnh báo về các chiêu trò lừa đảo phổ biến, đặc biệt trong dịp cuối năm khi nhu cầu mua sắm tăng cao.
08:00 | 12/12/2024