Các chuyên gia ước tính, chi phí trung bình của một vi phạm cho các tổ chức dao động từ 2,65 đến 5,11 triệu USD. Chi phí toàn cầu năm 2020 cho các nạn nhân của ransomware ước tính khoảng 20 tỷ USD. Điều này làm giảm năng suất và ảnh hưởng đến doanh thu của doanh nghiệp. Tuy nhiên, các chuyên gia CNTT có thể thực hiện cách dưới đây để giảm thiểu cả mối đe dọa và tác động của ransomware.
Dưới đây là các bước có thể thực hiện để bảo vệ các tổ chức/doanh nghiệp chống lại ransomware, hạn chế phạm vi tác động của cuộc tấn công và hành động nhanh chóng nếu tin tặc truy cập thành công.
Các tổ chức/doanh nghiệp cần lên kế hoạch cụ thể để sẵn sàng ứng phó nhanh chóng khi xảy ra sự cố. Thực hiện theo các phương pháp như: thiết lập chính sách vá và quản lý lỗ hổng bảo mật mạnh mẽ, xác thực đa yếu tố (MFA), hạn chế quyền và đặc quyền của quản trị viên cục bộ. Khuyến khích, đào tạo, kiểm tra định kỳ, cảnh báo người dùng không nhấp vào liên kết hoặc mở tệp đính kèm trong email không được yêu cầu. Thường xuyên tiến hành việc sao lưu dữ liệu, dữ liệu phải được lưu trữ dự phòng trong một thiết bị riêng biệt và lưu cả ngoại tuyến. Tuân thủ các phương pháp an toàn khi duyệt Internet.
Điều quan trọng nữa là cần sử dụng các công cụ bảo mật cung cấp tính năng lọc liên kết, chặn/lọc hệ thống tên miền (DNS), phát hiện phần mềm độc hại và ngăn chặn xâm nhập. Cài đặt chế độ không tin cậy để hạn chế khả năng cài đặt và chạy phần mềm của người dùng, đồng thời áp dụng nguyên tắc đặc quyền tối thiểu cho tất cả các hệ thống và dịch vụ. Cập nhật các bản vá phần mềm và hệ điều hành mới nhất vì các ứng dụng và hệ điều hành lỗi thời luôn là mục tiêu của hầu hết các cuộc tấn công.
Thực hiện hành động để giảm thiểu tác động của lỗ hổng. Điều này rất quan trọng vì tất cả các hệ thống đều có khả năng bị xâm nhập nếu kẻ xấu có đủ thời gian và nguồn lực để thực hiện các mục tiêu của chúng. Điều này bao gồm sao lưu, khôi phục tệp hoặc thực hiện các kiểm soát định kỳ để thu hồi và khôi phục tệp.
Các CSO cũng nên thiết lập một chương trình ứng phó sự cố chi tiết và thực hành nó theo định kỳ. Đồng thời cần tham gia vào các bài kiểm tra và sử dụng các chuẩn đối sánh (benchmarking) để cải thiện khả năng ứng phó.
Cuối cùng, thực hiện phân vùng các mạng để ngăn chặn các cuộc tấn công lây nhiễm, hạn chế thiệt hại có thể gây ra cho môi trường mạng của tổ chức/doanh nghiệp. Ngược lại, sự phân tách mạng cho phép cô lập một thiết bị hoặc người dùng khi có dấu hiệu xâm phạm đầu tiên. Ví dụ, nếu một hệ thống bắt đầu quét một môi trường, thiết bị bị nghi ngờ có thể được cách ly ngay lập tức cho đến khi tình hình có thể được xem xét.
Để hiểu rõ hơn về cách bảo vệ doanh nghiệp, hãy xem xét Cyber Kill Chain, trong đó phác thảo các bước mà tác nhân đe dọa sẽ thực hiện để lây nhiễm máy chủ và phát tán phần mềm độc hại.
Những kẻ tấn công thường bắt đầu bằng việc do thám. Dựa trên thông tin đó, họ chọn phương tiện thích hợp để vũ khí hóa phần mềm độc hại. Trinh sát cũng có thể liên quan đến kẻ tấn công có quyền truy cập vào môi trường đang chạy quét mạng và các công cụ khác để xây dựng một kho tài sản/lỗ hổng bảo mật. Với bản tóm tắt này, việc khởi chạy một khai thác được định cấu hình trước chống lại các lỗ hổng đã biết sẽ dễ dàng hơn nhiều.
Sau đó, kẻ tấn công sẽ quyết định cách phân phối tải trọng. Điều này thường được thực hiện thông qua các email lừa đảo hay thông qua lừa đảo trực tuyến. Kẻ tấn công sẽ gửi cho người dùng một email đính kèm tài liệu hoặc liên kết để nhấp vào.
Có thể phá Cyber Kill Chain bằng cách: Lọc liên kết; Chặn/lọc DNS; Phát hiện mã độc; Giám sát hành vi độc hại để chặn các địa chỉ email đã biết.
Khi những kẻ tấn công xâm nhập vào mục tiêu, chúng không nhất thiết phải phát tán phần mềm độc hại ngay lập tức. Thay vào đó, chúng sẽ cố gắng tối đa hóa tác động của mình, chuyển vùng mạng mà không bị phát hiện, làm hỏng các thiết bị bổ sung, khám phá sâu hơn và có thể lấy cắp dữ liệu.
Có thể chấm dứt Cyber Kill Chain tại thời điểm này bằng cách: Sandbox; Phân đoạn mạng; Phân tách các máy chủ; Ngắt nguồn các thiết bị bị ảnh hưởng.
Tin tặc ngày càng tấn công bằng nhiều phương thức tinh vi, khiến hệ thống của tổ chức/doanh nghiệp có thể bị tấn công bằng ransomware bất cứ lúc nào. Khi hệ thống bị tấn công, hãy thực hiện như dưới đây để giảm thiểu tác động và khôi phục dữ liệu.
Thực hiện kế hoạch ứng phó đã thiết lập trước đó sẽ giúp đẩy nhanh quá trình khôi phục khỏi một cuộc tấn công, giảm thiểu thời gian chết. Kế hoạch này phải xác định chính sách của công ty về việc trả tiền chuộc. Các chuyên gia khuyến cáo không nên trả tiền chuộc vì không có gì đảm bảo rằng doanh nghiệp sẽ lấy lại được dữ liệu của mình sau khi thanh toán; Doanh nghiệp có thể vi phạm cảnh báo gần đây từ Tổ chức Kiểm soát tài sản nước ngoài của Bộ Tài chính Hoa Kỳ và phải chịu các hình phạt nghiêm khắc; việc thanh toán chỉ càng làm vấn nạn đòi tiền chuộc bằng ransomware gia tăng nhiều hơn.
Xác định bản chất của cuộc tấn công bằng cách nhanh chóng tìm hiểu điều gì đã xảy ra, những thông tin về biến thể của ransomware đã lây nhiễm vào mạng của tổ chức, những tệp nào nó thường mã hóa và những tùy chọn tổ chức đó có để giải mã.
Sau đó, cô lập các thiết bị bị nhiễm. Đảm bảo rằng các thiết bị bị nhiễm đã được tách khỏi hệ thống mạng. Nếu chúng có kết nối mạng vật lý, hãy rút phích cắm của nó. Nếu chúng ở trên mạng không dây, hãy tắt bộ định tuyến không dây. Rút bất kỳ bộ nhớ nào được gắn trực tiếp để cố gắng lưu dữ liệu trên các thiết bị đó.
Tiếp đến là khôi phục dữ liệu, phương pháp khôi phục dễ dàng và an toàn nhất là xóa sạch các hệ thống bị nhiễm và sao chép lại chúng từ một bản sao lưu gần nhất được biết đến. Hãy đảm bảo rằng không còn dấu vết nào của phần mềm tống tiền đã dẫn đến mã hóa. Xác định xem phần mềm ransomware có ảnh hưởng đến hệ thống BIOS trên hệ thống hiện tại hay không. Triển khai kế hoạch để truy cập các máy chủ hoặc điểm cuối mới. Đảm bảo ngay lập tức rằng bất kỳ người dùng nào bị ảnh hưởng đều cập nhật thông tin đăng nhập của họ. Cuối cùng, khi ransomware đã được khắc phục, hãy khôi phục các tệp sao lưu được biết đến gần đây nhất.
Sau khi khôi phục khỏi phần mềm ransomware, hãy xem xét bất kỳ lỗ hổng hoặc sự kém hiệu quả nào gặp phải và phát triển kế hoạch cải thiện chúng. Cần thực hiện đánh giá toàn bộ về môi trường để xác định cách thức lây nhiễm bắt đầu và những bước cần thực hiện để giảm khả năng vi phạm khác.
Hồng Vân
(Theo securitymagazine)
12:00 | 29/05/2021
13:00 | 12/02/2020
13:45 | 15/07/2015
13:00 | 09/05/2023
10:00 | 18/10/2024
Nhằm trang bị cho người dân “vũ khí” chống lừa đảo trên không gian mạng, Cục An toàn thông tin (Bộ TT&TT) triển khai chiến dịch quốc gia với 5 nhóm kỹ năng thiết yếu, từ nhận biết dấu hiệu lừa đảo đến xử lý tình huống khi bị tấn công.
09:00 | 11/10/2024
Microsoft vừa công bố phát hành Windows 11 với phiên bản 24H2, đây là bản cập nhật tính năng tiếp theo cho hệ điều hành này (còn được gọi là Windows 11 2024 Update).
16:00 | 09/08/2024
Hiện nay, lĩnh vực thương mại điện tử đang trở nên phổ biến và phát triển mạnh mẽ, phục vụ nhu cầu mua sắm, trao đổi hàng hóa và dịch vụ cho hàng tỉ người dùng trên toàn cầu thông qua phương tiện điện tử và Internet. Những thách thức chính mà thương mại điện tử phải đối mặt hiện nay đó là các hình thức lừa đảo qua mạng và đánh cắp thông tin người dùng. Bài báo này trình bày những thách thức, yêu cầu đặt ra và những giải pháp an toàn cơ bản cho hệ thống thương mại điện tử hiện nay.
13:00 | 17/06/2024
Để tăng cường tính bảo mật và khắc phục các lỗ hổng, Microsoft thường phát hành định kỳ những bản cập nhật dành cho Windows, trong đó có các bản vá Patch Tuesday hàng tháng. Việc nắm bắt các bản vá này rất quan trọng để chủ động phòng tránh trước các mối đe dọa mạng. Bài viết này đưa ra quy trình cập nhật bản vá bảo mật Windows trên các máy trạm dành cho người dùng cuối, việc thực hiện cập nhật trên máy chủ Windows Server thực hiện tương tự.
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Trong bối cảnh Chính phủ đang đẩy mạnh hoạt động của Chính phủ Điện tử và chuyển đổi số trên phạm vi cả nước, an ninh mạng đã trở thành một trong những thách thức lớn nhất đối với các cơ quan Đảng và Chính phủ. Tình hình mất an ninh, an toàn thông tin đang ngày càng phức tạp và nghiêm trọng, với sự gia tăng không ngừng của các cuộc tấn công mạng tinh vi và các biến thể mã độc mới. Với bối cảnh như vậy, việc bảo vệ hệ thống thông tin và các sản phẩm phần cứng, phần mềm quan trọng trong các cơ quan Đảng, Chính phủ trước các mối đe dọa từ mã độc trở thành nhiệm vụ hết sức cấp thiết.
15:00 | 10/01/2025