Ransomware là một trong những mối đe dọa phổ biến và lâu đời nhất trong thế giới trực tuyến, phát triển khi tường lửa ngày càng chắc chắn và các công nghệ mới khiến các cuộc tấn công trở nên khó khăn hơn để vượt qua.
Các nỗ lực đảm bảo an ninh mạng đang được chú trọng tăng cường để đáp ứng tần suất xuất hiện ngày càng nhiều của các mối đe dọa hiện đại. Các nhà phân tích, kỹ sư và bộ phận IT phải hợp tác để xây dựng những tuyến phòng thủ vững chắc và xây dựng kế hoạch ứng phó rủi ro.
Dưới đây là một số cách hiệu quả nhất để chống lại các cuộc tấn công của Ransomware và cách các công ty nên phản ứng trong tình huống phải đối mặt với rủi ro. Thực hiện các biện pháp phòng ngừa này sẽ giúp các doanh nghiệp chống lại những yêu cầu của hacker, bảo vệ dữ liệu và danh tiếng của họ nguyên vẹn.
Ransomware là gì và cách phòng chống có thể khác nhau như thế nào?
Các tác nhân đe dọa lây nhiễm ransomware vào các máy để lấy cắp dữ liệu nhạy cảm, chẳng hạn như thông tin nhận dạng cá nhân (personally identifiable information) và giữ dữ liệu đó để đòi tiền chuộc. Nhiều lần lặp lại ransomware tồn tại, nhưng tất cả chúng đều có chung nền tảng và động lực này.
Các nhóm an ninh mạng có thể triển khai các biện pháp phòng ngừa an toàn để ngăn chặn các giao thức entry và outline đối với những gì cần làm nếu hacker xâm nhập mạng của họ.
Không may, không có phương pháp nào chắc chắn có thể bảo vệ chống lại mọi loại tấn công ransomware. Một số hacker sử dụng tấn công phi kỹ thuật (social engineering) để thao túng mọi người tiết lộ thông tin đăng nhập và một số khác có thể tìm đường vào cơ sở dữ liệu thông qua các backdoor phần mềm.
Chuẩn bị để cài đặt các biện pháp đặc biệt cho từng sắc thái của ransomware để cung cấp khả năng bảo vệ toàn diện. Sẽ mất thời gian, vì vậy điều quan trọng là phải ưu tiên và thực hiện phòng thủ một cách chiến lược. Những phương pháp hay nhất này sẽ giúp các doanh nghiệp và nhân viên của họ an toàn khỏi hành vi trộm cắp dữ liệu.
1. Nghiên cứu mọi biến thể
Không phải lúc nào cũng có thể đặt tên cho mọi biến thể ransomware vì hacker liên tục phát minh ra các kiểu mới, chẳng hạn như ransomware-as-a-service (RaaS). Tuy nhiên, nghiên cứu và cập nhật các xu hướng sẽ cung cấp cơ sở cần thiết để ưu tiên phòng thủ. Mỗi outlet tin tức và byte dữ liệu lịch sử có thể cung cấp thông tin chi tiết về các chiến thuật mà hacker cố gắng che giấu khỏi các nhà phân tích.
Nhận thấy những thay đổi trong các xu hướng ransomware sẽ khiến các nhóm ít có khả năng bị che mắt hơn. Dưới đây là một số hình thức nổi tiếng và phá hoại nhất của ransomware và các kỹ thuật liên quan:
- Screen lockers
- Backdoor
- Scareware
- Double and triple extortion
- Leakware
- Crypto
- Phishing emails
- RaaS
- Remote desktop attacks
2. Hạn chế các quyền
Hầu hết các doanh nghiệp cấp quyền truy cập vào dữ liệu mà không cần suy nghĩ. Các chính sách dựa trên vai trò (role-based) chỉ cho phép các cá nhân tham gia vào các lĩnh vực kỹ thuật số nhất định nếu nó nằm trong giới hạn công việc ở vị trí của họ. Mặc dù một số công ty có thể cảm thấy việc đó như là quản lý vi mô hoặc bất tiện khi để người khác tiếp cận và cấp quyền cho những người không có quyền truy cập, nhưng điều cần thiết là phải duy trì tình trạng bảo mật hiệu quả. Các tổ chức cũng phải liên tục đánh giá những người dùng này, hủy kích hoạt những người dùng không hoạt động hoặc không liên quan trong hệ thống.
Trong trường hợp vi phạm, các nhà phân tích sẽ dễ dàng xác định nguyên nhân xâm nhập hơn nếu chỉ một vài cá nhân có thể truy cập vào bất kỳ phân vùng cụ thể nào. Các framework như zero trust hoặc ít đặc quyền nhất là không thể đánh giá trong một tình huống không ổn định. Bổ sung xác thực hai yếu tố và bảo mật endpoint là những cách khác để yêu cầu ủy quyền nội bộ từ phía người dùng. Điều này tăng cường bảo vệ cho mọi nhân viên, giảm thiểu truy cập ngoài ý muốn và tăng cường vệ sinh an ninh mạng trên toàn bộ mạng của công ty.
3. Khuyến khích phân quyền
Các vấn đề phát sinh khi mọi thứ kết nối trong bối cảnh kỹ thuật số. Diện tích bề mặt càng mở rộng, hacker càng có nhiều đất để diễn. Network segmentation, hoặc tách các silo thành các đơn vị độc lập nhỏ hơn, có thể mang lại khả năng bảo mật mạnh mẽ hơn cho các doanh nghiệp triển khai nó.
Các công ty có thể kéo dài thời gian nếu tội phạm mạng phải thử các chiến thuật khác nhau để tiếp cận các khu vực mạng khác nhau. Ngoài ra, việc đa dạng hóa các phương pháp lưu trữ sẽ kiểm tra sự nhanh nhẹn của hacker. Lưu trữ đám mây, phần cứng và các loại bộ nhớ đệm dựa trên máy tính khác yêu cầu tính di động duy nhất để vượt qua các tuyến, đặc biệt là khi chúng thường có nhiều biện pháp bảo vệ khác nhau.
4. Sử dụng offense như defense
Tường lửa và phần mềm diệt vi-rút là những thứ cần thiết trong bất kỳ tuyến phòng thủ an ninh mạng nào. Nhưng đôi khi một cách tiếp cận tích cực hơn được đảm bảo.
Kiểm tra thâm nhập (penetration testing) là một trong những cách tốt nhất để tìm các lỗ hổng trong hệ thống, cố gắng xác định mọi ‘lối đi’ khả thi mà một cá nhân có thể tìm ra nó để thâm nhập hệ thống bằng ransomware. Các hacker mũ trắng hoặc có đạo đức cũng cung cấp dịch vụ này bằng cách chạy các tình huống giả định nhằm giành quyền truy cập để tiết lộ các cải tiến về an ninh mạng.
5. Thực hiện một chiến lược khôi phục dữ liệu
Các công ty phải sao lưu dữ liệu nếu hacker đe dọa đánh cắp, phát tán hoặc phá hủy thông tin của họ. Tiền chuộc sẽ không gây khó khăn nếu bạn có các bản sao hiện tại, hoàn chỉnh.
Tuy nhiên, một chiến lược khôi phục dữ liệu yêu cầu lập kế hoạch kĩ càng trước khi tình huống xảy ra, vì nó chỉ định nơi công ty lưu trữ thông tin, mục tiêu dự phòng theo địa lý, phiên bản mới nhất hiện có cũng như các mục tiêu lưu trữ dài hạn.
Quy tắc sao lưu 3-2-1 là phương pháp hay nhất để bảo vệ dữ liệu của bạn khỏi ransomware và phần mềm độc hại khác. Quy tắc này khuyên bạn nên lưu trữ ít nhất ba bản sao dữ liệu của mình trên hai loại phương tiện khác nhau (chẳng hạn như ổ cứng và dịch vụ lưu trữ đám mây), với ít nhất một bản sao được đặt bên ngoài cơ sở hoặc trong vùng cách ly an toàn.
Bạn nên làm gì nếu bị tấn công?
Mặc dù nghe có vẻ không giống như hướng dẫn hữu ích, nhưng điều đầu tiên cần làm là giữ bình tĩnh. Nhiều kẻ đe dọa muốn các nạn nhân của chúng phản ứng bốc đồng, đầy cảm xúc để dẫn đến việc thanh toán nhanh chóng. Đó là lý do tại sao bạn cần dành thời gian để xem xét mọi giải pháp khả thi, cố gắng khôi phục dữ liệu và triển khai các giải pháp.
Các công ty nên tuân theo các kế hoạch kinh doanh liên tục chi tiết và khuôn khổ ứng phó rủi ro. Những điều này sẽ khác nhau giữa các công ty dựa trên các trial test với các phương pháp hiệu quả. Điều quan trọng nhất là phải có sẵn một thứ gì đó để không ai cảm thấy mất cảnh giác và không biết phải phản ứng như thế nào.
Tham khảo Kế hoạch ứng phó sự cố Ransomware gồm 7 bước của chúng tôi để biết các mẹo và chiến lược.
Các doanh nghiệp cũng nên báo cáo các hành vi xâm phạm cho cơ quan thực thi pháp luật liên bang, the Cybersecurity and Infrastructure Security Agency (CISA) và các cơ quan pháp lý có liên quan khác để hỗ trợ khắc phục.
Bạn có bao giờ nên trả tiền chuộc?
Thật không may, câu trả lời cho việc bạn có nên trả tiền chuộc hay không vẫn chưa rõ ràng – đặc biệt là khi các chuyên gia trong ngành thậm chí không thể đạt được sự đồng thuận. Tốt nhất là xem xét cả hai mặt của lập luận và hoàn cảnh của chính bạn khi đưa ra quyết định. Đây không phải là vấn đề rõ ràng trắng đen và điều quan trọng là phải hiểu những ưu và nhược điểm của việc trả tiền chuộc.
Tại sao bạn không nên trả tiền chuộc
Như với bất kỳ tình huống bắt giữ con tin nào, kẻ đe dọa không bao giờ chắc chắn rằng việc trả tiền chuộc sẽ dẫn đến giải pháp mà chúng đã hứa. Các công ty có thể trả hàng triệu USD cho một hacker và không bao giờ lấy lại được dữ liệu của họ.
Kẻ tấn công cũng có thể tận dụng cơ hội để thực hiện hành vi tống tiền kép – sau khi nhận được khoản phí đầu tiên để trả lại dữ liệu của bạn, chúng ngay lập tức yêu cầu một key mã hóa khác. Số tiền có thể tăng lên nhanh chóng khi bọn tội phạm thao túng các doanh nghiệp đang tuyệt vọng.
Một tác dụng phụ khác của việc trả tiền chuộc có liên quan đến nhận thức của công chúng. Mọi cuộc tấn công ransomware vào một công ty đều nhanh chóng trở thành tin tức. Các công ty trả tiền cho tội phạm có thể gợi ý cho khách hàng rằng họ không có kế hoạch bảo vệ hoặc phản ứng đầy đủ, khiến danh tiếng của họ bị giảm sút.
Cuối cùng, việc trả tiền cho những kẻ tấn công chính là trực tiếp tài trợ cho tội phạm mạng. Ngay cả khi việc đó có thể là giải pháp nhanh nhất, thì nó cũng biến bạn thành mục tiêu khả thi cho cuộc tấn công tiếp theo. Do đó, các doanh nghiệp không bao giờ nên thực hiện việc trả tiền chuộc nếu họ có thể tránh được việc đó.
Khi thanh toán có thể là bước đi đúng đắn
Ngay cả các chiến lược khôi phục dữ liệu mạnh mẽ đôi khi cũng không đủ. Các bản sao lưu có thể theo lịch trình và sẽ luôn có một cửa sổ thông tin bị thiếu nếu thông tin công ty không được cập nhật ngay lập tức. Cuối cùng, các doanh nghiệp có thể buộc phải giải ngân nếu thiếu một thứ gì đó quan trọng đối với sự thành công của công ty.
Cũng có một khả năng nhỏ là việc trả tiền cho hacker có thể dẫn đến an ninh mạng hoặc thậm chí là cơ hội hiểu biết về tư pháp. Các nhà đàm phán lôi cuốn có thể làm sáng tỏ lỗ hổng mà nó cho phép hacker xâm nhập, trong khi cơ quan thực thi pháp luật có khả năng theo dõi các khoản thanh toán cho người nhận.
Tất nhiên, chiến lược này chỉ nên được thực hiện với sự chấp thuận và hợp tác của các cơ quan thực thi pháp luật phù hợp. Đó là một cách vòng vo để thực hiện bảo mật bổ sung, nhưng đó là lý do tại sao các tình huống ransomware đều có tính thực tế và chính trị ngang nhau.
Điểm mấu chốt: Ngăn chặn các cuộc tấn công ransomware
Tất cả các công ty ở mọi quy mô nên đặt an ninh mạng làm ưu tiên hàng đầu để tự bảo vệ mình khỏi ransomware và các cuộc tấn công khác. Những mối đe dọa này sẽ chỉ gia tăng tính sáng tạo và mức độ nghiêm trọng, các doanh nghiệp phải thực hiện các giải pháp chủ động thay vì tranh giành những câu trả lời trong một môi trường đe dọa tích cực. Tạo ra các giải pháp toàn diện và hình dung phản hồi tốt nhất. Sự chuẩn bị là tài sản quan trọng nhất để chiến thắng ransomware, bất kể nó ở dạng nào.
Bài viết liên quan
- Các nguyên tắc cơ bản để phòng tránh mất mát dữ liệu doanh nghiệp từ tấn công ransomware
- AI trong an ninh mạng – Phát hiện gian lận, lừa đảo và malware
- NVIDIA Morpheus: Nền tảng phát triển ứng dụng Cybersecurity AI
- Bảo mật làm việc từ xa: Định nghĩa, rủi ro và cách bảo mật
- Làm cách nào để bảo vệ dữ liệu doanh nghiệp trước ransomware?