9 vấn đề cần ghi nhớ để ngăn chặn các cuộc tấn công ransomware

9 vấn đề cần ghi nhớ để ngăn chặn các cuộc tấn công ransomware

August 2, 2021 | vietsunshine

Các cuộc tấn công ransomware đã trở thành một vấn đề lớn đối với hầu hết mọi ngành và mọi quy mô tổ chức. Tại Mỹ, các quan chức liên bang gọi đây là một trong những mối đe dọa lớn nhất mà quốc gia này đang phải đối mặt.

Trong năm ngoái, bọn tội phạm đã tấn công trường học, cơ quan vận chuyển, tổ chức chăm sóc sức khỏe, thử nghiệm y tế, v.v. Do tác động của các cuộc tấn công này đối với các tổ chức ở khắp mọi nơi, các chuyên gia an ninh mạng cần phải bảo mật hệ thống, mạng và phần mềm của họ theo những cách mới.

Tấn công Ransomware là gì?

Ransomware là một loại phần mềm độc hại cụ thể giữ dữ liệu làm con tin để đổi lấy tiền chuộc. Là một phương pháp tấn công, nó có khả năng gây ra thiệt hại nghiêm trọng. Email lừa đảo là một phương thức gửi phổ biến nhưng ransomware cũng có thể lây lan qua việc tải xuống các file, đó là khi người dùng truy cập vào một trang web bị nhiễm virus.

Các cuộc tấn công nâng cao mất vài giây để xâm phạm điểm cuối và các cuộc tấn công ransomware mất vài giây để làm hỏng hệ thống và cơ sở hạ tầng của bạn. Đó là lý do tại sao điều quan trọng là đảm bảo tổ chức của bạn được chuẩn bị. Khi các cuộc tấn công ngày càng tinh vi, tác động của ransomware vượt ra ngoài tổn thất tài chính và mất năng suất.

Các cuộc tấn công vi phạm dữ liệu là không thể tránh khỏi và không tổ chức nào muốn bị buộc phải quyết định giữa việc trả tiền chuộc và mất dữ liệu quan trọng. May mắn thay, đó không phải là hai lựa chọn duy nhất. Lựa chọn tốt nhất là không bị ép buộc vào quyết định đó ngay từ đầu. Cách tiếp cận này yêu cầu một mô hình bảo mật phân lớp bao gồm các điều khiển mạng, điểm cuối, ứng dụng và trung tâm dữ liệu được hỗ trợ bởi thông tin chủ động về mối đe dọa toàn cầu. Với suy nghĩ đó, dưới đây là chín điều cần xem xét để mang lại cho tổ chức của bạn cơ hội tốt nhất để tránh các cuộc tấn công ransomware.

1. Email gateway security và sandboxing

Email là một trong những phương tiện tấn công phổ biến nhất đối với các tác nhân đe dọa. Giải pháp secure email gateway cung cấp khả năng bảo vệ đa lớp nâng cao chống lại toàn bộ các mối đe dọa từ email. Sandboxing cung cấp thêm một lớp bảo vệ. Bất kỳ email nào vượt qua bộ lọc email và vẫn chứa các liên kết, người gửi hoặc loại tệp không xác định đều có thể được kiểm tra trước khi nó đến được mạng hoặc mail server của bạn.

2. Bảo mật ứng dụng web/công nghệ tường lửa

Tường lửa ứng dụng web (WAF) giúp bảo vệ các ứng dụng web bằng cách lọc và giám sát lưu lượng HTTP đến và đi từ một dịch vụ web. Đó là một yếu tố bảo mật quan trọng vì nó hoạt động như tuyến phòng thủ đầu tiên chống lại các cuộc tấn công mạng. Khi các tổ chức thực hiện các sáng kiến kỹ thuật số mới, đồng thời họ cũng mở rộng phạm vi tấn công. Các ứng dụng web mới và giao diện lập trình ứng dụng (API) có thể tiếp xúc với lưu lượng truy cập nguy hiểm do lỗ hổng máy chủ web, plugin máy chủ hoặc các vấn đề khác. WAF giúp giữ an toàn cho các ứng dụng này và nội dung mà chúng truy cập.

3. Chia sẻ thông tin về mối đe dọa (Threat Intelligence)

Các tổ chức phải có thông tin để có thể hành động theo thời gian thực giúp giảm thiểu các mối đe dọa chưa từng thấy, chẳng hạn như FortiGuard Labs. Thông tin phải được chia sẻ giữa các lớp bảo mật khác nhau và các sản phẩm trong môi trường của bạn để cung cấp khả năng phòng vệ chủ động. Ngoài ra, việc chia sẻ thông tin này nên mở rộng đến cộng đồng an ninh mạng rộng lớn hơn bên ngoài tổ chức của bạn, chẳng hạn như Computer Emergency Response Teams (CERTs), Information Sharing and Analysis Centers (ISACs) và các liên minh trong ngành như Cyber Threat Alliance..

Chia sẻ nhanh là cách tốt nhất để phản ứng nhanh với các cuộc tấn công và phá vỡ cyber kill chain trước khi nó viến đổi hoặc lây lan sang các hệ thống hoặc tổ chức khác.

4. Bảo vệ thiết bị đầu cuối

Các công nghệ chống vi-rút truyền thống không phải lúc nào cũng hoạt động tốt và khi các mối đe dọa tiếp tục phát triển, chúng thường không thể theo kịp. Các tổ chức cần đảm bảo rằng họ đang bảo vệ các thiết bị điểm cuối một cách thích hợp bằng cách sử dụng giải pháp phát hiện và phản hồi điểm cuối (EDR) và các công nghệ khác.

Trong môi trường đe dọa hiện tại, các cuộc tấn công nâng cao có thể mất vài phút hoặc vài giây để xâm phạm điểm cuối. Các công cụ EDR thế hệ đầu tiên chỉ đơn giản là không thể theo kịp vì chúng yêu cầu phản hồi và phân loại thủ công. Chúng không chỉ quá chậm đối với các mối đe dọa nhanh như chớp ngày nay mà còn tạo ra một lượng lớn các cảnh báo gây gánh nặng cho các nhóm an ninh mạng đã làm việc quá sức. Ngoài ra, các công cụ bảo mật EDR kế thừa có thể làm tăng chi phí hoạt động bảo mật và làm chậm các quy trình và khả năng mạng, có thể có tác động tiêu cực đến doanh nghiệp.

Ngược lại, các giải pháp EDR thế hệ tiếp theo cung cấp khả năng hiển thị, khả năng hiển thị, phân tích, quản lý và bảo vệ các điểm cuối tiên tiến, theo thời gian thực – cả trước và sau lây nhiễm để bảo vệ chống lại ransomware. Các giải pháp EDR này có thể phát hiện và ngăn chặn các mối đe dọa tiềm ẩn trong thời gian thực để chủ động giảm thiểu bề mặt tấn công và giúp ngăn chặn sự lây nhiễm phần mềm độc hại, đồng thời tự động hóa các quy trình phản hồi và khắc phục với các playbook có thể tùy chỉnh.

5. Sao lưu dữ liệu và ứng phó sự cố

Tổ chức của bạn sẽ có thể thực hiện sao lưu tất cả các hệ thống và dữ liệu của bạn và lưu trữ nó ngoài mạng. Các bản sao lưu này cũng nên được kiểm tra để đảm bảo bạn có thể khôi phục đúng cách.

Mọi tổ chức nên có sẵn kế hoạch ứng phó sự cố, để đảm bảo doanh nghiệp của bạn được chuẩn bị sẵn sàng nếu bạn bị tấn công bằng ransomware. Mọi người nên có nhiệm vụ cụ thể được giao trước thời hạn. Ví dụ, bạn sẽ liên hệ với ai để được trợ giúp về forensic analysis? Bạn có các chuyên gia sẵn sàng giúp bạn khôi phục hệ thống không? Bạn cũng nên thực hiện các bài tập một cách thường xuyên, tập trung vào cách bạn sẽ phục hồi sau cuộc tấn công ransomware.

6. Triển khai zero trust

Mô hình bảo mật zero trust giả định rằng bất kỳ ai hoặc bất kỳ thứ gì cố gắng kết nối với mạng đều là một mối đe dọa tiềm tàng. Triết lý an ninh mạng này nói rằng không nên tin cậy bất kỳ ai bên trong hoặc bên ngoài mạng trừ khi việc nhận dạng của họ đã được kiểm tra kỹ lưỡng.

Zero Trust nhận ra rằng các mối đe dọa cả bên ngoài và bên trong mạng là một yếu tố có mặt khắp nơi. Những giả định này giúp cho các quản trị viên mạng, buộc họ phải thiết kế các biện pháp bảo mật nghiêm ngặt.

Với cách tiếp cận zero-trust, mọi cá nhân hoặc thiết bị cố gắng truy cập vào mạng hoặc ứng dụng phải trải qua quá trình xác minh danh tính nghiêm ngặt trước khi được cấp quyền truy cập. Việc xác minh này sử dụng xác thực đa yếu tố (MFA) yêu cầu người dùng cung cấp nhiều thông tin xác thực trước khi họ được cấp quyền truy cập. Zero Trust cũng bao gồm Kiểm soát truy cập mạng (NAC), được sử dụng để hạn chế người dùng và thiết bị trái phép truy cập vào mạng công ty hoặc mạng riêng. Nó đảm bảo rằng chỉ những người dùng đã được xác thực và chỉ những thiết bị được ủy quyền và tuân thủ các chính sách bảo mật mới có thể vào mạng.

7. Tường lửa và phân đoạn mạng

Việc phân đoạn mạng ngày càng quan trọng khi việc sử dụng đám mây tăng lên, đặc biệt là trong các môi trường đa đám mây và đám mây lai. Với phân đoạn mạng, các tổ chức phân vùng mạng của họ theo nhu cầu kinh doanh và cấp quyền truy cập theo vai trò và trạng thái tin cậy hiện tại. Mọi yêu cầu mạng đều được kiểm tra theo trạng thái tin cậy hiện tại của người yêu cầu. Điều này cực kỳ có lợi để ngăn chặn sự di chuyển ngang của các mối đe dọa trong mạng, nếu chúng thực sự xâm nhập vào bên trong mạng.

8. Đào tạo người dùng và “vệ sinh mạng tốt” là chìa khóa

Con người là điều cần phải là trung tâm của bất kỳ chiến lược an ninh mạng nào. Theo Báo cáo điều tra vi phạm dữ liệu năm 2021 của Verizon, 85% các vụ vi phạm dữ liệu liên quan đến sự tương tác của con người. Bạn có thể có tất cả các giải pháp bảo mật trên thế giới, nhưng nếu bạn bỏ qua việc đào tạo nhân viên của mình về nhận thức mạng, bạn sẽ không bao giờ thực sự an toàn. Đảm bảo tất cả nhân viên của bạn được đào tạo đáng kể về cách phát hiện và báo cáo hoạt động mạng đáng ngờ, duy trì vệ sinh mạng và bảo mật các thiết bị cá nhân và mạng gia đình của họ.

Nhân viên nên được đào tạo khi họ được thuê và định kỳ trong suốt thời gian làm việc của họ, để thông tin luôn cập nhật và quan trọng nhất. Việc đào tạo cũng cần được cập nhật và bao gồm bất kỳ giao thức bảo mật mới nào có thể cần được triển khai.

Giáo dục các cá nhân, đặc biệt là những người làm việc từ xa, về cách duy trì khoảng cách mạng, cảnh giác với các yêu cầu đáng ngờ và triển khai các công cụ và giao thức bảo mật cơ bản có thể giúp CISO xây dựng đường cơ sở phòng thủ ở điểm dễ bị tấn công nhất trong mạng của họ và giúp bảo mật các tài nguyên kỹ thuật số quan trọng.

Các tổ chức cũng cần thực hành tốt vệ sinh mạng cơ bản để đảm bảo tất cả các hệ thống được cập nhật và vá lỗi đúng cách.

9. Deception technology

Các tổ chức cũng nên biết về deception technology. Mặc dù đây không phải là chiến lược an ninh mạng chính, nhưng các giải pháp deception có thể giúp bảo vệ các hệ thống nếu mặc dù bạn đã áp dụng tất cả các chiến lược an ninh mạng khác, những kẻ xấu vẫn tìm được cách xâm nhập.

Với công nghệ này, mồi nhử bắt chước các máy chủ, ứng dụng và dữ liệu thực tế để những kẻ xấu bị lừa tin rằng họ đã xâm nhập và giành được quyền truy cập vào tài sản quan trọng nhất của doanh nghiệp trong khi thực tế thì không. Phương pháp này có thể được sử dụng để giảm thiểu thiệt hại và bảo vệ tài sản đích thực của tổ chức. Ngoài ra, deception technology có thể đẩy nhanh thời gian trung bình để phát hiện và giải quyết các mối đe dọa.

Bạn có được trang bị đầy đủ để tránh bị tấn công bằng Ransomware không?

Các cuộc tấn công ransomware ở khắp mọi nơi. Quy mô công ty và ngành không còn quan trọng khi bọn tội phạm tìm kiếm một điểm xâm nhập dễ dàng vào mạng. Sự chuyển dịch toàn cầu sang làm việc từ xa đã mở ra nhiều backdoors bảo mật cho những kẻ xấu khai thác và họ đang tận dụng tối đa thời điểm của mình. Theo Báo cáo Cảnh quan Đe dọa Toàn cầu của Fortinet, vào cuối năm 2020, có tới 17.200 thiết bị báo cáo ransomware mỗi ngày.

Các tổ chức cần suy nghĩ lại và tổ chức lại, nhưng có sẵn các công cụ có thể cung cấp khả năng bảo vệ đáng kể chống lại các cuộc tấn công ransomware. Đánh giá chín khuyến nghị này và xem xét những gì bạn có thể cần làm để mang lại cho tổ chức của bạn cơ hội tốt nhất có thể để đánh bại mối đe dọa đáng kể này.

Nguồn: How to Prevent Ransomware Attacks: Top Nine Things to Keep in Mind

Xem thêm: Những kẻ tấn công Ransomware là ai và họ đang theo đuổi điều gì? 

Tags: , ,