11 bước để phòng chống ransomware

Ramsomware tiếp tục là một trong những mối đe dọa lớn nhất trên Internet. Nhấp vào liên kết giả mạo có thể tạo ra một chuỗi các sự kiện kết thúc với việc tất cả dữ liệu của bạn bị kẻ gian mã hóa. Chúng sẽ chỉ mở khóa khi có một khoản tiền chuộc khổng lồ - thường là bằng bitcoin hoặc một loại tiền điện tử khó theo dõi khác.

Các băng đảng ransomware thường có kinh phí dồi dào (nhờ tất cả những khoản tiền chuộc bitcoin) và sử dụng các chiến thuật ngày càng tinh vi. Chỉ những kẻ lừa đảo cấp thấp mới quan tâm đến việc mã hóa từng chiếc PC một, trong khi đó các băng đảng lớn tìm kiếm các “cửa hậu” (backdoor) để thâm nhập mạng lưới công ty và sau đó sẵn sàng gây ra sự hỗn loạn tối đa (để đòi số tiền tiền chuộc lớn) bằng cách mã hóa càng nhiều thiết bị càng tốt trong mỗi lần.

Không chỉ các băng đảng tội phạm nhận thấy sức mạnh của ransomware: các nhóm tấn công được nhà nước hậu thuẫn cũng đã sử dụng ransomware để tạo ra cả sự hỗn loạn và lợi nhuận cho những kẻ ủng hộ.

Những gì chúng ta đang thấy là một cuộc chạy đua vũ trang giữa những kẻ gian đang tìm kiếm những cách thức mới để xâm nhập vào các hệ thống và các doanh nghiệp đang cố gắng lấp đầy mọi khoảng trống trong phòng thủ của họ.

Bài viết giới thiệu có một số bước để giảm thiểu diện tấn công:

1. Thực hiện vá phần mềm để cập nhật các hệ thống

Vá các lỗ hổng phần mềm là một bước rất quan trọng. Các băng nhóm phần mềm độc hại sẽ tận dụng bất kỳ lỗ hổng phần mềm nào và cố gắng sử dụng chúng như một cách thâm nhập vào mạng trước khi các DN có thời gian để kiểm tra và triển khai các bản vá. Ví dụ kinh điển về những gì xảy ra nếu bạn không vá đủ nhanh là WannaCry.

Ảnh: Getty Images/iStockphoto

Ransomware này đã gây ra sự hỗn loạn vào mùa hè năm 2017, trong đó làm đình trệ tổ chức y tế NHS ở Anh. Một bản vá cho việc khai thác giao thức Khối máy chủ Windows Server cơ bản cho phép WannaCry lây lan cho đến nay đã thực sự được phát hành vài tháng trước khi ransomware tấn công. Nhưng các tổ chức đã không cập nhật bản sửa lỗi cho cơ sở hạ tầng của họ và hơn 300.000 PC đã bị lây nhiễm.

Đây là một bài học mà nhiều tổ chức tiếp tục phải rút kinh nghiệm. Một trong ba chuyên gia CNTT thừa nhận rằng tổ chức của họ đã bị xâm phạm do lỗ hổng chưa được vá, theo một khảo sát của công ty bảo mật Tripwire.

2. Thay đổi các mật khẩu mặc định ở tất cả các điểm truy cập

Nhấp vào một liên kết độc hại trong email có lẽ là cách bị nhiễm phần mềm độc hại được biết đến nhiều nhất, nhưng đó là cách duy nhất.

Ảnh: Getty Images/iStockphoto

Theo một nghiên cứu của F-Secure, gần 1/3 ransomware đã được phát tán thông qua các cuộc tấn công từ xa và giao thức máy tính để bàn từ xa (RDP). Các cuộc tấn công mạnh mẽ là những nỗ lực của tin tặc truy cập vào máy chủ và các thiết bị khác bằng cách thử càng nhiều mật khẩu càng tốt, thường là với sự trợ giúp của các bot, với hy vọng đạt được nhiều tiền chuộc lớn.

Vì nhiều công ty không thay đổi mật khẩu mặc định hoặc sử dụng các kết hợp dễ đoán, các cuộc tấn công mạnh thường có hiệu quả. RDP cho phép điều khiển máy tính từ xa và là một con đường tấn công ransomware phổ biến khác. Có những bước bạn thực hiện để giảm nguy cơ bị tấn công thông qua RDP, từ việc đảm bảo sử dụng mật khẩu mạnh, đến thay đổi cổng RDP, để hạn chế tính khả dụng của nó đối với chỉ các thiết bị thực sự cần nó.

Các phương thức phát tán ransomeware từ tháng 1 -5/2019 (Ảnh: F-Secure)

3. Huấn luyện nhân viên nhận thức được các thư điện tử độc hại

Một trong những cách truyền thống để ransomware xâm nhập vào tổ chức của bạn là qua email. Thực tế, việc phát tán phần mềm độc hại đến hàng ngàn địa chỉ email tốn ít chi phí nhất và dễ dàng để các băng đảng ransomware thử và phát tán phần mềm độc hại. Mặc dù thủ thuật này cơ bản là cũ nhưng vẫn hiệu quả.

Đào tạo đội ngũ nhân viên để họ nhận ra các email đáng ngờ có thể giúp bảo vệ chống lại ransomware và các rủi ro do email khác như lừa đảo. Nguyên tắc cơ bản là: không mở email từ người gửi mà bạn không nhận ra; Không nhấp vào các liên kết trong email nếu bạn không chắc chắn đó là hợp pháp; Tránh các tệp đính kèm bất cứ khi nào có thể và hãy cẩn thận với các tệp đính kèm yêu cầu bạn bật macro, vì đây là cách truyền dẫn đến nhiễm phần mềm độc hại; Xem xét sử dụng xác thực hai yếu tố như một lớp bảo mật bổ sung.

4. Gây khó cho việc phát tán ransomeware rộng rãi

Các băng đảng ransomware đang ngày càng tìm kiếm nhiều cách thu lời nhất có thể. Mã hóa dữ liệu trên một chiếc PC sẽ không làm cho chúng trở nên giàu có, vì vậy chúng có khả năng truy cập vào mạng và sau đó thâm nhập để phát tán phần mềm độc hại càng rộng càng tốt trước khi kích hoạt và mã hóa mọi thứ.

Làm cho điều này trở nên khó khăn hơn bằng cách phân mảnh các mạng và cũng bằng cách giới hạn, bảo mật số lượng tài khoản quản trị viên có quyền truy cập trên phạm vi rộng. Các cuộc tấn công lừa đảo đã được các nhà phát triển nhắm mục tiêu biết đến đơn giản vì họ có quyền truy cập rộng rãi trên nhiều hệ thống.

5. Nắm rõ những gì được kết nối vào máy tính của bạn

PC và máy chủ có thể là nơi lưu trữ dữ liệu của bạn, nhưng chúng không phải là thiết bị duy nhất bạn phải lo lắng. Nhờ có WiFi văn phòng, Internet vạn vật và làm việc tại nhà, giờ đây có rất nhiều thiết bị kết nối với mạng công ty, nhiều thiết bị sẽ thiếu tính năng bảo mật sẵn mà bạn mong đợi từ một thiết bị của công ty.

Càng nhiều thiết bị, nguy cơ “cửa hậu” càng cao cho tin tặc xâm nhập vào mạng của bạn và sau đó tin tặc sử dụng quyền truy cập đó để di chuyển qua hệ thống của bạn đến các mục tiêu sinh lợi hơn so với máy in được bảo mật kém hoặc máy bán hàng tự động thông minh.

Ngoài ra, hãy suy nghĩ về những người khác có quyền truy cập vào hệ thống của bạn: Các nhà cung cấp của bạn có nhận thức được rủi ro tiềm ẩn của ransomware và phần mềm độc hại khác không?

6. Tìm hiểu dữ liệu quan trọng nhất của bạn là dữ liệu gì và lập chiến lược dự phòng hiệu quả

Có các bản sao lưu an toàn và cập nhật tất cả các thông tin quan trọng trong kinh doanh là một biện pháp bảo vệ quan trọng, đặc biệt là chống lại ransomware. Trong trường hợp ransomware tấn công một số thiết bị, có bản sao lưu gần nhất có nghĩa là bạn có thể khôi phục dữ liệu đó và hoạt động trở lại nhanh chóng.

Ảnh: Getty Images/iStockphoto

7. Nghĩ kỹ trước khi trả tiền chuộc

Kẻ tấn công bằng ransomware đã tìm thấy cách vượt hệ thống phòng thủ của bạn và bây giờ mọi PC trên toàn DN đều bị mã hóa. Bạn có thể khôi phục từ bản sao lưu, nhưng sẽ mất nhiều ngày và bọn tội phạm đòi vài nghìn đô la. Thời gian phải trả là khi nào?

Ảnh: Getty Images/iStockphoto

Mọi thứ bạn cần biết về ransomware là: nó đã khởi động như thế nào, tại sao nó lại bùng phát, làm thế nào để bảo vệ chống lại ransomeware và phải làm gì nếu PC của bạn bị lây nhiễm.

Đối với một số người, đó có thể là kết luận rõ ràng. Nếu những kẻ tấn công chỉ muốn một số tiền tương đối nhỏ thì trong thời gian ngắn, nó có thể buộc DN phải chi trả vì điều đó có nghĩa là DN có thể nhanh chóng hoạt động trở lại. Tuy nhiên, có những lý do tại sao bạn có thể không muốn trả tiền.

Đầu tiên, không có gì đảm bảo rằng bọn tội phạm sẽ trao khóa mã hóa khi bạn trả tiền - rốt cuộc chúng là kẻ gian. Nếu tổ chức của bạn muốn trả tiền chuộc, điều đó có thể sẽ khuyến khích nhiều cuộc tấn công hơn, bởi cùng một nhóm hoặc những người khác.

Ngoài ra còn có tác động rộng hơn để xem xét. Trả tiền chuộc, từ tiền của chính bạn hoặc thông qua bảo hiểm mạng, là thưởng cho các băng đảng này vì hành vi của chúng. Điều đó có nghĩa là chúng thậm chí còn được tài trợ tốt hơn và có thể chạy các chiến dịch thậm chí tinh vi hơn chống lại bạn hoặc các tổ chức khác. Nó có thể giúp bạn giảm bớt nỗi đau trong thời gian ngắn, nhưng trả tiền chuộc chỉ làm tăng thêm dịch bệnh ransomware.

8. Có kế hoạch ứng phó tấn công ransomeware và kiểm tra

Một kế hoạch phục hồi phải đề cập đến tất cả các kiểu thảm họa công nghệ phải nên trở thành một phần tiêu chuẩn của kế hoạch kinh doanh và nên bao gồm phần ứng phó ransomware. Đó không chỉ là ứng phó về kỹ thuật - làm sạch PC và cài đặt lại dữ liệu từ các bản sao lưu - mà còn là phải phản ứng kinh doanh rộng hơn cần thiết.

Ảnh: Getty Images/iStockphoto

Những điều cần xem xét bao gồm việc giải trình tình hình cho khách hàng, nhà cung ứng và báo chí. Xem xét liệu các cơ quan quản lý cần phải được thông báo, hoặc nếu bạn nên gọi cảnh sát hoặc công ty bảo hiểm. Có một tài liệu là chưa đủ: bạn cũng cần kiểm tra các giả định bạn đã đưa ra, bởi vì một số trong số chúng sẽ sai.

9. Quét và lọc các thư điện tử trước khi chúng được gửi đi

Cách dễ nhất để ngăn nhân viên nhấp vào một liên kết ransomware trong một email là email này không bao giờ đến hộp thư của họ. Điều này có nghĩa là sử dụng chức năng quét nội dung và lọc email, phải xử lý nhiều vụ lừa đảo và lừa đảo ransomware trước khi chúng đến tay nhân viên.

Ảnh: Getty Images/iStockphoto

10. Hiểu điều gì đang xảy ra trên mạng lưới

Có một loạt các công cụ bảo mật liên quan - từ các hệ thống phát hiện và ngăn chặn xâm nhập đến các gói thông tin bảo mật và quản lý sự kiện (SIEM) - có thể cho phép bạn cái biết lưu lượng truy cập trên mạng của bạn.

Ảnh: Getty Images/iStockphoto

Các sản phẩm này có thể giúp bạn cập nhật về mạng lưới của bạn và sẽ giúp bạn phát hiện ra các bất bình thường có thể hướng bạn đến việc rằng bạn đã bị tin tặc xâm phạm, cho dù chúng có ý định lây nhiễm hệ thống của bạn bằng ransomware hay có ý định gì khác. Nếu bạn không thể thấy những gì đang xảy ra trên mạng, thì không có cách nào bạn có thể ngăn chặn một cuộc tấn công.

11. Đảm bảo phần mềm chống virus được cập nhật

Điều này rõ ràng là cần thiết, nhưng đôi khi bị bỏ qua bởi các tổ chức nhỏ hơn. Nhiều gói chống virus hiện nay cung cấp các tính năng phát hiện ransomware hoặc các tiện ích bổ sung cố gắng phát hiện hành vi đáng ngờ phổ biến đối với tất cả các ransomware là mã hóa tệp.

Các ứng dụng này giám sát các tệp của bạn để biết các hành vi không được trông đợi - như một phần mềm mới lạ đang cố mã hóa tất cả chúng - và nhằm mục đích ngăn chặn nó. Một số gói bảo mật thậm chí sẽ tạo các bản sao của các tệp bị đe dọa bởi ransomware.