Bảo vệ trước khi bị tấn công: Mô phỏng ransomware mang lại sự khác biệt
Ransomware là một dạng phần mềm độc hại xâm nhập vào máy tính hoặc mạng, và giới hạn hoặc hạn chế quyền truy cập vào dữ liệu quan trọng bằng cách mã hóa các tệp cho đến khi tiền chuộc được trả. Việc chặn quyền truy cập vào dữ liệu kinh doanh quan trọng của công ty sẽ khiến các tổ chức có thể phải trả một khoản tiền chuộc khá lớn hoặc mất nhiều ngày hoặc thậm chí nhiều tuần liên tục kinh doanh.
Tóm tắt:
- 6 trong số 10 tổ chức (59%) đã phải hứng chịu các nỗ lực tấn công bằng ransomware vào năm 2024.
- Các cuộc tấn công này có thể gây ra hậu quả tàn khốc đối với doanh nghiệp, dẫn đến mất dữ liệu, thiệt hại về tài chính, mất uy tín và gián đoạn hoạt động.
- Red Team (Đội đỏ) là một nhóm các chuyên gia bảo mật với mục tiêu là cải thiện an ninh mạng của doanh nghiệp.
- Sự tham gia của lãnh đạo là điều cần thiết cho sự chuẩn bị an ninh mạng.
- Cần phải duy trì sự cân bằng trong việc đạt được và thử nghiệm các quy trình bảo mật.
Trong thế giới an ninh mạng đang phát triển, việc chuẩn bị cho các mối đe dọa tiềm ẩn cũng quan trọng như việc phòng thủ chống lại các cuộc tấn công đang diễn ra. Bài viết đi sâu vào tầm quan trọng của mô phỏng ransomware và cách chúng có thể củng cố chiến lược an ninh mạng; việc chạy mô phỏng thường xuyên có thể giúp các tổ chức vượt qua cơn bão tốt hơn.
Cơn bão ransomware
Việc khai thác lỗ hổng zero-day, tấn công chuỗi cung ứng và sử dụng phần mềm tống tiền - được kết hợp với nhau trong một cuộc tấn công do một nhóm tội phạm mạng phát động nhằm vào GoAnywhere, một phần mềm chuyển tệp an toàn mà Fortra cung cấp cho hàng nghìn tổ chức. Kết quả là hơn 100 công ty và tổ chức đã bị đánh cắp dữ liệu.
Các tổ chức trong lĩnh vực tài chính, tổ chức chăm sóc sức khỏe, quỹ hưu trí, nền tảng giáo dục và thậm chí cả thành phố Toronto nằm trong số những nạn nhân của cơn bão hoàn hảo này. Những sự cố bảo mật này cảnh báo chúng ta về những rủi ro liên quan đến việc khai thác các lỗ hổng chưa biết, các mối đe dọa đối với chuỗi cung ứng CNTT và mối nguy hiểm của các cuộc tấn công ransomware, đang ngày càng trở nên thường xuyên và tinh vi hơn.
Ransomware là một dạng phần mềm độc hại xâm nhập vào máy tính hoặc mạng, và giới hạn hoặc hạn chế quyền truy cập vào dữ liệu quan trọng bằng cách mã hóa các tệp cho đến khi tiền chuộc được trả. Việc chặn quyền truy cập vào dữ liệu kinh doanh quan trọng của công ty sẽ khiến các tổ chức có thể phải trả một khoản tiền chuộc khá lớn hoặc mất nhiều ngày hoặc thậm chí nhiều tuần liên tục kinh doanh.
Theo Báo cáo về tình hình Ransomware của Sophos, 6 trong số 10 tổ chức (59%) đã phải hứng chịu các nỗ lực tấn công bằng ransomware vào năm 2024. Các tổ chức có doanh thu hàng năm trên 5 tỷ đô la (3,85 tỷ bảng Anh) bị ảnh hưởng nặng nề nhất, với 67% bị ảnh hưởng bởi ransomware ở một số khía cạnh. Điều này có nghĩa là hầu hết các công ty có thể sẽ bị tấn công bằng ransomware vào một thời điểm nào đó.
Ngân hàng và dịch vụ tài chính được xếp hạng là ngành số 1 về các cuộc tấn công ransomware được phát hiện. Tỷ lệ các cuộc tấn công ransomware tăng từ 34% vào năm 2021 lên 64% vào năm 2023, với chi phí trung bình cho một vụ vi phạm dữ liệu là 5,90 triệu USD.
Chỉ có 1 trong 10 cuộc tấn công bị ngăn chặn trước khi mã hóa diễn ra, khiến tổng cộng 81% các tổ chức là nạn nhân của mã hóa dữ liệu. Các lỗ hổng bị khai thác (40%) và thông tin đăng nhập bị xâm phạm (23%) là hai nguyên nhân gốc rễ phổ biến nhất gây ra các cuộc tấn công ransomware đáng kể nhất trong lĩnh vực dịch vụ tài chính.
Hơn 90% các cuộc tấn công mạng thành công bắt đầu bằng email lừa đảo, thường bao gồm các tệp đính kèm hoặc liên kết độc hại, khi nhấp vào, sẽ tải ransomware xuống hệ thống của nạn nhân và mã hóa dữ liệu, từ đó thực hiện cuộc tấn công. Các cuộc tấn công này có thể gây ra hậu quả tàn khốc đối với doanh nghiệp, dẫn đến mất dữ liệu, thiệt hại về tài chính, mất uy tín và gián đoạn hoạt động. Ở cấp độ cá nhân, nhân viên an ninh cũng bị các triệu chứng giống như rối loạn căng thẳng sau sang chấn (PTSD), sau khi giải quyết hậu quả từ những sự cố như vậy.
Sao lưu dữ liệu được bảo quản tốt, hệ thống an toàn và phòng thủ chu vi mạnh mẽ là tất cả những yếu tố cần thiết để vượt qua cơn bão ransomware. Điều quan trọng không kém là giữ bình tĩnh trong khủng hoảng - thể hiện sự tự tin khi ra quyết định và bình tĩnh giải quyết tình hình. Điều đó có nghĩa là đảm bảo tất cả các bên liên quan, không chỉ các nhóm an ninh mạng, đều được chuẩn bị. Các công ty và tổ chức công có mức độ trưởng thành về an ninh mạng và mức độ tiếp xúc mạng cao nên cân nhắc sử dụng mô phỏng ransomware để tối ưu hóa khả năng phục hồi của họ trước các cuộc tấn công và cải thiện khả năng phát hiện, phản ứng và phục hồi của họ.
Mô phỏng tấn công “Đội đỏ”
Phục kích nhân viên bằng các cuộc tấn công mạng giả mạo từng là một phương pháp phổ biến. Phương pháp này thường bao gồm việc gửi email lừa đảo giả mạo để kiểm tra xem nhân viên có nhấp vào liên kết đáng ngờ hay không. Tuy nhiên, các kỹ thuật này ngày càng ít được sử dụng để việc đào tạo an toàn bảo mật cởi mở và minh bạch hơn.
Một phương pháp khác là sử dụng Đội đỏ (Red Team). Đội đỏ là một nhóm các chuyên gia bảo mật được các bên liên quan giao nhiệm vụ vượt ra ngoài phạm vi thử nghiệm xâm nhập và tiến hành một cuộc tấn công mô phỏng thực tế vào mạng mục tiêu - trong thời gian cần thiết.
Mục tiêu cuối cùng của một cuộc tấn công Red Team là hiểu được cách kẻ tấn công sẽ hành động khi cố gắng truy cập vào mạng cũng như tìm hiểu các điểm yếu và lỗ hổng hiện tại của bề mặt tấn công. Viện Tiêu chuẩn và Công nghệ Hoa Kỳ định nghĩa Red Team là: “Một nhóm người được ủy quyền và tổ chức để mô phỏng khả năng tấn công hoặc khai thác của đối thủ tiềm năng đối với thế trận an ninh của doanh nghiệp. Mục tiêu của Red Team là cải thiện an ninh mạng của doanh nghiệp bằng cách chứng minh tác động của các cuộc tấn công thành công và chứng minh những gì hiệu quả đối với những người bảo vệ (tức là Blue Team) trong môi trường hoạt động”. Mô phỏng tấn công Red Team - luôn phải được điều chỉnh theo bề mặt tấn công của tổ chức và tính đến mức độ đe dọa cụ thể của ngành.
Dựa trên tổ chức an ninh và doanh nghiệp được giao nhiệm vụ bảo vệ, một cuộc tấn công của Red Team sẽ tận dụng một tập hợp các chiến thuật, kỹ thuật và quy trình (TTP) cụ thể để xâm nhập mạng và đánh cắp dữ liệu. Do đó, điều quan trọng là trung tâm điều hành an ninh (SOC) phải làm quen với các TTP được sử dụng và tìm hiểu cách phòng thủ và (hoặc) vượt qua chúng.
Mục đích của các bài tập này là để phơi bày những lỗ hổng trong phòng thủ mạng. Điều này có thể có nghĩa là phân biệt giữa cảnh báo sai và mối đe dọa thực sự, có thể tìm ra những mối đe dọa đó ngay từ đầu hoặc phối hợp phản ứng thành công khi sự cố đang diễn ra. Các tổ chức có thể tự tạo ra các cuộc đối đầu giữa đội đỏ/đội xanh nội bộ của riêng họ. Ngoài ra còn có các nhà cung cấp đội đỏ, những người cung cấp dịch vụ đội đỏ “mù”, với rất ít hoặc không có kiến thức phòng thủ. Các nhà cung cấp này cho rằng các bài tập như vậy tạo ra một môi trường hiệu quả để kiểm tra khả năng thực tế của các nhóm an ninh mạng.
Lorenzo Grillo, Giám đốc dịch vụ rủi ro mạng của Alvarez & Marsal, cho biết, Red Team có thể là “cơ hội tuyệt vời để kiểm tra các quy trình và công nghệ về sự chuẩn bị, phát hiện và ứng phó của công ty theo cách mô phỏng các điều kiện thực tế”. Đó là vì họ đánh giá “toàn bộ môi trường kiểm soát” để mô phỏng cách các tác nhân đe dọa mạng có kỹ năng và động lực sẽ nhắm mục tiêu vào một tổ chức.
Tuy nhiên, các cuộc tấn công bất ngờ có thể gây quá nhiều áp lực cho nhân viên và có nguy cơ khiến họ cảm thấy như thể họ đang bị giám sát liên tục. Điều này có thể dẫn đến các vấn đề về lòng tin giữa các bên liên quan. Alan Woodward, Giáo sư an ninh mạng tại Đại học Surrey, cho biết: “Nếu bạn có một cuộc diễn tập mà không nói với mọi người, rằng đó là một cuộc diễn tập, thì thực tế nó có thể gây gián đoạn như một cuộc tấn công thực sự? Và điều đó không có ý nghĩa gì đối với doanh nghiệp”.
Woodward cho biết, thử nghiệm mù (Blind testing) cũng giống như việc xả khói trong văn phòng và hét lên “cháy” trong một cuộc diễn tập. Cách tiếp cận như vậy có thể khiến nhân viên kiệt sức hoặc hoảng sợ và dẫn đến năng suất kém hơn. Mặc dù việc lập Red Team có thể giải quyết một số vấn đề hoặc phơi bày một số lỗ hổng nhất định, nhưng nếu bạn không tin tưởng nhóm của mình có thể hoạt động tốt trong khủng hoảng, thì điều đó “nói lên nhiều điều về quy trình tuyển dụng của bạn hơn bất cứ điều gì khác”.
Mô phỏng thực tế - Thực hành thường xuyên
Thay vào đó, Woodward khuyến nghị một cách tiếp cận cởi mở và minh bạch đối với các cuộc diễn tập an ninh mạng. Ông đề xuất các bài tập thực hành thường xuyên - thường là một phiên nhập vai kéo dài một tiếng rưỡi, trong đó đưa ra các kịch bản an ninh mạng để các nhóm và lãnh đạo giải quyết. Mô phỏng tấn công ransomware là thực hành có chủ đích này cho phép các tổ chức đánh giá mức độ sẵn sàng và phản ứng của họ đối với các mối đe dọa mạng được mô phỏng mà không gây nguy hiểm thực sự cho hệ thống hoặc dữ liệu.
Mục đích cuối cùng là tạo ra một kịch bản hợp lý, thực tế và thử nghiệm các phản ứng với kịch bản đó, cho phép người tham gia kiểm tra các quy trình ra quyết định hiện tại, các biện pháp phòng thủ kỹ thuật và các kế hoạch của họ. Grillo cho biết các bài thực hành mô phỏng tấn công ransomware được định nghĩa và quản lý đúng cách có thể giúp kiểm tra khả năng ứng phó với khủng hoảng mạng của công ty.
Ông nói thêm rằng các doanh nghiệp nên tìm ra sự cân bằng phù hợp giữa hai cách tiếp cận này: “Red teaming có thể phơi bày những lỗ hổng và nâng cao kỹ năng phòng thủ, trong khi các bài tập thực hành mô phỏng thường xuyên cung cấp không gian để thực hành và học tập an toàn mà không bị căng thẳng liên tục”.
Quy trình mô phỏng tấn công ransomware
Trong mô phỏng ransomware, cuộc tấn công được dàn dựng cẩn thận để đánh giá hiệu quả của nhiều biện pháp bảo mật khác nhau. Sau đây là cách mô phỏng tấn công ransomware thực tế diễn ra qua các lớp bảo mật khác nhau:
1. Đánh giá bảo mật email
Kịch bản: Mô phỏng bắt đầu bằng một chiến dịch email lừa đảo. Email này chứa tệp đính kèm hoặc liên kết độc hại được thiết kế để phân phối phần mềm tống tiền.
Mục tiêu: Đánh giá mức độ hệ thống bảo mật email có thể phát hiện và chặn các mối đe dọa như vậy. Trọng tâm là hiệu suất của bộ lọc thư rác, quét virus và các biện pháp chống lừa đảo.
Kết quả: Hiệu quả của các giải pháp bảo mật email được đánh giá dựa trên khả năng ngăn chặn email đến tay người dùng cuối hoặc cảnh báo họ về nỗ lực lừa đảo.
2. Đánh giá Tường lửa ứng dụng web (WAF)
Kịch bản: Tiếp theo, mô phỏng đánh giá WAF bằng cách cố gắng khai thác lỗ hổng trong ứng dụng web. Bước này có thể liên quan đến việc gửi lưu lượng truy cập hoặc tải trọng độc hại được thiết kế để xâm phạm ứng dụng và phân phối phần mềm tống tiền.
Mục tiêu: Đánh giá khả năng lọc và chặn các yêu cầu có hại của WAF trước khi chúng đến được ứng dụng. Trọng tâm là WAF bảo vệ tốt như thế nào trước các nỗ lực khai thác.
Kết quả: Hiệu quả của WAF được đo bằng khả năng ngăn chặn lưu lượng truy cập độc hại và giảm thiểu rủi ro liên quan đến các mối đe dọa trên web.
3. Đánh giá bảo mật mạng
Kịch bản: Khi ransomware lây lan, mô phỏng sẽ đánh giá các biện pháp bảo mật mạng để ngăn chặn và hạn chế sự lây lan của ransomware trong mạng. Điều này bao gồm giám sát lưu lượng mạng bất thường và chuyển động ngang tiềm ẩn.
Mục tiêu: Đánh giá mức độ hiệu quả của các công cụ bảo mật mạng như tường lửa, hệ thống phát hiện xâm nhập (IDS) và hệ thống ngăn chặn xâm nhập (IPS) trong việc phát hiện và chặn các hoạt động liên quan đến phần mềm tống tiền.
Kết quả: Hiệu quả của bảo mật mạng được đánh giá dựa trên khả năng cô lập các phân đoạn bị ảnh hưởng, ngăn chặn sự lây lan của phần mềm tống tiền và duy trì tính toàn vẹn của mạng nói chung.
4. Đánh giá bảo mật điểm cuối
Kịch bản: Sau khi ransomware vượt qua được các biện pháp bảo vệ email và WAF, nó sẽ nhắm vào các điểm cuối riêng lẻ (ví dụ: máy tính, máy tính xách tay). Giai đoạn này bao gồm triển khai ransomware trên các thiết bị này để có khả năng của các giải pháp bảo mật điểm cuối.
Mục tiêu: Đánh giá khả năng phát hiện và vô hiệu hóa ransomware trước khi nó có thể mã hóa tệp của hệ thống bảo mật điểm cuối. Điều này bao gồm các chương trình diệt virus, công cụ chống phần mềm độc hại, Phát hiện và phản hồi mở rộng (XDR), Hệ thống phát hiện xâm nhập dựa trên máy chủ (HIDS) và các giải pháp Phát hiện và phản hồi điểm cuối (EDR).
Kết quả: Sự thành công của các biện pháp bảo mật điểm cuối được đánh giá dựa trên khả năng phát hiện phần mềm tống tiền, ngăn chặn việc thực thi và dừng các quá trình mã hóa.
5. Giai đoạn mã hóa
Kịch bản: Cuối cùng, quá trình mã hóa ransomware được mô phỏng để đánh giá cách tổ chức phản ứng với các tệp được mã hóa. Giai đoạn này đánh giá mức độ sẵn sàng của các giải pháp sao lưu và kế hoạch ứng phó sự cố.
Mục tiêu: Xác định mức độ tổ chức có thể quản lý hậu quả của một cuộc tấn công, bao gồm khôi phục dữ liệu và duy trì hoạt động kinh doanh.
Kết quả: Trọng tâm là khả năng khôi phục các tệp được mã hóa từ bản sao lưu của tổ chức và quản lý tác động hoạt động của cuộc tấn công bằng phần mềm tống tiền.
Quá trình mô phỏng tấn công dựa trên tấn công có chủ đích thế hệ mới APT (Next Gen Advanced Persistence Threat) đánh giá kỹ lưỡng các khía cạnh khác nhau của cơ sở hạ tầng bảo mật; bao gồm bảo mật email, tường lửa ứng dụng web (WAF), phòng thủ mạng và bảo vệ điểm cuối. Mô phỏng toàn diện này cho phép đánh giá khả năng phục hồi của tổ chức trước các cuộc tấn công ransomware trong môi trường được kiểm soát. Bằng cách thực hiện mô phỏng này, có thể xác định liệu các biện pháp bảo mật có đủ để chống lại các cuộc tấn công như vậy hay không.
Nếu cuộc tấn công mô phỏng thành công, tổ chức sẽ có được những hiểu biết giá trị về các lỗ hổng bị khai thác trong cuộc tấn công. Thông tin này cho phép hiểu lý do tại sao cuộc tấn công xảy ra và cải thiện thế trận bảo mật của tổ chức cho phù hợp. Thay vì phải đối mặt với một cuộc tấn công thực sự với hậu quả có khả năng tàn phá, mô phỏng ransomware cung cấp một cách an toàn và hiệu quả để đánh giá và nâng cao thế trận an ninh mạng của tổ chức.
Sự tham gia của lãnh đạo là điều cần thiết cho việc chuẩn bị an ninh mạng
Trong một cuộc tấn công ransomware thực tế, ban lãnh đạo của một tổ chức phải đưa ra những quyết định kinh doanh khó khăn. Họ sẽ phải quyết định có nên trả tiền chuộc hay không, đưa ra tuyên bố và tìm cách đảm bảo tính liên tục của hoạt động kinh doanh trong khi khôi phục hệ thống. Điều này có nghĩa là ban lãnh đạo cấp cao phải được tóm tắt đúng cách và bằng ngôn ngữ mà họ hiểu.
Dan Potter, Giám đốc cấp cao về khả năng phục hồi hoạt động tại nhà cung cấp dịch vụ chuẩn bị an ninh mạng Immersive Labs cho biết: “Các giám đốc điều hành không cần biết cách bạn thực hiện phân tích nhật ký hoặc phân tích ngược phần mềm độc hại”. “Họ chỉ cần biết các nhóm của họ có khả năng thực hiện những điều đó và họ có thể chứng minh rằng họ đang cải thiện theo thời gian”.
Trước đây, các nhóm an ninh đã thành công trong việc làm lãnh đạo khiếp sợ bằng các chi tiết về thảm họa mạng và tóm tắt về các nhóm đe dọa dai dẳng tiên tiến, nhưng họ lại kém hiệu quả hơn trong việc gắn kết doanh nghiệp. Người điều phối bất kỳ thực hành nào cũng phải ưu tiên tính bao hàm và khuyến khích những người tham gia nói một ngôn ngữ chung; tuy nhiên, mục tiêu thực sự phải là học tập liên tục.
“Với lịch trình bận rộn của các giám đốc điều hành cấp cao, có thể khó tìm được khoảng thời gian cho nhiều bài tập thực hành mô phỏng. Điều này đặt trách nhiệm lên vai các nhà lãnh đạo an ninh để giữ cho các nhóm luôn nhạy bén”. Potter đề xuất các thực hành thường xuyên, nhỏ hơn cho những người ứng cứu tuyến đầu. Điều này có thể bao gồm các phòng thí nghiệm thực hành, đào tạo phát triển kỹ năng kỹ thuật hoặc mô phỏng nhóm nhỏ.
Sau đó, các nhóm an ninh có thể sử dụng các hoạt động này để tóm tắt cho các giám đốc điều hành cấp cao về tiến độ đã đạt được, đồng thời giúp tránh tình trạng mệt mỏi khi tập luyện trong nhóm lãnh đạo. Điều này có thể mở ra các cuộc trò chuyện với các nhà lãnh đạo về những mối quan tâm và ưu tiên cần có. Các bài thực hành sẽ trang bị cho các nhóm an ninh mạng dữ liệu để thông báo cho các nhà lãnh đạo về tiến độ hoặc các lĩnh vực cần cải thiện, cuối cùng là tạo dựng sự tự tin trong nhóm.
Những cân nhắc về mặt đạo đức của mô phỏng ransomware
Để thực hiện thành công các bài tập huấn luyện, cần xây dựng một văn hóa an ninh dựa trên sự hợp tác và cải tiến thay vì sự xấu hổ hay chế giễu. Jason Nurse, Giảng viên về an ninh mạng tại Đại học Kent, cho biết nhân viên cần hiểu được nhu cầu diễn tập và hiểu rõ rằng các bài tập không phải là để bắt lỗi mọi người, chỉ trích các nhóm hoặc đổ lỗi cho hệ thống. Mục tiêu là xác định nơi nào có thể cải thiện.
Các tổ chức nên cân nhắc kỹ lưỡng mục tiêu, thời điểm và bản chất của các cuộc tấn công ransomware trong các mô phỏng của mình. Họ nên đảm bảo rằng họ không nhắm mục tiêu một cách không công bằng vào một số nhóm nhất định và thừa nhận tình trạng của doanh nghiệp tại bất kỳ thời điểm nào chúng được thực hiện. Ví dụ, mô phỏng sẽ diễn ra vào ngày phần mềm mới sẽ được cài đặt trên toàn doanh nghiệp? Mặc dù chắc chắn có những lợi thế khi chạy mô phỏng vào những thời điểm này - và bản thân các nhóm ransomware có thể tìm thấy những thời điểm mục tiêu lý tưởng này - nhưng chúng có thể gây thêm căng thẳng đáng kể cho nhân viên.
Cuối cùng, bất kỳ ai thiết lập mô phỏng nên cân nhắc xem nội dung có phù hợp không. Đã có những trường hợp các tổ chức tiến hành mô phỏng tấn công không phù hợp và không xem xét đến bối cảnh của nhân viên hoặc khách hàng. Cần phải duy trì sự cân bằng trong việc đạt được và thử nghiệm các quy trình bảo mật mà không làm ảnh hưởng đến tinh thần của nhân viên. Việc chạy các phiên nhập vai tấn công mạng có thể mang lại lợi ích rất đáng kể. Bằng cách thảo luận về các hành động cần thiết để giải quyết các cuộc
Những cân nhắc về mặt đạo đức của mô phỏng ransomware
Để thực hiện thành công các bài tập huấn luyện, cần xây dựng một văn hóa an ninh dựa trên sự hợp tác và cải tiến thay vì sự xấu hổ hay chế giễu. Jason Nurse, Giảng viên về an ninh mạng tại Đại học Kent, cho biết nhân viên cần hiểu được nhu cầu diễn tập và hiểu rõ rằng các bài tập không phải là để bắt lỗi mọi người, chỉ trích các nhóm hoặc đổ lỗi cho hệ thống. Mục tiêu là xác định nơi nào có thể cải thiện.
Các tổ chức nên cân nhắc kỹ lưỡng mục tiêu, thời điểm và bản chất của các cuộc tấn công ransomware trong các mô phỏng của mình. Họ nên đảm bảo rằng họ không nhắm mục tiêu một cách không công bằng vào một số nhóm nhất định và thừa nhận tình trạng của doanh nghiệp tại bất kỳ thời điểm nào chúng được thực hiện.
Ví dụ, mô phỏng sẽ diễn ra vào ngày phần mềm mới sẽ được cài đặt trên toàn doanh nghiệp? Mặc dù chắc chắn có những lợi thế khi chạy mô phỏng vào những thời điểm này - và bản thân các nhóm ransomware có thể tìm thấy những thời điểm mục tiêu lý tưởng này - nhưng chúng có thể gây thêm căng thẳng đáng kể cho nhân viên.
Cuối cùng, bất kỳ ai thiết lập mô phỏng nên cân nhắc xem nội dung có phù hợp không. Đã có những trường hợp các tổ chức tiến hành mô phỏng tấn công không phù hợp và không xem xét đến bối cảnh của nhân viên hoặc khách hàng. Cần phải duy trì sự cân bằng trong việc đạt được và thử nghiệm các quy trình bảo mật mà không làm ảnh hưởng đến tinh thần của nhân viên. Việc chạy các phiên nhập vai tấn công mạng có thể mang lại lợi ích rất đáng kể. Bằng cách thảo luận về các hành động cần thiết để giải quyết các cuộc tấn công tưởng tượng này, các tổ chức có thể xác định điểm yếu trong hệ thống bảo mật và khoảng cách kỹ năng của họ.
Tài liệu tham khảo:
1. https://www.raconteur/
2. https://www.linkedin.com/
3. https://docs.netapp.com/
4. https://www.helpnetsecurity.com/
5. https://www.carbonsec.com/
(Bài đăng ấn phẩm Tạp chí TT&TT số 11 tháng 11/2024)
.png "Phát hiện hơn 57.000 cuộc tấn công ransomware vào Đông Nam Á")
.png "Quản lý rủi ro bên thứ n - Giảm thiểu rủi ro trong thế giới kết nối")
.png "Báo chí - Truyền thông Việt Nam 2024: Nhìn từ hai thái cực")
