Cảnh báo thực trạng báo động về mã độc WannaCry

Mã độc WannaCry và những con số báo động

Đã một năm kể từ ngày Mã độc WannaCry bùng phát và lan rộng trên toàn thế giới vào tháng 5 năm 2017. Loại mã độc này khai thác một lỗ hổng bảo mật trong hệ điều hành Microsoft Windows, lây nhiễm trên 200.000 máy tính tại hơn 150 quốc gia và khóa dữ liệu của người dùng. Thủ phạm của các cuộc tấn công yêu cầu một khoản thanh toán Bitcoin trị giá 300 USD từ người bị nhiễm mã độc máy tính để đổi lấy việc mở khóa dữ liệu đó.

Đến nay, một thực trạng đáng báo động đó là mã độc WannaCry vẫn len lỏi và hoành hành tại hầu hết các hệ thống mạng của các tổ chức, doanh nghiệp. Theo báo cáo từ các chuyên gia của Công ty bảo mật SecurityBox, trong quá trình triển khai đánh giá an ninh mạng tại các tổ chức, doanh nghiệp, 99% các tổ chức, doanh nghiệp được kiểm tra, đánh giá vẫn còn tồn tại lỗ hổng MS17010 - Lỗ hổng mã độc WannaCry khai thác, lây lan vào toàn bộ hệ thống mạng nội bộ. Như vậy, những hệ thống này có nguy cơ lây nhiễm rất cao nếu bị WannaCry tấn công. Điển hình là vụ việc công ty điện tử nổi tiếng LG mới đây đã bị WannaCry tấn công tại Hàn Quốc.

Điều đáng nói ở đây, khi các kỹ sư của SecurityBox đi kiểm tra tại nhiều đơn vị với hệ thống lên tới 5000 thiết bị thì có tới 95% số lượng máy tính vẫn còn tồn tại lỗ hổng này. Kết quả đó cho thấy nhận thức của tổ chức, người dùng về việc phòng ngừa các nguy cơ an ninh, nguy cơ tấn công mạng vẫn còn ở mức đáng báo động.

Một số giải pháp phòng chống mã độc WannaCry

Theo các chuyên gia an ninh mạng tại SecurityBox, các doanh nghiệp và tổ chức có thể áp dụng nhiều phương án sau để giảm nguy cơ gây ra bởi những mối đe dọa này, trong đó cần chú trọng vào các vấn đề sau: cập nhật phần mềm, tạo các bản sao lưu dữ liệu, nâng cao chiến lược phòng thủ tổng thể và nâng cao nhận thức an ninh mạng.

Luôn luôn cập nhật

Khi có những thông tin đầu tiên lỗ hổng MS17-010 vào tháng 4/2017, Microsoft ngay lập tức thông báo rằng họ đã phát hành một bản vá bảo mật cho lỗ hổng này. Thực tế thì họ đã phát hành bản vá này vào tháng 3/2017 - một tháng trước những thông tin đầu tiên về lỗ hổng. Nếu mọi người cập nhật bản vá kịp thời, quy mô và mức độ thiệt hại gây ra từ WannaCry đã không nghiêm trọng như chúng ta đã chứng kiến. Khi có một thông báo về cập nhật bản vá mới cho hệ điều hành, chúng ta thường lờ đi và trì hoãn việc cập nhật vì không muốn gián đoạn công việc của mình. Tuy nhiên, các bản cập nhật hệ thống thường gồm những bản vá bảo mật quan trọng bảo vệ chúng ta trước các cuộc tấn công không gian mạng. Việc trì hoãn cập nhật hệ thống khiến chúng ta chịu thiệt hại nặng nề khi các cuộc tấn công diễn ra.

Hơn 200.000 nạn nhân của WannaCry đều là những máy tính chưa được vá lỗ hổng MS17-010. Mặc dù cuộc tấn công diễn ra hồi tháng 5/2017, người dùng đã không chịu cập nhật bản vá của Microsoft từ hồi tháng 3. Mỗi khi được thông báo về một bản cập nhật mới, hãy ghi nhớ rằng đó có thể là cách tốt nhất giúp bảo vệ chúng ta khỏi các cuộc tấn công như WannaCry.

Tạo các bản sao lưu dữ liệu

Cách đối phó an toàn nhất trước các cuộc tấn công mã độc tống tiền chính là tạo và bảo vệ các bản sao lưu dữ liệu. Nếu đã có bản sao tất cả dữ liệu, khi máy tính bị nhiễm mã độc tống tiền, ta chỉ cần làm sạch hệ thống khỏi mã độc và khôi phục dữ liệu đã sao lưu mà không phải quan tâm đến việc tống tiền và mất mát dữ liệu. Một giải pháp khác là chúng ta sử dụng các công cụ lưu trữ trực tuyến: Google Drive, One Drive, Dropbox… Bên cạnh đó, các tổ chức cũng nên xây dựng giải pháp Backup toàn diện, không chỉ bảo vệ người dùng hệ thống mà còn bảo vệ cả máy chủ, tài nguyên số của tổ chức.

Nâng cao nhận thức về an ninh mạng

Một tháng sau vụ tấn công WannaCry, một vụ tấn công bằng mã độc khác nghiêm trọng không kém là Petya (hoặc NotPetya). Mã độc này xóa hoàn toàn dữ liệu trên ổ cứng của máy tính bị lây nhiễm. Đặc biệt hơn, cách thức lây nhiễm của nó lại dựa trên chính lỗ hổng MS17-010 mà WannaCry từng sử dụng trước đó. Nhiều người trong chúng ta không hành động cho đến khi phát hiện ra mình đã là nạn nhân của một cuộc tấn công không gian mạng. Chúng ta cần phải chuẩn bị cho những mối đe dọa này trước khi quá muộn.

Tuy nhiên, những giải pháp nêu trên chỉ có thể phòng chốn mã độc tấn công trong thời gian ngắn, áp dụng ngay trước mắt và chỉ với từng cá nhân cụ thể. Với các tổ chức, Doanh nghiệp cần có sự đầu tư bài bản nâng cao chiến lược phòng thủ tổng thể.

Nâng cao chiến lược phòng thủ tổng thể với các hệ thống Quản lý an ninh mạng

Quản trị mạng cần xây dựng hệ thống Quản lý bảo mật tập trung với những công cụ tự động cho phép vẽ ra một bức tranh tổng thể về mọi vấn đề an ninh. Các hệ thống quản trị bảo mật tập trung giúp tăng cường khả năng phòng thủ trong không gian mạng ngày càng rộng lớn khi các tổ chức, doanh nghiệp mở rộng hoạt động có nhiều hệ thống mạng, nhiều chi nhánh khác nhau. Vì vậy, Hệ thống Quản lý An ninh mạng tập trung giúp cho quản trị kiểm soát một cách toàn diện về tình trạng an ninh của hệ thống, các cảnh báo an ninh và mọi biến động của hệ thống như số lượng thiết bị đang hoạt động, các dịch vụ bị nghi ngờ, sẽ được cập nhật liên tục và báo cáo tới Quản trị viên. Bên cạnh đó hệ thống quản lý có cơ chế nhận dạng các dấu hiệu tấn công, các mối nguy cơ mất an toàn và đưa ra giải pháp khắc phục kịp thời.

Hiện nay,có khá nhiều đơn vị tại Việt Nam sử dụng hình thức thuê ngoài triển khai các dịch vụ đánh giá an ninh mạng. Tuy nhiên, việc thuê ngoài dịch vụ không thể phát huy hết tác dụng do hệ thống mạng của tổ chức luôn luôn biến động về nhân sự, thiết bị mạng và các dịch vụ nên sau khi kết thúc triển khai dịch vụ, hệ thống rất dễ gặp phải những nguy cơ tấn công.

Các tổ chức, doanh nghiệp và tổ chức cần áp dụng chính sách an toàn thông tin của mình và kết hợp áp dụng với các công cụ quản lý an ninh mạng quản lý tập trung, tự động phát hiện và cảnh báo người dùng trước các mối đe dọa.