Cách bảo vệ từ bên trong và ngoài tổ chức trước tấn công ransomware
An toàn thông tin - Ngày đăng : 11:00, 27/04/2024
Cách bảo vệ từ bên trong và ngoài tổ chức trước tấn công ransomware
Việc thực hiện, triển khai đúng cách, đúng quy trình các giải pháp ứng cứu sự cố an ninh mạng, đảm bảo an toàn thông tin (ATTT) sẽ góp phần phòng, ngừa, giảm thiệt hại các sự mạng không mong muốn.
Đồng thời, khi áp dụng làm tốt công tác này sẽ nâng cao hiệu quả việc bảo vệ các thành quả của sự phát triển bền vững cho các đơn vị, doanh nghiệp (DN) trong kỷ nguyên công nghệ số bùng nổ mạnh mẽ hiện nay.
Bình tĩnh, tránh làm mất dấu vết
Và khi chia sẻ, phân tích, đưa ra các quan điểm về lợi ích, giải pháp cho các vấn nêu đề trên, chuyên gia Vũ Thế Hải, Trưởng phòng kinh doanh Công ty CP An ninh mạng Việt Nam (VSEC) còn cho rằng luôn chủ động, cảnh giác, trang bị kiến thức mới về an ninh mạng cũng là các yếu tố “then chốt” trong cuộc chiến đảm bảo mạng an toàn.
Trước khi nói về các quan điểm chuyên sâu cho vấn nêu đề trên, chuyên gia Vũ Thế Hải nhấn mạnh đến khái niệm đúng, đủ của việc đảm bảo ATTT mạng chính là bảo vệ thông tin trên mạng tránh bị truy cập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm đảm bảo tính nguyên vẹn, tính bảo mật và khả dụng của thông tin.
Từ khái niệm nêu trên, khi chúng ta đã hiểu, bắt tay thực hiện cần bắt buộc theo quy trình 5 bước, bao gồm: Identify (đảm bảo xác định các tài sản thông tin, hệ thống thông tin (HTTT), rủi ro mất ATTT, xây dựng quy định, chính sách ATTT… ); Protect (kiểm soát truy cập, bảo vệ dữ liệu, quy trình và các tài liệu tương ứng); Detect (phát hiện các rủi ro ATTT); Respond (phân tích điều tra, đánh giá ảnh hưởng, xử lý sự cố); Recover (lập kế hoạch thực hiện phục hồi hệ thống, rút kinh nghiệm).
Từ khái niệm và quy trình các bước nêu trên, chuyên gia Vũ Thế Hải lưu ý, nếu các đơn vị không bám sát, thực hiện đúng sẽ khó đảm bảo an toàn HTTT mạng.
Cũng theo chuyên gia Vũ Thế Hải, có nhiều quy trình xử lý sự cố hiện nay, tiêu biểu trong số đó là quy trình phổ biến có tên gọi Nist 800-61 giúp chuẩn bị; phát hiện, phân tích; cô lập, gỡ bỏ, xoá bỏ; hành động sau sự cố.
Trong mô hình về quy trình tiêu biểu này, chuyên gia Vũ Thế Hải cho rằng cần thêm sự chuẩn bị nữa là: Các đơn vị cần có sự chuẩn bị trước sự cố; giữ nguyên hiện trường hoặc hạn chế tác động, tránh làm mất dấu vết; bình tĩnh nếu chưa có ảnh hưởng hoặc nguy cơ ảnh hưởng đến hệ thống, có thể song song điều tra - khôi phục; rút kinh nghiệm để có sự chuẩn bị tốt hơn…
Cần tăng mức đầu tư cho CNTT
Khi nói về các kinh nghiệm nâng cao hiệu quả ATTT hiện nay, chuyên gia Vũ Thế Hải cho rằng, trong xu thế công nghệ bùng nổ hiện nay, các nguy cơ mất ATTT mạng luôn là vấn đề được các đơn vị quan tâm. Quan tâm vì hậu quả khi xảy ra sẽ là các tổn thất khó lường, trong đó yếu tố bị mất dữ liệu đang là phổ biến.
Vị chuyên gia này cho biết thêm, việc xử lý tấn công qua mạng, nhất là khi các hệ thống mạng bị lây nhiễm bởi các phần mềm độc hại ransomware thì điều quan trọng cần thực hiện chính là phải đảm bảo xử lý các sự cố trước, trong, sau ngay từ bên trong (nội bộ của tổ chức) và bên ngoài (những hacker).
Đặc biệt, điều cần lưu ý là các cuộc tấn công mạng được phổ biến hiện nay chủ yếu là tấn công vào tài khoản người dùng, cá nhân (email, các ứng dụng xã hội phổ biến…) hoặc vào trực tiếp các ứng dụng CNTT của các đơn vị thông qua các lỗ hổng (phần mềm, ứng dụng website, tài khoản số…)
Điều quan trọng hơn, chúng ta khi xử lý các sự cố cần chủ động và coi việc lây nhiễm ransomware chỉ là một công cụ, phương tiện của các hacker có chủ đích xấu nhằm khai thác bất hợp pháp các thiết bị bảo mật từ máy chủ, ứng dụng website, thiết bị bảo mật…
“Ransomware không tự động lây nhiễm và không phải là kênh lây nhiễm. Việc đảm bảo ATTT để chống lây nhiễm ransomware có thể sử dụng giải pháp là các trình duyệt phần mềm trên máy tính, hệ thống CNTT từ các đơn vị giải pháp uy tín...”, chuyên gia Vũ Thế Hải nhấn mạnh.
Và theo chuyên gia Vũ Thế Hải, muốn đảm bảo cho hệ thống mạng an toàn, các tổ chức, DN/đơn vị cần có sự đầu tư về các giải pháp bảo vệ an toàn CNTT (mua sắm thiết bị, bảo trì, vận hành, các dịch vụ bên ngoài…). Mức đầu tư ban đầu hiện nay đang ở ngưỡng con số chấp nhận là 10% trên tổng mọi chi phí, và trong tương lai muốn hiệu quả, an toàn hơn cần được đẩy mạnh mức tiền đầu tư.
Khi nêu ra các giả định, tình huống về việc nếu các đơn vị bị các ransomware tấn công và các đơn vị có nên bỏ tiền chuộc lấy lại dữ liệu mất cắp, đáp ứng các yêu cầu của các hacker hay không?... ông Vũ Thế Hải cho rằng, vấn đề này tuỳ thuộc vào từng tình huống.
“Có thể đáp ứng nếu như các dữ liệu quá quan trọng không thể phục hồi được. Tuy nhiên, các đơn vị cần cân nhắc, bởi lẽ những rủi ro vẫn luôn tiềm ẩn”, chuyên gia Vũ Thế Hải nhấn mạnh.
Cũng theo ông chuyên gia Vũ Thế Hải, nếu các đơn vị có thể khắc phụ được dữ liệu, hoặc có thể chấp nhận được những mất mát dữ liệu không quan trọng, thì các đơn vị không nên chấp nhận các yêu cầu của các hacker.
Hơn nữa, chuyên gia này thêm sự khẳng định, sẽ không có việc đáp ứng hay không đáp ứng các yêu cầu của ransomware, mà quan trọng duy nhất là các đơn vị tự đánh giá được những giá trị dữ liệu bị tấn công có thực sự quan trọng, có cần thiết phải bằng mọi cách để lấy lại. Tất cả điều này sẽ phụ thuộc vào hiện trạng, hoàn cảnh, thực tế của mỗi đơn vị và nó sẽ không giống nhau khi đặt trong những ngữ cảnh, tình huống xấu là đã bị ransomware tấn công, lây nhiễm.
Điều nhấn mạnh nữa từ chuyên gia này chính là, hiện nay mặc dù vẫn chưa có công nghệ, giải pháp nào có thể khôi phục được dữ liệu bị các hacker đánh cắp, hoặc bị lây nhiễm bởi các ransomware. Tuy nhiên, chúng ta trong trường hợp các hacker hoặc các ransomware khi tấn công đánh cắp dữ liệu của các đơn vị, chúng thực hiện không đúng các quy trình, thiếu những bước chuẩn hoá, chặt chẽ thì các dữ liệu mới có thể được phục hồi, lấy.
Và để biết được hệ thống mạng của các đơn vị có an toàn hay đã bị tấn công hay chưa, chúng ta cần đảm bảo thực hiện thường xuyên công tác theo dõi, giám sát dựa trên các phần mềm chuyên dụng uy tín. Đồng thời, có thể sử dụng các dịch vụ tình báo về mối đe doạ an ninh mạng, các tin tức công nghệ mới nhất và các loại ransomware đang diễn ra, phổ biến hiện nay.
“Nếu máy tính người dùng có phần mềm chống virus (antivirus) thì đây là một công cụ đảm bảo an toàn hệ thống cho người dùng mạng. Tuy nhiên, vì các ransomware luôn diễn biến phức tạp, khó lường, liên tục phát triển, cho nên nếu chúng ta chỉ tin tưởng tuyệt đối vào antivirus thì điều nhận sẽ là “trái đắng”, bởi lẽ bản thân các trình duyệt của antivirus vẫn tồn tại những lỗ hổng không khó để vượt qua”, chuyên gia Vũ Thế Hải phân tích./.