Bước 1: Lập kế hoạch và diễn tập một cách nhất quán tất cả các yếu tố theo kế hoạch trước khi vi phạm xảy ra

Chuẩn bị sẵn sàng là tuyến phòng thủ đầu tiên trước hoạt động của tội phạm trên không gian mạng. Nếu bạn đang muốn tạo ra một kế hoạch ứng phó sự cố toàn diện và chờ đợi cho đến khi sự cố mạng thực sự xảy ra, thì đã quá muộn. Các giao thức an toàn mạng này phải được phát triển và kiểm thử kỹ lưỡng trước đó. Kế hoạch tốt nhất cho tổ chức của bạn bao gồm đảm bảo rằng mọi thành viên đều hiểu các giao thức trong trường hợp xảy ra một vi phạm hoặc tấn công mã độc tống tiền, cũng như vai trò và trách nhiệm của từng cá nhân. Các bước cần thực hiện phải được xác định rõ ràng, chẳng hạn như:

- Ngắt kết nối WiFi và Bluetooth và rút các thiết bị lưu trữ;

- Xác định phạm vi của cuộc tấn công: ổ đĩa/ thư mục được chia sẻ, bộ nhớ mạng, USB, bộ nhớ ngoài, bộ nhớ dựa trên đám mây...;

- Xác định lượng dữ liệu tối đa mà công ty có thể chấp nhận mất mát đo bằng thời gian (Recovery Point Objective - RPO), các bản sao lưu và thời gian cần thiết để khôi phục (Recovery Time Objective - RTO);

- Sử dụng Google để tìm hiểu phiên bản mã độc tống tiền đang được sử dụng để tấn công tổ chức cùng với thông tin chi tiết chính về nó hoặc những kẻ tấn công;

- Sử dụng thông báo của chương trình mã độc tống tiền để cố gắng xác định xem dữ liệu hoặc thông tin đăng nhập của bạn đã được sao chép hay chưa;

- Kiểm tra nhật ký và các công cụ ngăn chặn thất thoát dữ liệu (Data Loss Prevention - DLP) để tìm các dấu hiệu dữ liệu bị đánh cắp. Công việc này bao gồm việc phát hiện bất kỳ tệp lưu trữ trái phép lớn nào (ví dụ: zip, arc...) chứa dữ liệu mà tin tặc sử dụng. Ngoài ra, phải xem xét bất kỳ hệ thống nào có thể ghi lại một lượng lớn dữ liệu đang được sao chép ra khỏi mạng, cũng như phần mềm độc hại, công cụ và tập lệnh có thể đã được sử dụng để tìm kiếm và lấy cắp dữ liệu;

- Cuối cùng, nếu một kẻ tấn công mạng nói rằng họ đã nắm giữ dữ liệu hoặc thông tin đăng nhập của bạn, hãy tin họ.

Bước 2: Huấn luyện nhân viên về các mối đe dọa hàng đầu như Spear Phishing trở thành điều bắt buộc đối với doanh nghiệp

Spear Phishing là một kiểu tấn công nhắm mục tiêu cụ thể vào một cá nhân hoặc một nhóm nhỏ các cá nhân thông qua các thông điệp có vẻ chính đáng. Kỹ thuật này là một mối đe dọa lớn bắt buộc các tổ chức phải lập kế hoạch một cách quán và thông qua đào tạo để giúp nhân viên có chuẩn bị trước khi bị tấn công. Các nội dung huấn luyện bao gồm:

- Không mở tin nhắn hoặc liên kết chỉ vì người gửi có vẻ như là người họ quen biết hoặc đồng nghiệp của họ.

- Được quyền hỏi trước khi cam kết thực hiện bất kỳ bước tiếp theo nào mà người gửi yêu cầu, đặc biệt là với các yêu cầu cấp bách.

- Nắm được cần tìm gì, gọi cho ai, phải làm gì và có thể không trả lời bất kỳ thông báo nào có vẻ bất thường hoặc đáng nghi ngờ thông qua tất cả các kênh trực tiếp hoặc các cuộc họp nhân viên ảo, email, bài đăng trên mạng nội bộ...

- Thông qua mô phỏng các cuộc tấn công lừa đảo nhằm vào người dùng thường xuyên để đảm bảo họ có thể phát hiện các phương pháp tiếp cận mà kẻ tấn công sẽ thực hiện và cung cấp một nền tảng học tập liên tục để cung cấp các bài kiểm tra và đào tạo.

Bước 3: Đào tạo nhân viên về các kỹ thuật phân tích hành vi

Hầu hết các cá nhân làm việc trong tổ chức đều không biết rằng những kẻ tấn công có thể điều tra thói quen, hành động, sở thích cá nhân hoặc tên của người thân trong gia đình và bạn bè của họ. Hãy thông báo cho những người trong tổ chức rằng họ nên làm chủ sự hiện diện trực tuyến của mình trên các phương tiện truyền thông xã hội và chỉ chia sẻ ở một mức độ thoải mái nhất định. Thông qua các thông tin được cung cấp một cách tự do trên phương tiện truyền thông xã hội, tội phạm mạng có thể dễ dàng đoán được mật khẩu có chứa các thông tin quan trọng (ví dụ: một chiếc ô tô yêu thích, tên vợ bạn, ngày sinh của con bạn…) và xâm nhập vào dữ liệu doanh nghiệp hoặc cá nhân.