Hạn chế rủi ro từ các phần mềm ransomware đối với các hệ thống công nghệ thông tin của chính phủ
Một phân tích của các chuyên gia gần đây cho thấy, chỉ trong năm 2020, số tiền thiệt hại liên quan đến các vụ việc tấn công bằng ransomware đã lên tới con số hàng tỷ USD.
Đối với các nhà khai thác ransomware, nó được coi như một dịch vụ để mở rộng phạm vi tiếp cận, giả mạo các trang web, trích xuất dữ liệu của các tổ chức là nạn nhân và đòi tiền chuộc, trung bình là 170.000 USD. Mặc dù đã phát triển và mở rộng phạm vi, nhưng phương pháp của kẻ tấn công vẫn nhất quán. Các tác nhân đe dọa vẫn khai thác trái phép các lỗ hổng ở bậc thấp nhất trước tiên, thường là thông qua một số phương pháp thông thường và dễ thực thi. Khi xem xét các hệ thống công nghệ thông tin của Chính phủ, các chuyên gia đã đưa ra khuyến cáo để ngăn chặn các tổ chức tránh khỏi ransomware:
Bảo mật truy cập từ xa
Truy cập từ xa là phương thức có lưu lượng truy cập cao nhất mà kẻ tấn công thường sử dụng, nhất là truy cập thông qua các lỗ hổng chưa được vá của các hệ thống hướng ngoại. Theo đó, kẻ tấn công liên tục rò quét trên mạng internet để tìm cách khai thác các lỗ hổng trong các hệ thống này vì chúng thường được tin cậy cao trong một mạng lưới và có quyền truy cập trên phạm vi rộng của mạng lưới. Để chống lại việc rà quét các lỗ hổng bảo mật, các tổ chức nên ưu tiên việc vá các hệ thống hướng ngoại trước tiên. Dưới đây là cách để bảo vệ hệ thống mà các chuyên gia khuyến cáo:
- Nhận diện các hệ thống truy cập từ xa vào hệ thống của tổ chức bằng cách tra cứu địa chỉ IP;
- Chặn quyền truy cập công khai vào các dịch vụ giao thức điều khiển máy tính từ xa (RDP), lớp vỏ bảo mật (SSH) và giao thức truyền tệp (FTP).
- Đảm bảo các hệ thống để truy cập từ xa như tường lửa, cổng VPN và cổng email được vá.
- Thực hiện quét các lỗ hổng bảo mật chống lại các hệ thống truy cập từ xa.
- Triền khai xác thực đa yếu tố (MFA) đối với các tài khoản truy cập từ xa.
Bảo mật Email
Nhiều sự cố ransomware có thể bắt đầu chỉ từ một email gửi đến một người dùng. Phương thức tấn công bằng email cũng dần trở nên phổ biến đối với tin tặc để chúng thực hiện hành vi tống tiền.
Dù việc phổ biến kiến thức, nâng cao nhận thức của người dùng ngày càng được chú trọng và đẩy mạnh, tuy nhiên, vẫn sẽ an toàn hơn nếu ngăn chặn được các email xấu gửi đến ngay từ đầu. Cổng bảo mật email đóng vai trò như một hàng rào bảo vệ các email đến từ internet bên ngoài và các hộp thư cá nhân trong hệ thống mạng. Để tránh khỏi các mối đe dọa trực tiếp gửi đến người dùng, các chuyên gia khuyến cáo cần thực hiện các yêu cầu sau:
- Đảm bảo email đã được trải qua bộ lọc bằng công nghệ quét, có thể mở tệp đính kèm và liên kết để dò tìm các mối đe dọa nâng cao ẩn trong đó.
- Kiểm định hoặc chặn các tài liệu được bảo vệ bằng mật khẩu vì tin tặc thường sử dụng mẹo này để vượt qua quá trình quét dữ liệu email.
- Đảm bảo rằng các loại tệp đính kèm này ít nhất cũng đã bị lọc và chặn bởi cổng email theo chính sách Microsoft.
Giữ các bản sao lưu dữ liệu an toàn
Phương thức phổ biến thứ ba đối với ransomware là xác định mục tiêu, mã hóa dữ liệu và sau đó xóa hoàn toàn các bản sao lưu. Ngoài dữ liệu trên mạng lưới và dữ liệu đang được sử dụng trực tiếp, tin tặc sẽ tìm kiếm trên mạng lưới tất cả các bản sao lưu và mã hóa chúng, làm hỏng hoặc xóa để tăng khả năng đòi tiền chuộc từ nạn nhân do nạn nhân không thể truy xuất dữ liệu từ các bản sao lưu của họ. Sau đó, nạn nhân có khả năng cao phải trả tiền để mua lại những dữ liệu đã bị mã hóa.
Thực hiện chiến lược sao lưu dự phòng 3-2-1
Lưu trữ 3 bản sao của mọi tệp quan trọng: 1 bản sao lưu chính của dữ liệu sử dụng hàng ngày và 2 bản sao của nó.
Lưu các tệp trên 2 loại môi trường media khác nhau để phòng ngừa và chống lại các mối nguy hiểm khác nhau; Các bản sao này phải có tại chỗ và truy cập dễ dàng để có thể khôi phục dữ liệu một cách dễ dàng và nhanh chóng khi xảy ra sự cố (hồi phục khi máy chủ bị sập, hồi phục do vô tình bị xóa).
Lưu một bản sao ngoài hệ thống (ngoài hệ thống mạng cơ quan hoặc mạng gia đình) để phòng lại các tình huống bất khả kháng do thiên tai, thảm hoạ mang tính vật lý xảy ra.
Trong trường hợp làm việc từ xa qua mạng, chiến lược này hiệu quả hơn khi sao lưu trong lúc ngắt mạng. Trong năm 2021, đa số người dùng thường làm việc thông qua một hệ thống mạng chung cho dù họ ở bất kỳ vị trí địa lý nào. Nếu không có các biện pháp bảo vệ thích hợp cũng như các giải pháp phù hợp cho sao lưu và lưu trữ thì các bản sao có thể cùng lúc nằm trên cùng một mạng lưới và sẽ dễ bị tin tặc tấn công.
Các dự đoán trong tương lai
Ransomware vẫn đang trên đà tăng trưởng và phát triển. May mắn là các công nghệ giúp ngăn chặn đang phát triển mạnh. Hiểu biết về các tác nhân đe doạ và cách hoạt động của chúng là tiềm năng hứa hẹn cho việc làm chủ các biện pháp bảo vệ trước các mối đe doạ về sau. Khi xem xét các hệ thống công nghệ thông tin của chính phủ và bản chất luôn thay đổi của các mối đe dọa, các chuyên gia khuyến nghị các tổ chức nên triển khai công cụ dò tìm và phản hồi điểm cuối (EDR). Các công cụ EDR có tính năng vượt xa tính năng của các phần mềm chống virus truyền thống. Chúng có thể phân tích hành vi của các hệ thống để tìm ra các tác nhân đe dọa từ những phương thức xâm nhập khó giám sát.
Trần Thanh Tùng
(Theo CyberSecurity)