Các bước đối phó với tấn công ransomware
Các chuyên gia ước tính, chi phí trung bình của một vi phạm cho các tổ chức dao động từ 2,65 đến 5,11 triệu USD. Chi phí toàn cầu năm 2020 cho các nạn nhân của ransomware ước tính khoảng 20 tỷ USD. Điều này làm giảm năng suất và ảnh hưởng đến doanh thu của doanh nghiệp. Tuy nhiên, các chuyên gia CNTT có thể thực hiện cách dưới đây để giảm thiểu cả mối đe dọa và tác động của ransomware.
Dưới đây là các bước có thể thực hiện để bảo vệ các tổ chức/doanh nghiệp chống lại ransomware, hạn chế phạm vi tác động của cuộc tấn công và hành động nhanh chóng nếu tin tặc truy cập thành công.
Bước 1: Bảo vệ doanh nghiệp
Các tổ chức/doanh nghiệp cần lên kế hoạch cụ thể để sẵn sàng ứng phó nhanh chóng khi xảy ra sự cố. Thực hiện theo các phương pháp như: thiết lập chính sách vá và quản lý lỗ hổng bảo mật mạnh mẽ, xác thực đa yếu tố (MFA), hạn chế quyền và đặc quyền của quản trị viên cục bộ. Khuyến khích, đào tạo, kiểm tra định kỳ, cảnh báo người dùng không nhấp vào liên kết hoặc mở tệp đính kèm trong email không được yêu cầu. Thường xuyên tiến hành việc sao lưu dữ liệu, dữ liệu phải được lưu trữ dự phòng trong một thiết bị riêng biệt và lưu cả ngoại tuyến. Tuân thủ các phương pháp an toàn khi duyệt Internet.
Điều quan trọng nữa là cần sử dụng các công cụ bảo mật cung cấp tính năng lọc liên kết, chặn/lọc hệ thống tên miền (DNS), phát hiện phần mềm độc hại và ngăn chặn xâm nhập. Cài đặt chế độ không tin cậy để hạn chế khả năng cài đặt và chạy phần mềm của người dùng, đồng thời áp dụng nguyên tắc đặc quyền tối thiểu cho tất cả các hệ thống và dịch vụ. Cập nhật các bản vá phần mềm và hệ điều hành mới nhất vì các ứng dụng và hệ điều hành lỗi thời luôn là mục tiêu của hầu hết các cuộc tấn công.
Bước 2: Giảm thiểu tác động
Thực hiện hành động để giảm thiểu tác động của lỗ hổng. Điều này rất quan trọng vì tất cả các hệ thống đều có khả năng bị xâm nhập nếu kẻ xấu có đủ thời gian và nguồn lực để thực hiện các mục tiêu của chúng. Điều này bao gồm sao lưu, khôi phục tệp hoặc thực hiện các kiểm soát định kỳ để thu hồi và khôi phục tệp.
Các CSO cũng nên thiết lập một chương trình ứng phó sự cố chi tiết và thực hành nó theo định kỳ. Đồng thời cần tham gia vào các bài kiểm tra và sử dụng các chuẩn đối sánh (benchmarking) để cải thiện khả năng ứng phó.
Cuối cùng, thực hiện phân vùng các mạng để ngăn chặn các cuộc tấn công lây nhiễm, hạn chế thiệt hại có thể gây ra cho môi trường mạng của tổ chức/doanh nghiệp. Ngược lại, sự phân tách mạng cho phép cô lập một thiết bị hoặc người dùng khi có dấu hiệu xâm phạm đầu tiên. Ví dụ, nếu một hệ thống bắt đầu quét một môi trường, thiết bị bị nghi ngờ có thể được cách ly ngay lập tức cho đến khi tình hình có thể được xem xét.
Bước 3: Phá vỡ Cyber Kill Chain
Để hiểu rõ hơn về cách bảo vệ doanh nghiệp, hãy xem xét Cyber Kill Chain, trong đó phác thảo các bước mà tác nhân đe dọa sẽ thực hiện để lây nhiễm máy chủ và phát tán phần mềm độc hại.
Những kẻ tấn công thường bắt đầu bằng việc do thám. Dựa trên thông tin đó, họ chọn phương tiện thích hợp để vũ khí hóa phần mềm độc hại. Trinh sát cũng có thể liên quan đến kẻ tấn công có quyền truy cập vào môi trường đang chạy quét mạng và các công cụ khác để xây dựng một kho tài sản/lỗ hổng bảo mật. Với bản tóm tắt này, việc khởi chạy một khai thác được định cấu hình trước chống lại các lỗ hổng đã biết sẽ dễ dàng hơn nhiều.
Sau đó, kẻ tấn công sẽ quyết định cách phân phối tải trọng. Điều này thường được thực hiện thông qua các email lừa đảo hay thông qua lừa đảo trực tuyến. Kẻ tấn công sẽ gửi cho người dùng một email đính kèm tài liệu hoặc liên kết để nhấp vào.
Có thể phá Cyber Kill Chain bằng cách: Lọc liên kết; Chặn/lọc DNS; Phát hiện mã độc; Giám sát hành vi độc hại để chặn các địa chỉ email đã biết.
Khi những kẻ tấn công xâm nhập vào mục tiêu, chúng không nhất thiết phải phát tán phần mềm độc hại ngay lập tức. Thay vào đó, chúng sẽ cố gắng tối đa hóa tác động của mình, chuyển vùng mạng mà không bị phát hiện, làm hỏng các thiết bị bổ sung, khám phá sâu hơn và có thể lấy cắp dữ liệu.
Có thể chấm dứt Cyber Kill Chain tại thời điểm này bằng cách: Sandbox; Phân đoạn mạng; Phân tách các máy chủ; Ngắt nguồn các thiết bị bị ảnh hưởng.
Bước 4: Phản ứng với cuộc tấn công
Tin tặc ngày càng tấn công bằng nhiều phương thức tinh vi, khiến hệ thống của tổ chức/doanh nghiệp có thể bị tấn công bằng ransomware bất cứ lúc nào. Khi hệ thống bị tấn công, hãy thực hiện như dưới đây để giảm thiểu tác động và khôi phục dữ liệu.
Thực hiện kế hoạch ứng phó đã thiết lập trước đó sẽ giúp đẩy nhanh quá trình khôi phục khỏi một cuộc tấn công, giảm thiểu thời gian chết. Kế hoạch này phải xác định chính sách của công ty về việc trả tiền chuộc. Các chuyên gia khuyến cáo không nên trả tiền chuộc vì không có gì đảm bảo rằng doanh nghiệp sẽ lấy lại được dữ liệu của mình sau khi thanh toán; Doanh nghiệp có thể vi phạm cảnh báo gần đây từ Tổ chức Kiểm soát tài sản nước ngoài của Bộ Tài chính Hoa Kỳ và phải chịu các hình phạt nghiêm khắc; việc thanh toán chỉ càng làm vấn nạn đòi tiền chuộc bằng ransomware gia tăng nhiều hơn.
Xác định bản chất của cuộc tấn công bằng cách nhanh chóng tìm hiểu điều gì đã xảy ra, những thông tin về biến thể của ransomware đã lây nhiễm vào mạng của tổ chức, những tệp nào nó thường mã hóa và những tùy chọn tổ chức đó có để giải mã.
Sau đó, cô lập các thiết bị bị nhiễm. Đảm bảo rằng các thiết bị bị nhiễm đã được tách khỏi hệ thống mạng. Nếu chúng có kết nối mạng vật lý, hãy rút phích cắm của nó. Nếu chúng ở trên mạng không dây, hãy tắt bộ định tuyến không dây. Rút bất kỳ bộ nhớ nào được gắn trực tiếp để cố gắng lưu dữ liệu trên các thiết bị đó.
Tiếp đến là khôi phục dữ liệu, phương pháp khôi phục dễ dàng và an toàn nhất là xóa sạch các hệ thống bị nhiễm và sao chép lại chúng từ một bản sao lưu gần nhất được biết đến. Hãy đảm bảo rằng không còn dấu vết nào của phần mềm tống tiền đã dẫn đến mã hóa. Xác định xem phần mềm ransomware có ảnh hưởng đến hệ thống BIOS trên hệ thống hiện tại hay không. Triển khai kế hoạch để truy cập các máy chủ hoặc điểm cuối mới. Đảm bảo ngay lập tức rằng bất kỳ người dùng nào bị ảnh hưởng đều cập nhật thông tin đăng nhập của họ. Cuối cùng, khi ransomware đã được khắc phục, hãy khôi phục các tệp sao lưu được biết đến gần đây nhất.
Sau khi khôi phục khỏi phần mềm ransomware, hãy xem xét bất kỳ lỗ hổng hoặc sự kém hiệu quả nào gặp phải và phát triển kế hoạch cải thiện chúng. Cần thực hiện đánh giá toàn bộ về môi trường để xác định cách thức lây nhiễm bắt đầu và những bước cần thực hiện để giảm khả năng vi phạm khác.
Hồng Vân
(Theo securitymagazine)