Một báo cáo từ Cybersecurity Ventures ước tính cứ 11 giây lại có một cuộc tấn công ransomware vào năm 2021, gây thiệt hại gần 20 tỷ USD. Các kế hoạch tống tiền này thường nhắm mục tiêu đến các cá nhân hoặc doanh nghiệp có nhiều khả năng trả số tiền được yêu cầu để khôi phục dữ liệu của họ.
Đối với nhiều công ty, dữ liệu đó là tài sản quý giá nhất mà họ sở hữu. Mất nó có thể có nghĩa là thiệt hại không thể đảo ngược có thể làm tê liệt toàn bộ hoạt động. Điều quan trọng là luôn chủ động với các biện pháp bảo vệ chống phần mềm tống tiền tốt nhất trước khi các mối đe dọa tiềm tàng có cơ hội tận dụng.
1.Phần mềm tống tiền (ransomware) là gì?
Ransomware là một loại phần mềm độc hại phức tạp có thể lây nhiễm máy tính và sau đó giữ dữ liệu nhạy cảm hoặc thông tin nhận dạng cá nhân làm con tin cho đến khi trả phí hoặc “tiền chuộc”. Tội phạm mạng thường sử dụng khóa mã hóa nhị phân để hạn chế quyền truy cập dữ liệu nhằm tống tiền nạn nhân.
Các cuộc tấn công ransomware có thể đặc biệt nguy hiểm đối với các doanh nghiệp, bệnh viện, trường học hoặc các tổ chức khác dựa vào thông tin đó để hoạt động hàng ngày. Trong hầu hết các trường hợp, việc không trả tiền chuộc có thể dẫn đến mất vĩnh viễn hoặc lộ dữ liệu bí mật.
2. Các loại Ransomware
Các cuộc tấn công ransomware có thể ảnh hưởng đến bất kỳ ai, từ người dùng cá nhân đến các tập đoàn lớn. Loại phần mềm độc hại này có thể khóa các tệp riêng lẻ, chẳng hạn như tài liệu hoặc hình ảnh, đối với toàn bộ cơ sở dữ liệu, dẫn đến vi phạm dữ liệu lớn hoặc làm lộ thông tin cá nhân, nhạy cảm.
Có bốn loại ransomware chính:
Encryption: Mã hóa là loại ransomware phổ biến nhất, mã hóa dữ liệu và không thể mở khóa nếu không có khóa giải mã.
Lockers: Lockers hạn chế việc sử dụng máy tính của bạn, khiến máy tính không thể hoạt động hoặc sử dụng các chức năng cơ bản cho đến khi trả tiền chuộc.
Scareware: Scareware cố gắng dọa người dùng mua phần mềm không cần thiết. Trong một số trường hợp, cửa sổ bật lên sẽ tràn ngập màn hình, buộc người dùng phải trả tiền để xóa chúng.
Doxware/Leakware: Doxware hoặc phần mềm rò rỉ sẽ đe dọa làm rò rỉ thông tin cá nhân hoặc công ty trừ khi trả tiền phạt.
3. Cách để bảo vệ hệ thống mạng khỏi ransomeware
Có nhiều cách để bảo vệ bạn khỏi bị nhiễm mã độc tống tiền. Do công nghệ không ngừng phát triển nên điều quan trọng là phải tuân theo các biện pháp bảo mật mạng cơ bản và luôn chủ động để bạn không bao giờ đặt bản thân hoặc doanh nghiệp của mình vào nguy cơ gặp phải bất kỳ mối đe dọa nào của mã độc tống tiền.
3.1 Sao lưu dữ liệu
Sao lưu dữ liệu của bạn vào ổ cứng ngoài hoặc máy chủ đám mây là một trong những biện pháp giảm thiểu rủi ro dễ dàng nhất. Trong trường hợp bị ransomware tấn công, người dùng có thể xóa sạch máy tính và cài đặt lại các tệp sao lưu. Lý tưởng nhất là các tổ chức nên sao lưu dữ liệu quan trọng nhất của họ ít nhất một lần mỗi ngày.
Một cách tiếp cận phổ biến để làm theo là quy tắc 3-2-1. Cố gắng giữ 3 bản sao dữ liệu riêng biệt của bạn trên 2 loại lưu trữ khác nhau. Bạn cũng có thể thêm một bước nữa vào quy trình bằng cách thêm một bản sao nữa trên máy chủ lưu trữ đám mây.
3.2 Luôn cập nhật tất cả các hệ thống và phần mềm
Luôn cập nhật hệ điều hành, trình duyệt web, phần mềm chống vi-rút và bất kỳ phần mềm nào khác mà bạn sử dụng lên phiên bản mới nhất hiện có. Phần mềm độc hại, vi-rút và phần mềm tống tiền không ngừng phát triển với các biến thể mới có thể vượt qua các tính năng bảo mật cũ của bạn, vì vậy bạn sẽ muốn đảm bảo mọi thứ đều được vá lỗi và cập nhật.
Nhiều kẻ tấn công nhắm vào các doanh nghiệp lớn hơn dựa trên các hệ thống cũ đã lỗi thời chưa được cập nhật trong một thời gian. Có lẽ vụ tấn công ransomware khét tiếng nhất xảy ra vào năm 2017 khi phần mềm độc hại WannaCry làm tê liệt các tập đoàn lớn trên thế giới. Nó thậm chí còn buộc các bệnh viện NHS ở Vương quốc Anh, công ty viễn thông Tây Ban Nha Telefónica và nhà cung cấp chip Apple Công ty sản xuất chất bán dẫn Đài Loan (TSMC) phải ngừng hoạt động trong bốn ngày. Tổng cộng, hơn 230.000 máy tính trên toàn cầu đã bị ảnh hưởng.
Cuộc tấn công nhắm vào các máy tính có phiên bản Microsoft Windows lỗi thời. Mặc dù một bản vá được phát hành gần đây có thể ngăn chặn sự lây lan của phần mềm độc hại, nhiều người dùng và tổ chức đã chậm cập nhật và kết quả là trở thành nạn nhân của trò lừa đảo. Kể từ sự cố này, các chuyên gia bảo mật trên toàn thế giới đã kêu gọi các công ty cập nhật hệ thống của họ càng sớm càng tốt.
3.3 Cài đặt phần mềm chống vi-rút và tường lửa
Phần mềm chống vi-rút và chống phần mềm độc hại toàn diện là những cách phổ biến nhất để bảo vệ chống lại phần mềm tống tiền. Phần mềm có thể quét, phát hiện và ứng phó với các mối đe dọa trên mạng. Tuy nhiên, bạn cũng cần cấu hình tường lửa của mình vì phần mềm chống vi-rút chỉ hoạt động ở cấp nội bộ và chỉ có thể phát hiện cuộc tấn công khi nó đã có trong hệ thống.
Tường lửa thường là tuyến phòng thủ đầu tiên chống lại mọi cuộc tấn công từ bên ngoài đến. Nó có thể bảo vệ chống lại cả các cuộc tấn công dựa trên phần mềm và phần cứng. Tường lửa rất cần thiết cho bất kỳ mạng doanh nghiệp hoặc mạng riêng nào vì chúng có thể lọc và chặn các gói dữ liệu đáng ngờ xâm nhập vào hệ thống.
Tip: Hãy cẩn thận với các cảnh báo phát hiện vi-rút giả mạo! Nhiều cảnh báo giả mạo giả vờ là từ phần mềm chống vi-rút của bạn, đặc biệt là qua email hoặc cửa sổ bật lên của trang web. KHÔNG nhấp vào bất kỳ liên kết nào cho đến khi bạn xác minh trực tiếp thông qua phần mềm chống vi-rút.
3.4 Phân đoạn mạng
Vì phần mềm tống tiền có thể lây lan nhanh chóng trong mạng nên điều quan trọng là phải hạn chế sự lây lan càng nhiều càng tốt trong trường hợp bị tấn công. Việc triển khai phân đoạn mạng sẽ chia mạng thành nhiều mạng nhỏ hơn để tổ chức có thể cô lập phần mềm tống tiền và ngăn không cho nó lây lan sang các hệ thống khác.
Mỗi hệ thống con riêng lẻ phải có các biện pháp kiểm soát bảo mật, tường lửa và quyền truy cập duy nhất để ngăn phần mềm tống tiền tiếp cận dữ liệu mục tiêu. Quyền truy cập được phân đoạn không chỉ ngăn chặn sự lây lan sang mạng chính mà còn giúp nhóm bảo mật có thêm thời gian xác định, cô lập và loại bỏ mối đe dọa.
3.5 Bảo vệ Email
Trước đây, các cuộc tấn công lừa đảo qua email là nguyên nhân hàng đầu dẫn đến lây nhiễm phần mềm độc hại. Vào năm 2020, 54% nhà cung cấp dịch vụ (MSP) báo cáo lừa đảo (phishing) là phương thức phân phối ransomware hàng đầu. Một báo cáo khác do Cục Điều tra Liên bang (FBI) công bố đã liệt kê các vụ lừa đảo qua mạng là tội phạm mạng hàng đầu vào năm 2020, dẫn đến thiệt hại hoặc trộm cắp hơn 4,2 tỷ USD.
Có một số cách khác nhau mà ransomware có thể lây nhiễm cho người dùng qua email:
- Tải xuống các tệp đính kèm email đáng ngờ
- Nhấp vào liên kết dẫn đến các trang web bị nhiễm
- Kỹ thuật xã hội (lừa người dùng tiết lộ thông tin nhạy cảm)
3.6 Application Whitelisting
Danh sách trắng xác định ứng dụng nào có thể được tải xuống và thực thi trên mạng. Bất kỳ chương trình hoặc trang web trái phép nào không có trong danh sách trắng sẽ bị hạn chế hoặc chặn trong trường hợp nhân viên hoặc người dùng vô tình tải xuống chương trình bị nhiễm hoặc truy cập trang web bị hỏng. Sử dụng phần mềm lập danh sách trắng như Windows AppLocker, bạn cũng có thể đưa vào “danh sách đen” hoặc chặn các chương trình và trang web cụ thể.
3.7 Endpoint Security
Bảo mật điểm cuối nên được ưu tiên cho các doanh nghiệp đang phát triển. Khi các doanh nghiệp bắt đầu mở rộng và số lượng người dùng cuối tăng lên, điều này tạo ra nhiều điểm cuối hơn (máy tính xách tay, điện thoại thông minh, máy chủ, v.v.) cần được bảo mật. Mỗi điểm cuối từ xa tạo ra cơ hội tiềm ẩn cho bọn tội phạm truy cập thông tin cá nhân hoặc tệ hơn là mạng chính.
Cho dù bạn đang điều hành doanh nghiệp của mình tại nhà hay làm việc ở công ty lớn hơn, hãy tìm cách cài đặt nền tảng bảo vệ điểm cuối (EPP) hoặc phát hiện và phản hồi điểm cuối (EDR) cho tất cả người dùng mạng. Những công nghệ này cho phép quản trị viên hệ thống theo dõi và quản lý bảo mật cho từng thiết bị từ xa. EDR cao cấp hơn một chút so với EPP, tập trung vào việc phản hồi và chống lại các mối đe dọa ngay lập tức đã xâm nhập vào mạng.
EPP và EDR thường bao gồm một bộ công cụ bảo vệ sau:
- Chống vi-rút và chống phần mềm độc hại
- Mã hóa dữ liệu
- Ngăn ngừa mất dữ liệu
- Phát hiện xâm nhập
- Bảo mật trình duyệt web
- Bảo mật di động và máy tính
- Đánh giá mạng cho các nhóm bảo mật
- Cảnh báo và thông báo bảo mật theo thời gian thực
3.8 Giới hạn quyền truy cập của người dùng
Một cách khác để bảo vệ mạng và hệ thống của bạn là giới hạn quyền truy cập và quyền của người dùng chỉ đối với dữ liệu họ cần để hoạt động. Ý tưởng về “đặc quyền tối thiểu” này giới hạn những người có thể truy cập dữ liệu cần thiết. Bằng cách đó, bạn có thể ngăn phần mềm tống tiền lây lan giữa các hệ thống trong công ty. Ngay cả khi có quyền truy cập, người dùng có thể gặp phải các chức năng hoặc tài nguyên hạn chế, như được xác định trong chính sách kiểm soát truy cập dựa trên vai trò (RBAC).
Đặc quyền tối thiểu thường liên quan đến mô hình zero-trust giả định rằng bất kỳ người dùng bên trong hoặc bên ngoài nào đều không thể tin cậy được, điều đó có nghĩa là họ sẽ yêu cầu xác minh danh tính ở mọi cấp độ truy cập. Quá trình xác minh thường yêu cầu ít nhất xác thực hai yếu tố (2FA) hoặc xác thực đa yếu tố (MFA) để ngăn chặn quyền truy cập vào dữ liệu mục tiêu nếu xảy ra vi phạm.
3.9 Chạy kiểm tra bảo mật thường xuyên
Việc triển khai các biện pháp bảo mật mới sẽ là một nhiệm vụ không bao giờ kết thúc. Khi các chiến thuật ransomware tiếp tục phát triển, các công ty cần chạy thử nghiệm và đánh giá an ninh mạng thường xuyên để thích ứng với môi trường thay đổi.
Các công ty nên liên tục:
- Đánh giá lại đặc quyền người dùng và điểm truy cập
- Xác định lỗ hổng hệ thống mới
- Tạo các giao thức bảo mật mới
3.10 Đào tạo nâng cao nhận thức bảo mật
Vì người dùng cuối và nhân viên là cửa ngõ phổ biến nhất cho các cuộc tấn công mạng nên một trong những hoạt động đào tạo quan trọng nhất mà công ty có thể cung cấp là đào tạo nâng cao nhận thức về bảo mật. Các chiến thuật lừa đảo và kỹ thuật xã hội có thể dễ dàng lợi dụng những người dùng không được trang bị đầy đủ, cả tin. Có kiến thức cơ bản về an ninh mạng có thể ảnh hưởng lớn và thậm chí ngăn chặn các cuộc tấn công tại nguồn.
Một số thực hành đào tạo bảo mật cơ bản để cung cấp là:
- Lướt web an toàn
- Tạo mật khẩu mạnh, an toàn
- Sử dụng VPN an toàn
- Nhận biết các email hoặc tệp đính kèm đáng ngờ
- Duy trì cập nhật hệ thống và phần mềm
- Đào tạo bảo mật
- Cung cấp một kênh báo cáo khẩn cấp cho hoạt động đáng ngờ