Khi thế giới công nghệ ngày càng phát triển, các biện pháp an ninh mạng để bảo vệ chúng cũng cần phải được nâng cao. Việc xây dựng chiến lược phòng chống ransomware nên là ưu tiên hàng đầu của mọi cá nhân và tổ chức. Nếu không có chiến lược này, người dùng và tổ chức được bảo vệ kém có thể tự đặt mình vào nguy cơ mất các thông tin quan trọng.
Bối cảnh hiện tại đặt doanh nghiệp vào tình trạng cảnh giác cao
Một báo cáo của Cybersecurity Ventures ước tính rằng cứ 11 giây lại xảy ra một cuộc tấn công ransomware vào năm 2021, gây thiệt hại gần 20 tỷ USD. Tại Việt Nam, ông Phạm Thái Sơn – Phó Giám đốc Trung tâm giám sát an toàn Không gian mạng Quốc gia (Cục An toàn Thông tin) cho biết, quý 1/2024 ghi nhận hơn 300 nghìn nguy cơ nhắm vào các hệ thống thông tin của Việt Nam. Các âm mưu tống tiền này thường nhắm vào các cá nhân hoặc doanh nghiệp có khả năng cao nhất chi trả số tiền được yêu cầu để khôi phục dữ liệu.
Đọc thêm: Top 10 xu hướng an ninh hệ thống mới nhất năm 2024
Đối với nhiều công ty, dữ liệu là tài sản có giá trị nhất. Mất dữ liệu có thể gây ra thiệt hại không thể khắc phục, có thể làm tê liệt toàn bộ hoạt động. Điều quan trọng là phải chủ động áp dụng các phương pháp phòng chống ransomware tốt nhất trước khi các mối đe dọa tiềm ẩn có cơ hội lợi dụng. Hãy tiếp tục đọc để tìm hiểu thêm về cách bạn có thể bảo vệ dữ liệu của mình khỏi các cuộc tấn công trong tương lai!
Ransomware là gì?
Ransomware là một loại phần mềm độc hại tinh vi có thể tấn công máy tính và sau đó bắt giữ dữ liệu nhạy cảm hoặc thông tin nhận dạng cá nhân làm con tin cho đến khi nạn nhân trả một khoản phí, hoặc “tiền chuộc”. Kẻ tấn công thường sử dụng khóa mã hóa nhị phân để hạn chế quyền truy cập dữ liệu nhằm tống tiền nạn nhân.
Các cuộc tấn công Ransomware có thể đặc biệt nguy hiểm đối với các doanh nghiệp, bệnh viện, trường học hoặc các tổ chức khác phụ thuộc vào thông tin đó để hoạt động hàng ngày. Trong hầu hết các trường hợp, không trả tiền chuộc có thể dẫn đến mất vĩnh viễn hoặc bị lộ dữ liệu bí mật.
Dưới đây là một số cách phổ biến nhất khiến nạn nhân bị nhiễm ransomware:
- Email giả mạo (Phishing emails)
- Truy cập vào các trang web bị nhiễm (tải xuống tự động)
- Tải xuống các phần mở rộng tệp bị nhiễm hoặc tệp đính kèm độc hại
- Lỗ hổng của hệ thống và mạng
- Tấn công Giao thức máy tính từ xa (RDP, hay Remote desktop protocol)
Các loại Ransomware
Các cuộc tấn công Ransomware có thể ảnh hưởng đến bất kỳ ai, từ người dùng cá nhân đến các tập đoàn lớn. Loại phần mềm độc hại này có thể khóa các tệp riêng lẻ, chẳng hạn như tài liệu hoặc hình ảnh, cho đến toàn bộ cơ sở dữ liệu, dẫn đến rò rỉ dữ liệu lớn hoặc tiết lộ thông tin cá nhân nhạy cảm.
Có bốn loại ransomware chính:
- Mã Hóa (Encryption): Mã hóa là loại ransomware phổ biến nhất, mã hóa dữ liệu và khiến nó không thể mở khóa được nếu không có khóa giải mã.
- Chặn (Lockers): Lockers hạn chế việc sử dụng máy tính của bạn, khiến bạn không thể làm việc hoặc sử dụng các chức năng cơ bản cho đến khi tiền chuộc được thanh toán.
- Scareware: Scareware cố gắng dọa người dùng bằng những vấn đề không thực sự xảy ra để họ mua phần mềm không cần thiết. Trong một số trường hợp, cửa sổ pop-up sẽ tràn ngập màn hình, buộc người dùng phải trả tiền để xóa chúng.
- Doxware/Leakware (Rò Rỉ Thông Tin): Doxware hoặc leakware sẽ đe dọa rò rỉ thông tin cá nhân hoặc công ty trừ khi khoản tiền phạt được thanh toán.
Xem thêm: 9 điều cần làm khi bị tấn công bởi Ransomware
10 tips phòng chống ransomware hiệu quả
May mắn thay, có nhiều cách để phòng chống ransomware. Do công nghệ không ngừng phát triển, việc tuân theo các thực tiễn an ninh mạng cơ bản và chủ động là rất quan trọng để bạn không bao giờ khiến bản thân hoặc doanh nghiệp của bạn gặp rủi ro trước các mối đe dọa ransomware.
Sao lưu dữ liệu
Sao lưu dữ liệu của bạn vào ổ cứng ngoài hoặc máy chủ đám mây là một trong những cách giảm thiểu rủi ro dễ dàng nhất. Trong trường hợp bị tấn công ransomware, người dùng có thể xóa sạch máy tính và cài đặt lại các tệp sao lưu. Lý tưởng nhất, các tổ chức nên sao lưu dữ liệu quan trọng nhất của họ ít nhất một lần mỗi ngày.
Một cách phổ biến để thực hiện là theo quy tắc 3-2-1. Cố gắng giữ 3 bản sao riêng biệt của dữ liệu của bạn trên 2 loại lưu trữ khác nhau với 1 bản sao ngoại tuyến. Bạn cũng có thể thêm một bước khác vào quy trình bằng cách thêm một bản sao nữa trên máy chủ lưu trữ đám mây không thể thay đổi (immutable) và không thể xóa (indelible).
Cập nhật tất cả Hệ thống và Phần mềm
Luôn cập nhật hệ điều hành, trình duyệt web, phần mềm diệt virus và bất kỳ phần mềm nào khác bạn sử dụng lên phiên bản mới nhất. Phần mềm độc hại, virus và ransomware liên tục phát triển với các biến thể mới có thể vượt qua các tính năng bảo mật cũ của bạn, vì vậy bạn cần đảm bảo mọi thứ đều được vá lỗi và cập nhật.
Nhiều kẻ tấn công nhắm vào các doanh nghiệp lớn hơn phụ thuộc vào các hệ thống cũ lỗi thời chưa được cập nhật trong một thời gian. Có lẽ cuộc tấn công ransomware khét tiếng nhất xảy ra vào năm 2017 khi phần mềm độc hại WannaCry làm tê liệt các tập đoàn lớn trên toàn thế giới. Nó thậm chí còn buộc các bệnh viện ở Anh, công ty viễn thông Tây Ban Nha Telefónica và nhà cung cấp chip cho Apple, Taiwan Semiconductor Manufacturing Co. (TSMC) phải ngừng hoạt động trong bốn ngày. Tổng cộng, hơn 230.000 máy tính trên toàn cầu bị ảnh hưởng.
Cuộc tấn công nhắm vào các máy tính sử dụng phiên bản lỗi thời của Microsoft Windows. Mặc dù bản vá được phát hành gần đây có thể ngăn chặn sự lây lan của phần mềm độc hại, nhưng nhiều người dùng và tổ chức đã chậm cập nhật và do đó trở thành nạn nhân của trò lừa đảo. Kể từ sự cố này, các chuyên gia bảo mật trên toàn thế giới đã kêu gọi các công ty cập nhật hệ thống của họ càng sớm càng tốt.
Cài đặt Phần mềm Diệt Virus và Tường Lửa
Phần mềm diệt virus và chống phần mềm độc hại toàn diện là những cách phổ biến nhất để phòng chống ransomware. Chúng có thể quét, phát hiện và phản hồi các mối đe dọa trên không gian mạng. Tuy nhiên, bạn cũng cần cấu hình tường lửa của mình vì phần mềm diệt virus chỉ hoạt động ở cấp độ nội bộ và chỉ có thể phát hiện ra cuộc tấn công khi nó đã nằm trong hệ thống.
Tường lửa thường là tuyến phòng thủ đầu tiên chống lại bất kỳ cuộc tấn công bên ngoài đang đến. Nó có thể bảo vệ chống lại cả các cuộc tấn công dựa trên phần mềm và phần cứng. Tường lửa là cần thiết cho bất kỳ doanh nghiệp hoặc mạng riêng tư nào vì chúng có thể lọc và chặn các gói dữ liệu đáng ngờ xâm nhập hệ thống.
MẸO: Hãy cẩn thận với các cảnh báo phát hiện virus giả mạo! Nhiều cảnh báo giả mạo được cho là từ phần mềm diệt virus của bạn, đặc biệt là thông qua email hoặc cửa sổ bật lên trên trang web. KHÔNG nhấp vào bất kỳ liên kết nào cho đến khi bạn xác minh trực tiếp thông qua phần mềm diệt virus.
Phân đoạn Mạng
Do ransomware có thể lây lan nhanh chóng trên toàn mạng, nên việc hạn chế tối đa sự lây lan trong trường hợp bị tấn công là rất quan trọng. Việc triển khai phân đoạn mạng sẽ chia mạng thành nhiều mạng nhỏ hơn để tổ chức có thể cô lập ransomware và ngăn nó lan sang các hệ thống khác.
Mỗi hệ thống phụ riêng lẻ nên có các biện pháp kiểm soát bảo mật, tường lửa và quyền truy cập riêng biệt để ngăn ransomware truy cập vào dữ liệu mục tiêu. Phân đoạn truy cập không chỉ ngăn chặn sự lây lan sang mạng chính mà còn cung cấp thêm thời gian cho nhóm bảo mật xác định, cô lập và loại bỏ mối đe dọa.
Bảo vệ Thư Điện Tử
Các cuộc tấn công lừa đảo qua email (phishing) là nguyên nhân hàng đầu gây nhiễm phần mềm độc hại. Vào năm 2020, 54% các nhà cung cấp Dịch vụ quản lý (MSP) báo cáo lừa đảo trực tuyến là phương thức phân phối ransomware hàng đầu. Một báo cáo khác do Cục Điều tra Liên bang (FBI) công bố liệt kê các vụ lừa đảo qua email là tội phạm mạng hàng đầu trong năm 2020, gây thiệt hại hoặc mất mát hơn 4,2 tỷ USD.
Các cách ransomware có thể lây nhiễm cho người dùng qua email:
- Tải xuống các tệp đính kèm email đáng ngờ
- Nhấp vào các liên kết dẫn đến các trang web bị nhiễm
- Kỹ thuật xã hội (đánh lừa người dùng tiết lộ thông tin nhạy cảm)
Ngoài phần mềm diệt virus, bạn có thể thực hiện các biện pháp phòng ngừa bổ sung bằng cách sử dụng các thực tiễn hoặc công nghệ như:
- Không mở email từ người gửi không rõ nguồn gốc – Tránh nhấp vào tệp đính kèm, tệp hoặc liên kết từ các địa chỉ không rõ hoặc nguồn không được ủy quyền.
- Giữ cập nhật các ứng dụng email – Không cho phép kẻ tấn công mạng lợi dụng các lỗ hổng bảo mật từ công nghệ lỗi thời.
- Sender Policy Framework (SPF) – Kỹ thuật xác thực email để chỉ định các máy chủ email cụ thể có thể gửi thư đi.
- DomainKeys Identified Mail (DKIM) – Cung cấp khóa mã hóa và chữ ký kỹ thuật số để xác minh email không bị giả mạo, làm giả hoặc thay đổi.
- Domain Message Authentication Reporting & Conformance (DMARC) – Xác thực thêm email bằng cách khớp với các giao thức SPF và DKIM.
Whitelist ứng dụng
Danh sách trắng (Whitelisting, ngược lại với Danh sách đen hay Blacklist) xác định ứng dụng nào có thể được tải xuống và chạy trên mạng. Bất kỳ chương trình hoặc trang web nào không được ủy quyền và không có trong danh sách trắng sẽ bị hạn chế hoặc chặn trong trường hợp nhân viên hoặc người dùng vô tình tải xuống chương trình bị nhiễm hoặc truy cập vào trang web bị lỗi. Sử dụng phần mềm danh sách trắng như Windows AppLocker, bạn cũng có thể danh sách đen hoặc chặn các chương trình và trang web cụ thể.
Bảo Mật Điểm Cuối
Bảo mật điểm cuối là ưu tiên hàng đầu cho các doanh nghiệp đang phát triển. Khi doanh nghiệp bắt đầu mở rộng và số lượng người dùng cuối tăng lên, điều này sẽ tạo ra nhiều điểm cuối hơn (laptop, điện thoại thông minh, máy chủ, v.v.) cần được bảo mật. Mỗi thiết bị ngõ từ xa tạo ra một cơ hội tiềm ẩn để kẻ gian truy cập vào thông tin cá nhân hoặc tệ hơn là mạng chính.
Cho dù bạn đang điều hành doanh nghiệp từ nhà hay làm việc trong một công ty lớn hơn, hãy tìm cách cài đặt các nền tảng bảo vệ thiết bị cuối (endpoint protection platforms, hay EPP) hoặc phát hiện và ứng phó với thiết bị cuối (endpoint detection and response, hay EDR) cho tất cả người dùng mạng. Các công nghệ này cho phép quản trị viên hệ thống giám sát và quản lý bảo mật cho từng thiết bị từ xa. EDR tiên tiến hơn một chút so với EPP, tập trung vào việc phản hồi và chống lại các mối đe dọa tức thời đã xâm nhập vào mạng.
EPP và EDR thường bao gồm một bộ công cụ bảo vệ, bao gồm:
- Phần mềm diệt virus và chống phần mềm độc hại
- Mã hóa dữ liệu
- Ngăn chặn mất dữ liệu
- Phát hiện xâm nhập
- Bảo mật trình duyệt web
- Bảo mật di động và máy tính để bàn
- Đánh giá mạng cho nhóm bảo mật
- Cảnh báo và thông báo bảo mật theo thời gian thực
Giới hạn Quyền truy cập của Người dùng
Một cách khác để bảo vệ mạng và hệ thống của bạn là hạn chế quyền truy cập và quyền của người dùng chỉ đối với dữ liệu họ cần để làm việc. Nguyên tắc Quyền hạn tối thiểu hạn chế những người có thể truy cập vào dữ liệu cần thiết. Bằng cách làm như vậy, bạn có thể ngăn chặn ransomware lây lan giữa các hệ thống trong một công ty. Ngay cả khi có quyền truy cập, người dùng vẫn có thể gặp các chức năng hoặc tài nguyên hạn chế, theo quy định trong chính sách kiểm soát truy cập dựa trên vai trò (RBAC).
Quyền hạn tối thiểu thường liên quan đến mô hình “không tin cậy” (zero-trust model) giả định rằng bất kỳ người dùng nội bộ hoặc bên ngoài nào cũng không thể tin tưởng, nghĩa là họ sẽ yêu cầu xác minh danh tính ở mọi cấp độ truy cập. Xác minh thường yêu cầu ít nhất xác thực hai yếu tố (2FA) hoặc xác thực đa yếu tố (MFA) để ngăn chặn truy cập vào dữ liệu mục tiêu nếu xảy ra vi phạm.
Thực hiện Kiểm tra Bảo mật Định kỳ
Việc triển khai các biện pháp bảo mật mới cần là một nhiệm vụ không bao giờ kết thúc. Do các chiến thuật ransomware tiếp tục phát triển, các công ty cần tiến hành các bài kiểm tra và đánh giá an ninh mạng thường xuyên để thích ứng với môi trường thay đổi. Các công ty nên liên tục:
- Đánh giá lại quyền hạn và điểm truy cập của người dùng
- Xác định lỗ hổng hệ thống mới
- Tạo giao thức bảo mật mới
Thử nghiệm Sandbox là một chiến lược phổ biến để kiểm tra mã độc hại trên phần mềm hiện tại trong môi trường bị cô lập để xác định xem các giao thức bảo mật có đủ hay không.
Đào tạo Nhận thức về An ninh
Do người dùng cuối và nhân viên là cửa ngõ phổ biến nhất cho các cuộc tấn công mạng, nên một trong những khóa đào tạo quan trọng nhất mà công ty có thể cung cấp là đào tạo nhận thức về an ninh. Các chiến thuật lừa đảo trực tuyến (phishing) và kỹ thuật xã hội (social engineering) có thể dễ dàng lợi dụng những người dùng không nghi ngờ, thiếu trang bị. Việc có kiến thức cơ bản về an ninh mạng có thể ảnh hưởng rất lớn và thậm chí ngăn chặn các cuộc tấn công ngay từ đầu.
Dưới đây là một số buổi đào tạo về an ninh cơ bản cần được cung cấp:
- Lướt web an toàn
- Tạo mật khẩu mạnh, an toàn
- Sử dụng VPN an toàn (không dùng Wi-Fi công cộng)
- Nhận biết email hoặc tệp đính kèm đáng ngờ
- Duy trì hệ thống và phần mềm cập nhật
- Đào tạo về bảo mật
- Cung cấp kênh báo cáo khẩn cấp cho các hoạt động đáng ngờ
Tìm hiểu sự kiện: Sự kiện Ransomware Defense 2024: Bảo vệ Doanh nghiệp trong Thời đại Số
Kết luận
Các biện pháp phòng chống ransomware hiệu quả cần được thực hiện trước khi bất kỳ cuộc tấn công nào xảy ra. Chờ đợi đến khi ransomware tấn công mạng của bạn để hành động thì có thể đã quá muộn. Từ việc sao lưu các tập tin của bạn đến cài đặt phần mềm diệt virus và tường lửa mạnh mẽ đến giáo dục an ninh mạng, bạn sẽ muốn sẵn sàng cho mọi tình huống có thể xảy ra.
OSAM là Đối tác Tư vấn Cấp cao của Amazon Web Services (AWS) tại Việt Nam, cung cấp dịch vụ Quản lý đám mây hiệu quả, toàn diện cho doanh nghiệp, bao gồm cả giám sát hạ tầng và bảo mật hệ thống. Liên hệ để được tư vấn chi tiết tại đây.