3 bước để tăng cường khả năng phòng thủ của bạn trước Ransomware (mã độc tống tiền)

Trận sóng thần tấn công mã độc tống tiền Ransomware trong thời gian gần đây đã làm dấy lên nỗi lo lắng về thời gian chết và mất dữ liệu quan trọng mà các chuyên gia an ninh mạng đã cảnh báo, khi các cuộc tấn công vào các lĩnh vực năng lượng, chuỗi cung ứng thực phẩm, ngành chăm sóc sức khỏe và các cơ sở hạ tầng quan trọng khác đang gây chú ý.

Đối với các chuyên gia trong ngành theo dõi diễn biến của mối đe dọa này, tần suất gia tăng, mức độ tinh vi và khả năng phá hoại của ransomware cho thấy các doanh nghiệp vẫn còn một số lỗ hổng lớn trong chiến lược phòng thủ của họ.

Không có gì ngạc nhiên khi cần có một cách tiếp cận bảo vệ nhiều lớp mới để ngăn chặn thiệt hại do ransomware gây ra. Nhưng nhóm CNTT nên thực hiện những thay đổi nào để thu hẹp những khoảng cách đó?

Trong một hội thảo gần đây, một nhóm chuyên gia an ninh mạng đã vạch ra kế hoạch ba bước để thực hiện điều đó - tập trung vào việc nắm bắt các công nghệ mới, cải thiện quy trình bảo mật và đảm bảo người của họ biết cách giúp hạn chế mối đe dọa.

1 - Chủng lực mới áp đảo hàng phòng thủ cũ

Nhiều chủng ransomware mới hiện nay hoạt động giống như các mối đe dọa dai dẳng nâng cao (APT), nằm im lìm trong mạng công ty trong nhiều tuần, âm thầm thu thập thông tin và đánh cắp dữ liệu.

Xu hướng này là lý do tại sao một số nhà phân tích dự đoán việc thẩm thấu dữ liệu sẽ vượt qua mã hóa là cách tiếp cận ưa thích của những kẻ tấn công ransomware.

Bất chấp sự thay đổi trong cách tiếp cận, những kẻ tấn công vẫn dựa vào các kỹ thuật quen thuộc ban đầu trong các cuộc tấn công này, chẳng hạn như lừa đảo để lấy cắp thông tin xác thực và đưa phần mềm độc hại vào. Trên thực tế, Topher Tebow, nhà nghiên cứu an ninh mạng cao cấp tại Acronis, nói rằng 94% các cuộc tấn công phần mềm độc hại thành công hiện nay bắt đầu bằng lừa đảo.

Để từ chối sự xâm nhập của những kẻ tấn công, ông khuyên các tổ chức nên cập nhật bảo mật email của họ và triển khai lọc URL nếu họ chưa làm như vậy. Các lớp phòng thủ này có thể chặn các email lừa đảo đến hộp thư đến của người dùng và ngăn phần mềm độc hại lây nhiễm vào hệ thống. Các khoản đầu tư công nghệ đơn giản như thế này, Tebow lưu ý, có thể là một cách dễ dàng và hiệu quả để kết thúc một cuộc tấn công ransomware trước khi nó bắt đầu.

Dylan Pollock, một kỹ sư mạng cấp cao tại Hendrik Motorsports của NASCAR, cho biết thêm rằng những kẻ tấn công cũng thích nhắm mục tiêu vào các lỗ hổng đã biết vẫn chưa được vá để nhắm mục tiêu vào các hệ điều hành, ứng dụng và thiết bị. Các lỗ hổng chưa được vá "giống như catnip cho tội phạm mạng", đó là lý do tại sao ông khuyến nghị các tổ chức xem xét áp dụng các công cụ có thể tự động hóa các nỗ lực quản lý bản vá và quét lỗ hổng.

Các tổ chức không thể tiếp tục chỉ dựa vào các biện pháp phòng thủ dựa trên chữ ký để ngăn chặn các mối đe dọa mạng.

Đó là bởi vì, như Acronis VP của Nghiên cứu Bảo vệ Mạng Candid Wüest chỉ ra, tội phạm mạng đang tạo ra các phiên bản mới của ransomware mỗi ngày. Điều đó có nghĩa là mỗi cuộc tấn công mới là một mối đe dọa trong ngày mà các biện pháp phòng thủ dựa trên chữ ký truyền thống sẽ bỏ lỡ.

Wüest cho biết những gì tổ chức cần là các biện pháp phòng thủ thích ứng hơn sử dụng tính năng phát hiện dựa trên hành vi để xác định và ngăn chặn các mối đe dọa. Các giải pháp được hỗ trợ bởi trí thông minh máy - giai đoạn tiếp theo của trí tuệ nhân tạo và máy học - có khả năng nhận biết các mẫu hành vi tấn công mới và tự động phản hồi theo thời gian thực để giảm thiểu cuộc tấn công.

2 - Các quy trình tốt hơn để chặn Ransomware

Mặc dù việc sử dụng các giải pháp hiện đại để đánh bại các mối đe dọa hiện đại là rất quan trọng, nhưng chỉ riêng hệ thống phòng thủ được nâng cấp là chưa đủ trong thế giới mà ransomware được các chuyên gia coi là điều không thể tránh khỏi. Các thủ tục mà các tổ chức sử dụng để bảo vệ dữ liệu của họ cần phải giải quyết thực tế đó. Graham Cluley cảnh báo: “Không thể nói quá tầm quan trọng của một chương trình sao lưu được suy nghĩ kỹ lưỡng và được thực thi theo tôn giáo như là một tuyến phòng thủ cuối cùng”.

Một nhà nghiên cứu tội phạm mạng và người dẫn chương trình podcast Smashing Security, Cluley nhanh chóng nói thêm rằng chỉ sao lưu thôi là chưa đủ. Cần phải kiểm tra thường xuyên các bản sao lưu đó để đảm bảo chúng cho phép tổ chức khôi phục nhanh chóng sau một cuộc tấn công - nếu không, công ty có thể phải trả tiền chuộc.

Khi đề cập đến việc kiểm tra các quy trình, Wüest nói thêm rằng các tổ chức cần khóa tất cả các phần mềm hoạt động được sử dụng trong môi trường của họ. Đó là bởi vì những kẻ tấn công ransomware ngày càng sử dụng chiến lược "sống không bằng đất", nơi chúng chiếm đoạt các công cụ phổ biến như RDP và Mimikatz để đánh cắp mật khẩu, nâng cấp đặc quyền và chiếm quyền kiểm soát các công cụ máy tính để bàn từ xa.

Điều đó làm cho việc đánh cắp và mã hóa dữ liệu trở nên dễ dàng hơn nhiều. Ông khuyến nghị rằng ngoài việc hạn chế các đặc quyền nâng cao, các công ty nên thực thi các quy trình mật khẩu nghiêm ngặt như xác thực đa yếu tố.

3 - Mọi người biết về Ransomware để phòng tránh nó

Tuy nhiên, việc chống lại ransomware sẽ giảm xuống nếu mọi người không tham gia vào việc bảo vệ công ty. Đào tạo nâng cao nhận thức về bảo mật cũng quan trọng đối với an ninh điểm cuối cũng như công nghệ phòng thủ. Pollock khuyên rằng chỉ cần huấn luyện người dùng cuối nhận biết và tránh các nỗ lực kỹ thuật xã hội có thể giúp ngăn chặn một cuộc tấn công thành công.

Ông lưu ý: “Nếu chúng tôi có thể khiến người dùng suy nghĩ thêm hai giây trước khi họ nhấp vào một email đáng ngờ, thì nhiều cuộc tấn công ransomware sẽ không bao giờ có chỗ đứng trong doanh nghiệp của chúng tôi”.

Các đội bảo mật đã thành công trong việc điều chỉnh để chống lại phần mềm tống tiền, nhưng Cluley cảnh báo không nên để xảy ra tình trạng tiết kiệm xăng. Tội phạm mạng tiếp tục sửa đổi và thúc đẩy các cuộc tấn công của chúng, vì vậy các tổ chức cũng phải liên tục cải tiến - triển khai nhiều lớp bảo vệ, đảm bảo nhận thức về bảo mật và thử nghiệm kế hoạch ứng phó sự cố của chúng. Sau đó, anh ấy nói, "bạn sẽ có cơ hội chiến đấu."

Hương – Theo TheHackerNews