Theo các chuyên gia ước tính, chi phí để giải quyết sự cố do mã độc tống tiền (ransomware) gây ra trung bình khoảng 713.000 USD, bao gồm: tiền chuộc cùng các tổn thất liên quan (như giá trị của dữ liệu, tổn thất phần cứng, chi phí cải thiện cơ sở hạ tầng, thời gian và kinh phí để khôi phục hình ảnh thương hiệu của cá nhân hay doanh nghiệp). Chi phí này có thể tăng theo cấp số nhân, kể cả khi các hệ thống quan trọng ngoại tuyến.
Trong một cuộc tấn công được ghi nhận vào năm 2019, tin tặc đã yêu cầu thanh toán 13 Bitcoin (tương đương 75.000 USD) cho mỗi máy tính bị ảnh hưởng, để người dùng lấy lại quyền truy cập. Yêu cầu này vượt xa các yêu cầu tiền chuộc thông thường (khoảng 13.000 USD).
Dưới đây là 10 bước quan trọng mà các tổ chức/doanh nghiệp (TC/DN) nên xem xét để xây dựng chiến lược phòng chống ransomware.
Lưu ý 1: Chỉ ra các điểm yếu có thể bị tấn công
Thông thường, người dùng cuối không thể biết được những gì cần phải bảo vệ đối với các thiết bị cá nhân. Vì vậy, quản trị viên cần xác định tất cả các vấn đề của hệ thống, thiết bị và dịch vụ trong môi trường mạng. Quá trình này không chỉ giúp xác định các mục tiêu dễ bị tấn công mà còn giúp chỉ ra các điểm yếu của hệ thống để phục hồi. Từ đó, nâng cao mức độ bảo mật ngay từ cấp độ người dùng.
Lưu ý 2: Vá lỗ hổng và nâng cấp các thiết bị dễ bị tấn công
Một trong những phương pháp cơ bản nhằm đảm bảo an toàn hệ thống là thiết lập, duy trì hoạt động cập nhật bản vá và nâng cấp định kỳ cho thiết bị. Trong trường hợp tổ chức, doanh nghiệp không thể thiết lập các chính sách vá định kỳ hoặc áp dụng cho các hệ thống ngoại tuyến, thì cần thay thế hoặc bảo vệ hệ thống bằng việc sử dụng chính sách cách ly hoặc chính sách không tin cậy (zero-trust).
Lưu ý 3: Cập nhật hệ thống an ninh, an toàn
Ngoài việc cập nhật các thiết bị kết nối mạng, TC/DN cũng cần đảm bảo rằng tất cả các giải pháp an ninh, an toàn đang sử dụng đều được cập nhật phiên bản mới nhất. Đặc biệt đối với giải pháp cổng thư điện tử an toàn (Secure Email Gateway - SEG), bởi hầu hết phương thức lây nhiễm của ransomware là qua email. Giải pháp SEG có thể xác định và xóa các tệp đính kèm, liên kết độc hại trước khi chúng được gửi đến người nhận. Tương tự vậy, giải pháp lọc web có sử dụng học máy phải có khả năng ngăn chặn các cuộc tấn công lừa đảo hiệu quả.
Ngoài ra, chiến lược an ninh, an toàn thông tin cần bao gồm danh sách trắng ứng dụng (là danh sách các ứng dụng phần mềm được phê duyệt hoặc các tệp thực thi được phép hoạt động trên các hệ thống máy tính), chỉ ra và giới hạn đặc quyền, thực hiện mô hình không tin cậy giữa các hệ thống quan trọng, thực thi chính sách mật khẩu mạnh và yêu cầu sử dụng xác thực đa yếu tố.
Lưu ý 4: Phân đoạn mạng
Tổ chức phân đoạn mạng trong hệ thống mạng đảm bảo tách biệt các hệ thống bị tấn công và phần mềm độc hại nằm trong một phân đoạn mạng cụ thể. Việc phân đoạn mạng này cũng bao gồm cách ly tài sản và cô lập thông tin định danh của nhân viên và khách hàng. Tương tự vậy, TC/DN cần thiết lập các dịch vụ quan trọng (như dịch vụ khẩn cấp hoặc tài nguyên vật lý) trên một phân mạng riêng biệt.
Lưu ý 5: Đảm bảo an toàn cho mạng mở rộng
Với xu hướng phát triển của TC/DN, quản trị viên cần đảm bảo các giải pháp an toàn được triển khai trên mạng lõi cũng được đồng bộ trong mạng mở rộng. Đồng thời, cần kiểm tra kết nối từ các tổ chức khác (khách hàng, đối tác, nhà cung cấp) một cách thường xuyên. Hãy chắc chắn rằng, các kết nối được áp dụng các biện pháp bảo mật phù hợp. Song song, các TC/DN cần gửi cảnh báo cho các đối tác về các vấn đề bất thường. Đặc biệt là các vấn đề liên quan đến nội dung độc hại được chia sẻ hoặc lan truyền qua các kết nối đó.
Lưu ý 6: Cách ly dữ liệu sao lưu và hệ thống khôi phục
Cần thực hiện sao lưu dữ liệu và hệ thống một cách thường xuyên, nghiêm túc. Việc lưu trữ các bản sao lưu phải thực hiện ngoại tuyến để không bị ảnh hưởng trong trường hợp hệ thống bị tấn công. Các tổ chức cũng nên rà quét các bản sao lưu đó, đề phòng chúng bị lây nhiễm mã độc. Cũng cần đảm bảo rằng mọi hệ thống, thiết bị và phần mềm cần thiết để khôi phục toàn bộ hệ thống đều được cách ly khỏi mạng để chúng luôn sẵn sàng sử dụng.
Lưu ý 7: Diễn tập khôi phục hệ thống
Diễn tập khôi phục hệ thống thường xuyên đảm bảo rằng dữ liệu sao lưu luôn sẵn sàng, tất cả các tài nguyên cần thiết có thể được khôi phục và toàn bộ hệ thống hoạt động như mong đợi. Việc diễn tập này cũng đảm bảo rằng với quy trình được đưa ra thì tất cả nhân viên trong hệ thống đều nắm rõ trách nhiệm của mình. Bất kỳ vấn đề nào được nêu ra trong một cuộc diễn tập cần được giải quyết và ghi lại.
Lưu ý 8: Sử dụng các chuyên gia bên ngoài
Thiết lập một danh sách các chuyên gia và chuyên gia tư vấn đáng tin cậy. Trong trường hợp hệ thống bị tấn công vượt qua ngưỡng xử lý của các chuyên gia nội bộ, việc sử dụng nguồn lực từ chuyên gia bên ngoài có thể tư vấn và khôi phục hệ thống một cách nhanh nhất, tránh để lại những hậu quả đáng tiếc xảy ra.
Lưu ý 9. Chú ý đến các sự kiện liên quan đến ransomware
Nắm bắt các thông tin mới nhất về ransomware bằng cách đăng ký nhận thông tin về các mối đe dọa và tin tức mới về an toàn thông tin. Tạo thói quen tìm hiểu cách thức và lý do các hệ thống bị xâm phạm, sau đó áp dụng các bài học đó vào môi trường mạng của TC/DN.
Lưu ý 10. Đào tạo nhân viên
Thay vì để nhân viên là liên kết yếu nhất trong hệ thống của các tổ chức, thì hãy biến đó thành tuyến phòng thủ đầu tiên của hệ thống. Do vậy, đào tạo nhân viên và nâng cao nhận thức cho người dùng là điều rất quan trọng trong công tác phòng chống ransomware. Một số kỹ năng cơ bản như: luôn thận trọng với email, đặc biệt những email lạ, đáng nghi ngờ; kiểm tra tên miền của người gửi email; kiểm tra các lỗi đánh máy, chính tả, xem xét chữ ký và tính hợp pháp của email…..
Lê Hải Hường, Nguyễn Như Chiến
10:00 | 16/01/2020
08:00 | 25/02/2020
08:00 | 01/06/2020
15:00 | 21/05/2020
17:00 | 23/07/2020
13:00 | 23/11/2020
10:00 | 28/12/2020
08:00 | 16/03/2020
09:00 | 28/04/2024
Thời gian gần đây, lĩnh vực an toàn thông tin ghi nhận hình thức bảo mật Bug Bounty đang ngày càng nở rộ. Tuy nhiên, bên cạnh những số liệu khủng về giải thưởng, lỗ hổng được phát hiện, vẫn có những ý kiến trái chiều về hiệu quả thực sự mà Bug Bounty đem lại cho các tổ chức, doanh nghiệp.
07:00 | 08/04/2024
Thiết bị truyền dữ liệu một chiều Datadiode có ý nghĩa quan trọng trong việc bảo đảm an toàn thông tin (ATTT) cho việc kết nối liên thông giữa các vùng mạng với nhau, đặc biệt giữa vùng mạng riêng, nội bộ với các vùng mạng bên ngoài kém an toàn hơn. Khi chủ trương xây dựng Chính phủ điện tử, Chính phủ số của Quân đội được quan tâm, đẩy mạnh phát triển. Việc liên thông các mạng với nhau, giữa mạng trong và mạng ngoài, giữa mạng truyền số liệu quân sự (TSLQS) và mạng Internet, giữa các hệ thống thông tin quân sự và cơ sở dữ liệu (CSDL) quốc gia về dân cư, bảo hiểm y tế và các CSDL dùng chung khác yêu cầu phải kết nối. Bài báo sẽ trình bày giải pháp truyền dữ liệu một chiều Datadiode cho phép các ứng dụng giữa hai vùng mạng kết nối sử dụng giao thức Webservice/RestAPI.
10:00 | 28/08/2023
Trước đây đã có những quan điểm cho rằng MacBook rất khó bị tấn công và các tin tặc thường không chú trọng nhắm mục tiêu đến các dòng máy tính chạy hệ điều hành macOS. Một trong những nguyên do chính xuất phát từ các sản phẩm của Apple luôn được đánh giá cao về chất lượng lẫn kiểu dáng thiết kế, đặc biệt là khả năng bảo mật, nhưng trên thực tế MacBook vẫn có thể trở thành mục tiêu khai thác của các tin tặc. Mặc dù không bị xâm phạm thường xuyên như máy tính Windows, tuy nhiên đã xuất hiện nhiều trường hợp tin tặc tấn công thành công vào MacBook, từ các chương trình giả mạo đến khai thác lỗ hổng bảo mật. Chính vì vậy, việc trang bị những kỹ năng an toàn cần thiết sẽ giúp người dùng chủ động nhận biết sớm các dấu hiệu khi Macbook bị tấn công, đồng thời có những phương án bảo vệ hiệu quả trước các mối đe dọa tiềm tàng có thể xảy ra.
13:00 | 30/05/2023
Mặc dù mạng 5G sẽ mang lại nhiều lợi ích cho xã hội và người dân, nhưng 5G cũng làm tăng thêm những rủi ro mới. Bảo mật 5G là vấn đề chung mà thế giới đang phải đối mặt, do đó cần tăng cường nghiên cứu, học hỏi kinh nghiệm của các nước để làm phong phú hơn kịch bản ứng phó của quốc gia mình.
Có một số phương pháp để xác định mức độ an toàn của các hệ mật sử dụng độ dài khóa mã (key length) tham chiếu làm thông số để đo độ mật trong cả hệ mật đối xứng và bất đối xứng. Trong bài báo này, nhóm tác giả tổng hợp một số phương pháp xác định độ an toàn của hệ mật khóa công khai RSA, dựa trên cơ sở các thuật toán thực thi phân tích thừa số của số nguyên modulo N liên quan đến sức mạnh tính toán (mật độ tích hợp Transistor theo luật Moore và năng lực tính toán lượng tử) cần thiết để phá vỡ một bản mã (các số nguyên lớn) được mã hóa bởi khóa riêng có độ dài bit cho trước. Mối quan hệ này giúp ước lượng độ an toàn của hệ mật RSA theo độ dài khóa mã trước các viễn cảnh tấn công khác nhau.
08:00 | 04/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024