Theo các chuyên gia ước tính, chi phí để giải quyết sự cố do mã độc tống tiền (ransomware) gây ra trung bình khoảng 713.000 USD, bao gồm: tiền chuộc cùng các tổn thất liên quan (như giá trị của dữ liệu, tổn thất phần cứng, chi phí cải thiện cơ sở hạ tầng, thời gian và kinh phí để khôi phục hình ảnh thương hiệu của cá nhân hay doanh nghiệp). Chi phí này có thể tăng theo cấp số nhân, kể cả khi các hệ thống quan trọng ngoại tuyến.

Trong một cuộc tấn công được ghi nhận vào năm 2019, tin tặc đã yêu cầu thanh toán 13 Bitcoin (tương đương 75.000 USD) cho mỗi máy tính bị ảnh hưởng, để người dùng lấy lại quyền truy cập. Yêu cầu này vượt xa các yêu cầu tiền chuộc thông thường (khoảng 13.000 USD).

Dưới đây là 10 bước quan trọng mà các tổ chức/doanh nghiệp (TC/DN) nên xem xét để xây dựng chiến lược phòng chống ransomware.

Lưu ý 1: Chỉ ra các điểm yếu có thể bị tấn công

Thông thường, người dùng cuối không thể biết được những gì cần phải bảo vệ đối với các thiết bị cá nhân. Vì vậy, quản trị viên cần xác định tất cả các vấn đề của hệ thống, thiết bị và dịch vụ trong môi trường mạng. Quá trình này không chỉ giúp xác định các mục tiêu dễ bị tấn công mà còn giúp chỉ ra các điểm yếu của hệ thống để phục hồi. Từ đó, nâng cao mức độ bảo mật ngay từ cấp độ người dùng.

Lưu ý 2: Vá lỗ hổng và nâng cấp các thiết bị dễ bị tấn công

Một trong những phương pháp cơ bản nhằm đảm bảo an toàn hệ thống là thiết lập, duy trì hoạt động cập nhật bản vá và nâng cấp định kỳ cho thiết bị. Trong trường hợp tổ chức, doanh nghiệp không thể thiết lập các chính sách vá định kỳ hoặc áp dụng cho các hệ thống ngoại tuyến, thì cần thay thế hoặc bảo vệ hệ thống bằng việc sử dụng chính sách cách ly hoặc chính sách không tin cậy (zero-trust).

Lưu ý 3: Cập nhật hệ thống an ninh, an toàn

Ngoài việc cập nhật các thiết bị kết nối mạng, TC/DN cũng cần đảm bảo rằng tất cả các giải pháp an ninh, an toàn đang sử dụng đều được cập nhật phiên bản mới nhất. Đặc biệt đối với giải pháp cổng thư điện tử an toàn (Secure Email Gateway - SEG), bởi hầu hết phương thức lây nhiễm của ransomware là qua email. Giải pháp SEG có thể xác định và xóa các tệp đính kèm, liên kết độc hại trước khi chúng được gửi đến người nhận. Tương tự vậy, giải pháp lọc web có sử dụng học máy phải có khả năng ngăn chặn các cuộc tấn công lừa đảo hiệu quả.

Ngoài ra, chiến lược an ninh, an toàn thông tin cần bao gồm danh sách trắng ứng dụng (là danh sách các ứng dụng phần mềm được phê duyệt hoặc các tệp thực thi được phép hoạt động trên các hệ thống máy tính), chỉ ra và giới hạn đặc quyền, thực hiện mô hình không tin cậy giữa các hệ thống quan trọng, thực thi chính sách mật khẩu mạnh và yêu cầu sử dụng xác thực đa yếu tố.

Lưu ý 4: Phân đoạn mạng

Tổ chức phân đoạn mạng trong hệ thống mạng đảm bảo tách biệt các hệ thống bị tấn công và phần mềm độc hại nằm trong một phân đoạn mạng cụ thể. Việc phân đoạn mạng này cũng bao gồm cách ly tài sản và cô lập thông tin định danh của nhân viên và khách hàng. Tương tự vậy, TC/DN cần thiết lập các dịch vụ quan trọng (như dịch vụ khẩn cấp hoặc tài nguyên vật lý) trên một phân mạng riêng biệt.

Lưu ý 5: Đảm bảo an toàn cho mạng mở rộng

Với xu hướng phát triển của TC/DN, quản trị viên cần đảm bảo các giải pháp an toàn được triển khai trên mạng lõi cũng được đồng bộ trong mạng mở rộng. Đồng thời, cần kiểm tra kết nối từ các tổ chức khác (khách hàng, đối tác, nhà cung cấp) một cách thường xuyên. Hãy chắc chắn rằng, các kết nối được áp dụng các biện pháp bảo mật phù hợp. Song song, các TC/DN cần gửi cảnh báo cho các đối tác về các vấn đề bất thường. Đặc biệt là các vấn đề liên quan đến nội dung độc hại được chia sẻ hoặc lan truyền qua các kết nối đó.

Lưu ý 6: Cách ly dữ liệu sao lưu và hệ thống khôi phục

Cần thực hiện sao lưu dữ liệu và hệ thống một cách thường xuyên, nghiêm túc. Việc lưu trữ các bản sao lưu phải thực hiện ngoại tuyến để không bị ảnh hưởng trong trường hợp hệ thống bị tấn công. Các tổ chức cũng nên rà quét các bản sao lưu đó, đề phòng chúng bị lây nhiễm mã độc. Cũng cần đảm bảo rằng mọi hệ thống, thiết bị và phần mềm cần thiết để khôi phục toàn bộ hệ thống đều được cách ly khỏi mạng để chúng luôn sẵn sàng sử dụng.

Lưu ý 7: Diễn tập khôi phục hệ thống

Diễn tập khôi phục hệ thống thường xuyên đảm bảo rằng dữ liệu sao lưu luôn sẵn sàng, tất cả các tài nguyên cần thiết có thể được khôi phục và toàn bộ hệ thống hoạt động như mong đợi. Việc diễn tập này cũng đảm bảo rằng với quy trình được đưa ra thì tất cả nhân viên trong hệ thống đều nắm rõ trách nhiệm của mình. Bất kỳ vấn đề nào được nêu ra trong một cuộc diễn tập cần được giải quyết và ghi lại.

Lưu ý 8: Sử dụng các chuyên gia bên ngoài

Thiết lập một danh sách các chuyên gia và chuyên gia tư vấn đáng tin cậy. Trong trường hợp hệ thống bị tấn công vượt qua ngưỡng xử lý của các chuyên gia nội bộ, việc sử dụng nguồn lực từ chuyên gia bên ngoài có thể tư vấn và khôi phục hệ thống một cách nhanh nhất, tránh để lại những hậu quả đáng tiếc xảy ra.

Lưu ý 9. Chú ý đến các sự kiện liên quan đến ransomware

Nắm bắt các thông tin mới nhất về ransomware bằng cách đăng ký nhận thông tin về các mối đe dọa và tin tức mới về an toàn thông tin. Tạo thói quen tìm hiểu cách thức và lý do các hệ thống bị xâm phạm, sau đó áp dụng các bài học đó vào môi trường mạng của TC/DN.

Lưu ý 10. Đào tạo nhân viên

Thay vì để nhân viên là liên kết yếu nhất trong hệ thống của các tổ chức, thì hãy biến đó thành tuyến phòng thủ đầu tiên của hệ thống. Do vậy, đào tạo nhân viên và nâng cao nhận thức cho người dùng là điều rất quan trọng trong công tác phòng chống ransomware. Một số kỹ năng cơ bản như: luôn thận trọng với email, đặc biệt những email lạ, đáng nghi ngờ; kiểm tra tên miền của người gửi email; kiểm tra các lỗi đánh máy, chính tả, xem xét chữ ký và tính hợp pháp của email…..