Theo các chuyên gia ước tính, chi phí để giải quyết sự cố do mã độc tống tiền (ransomware) gây ra trung bình khoảng 713.000 USD, bao gồm: tiền chuộc cùng các tổn thất liên quan (như giá trị của dữ liệu, tổn thất phần cứng, chi phí cải thiện cơ sở hạ tầng, thời gian và kinh phí để khôi phục hình ảnh thương hiệu của cá nhân hay doanh nghiệp). Chi phí này có thể tăng theo cấp số nhân, kể cả khi các hệ thống quan trọng ngoại tuyến.
Trong một cuộc tấn công được ghi nhận vào năm 2019, tin tặc đã yêu cầu thanh toán 13 Bitcoin (tương đương 75.000 USD) cho mỗi máy tính bị ảnh hưởng, để người dùng lấy lại quyền truy cập. Yêu cầu này vượt xa các yêu cầu tiền chuộc thông thường (khoảng 13.000 USD).
Dưới đây là 10 bước quan trọng mà các tổ chức/doanh nghiệp (TC/DN) nên xem xét để xây dựng chiến lược phòng chống ransomware.
Lưu ý 1: Chỉ ra các điểm yếu có thể bị tấn công
Thông thường, người dùng cuối không thể biết được những gì cần phải bảo vệ đối với các thiết bị cá nhân. Vì vậy, quản trị viên cần xác định tất cả các vấn đề của hệ thống, thiết bị và dịch vụ trong môi trường mạng. Quá trình này không chỉ giúp xác định các mục tiêu dễ bị tấn công mà còn giúp chỉ ra các điểm yếu của hệ thống để phục hồi. Từ đó, nâng cao mức độ bảo mật ngay từ cấp độ người dùng.
Lưu ý 2: Vá lỗ hổng và nâng cấp các thiết bị dễ bị tấn công
Một trong những phương pháp cơ bản nhằm đảm bảo an toàn hệ thống là thiết lập, duy trì hoạt động cập nhật bản vá và nâng cấp định kỳ cho thiết bị. Trong trường hợp tổ chức, doanh nghiệp không thể thiết lập các chính sách vá định kỳ hoặc áp dụng cho các hệ thống ngoại tuyến, thì cần thay thế hoặc bảo vệ hệ thống bằng việc sử dụng chính sách cách ly hoặc chính sách không tin cậy (zero-trust).
Lưu ý 3: Cập nhật hệ thống an ninh, an toàn
Ngoài việc cập nhật các thiết bị kết nối mạng, TC/DN cũng cần đảm bảo rằng tất cả các giải pháp an ninh, an toàn đang sử dụng đều được cập nhật phiên bản mới nhất. Đặc biệt đối với giải pháp cổng thư điện tử an toàn (Secure Email Gateway - SEG), bởi hầu hết phương thức lây nhiễm của ransomware là qua email. Giải pháp SEG có thể xác định và xóa các tệp đính kèm, liên kết độc hại trước khi chúng được gửi đến người nhận. Tương tự vậy, giải pháp lọc web có sử dụng học máy phải có khả năng ngăn chặn các cuộc tấn công lừa đảo hiệu quả.
Ngoài ra, chiến lược an ninh, an toàn thông tin cần bao gồm danh sách trắng ứng dụng (là danh sách các ứng dụng phần mềm được phê duyệt hoặc các tệp thực thi được phép hoạt động trên các hệ thống máy tính), chỉ ra và giới hạn đặc quyền, thực hiện mô hình không tin cậy giữa các hệ thống quan trọng, thực thi chính sách mật khẩu mạnh và yêu cầu sử dụng xác thực đa yếu tố.
Lưu ý 4: Phân đoạn mạng
Tổ chức phân đoạn mạng trong hệ thống mạng đảm bảo tách biệt các hệ thống bị tấn công và phần mềm độc hại nằm trong một phân đoạn mạng cụ thể. Việc phân đoạn mạng này cũng bao gồm cách ly tài sản và cô lập thông tin định danh của nhân viên và khách hàng. Tương tự vậy, TC/DN cần thiết lập các dịch vụ quan trọng (như dịch vụ khẩn cấp hoặc tài nguyên vật lý) trên một phân mạng riêng biệt.
Lưu ý 5: Đảm bảo an toàn cho mạng mở rộng
Với xu hướng phát triển của TC/DN, quản trị viên cần đảm bảo các giải pháp an toàn được triển khai trên mạng lõi cũng được đồng bộ trong mạng mở rộng. Đồng thời, cần kiểm tra kết nối từ các tổ chức khác (khách hàng, đối tác, nhà cung cấp) một cách thường xuyên. Hãy chắc chắn rằng, các kết nối được áp dụng các biện pháp bảo mật phù hợp. Song song, các TC/DN cần gửi cảnh báo cho các đối tác về các vấn đề bất thường. Đặc biệt là các vấn đề liên quan đến nội dung độc hại được chia sẻ hoặc lan truyền qua các kết nối đó.
Lưu ý 6: Cách ly dữ liệu sao lưu và hệ thống khôi phục
Cần thực hiện sao lưu dữ liệu và hệ thống một cách thường xuyên, nghiêm túc. Việc lưu trữ các bản sao lưu phải thực hiện ngoại tuyến để không bị ảnh hưởng trong trường hợp hệ thống bị tấn công. Các tổ chức cũng nên rà quét các bản sao lưu đó, đề phòng chúng bị lây nhiễm mã độc. Cũng cần đảm bảo rằng mọi hệ thống, thiết bị và phần mềm cần thiết để khôi phục toàn bộ hệ thống đều được cách ly khỏi mạng để chúng luôn sẵn sàng sử dụng.
Lưu ý 7: Diễn tập khôi phục hệ thống
Diễn tập khôi phục hệ thống thường xuyên đảm bảo rằng dữ liệu sao lưu luôn sẵn sàng, tất cả các tài nguyên cần thiết có thể được khôi phục và toàn bộ hệ thống hoạt động như mong đợi. Việc diễn tập này cũng đảm bảo rằng với quy trình được đưa ra thì tất cả nhân viên trong hệ thống đều nắm rõ trách nhiệm của mình. Bất kỳ vấn đề nào được nêu ra trong một cuộc diễn tập cần được giải quyết và ghi lại.
Lưu ý 8: Sử dụng các chuyên gia bên ngoài
Thiết lập một danh sách các chuyên gia và chuyên gia tư vấn đáng tin cậy. Trong trường hợp hệ thống bị tấn công vượt qua ngưỡng xử lý của các chuyên gia nội bộ, việc sử dụng nguồn lực từ chuyên gia bên ngoài có thể tư vấn và khôi phục hệ thống một cách nhanh nhất, tránh để lại những hậu quả đáng tiếc xảy ra.
Lưu ý 9. Chú ý đến các sự kiện liên quan đến ransomware
Nắm bắt các thông tin mới nhất về ransomware bằng cách đăng ký nhận thông tin về các mối đe dọa và tin tức mới về an toàn thông tin. Tạo thói quen tìm hiểu cách thức và lý do các hệ thống bị xâm phạm, sau đó áp dụng các bài học đó vào môi trường mạng của TC/DN.
Lưu ý 10. Đào tạo nhân viên
Thay vì để nhân viên là liên kết yếu nhất trong hệ thống của các tổ chức, thì hãy biến đó thành tuyến phòng thủ đầu tiên của hệ thống. Do vậy, đào tạo nhân viên và nâng cao nhận thức cho người dùng là điều rất quan trọng trong công tác phòng chống ransomware. Một số kỹ năng cơ bản như: luôn thận trọng với email, đặc biệt những email lạ, đáng nghi ngờ; kiểm tra tên miền của người gửi email; kiểm tra các lỗi đánh máy, chính tả, xem xét chữ ký và tính hợp pháp của email…..
Lê Hải Hường, Nguyễn Như Chiến
10:00 | 16/01/2020
08:00 | 25/02/2020
08:00 | 01/06/2020
15:00 | 21/05/2020
17:00 | 23/07/2020
13:00 | 23/11/2020
10:00 | 28/12/2020
08:00 | 16/03/2020
10:00 | 17/05/2024
Mã độc không sử dụng tệp (fileless malware hay mã độc fileless) còn có tên gọi khác là “non-malware”, “memory-based malware”. Đây là mối đe dọa không xuất hiện ở một tệp cụ thể, mà thường nằm ở các đoạn mã được lưu trữ trên RAM, do vậy các phần mềm anti-virus hầu như không thể phát hiện được. Thay vào đó, kẻ tấn công sử dụng các kỹ thuật như tiêm lỗi vào bộ nhớ, lợi dụng các công cụ hệ thống tích hợp và sử dụng các ngôn ngữ kịch bản để thực hiện các hoạt động độc hại trực tiếp trong bộ nhớ của hệ thống. Bài báo tìm hiểu về hình thức tấn công bằng mã độc fileless và đề xuất một số giải pháp phòng chống mối đe dọa tinh vi này.
14:00 | 23/02/2024
SSH (Secure Socket Shell) là giao thức mạng để đăng nhập vào một máy tính từ xa trên một kênh truyền an toàn. Trong đó, OpenSSH là một chuẩn SSH được sử dụng ở hầu hết các bản phân phối của Linux/BSD như Ubuntu, Debian, Centos, FreeBSD, mã hóa tất cả các thông tin trên đường truyền để chống lại các mối đe dọa như nghe lén, dò mật khẩu và các hình thức tấn công mạng khác. Trong bài viết này sẽ hướng dẫn độc giả cách thức tăng cường bảo mật cho OpenSSH với một số thiết lập bảo mật và cấu hình tùy chọn cần thiết nhằm đảm bảo truy cập từ xa vào máy chủ Linux được an toàn.
10:00 | 15/09/2023
Thư rác hay email spam là một vấn nạn lớn hiện nay, chúng đã xuất hiện từ rất lâu cùng với sự phát triển của Internet và không chỉ gây phiền nhiễu, tốn thời gian mà còn có thể chứa một số nội dung nguy hiểm. Ước tính có tới 94% phần mềm độc hại được phân phối dưới dạng email spam, một số nguy cơ tiềm ẩn khác bao gồm phần mềm gián điệp, lừa đảo và mã độc tống tiền. Trong bài viết này sẽ thông tin đến bạn đọc cách nhận biết thư rác và ngăn chặn thư rác không mong muốn.
14:00 | 22/08/2023
Trong sự phát triển mạnh mẽ của các trang mạng nói riêng và công nghệ thông tin nói chung, vấn đề an ninh, an toàn thông tin cũng trở thành một trong những thách thức lớn. Một trong những mối nguy cơ gây tác động đến nhiều hệ thống mạng vẫn chưa xử lý được triệt để trong nhiều năm qua chính là các hoạt động tấn công từ chối dịch vụ (DoS), một thủ đoạn phổ biến của tin tặc nhằm cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, Internet và thiết bị số. Bài báo phân tích thực trạng và các thủ đoạn tấn công DoS, đồng thời nêu lên thách thức trong đảm bảo an ninh, an toàn thông tin trên cổng thông tin điện tử dịch vụ công của các cơ quan nhà nước và các doanh nghiệp trong thời gian qua. Từ đó, đưa ra các giải pháp nhằm nâng cao hiệu quả bảo đảm an ninh, an toàn thông tin cho cổng thông tin điện tử trên mạng Internet trong thời gian tới.
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
11:00 | 13/05/2024
Mã độc không sử dụng tệp (fileless malware hay mã độc fileless) còn có tên gọi khác là “non-malware”, “memory-based malware”. Đây là mối đe dọa không xuất hiện ở một tệp cụ thể, mà thường nằm ở các đoạn mã được lưu trữ trên RAM, do vậy các phần mềm anti-virus hầu như không thể phát hiện được. Thay vào đó, kẻ tấn công sử dụng các kỹ thuật như tiêm lỗi vào bộ nhớ, lợi dụng các công cụ hệ thống tích hợp và sử dụng các ngôn ngữ kịch bản để thực hiện các hoạt động độc hại trực tiếp trong bộ nhớ của hệ thống. Bài báo tìm hiểu về hình thức tấn công bằng mã độc fileless và đề xuất một số giải pháp phòng chống mối đe dọa tinh vi này.
10:00 | 17/05/2024