Các cuộc tấn công phá hoại, có động cơ tài chính, trong đó tội phạm mạng yêu cầu thanh toán để giải mã dữ liệu và khôi phục quyền truy cập đã được nghiên cứu và ghi lại trong nhiều năm.
Phát triển một thế trận an ninh mạng toàn diện, phòng thủ chống lại phần mềm tống tiền ransomware và các mối đe dọa khác đòi hỏi các tổ chức cần có nhiều lớp bảo vệ. Để có được những chương trình an ninh mạng thành công và toàn diện, bất kỳ tổ chức nào cũng cần giải quyết các mối đe dọa từ ransomware. Dưới đây là 5 giải pháp hữu hiệu:
Giải pháp 1 - Xác định
Phát triển hiểu biết về những rủi ro an ninh mạng nào mà bạn cần quản lý đối với phạm vi tài sản, hệ thống, dữ liệu, con người và khả năng của mình. Trong trường hợp ransomware, điều này bao gồm hệ thống hoặc quy trình nào có nhiều khả năng bị nhắm mục tiêu trong một cuộc tấn công và tác động kinh doanh sẽ như thế nào nếu các hệ thống cụ thể không hoạt động được. Điều này sẽ giúp ưu tiên và tập trung nỗ lực để quản lý rủi ro.
Hướng dẫn về Chuyển đổi Bảo mật của CISO nêu các bước cho một phương pháp tiếp cận được thông báo về rủi ro, thay vì tránh rủi ro, đối với bảo mật với đám mây. Phương pháp tiếp cận được thông báo về rủi ro có thể giúp bạn giải quyết những rủi ro bảo mật quan trọng nhất, thay vì giải quyết những rủi ro mà bạn đã biết cách giảm thiểu.
Các nhà cung cấp dịch vụ đám mây tiếp cận thông báo về rủi ro dễ dàng và hiệu quả hơn bằng cách phát triển, duy trì nhiều kiểm soát và công cụ mà bạn cần để giảm thiểu các mối đe dọa bảo mật hiện đại.
Các dịch vụ như Cloud Asset Inventory cung cấp một cơ chế để khám phá, giám sát và phân tích tất cả các tài sản của bạn ở một nơi cho các nhiệm vụ như hoạt động CNTT, phân tích bảo mật, kiểm toán và quản trị.
Giải pháp 2 - Bảo vệ
Tạo các biện pháp bảo vệ để đảm bảo cung cấp các dịch vụ quan trọng và quy trình kinh doanh nhằm hạn chế hoặc ngăn chặn tác động của sự cố hoặc cuộc tấn công an ninh mạng tiềm ẩn.
Trong trường hợp bị ransomware, các biện pháp bảo vệ này có thể bao gồm các framework như zero trust giúp bảo vệ và xác thực mạnh mẽ quyền truy cập của người dùng và tính toàn vẹn của thiết bị, môi trường phân đoạn, xác thực các tệp thực thi, giảm nguy cơ lừa đảo, lọc spam và phần mềm độc hại, tích hợp bảo vệ điểm cuối, vá lỗi một cách nhất quán và cung cấp các biện pháp bảo đảm kiểm soát liên tục.
Một số ví dụ về sản phẩm và chiến lược cần tham gia trong bước này bao gồm:
Nền tảng email gốc đám mây, vốn đã an toàn
Email là trung tâm của nhiều cuộc tấn công ransomware. Nó có thể bị lợi dụng để lừa đảo thông tin đăng nhập để truy cập mạng bất hợp pháp và/hoặc để phân phối trực tiếp các tệp nhị phân ransomware.
Bảo vệ chống lừa đảo trực tuyến và phần mềm độc hại nâng cao trong Gmail cung cấp các biện pháp kiểm soát để cách ly email, bảo vệ khỏi các loại tệp đính kèm bất thường và bảo vệ khỏi các email giả mạo gửi đến. Hộp cát bảo mật phát hiện sự hiện diện của phần mềm độc hại chưa biết trước đây trong tệp đính kèm. Do đó, Gmail ngăn chặn hơn 99,9% spam, lừa đảo và phần mềm độc hại đến hộp thư đến của người dùng.
Không giống như các hệ thống email tại chỗ cũ được khai thác thường xuyên, Gmail được cập nhật liên tục và tự động với các biện pháp bảo vệ và cải tiến bảo mật mới nhất để giúp giữ an toàn cho email của tổ chức bạn.
Bảo vệ mạnh mẽ chống lại việc chiếm đoạt tài khoản
Tài khoản bị xâm nhập cho phép các nhà khai thác ransomware có được chỗ đứng trong các tổ chức nạn nhân, thực hiện do thám, truy cập trái phép vào dữ liệu và cài đặt các tệp nhị phân độc hại.
Chương trình bảo vệ nâng cao của Google cung cấp biện pháp bảo vệ mạnh mẽ chống lại việc chiếm đoạt tài khoản và vẫn chưa thấy người dùng nào tham gia vào chương trình bị lừa đảo thành công. Hơn nữa, Google Cloud sử dụng nhiều lớp hệ thống học máy để phát hiện bất thường nhằm phân biệt giữa hoạt động an toàn và bất thường của người dùng trên các trình duyệt, thiết bị, thông tin đăng nhập ứng dụng và các sự kiện sử dụng khác.
Kiểm soát truy cập không tin cậy hạn chế quyền truy cập của kẻ tấn công
BeyondCorp Enterprise cung cấp giải pháp chìa khóa trao tay để triển khai quyền truy cập không tin cậy vào các ứng dụng và tài nguyên quan trọng của doanh nghiệp (DN). Trong mô hình truy cập không tin cậy, người dùng được ủy quyền sẽ được cấp quyền truy cập vào các ứng dụng riêng lẻ, không phải toàn bộ mạng công ty và các quyền liên tục được đánh giá để xác định xem quyền truy cập có còn hợp lệ hay không. Điều này ngăn chặn sự di chuyển ngang qua mạng mà những kẻ tấn công ransomware dựa vào để truy tìm dữ liệu nhạy cảm và lây lan mã độc.
Các biện pháp bảo vệ của BeyondCorp thậm chí có thể được áp dụng cho quyền truy cập RDP vào tài nguyên, một trong những cách phổ biến nhất mà những kẻ tấn công ransomware giành được và duy trì quyền truy cập vào các môi trường Windows Server cũ không an toàn.
Bảo vệ mối đe dọa DN trên trình duyệt Chrome
Tận dụng công nghệ duyệt web an toàn của Google, Chrome cảnh báo người dùng về hàng triệu lượt phần mềm độc hại được tải xuống mỗi tuần. Tính năng bảo vệ khỏi mối đe dọa trong BeyondCorp Enterprise được cung cấp thông qua Chrome có thể ngăn chặn sự lây nhiễm từ phần mềm độc hại chưa biết trước đây bao gồm ransomware, với tính năng kiểm tra URL theo thời gian thực và quét sâu các tệp.
Điểm cuối được thiết kế để bảo mật
Chromebook được thiết kế để bảo vệ chống lại các cuộc tấn công lừa đảo và ransomware với tỷ lệ sử dụng thiết bị thấp, chỉ đọc, liên tục cập nhật vô hình hệ điều hành, hộp cát, khởi động đã xác minh, duyệt web an toàn và chip bảo mật Titan-C.
Việc triển khai các thiết bị ChromeOS cho người dùng chủ yếu làm việc trên một trình duyệt có thể làm giảm bề mặt tấn công của tổ chức, chẳng hạn như phụ thuộc quá nhiều vào các thiết bị Windows cũ, thường dễ bị tấn công.
Giải pháp số 3 - Phát hiện
Xác định các cách liên tục để giám sát tổ chức của bạn và xác định các sự cố hoặc sự cố an ninh mạng tiềm ẩn. Trong trường hợp ransomware, điều này có thể bao gồm việc theo dõi các nỗ lực xâm nhập, triển khai các giải pháp ngăn chặn mất dữ liệu (DLP) để phát hiện sự xâm nhập của dữ liệu nhạy cảm từ tổ chức của bạn và quét các dấu hiệu ban đầu của việc thực thi và lan truyền ransomware.
Khả năng phát hiện và ngăn chặn hoạt động độc hại liên quan đến ransomware càng sớm càng tốt là chìa khóa để ngăn chặn sự gián đoạn kinh doanh. Chronicle là một giải pháp phát hiện mối đe dọa xác định các mối đe dọa, bao gồm cả ransomware, với tốc độ và quy mô rất ấn tượng.
Google Cloud Threat Intelligence for Chronicle hiển thị các mối đe dọa có thể hành động cao dựa trên thông tin chi tiết và nghiên cứu của Google về các mối đe dọa trên Internet. Threat Intel for Chronicle cho phép bạn tập trung vào các mối đe dọa thực sự trong môi trường và đẩy nhanh thời gian phản hồi.
Công nghệ DLP cũng hữu ích trong việc giúp phát hiện dữ liệu có thể hấp dẫn các nhà khai thác ransomware. Với khả năng khám phá dữ liệu như Cloud DLP, bạn có thể phát hiện dữ liệu nhạy cảm mà công chúng có thể truy cập khi không nên và phát hiện thông tin xác thực truy cập trong mã bị lộ.
Giải pháp số 4 - Ứng phó
Kích hoạt chương trình ứng phó sự cố trong tổ chức của bạn có thể giúp ngăn chặn tác động của sự kiện bảo mật (trong trường hợp này là ransomware). Trong một cuộc tấn công bằng ransomware hoặc sự cố bảo mật, điều quan trọng là phải bảo mật thông tin liên lạc của bạn cả trong nội bộ với các nhóm của bạn và bên ngoài với các đối tác và khách hàng. Nhiều tổ chức có triển khai Office cũ đã chuyển sang Google Workspace vì nó cung cấp một bộ cộng tác trực tuyến an toàn và tiêu chuẩn hóa hơn và trong trường hợp xảy ra sự cố bảo mật, một phiên bản mới có thể nhanh chóng được hỗ trợ để cung cấp một môi trường riêng biệt, an toàn cho các hành động phản hồi.
Giải pháp số 5 - Khôi phục
Xây dựng chương trình phục hồi không gian mạng và chiến lược dự phòng để chuẩn bị cho cách bạn có thể khôi phục các hệ thống hoặc tài sản cốt lõi bị ảnh hưởng bởi sự cố bảo mật (trong trường hợp này là ransomware). Đây là một chức năng quan trọng để hỗ trợ các mốc thời gian khôi phục và giảm bớt tác động của một sự kiện mạng để bạn có thể hoạt động kinh doanh trở lại bình thường.
Ngay sau một cuộc tấn công ransomware, một hình ảnh sao lưu tại thời điểm an toàn được biết là không bị nhiễm phải được xác định. Actifio GO cung cấp khả năng bảo vệ dữ liệu gia tăng có thể mở rộng và hiệu quả cũng như khả năng khôi phục gần như tức thì duy nhất cho dữ liệu. Khôi phục gần như tức thì này tạo điều kiện xác định nhanh chóng điểm khôi phục sạch, cho phép nhanh chóng khôi phục lại các chức năng kinh doanh. Actifio GO là bất khả tri về cơ sở hạ tầng và có thể bảo vệ các ứng dụng tại chỗ và trên đám mây.
Trong Google Workspace, nếu các tệp trên máy tính của bạn bị nhiễm phần mềm độc hại nhưng bạn đồng bộ hóa chúng với Google Drive, bạn có thể khôi phục các tệp đó. Ngoài ra, đảm bảo rằng bạn có một chương trình chuyển giao rủi ro mạnh mẽ, như Chương trình Bảo vệ rủi ro một yếu tố quan trọng của phương pháp tiếp cận toàn diện để quản lý rủi ro mạng.
Các cân nhắc chính về phòng ngừa và giảm thiểu ransomware cho các nhà lãnh đạo DN và CNTT. Khi bạn lập kế hoạch cho một thế trận phòng thủ toàn diện chống lại các mối đe dọa ransomware, dưới đây là một số câu hỏi cần xem xét:
- Tổ chức của bạn có kế hoạch ransomware không và nó đòi hỏi những gì? Hãy nhớ yêu cầu quan hệ đối tác chặt chẽ với các nhà cung cấp đám mây của bạn dựa trên sự hiểu biết chung về các mục tiêu rủi ro và bảo mật.
- Bạn đang bảo vệ dữ liệu, hệ thống và nhân viên của tổ chức mình chống lại phần mềm độc hại như thế nào?
- Hệ thống của tổ chức bạn có được cập nhật và được vá liên tục không?
- Bạn có đang theo dõi dữ liệu bị lọc hoặc các bất thường khác không?
- Phương pháp tiếp cận không tin cậy toàn diện của bạn là gì, đặc biệt là xác thực mạnh mẽ nhân viên khi họ truy cập thông tin?
- Bạn có thực hiện các bản sao lưu phù hợp đến các vị trí không thay đổi được đảm bảo cao và kiểm tra xem chúng có hoạt động bình thường không? Điều này nên bao gồm thử nghiệm khôi phục định kỳ các tài sản và dữ liệu chính.
- Bạn đang tiến hành những cuộc diễn tập nào để kiểm tra khả năng quản lý rủi ro và phản ứng của tổ chức bạn đối với các sự kiện hoặc sự cố mạng?
Các cuộc tấn công ransomware sẽ tiếp tục phát triển. Và gần đây, các nhóm ransomware đã phát triển các chiến thuật của chúng để đánh cắp dữ liệu trước khi nó được mã hóa, với mối đe dọa tống tiền dữ liệu này thông qua các vụ rò rỉ. Ngoài ra, một số nhà khai thác ransomware đã sử dụng mối đe dọa từ các cuộc tấn công từ chối dịch vụ phân tán (DDoS) chống lại các tổ chức nạn nhân như một nỗ lực để buộc họ phải trả tiền chuộc.
Các cuộc tấn công DDoS cũng có thể gây mất tập trung, chiếm giữ các nhóm bảo mật trong khi những kẻ tấn công tìm cách thực hiện các mục tiêu khác như lọc dữ liệu hoặc mã hóa dữ liệu quan trọng trong kinh doanh. Bằng cách triển khai Google Cloud Armor - có thể mở rộng quy mô để chống lại các cuộc tấn công DDoS lớn - bạn có thể giúp bảo vệ các dịch vụ được triển khai trong Google Cloud, các đám mây khác hoặc tại cơ sở chống lại các cuộc tấn công DDoS.
Bảo vệ chống lại phần mềm tống tiền là một vấn đề quan trọng đối với tất cả các tổ chức và những câu hỏi và phương pháp hay nhất này chỉ là bước khởi đầu của việc xây dựng một thế trận an ninh mạng tốt và có khả năng phục hồi. Điều quan trọng cần nhớ là bạn không thể tập trung vào một phần phòng thủ; bạn cần một chương trình an ninh mạng toàn diện cho phép bạn xác định, ngăn chặn, phát hiện, phản ứng và phục hồi khỏi các mối đe dọa.
Trên hết, bạn cần một loạt các giải pháp từ nền tảng đám mây đã được thử nghiệm và có khả năng phục hồi cao, hoạt động trên các yếu tố này theo cách tích hợp với DN của bạn. Để tìm hiểu thêm về cách Google Cloud có thể giúp bạn triển khai chương trình an ninh mạng toàn diện nhằm bảo vệ khỏi các mối đe dọa như ransomware và các mối đe dọa khác./.