Các nhóm chuyên trách bảo mật cần xác định trước việc phương thức tấn công này sẽ trở nên phổ biến hơn vào năm 2023. Chỉ trong nửa đầu năm 2022, số lượng các biến thể mã độc tống tiền mới do Fortinet xác định được đã tăng gần 100% so với khoảng thời gian 6 tháng trước đó.
Mặc dù có sự gia tăng về số lượng biến thể của mã độc tống tiền nhưng những kỹ thuật mà tin tặc sử dụng để phát tán ransomware phần lớn vẫn giống nhau. Dưới đây là phân tích của chuyên gia bảo mật Aamir Lakhani và đội ngũ FortiGuard Labs về các chiến lược giảm thiểu thiệt hại từ mã độc tống tiền và cách thức triển khai những chiến lược này trong các tổ chức, doanh nghiệp (DN).
Mã độc tống tiền là gì?
Mã độc tống tiền là phần mềm độc hại (malware) mã hóa hoặc giữ truy cập dữ liệu làm con tin để đổi lấy tiền chuộc. Mã độc đe dọa công bố, chặn hoặc làm hỏng dữ liệu hoặc ngăn người dùng sử dụng hay truy cập vào máy tính trừ khi họ đáp ứng yêu cầu của kẻ tấn công. Ngày nay, mã độc tống tiền thường được gửi qua các email lừa đảo (phishing).
Máy tính người dùng sẽ bị nhiễm virus sau khi mở các tệp/file đính kèm chứa sẵn mã độc. Mã độc cũng có thể lây lan qua việc tải xuống theo ổ đĩa, điều này xảy ra khi người dùng truy cập vào trang web bị nhiễm. Mã độc trên trang web đó được tải xuống và cài đặt vào máy mà người dùng không nhận ra.
Tấn công phi kỹ thuật thường đóng vai trò thiết yếu trong một cuộc tấn công mã độc. Đó là khi kẻ tấn công cố gắng thao túng người khác tiết lộ thông tin bí mật. Một hình thức phổ biến của tấn công phi kỹ thuật là gửi email hoặc tin nhắn văn bản nhằm đe dọa mục tiêu phải chia sẻ thông tin nhạy cảm, mở tệp chứa mã độc hoặc bấm vào liên kết dẫn tới trang web độc hại.
Giảm thiểu thiệt hại của mã độc tống tiền
Các cuộc tấn công gây ra việc vi phạm dữ liệu là không thể tránh khỏi và không tổ chức nào muốn bị đặt vào tình huống buộc phải quyết định giữa trả tiền chuộc hay mất dữ liệu quan trọng. May mắn thay, đó không phải là hai lựa chọn duy nhất. Lựa chọn tốt nhất hiện nay là thực hiện các bước thích hợp để bảo vệ mạng Internet, điều này sẽ giúp giảm nguy cơ DN bị mã độc tống tiền tấn công.
Cách tiếp cận này yêu cầu một mô hình bảo mật theo lớp kết hợp các biện pháp kiểm soát mạng, endpoint, biên, ứng dụng và trung tâm dữ liệu, cũng như cập nhật thông tin về các mối đe dọa.
Ngoài việc triển khai các công cụ và quy trình bảo mật phù hợp, cũng cần tính đến vai trò của giáo dục an ninh mạng trong chiến lược giảm thiểu thiệt hại từ mã độc tống tiền. Các tổ chức, DN cần hướng dẫn nhân viên cách phát hiện các dấu hiệu của một cuộc tấn công bằng mã độc tống tiền, đào tạo cho nhân viên biết các biện pháp đảm bảo cho an ninh mạng, đây là biện pháp phòng thủ khôn ngoan trước những kẻ tấn công xảo quyệt.
Aamir Lakhani cho rằng các DN, tổ chức cần thường xuyên hướng dẫn nhân viên cách phát hiện các dấu hiệu của phần mềm tống tiền như email được thiết kế giống như email đến từ các DN tin cậy hay cách nhận diện liên kết bên ngoài và tệp đính kèm đáng ngờ.
Hiểu rõ các rủi ro để thấy sự cần thiết của việc giảm thiểu thiệt hại của mã độc tống tiền
Khi quan sát bất kỳ tổ chức nào cũng có thể tìm thấy các "lỗ hổng" bảo mật làm tăng khả năng DN trở thành nạn nhân của một cuộc tấn công mã độc tống tiền.
Dưới đây là một số thách thức phổ biến mà Aamir Lakhani và các nhóm chuyên trách bảo mật, các tổ chức đang phải đối mặt để tránh cho các tổ chức dễ bị tấn công trước những sự cố mạng.
Nhân viên thiếu kiến thức về việc sử dụng mạng an toàn: Hành vi của con người tiếp tục là một yếu tố quan trọng trong hầu hết các sự cố bảo mật. Ngoài việc không thể nhận biết các dấu hiệu của mã độc tống tiền, việc nhân viên thiếu kiến thức chung về an ninh mạng có thể khiến tổ chức gặp rủi ro.
Theo Báo cáo điều tra vi phạm dữ liệu (DBIR) năm 2022 của Verizon, 82% các vụ vi phạm xảy ra trong năm qua có liên quan đến yếu tố con người.
Chính sách mật khẩu yếu: Không đủ hoặc không có chính sách liên quan đến thông tin xác minh danh tính của nhân viên làm tăng khả năng tổ chức phải đối mặt với các vụ vi phạm bảo mật. Thông tin xác thực bị xâm phạm có liên quan đến gần 50% các cuộc tấn công.
Các quy trình và việc giám sát bảo mật không đầy đủ: Không một công cụ đơn lẻ nào có thể cung cấp mọi thứ cần thiết cho nhóm chuyên trách bảo mật để giám sát và bảo vệ tổ chức khỏi các sự cố mạng tiềm ẩn như mã độc tống tiền. Phương pháp tiếp cận bảo mật theo lớp có thể giúp quản lý rủi ro một cách khá toàn diện cho doanh nghiệp.
Thiếu hụt nhân sự chuyên trách bảo mật và CNTT: Rõ ràng là cần phải có những cá nhân trong nhóm có các kỹ năng phù hợp trong việc hỗ trợ các nỗ lực giám sát và giảm thiểu rủi ro nhằm chống lại tội phạm mạng một cách hiệu quả.
Tuy nhiên, dữ liệu cho thấy khoảng cách về kỹ năng an ninh mạng đặt ra thách thức lớn cho các lãnh đạo và giám đốc an toàn thông tin (ATTT) là làm thế nào để thu hút và giữ chân nhân tài mới đồng thời đảm bảo các thành viên hiện tại có được các cơ hội đào tạo và nâng cao kỹ năng cần thiết.
Các cuộc tấn công mã độc tống tiền gần đây cho thấy điều gì?
Ransomware ngày càng trở nên tinh vi hơn, đòi tiền chuộc nhiều hơn, ảnh hưởng đến các công ty trong mọi ngành nghề ở mọi khu vực địa lý. Các cuộc tấn công mã độc tống tiền nổi tiếng gần đây có thể kể đến như Colonial Pipeline, JBS và vô số các sự cố mã độc tống tiền khác xảy ra mà không được đưa lên truyền thông.
Tuy nhiên, nhiều cuộc tấn công hoàn có thể được ngăn chặn bằng cách áp dụng các giải pháp an ninh mạng mạnh, bao gồm việc liên tục đào tạo nâng cao nhận thức an ninh mạng cho nhân viên, đồng thời tập trung vào triển khai cách thức ZTNA (Zero Trust Networking Access) và bảo mật endpoint.
5 phương pháp bảo vệ tốt nhất khỏi mã độc tống tiền
Việc phát hiện mã độc tống tiền hiệu quả đòi hỏi sự kết hợp giữa đào tạo và công nghệ. Chuyên gia bảo mật Aamir Lakhani thay mặt đội ngũ nghiên cứu của Fortinet đưa ra khuyến nghị những phương thức giúp phát hiện và ngăn chặn sự phát triển của các cuộc tấn công mã độc tống tiền hữu hiệu nhất hiện nay gồm:
1- Hướng dẫn cho nhân viên về các dấu hiệu nổi bật của mã độc tống tiền: Việc đào tạo nâng cao nhận thức về bảo mật cho lực lượng lao động ngày nay là điều bắt buộc và sẽ giúp các tổ chức phòng thủ chống lại một loạt các mối đe dọa ngày càng phát triển.
Hướng dẫn nhân viên cách phát hiện các dấu hiệu của mã độc tống tiền như email được thiết kế giống như email đến từ các DN đáng tin cậy hay cách nhận diện liên kết bên ngoài và tệp đính kèm đáng ngờ.
3- Dùng mánh khóe dụ dỗ và ngăn chặn những kẻ tấn công: Honeypot là một mồi nhử bao gồm các kho lưu trữ giả mạo các tệp được thiết kế trông giống như các mục tiêu hấp dẫn đối với những kẻ tấn công. Honeypot có thể phát hiện và ngăn chặn cuộc tấn công khi tin tặc đòi tiền chuộc tấn công Honeypot.
Công nghệ lừa đảo qua mạng này không chỉ sử dụng những kỹ thuật và chiến thuật riêng của chính mã độc tống tiền để chống lại chính nó nhằm kích hoạt khả năng phát hiện mà còn khám phá ra các chiến thuật, công cụ và quy trình (TTP) kẻ tấn công sử dụng trong mạng giúp nhóm chuyên trách bảo mật có thể xác định và khắc phục những lỗ hổng bảo mật đó.
3- Giám sát mạng và các thiết bị đầu cuối: Bằng cách tiến hành giám sát mạng liên tục, có thể ghi lại lưu lượng truy cập đến và đi, quét file để tìm bằng chứng tấn công (ví dụ như việc sửa đổi không thành công), thiết lập đường cơ sở cho hoạt động được chấp nhận của người dùng, và sau đó điều tra mọi dấu hiệu bất thường. Việc triển khai các công cụ chống virus và chống mã độc tống tiền cũng rất hữu ích vì có thể sử dụng các công nghệ này để đưa vào danh sách trắng các trang web được chấp nhận.
Cuối cùng, việc bổ sung các tính năng phát hiện dựa trên hành vi vào hộp công cụ bảo mật là điều cần thiết, đặc biệt khi bề mặt tấn công của tổ chức ngày càng mở rộng và những kẻ tấn công liên tục nâng cao khả năng bằng các cuộc tấn công mới, phức tạp hơn.
4- Nhìn ra bên ngoài tổ chức: Hãy xem xét việc nhìn ra bên ngoài mạng lưới để tìm hiểu những nguy cơ rủi ro đối với một tổ chức. Dịch vụ DRP, một phần mở rộng của kiến trúc bảo mật, có thể giúp tổ chức nhìn thấy và giảm thiểu ba lĩnh vực rủi ro bổ sung: rủi ro tài sản kỹ thuật số, rủi ro liên quan đến thương hiệu, các mối đe dọa ngầm và các mối đe dọa tiềm ẩn sắp xảy ra.
5- Tăng cường SOC-as-a-service (dịch vụ đảm bảo ATTT trên nền tảng website giúp người dùng dễ dàng theo dõi tình hình an ninh mạng bên trong hệ thống theo thời gian thực) cho tổ chức nếu cần:
Thực tế hiện tại qua toàn cảnh mối đe dọa, xét cả về tốc độ và mức độ tinh vi, chúng ta hiểu rằng cần nỗ lực hơn để luôn đi trước những kẻ tấn công. Cụ thể, là phải làm việc thông minh hơn như thuê ngoài các nhiệm vụ, công việc để ứng phó với sự cố và săn lùng mối đe dọa. Đây là lý do tại sao việc dựa vào nhà cung cấp dịch vụ Phát hiện và phản hồi được quản lý (MDR) hoặc cung cấp dịch vụ SOC rất hữu ích.
Bên cạnh đó, cần tăng cường năng lực cho tổ chức theo cách này có thể giúp đơn giản hóa quy trình công việc, giải phóng các nhà phân tích để họ có thể tập trung vào các nhiệm vụ nghiên cứu quan trọng nhất.
Mặc dù quy mô và tốc độ của mã độc tống tiền không chậm lại nhưng vẫn có sẵn nhiều công nghệ và quy trình giúp các tổ chức, các nhóm chuyên trách bảo mật giảm thiểu rủi ro liên quan đến loại hình tấn công này. Từ các chương trình giáo dục, đào tạo về không gian mạng đang sẵn có cho đến những nỗ lực tăng cường ZTNA, Fortinet có thể cung cấp cho các tổ chức những công cụ và giải pháp ngăn chặn những kẻ tấn công xảo quyệt nhất./.
