Cách ngăn chặn ransomware với 10 mẹo chuyên nghiệp

Tác giả Security+, T.Tư 05, 2024, 05:05:24 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Ransomware là một loại tấn công bằng phần mềm độc hại nhằm chặn quyền truy cập vào các tệp quan trọng hoặc thiết bị của bạn cho đến khi trả tiền chuộc.

Một cuộc tấn công ransomware thường được thực hiện thông qua kỹ thuật xã hội, chẳng hạn như một cuộc tấn công lừa đảo, nhằm thuyết phục nạn nhân nhấp vào tệp đính kèm độc hại trong email. Sau đó, tệp đính kèm độc hại sẽ tải phần mềm ransomware xuống thiết bị và mã hóa các tệp của nạn nhân.


Chúng tôi đã viết về một số biện pháp và biện pháp kiểm soát bảo mật rất hiệu quả mà bạn có thể áp dụng để giảm đáng kể nguy cơ nhiễm ransomware.
10 mẹo chuyên nghiệp để ngăn chặn ransomware là gì?

Những mẹo sau đây được hỗ trợ bởi những gì đã phát hiện ra để ngăn chặn và chống lại phần mềm tống tiền thành công.

1. Thực hành vệ sinh CNTT tốt

Việc giảm thiểu bề mặt tấn công là rất quan trọng đối với mọi tổ chức — điều quan trọng là bạn phải có được khả năng hiển thị về mọi điểm cuối và khối lượng công việc đang chạy trong môi trường của mình, sau đó luôn cập nhật và bảo vệ mọi bề mặt tấn công dễ bị tấn công.

Lợi ích chính của việc vệ sinh CNTT là mang lại cho bạn sự minh bạch hoàn toàn về mạng. Phối cảnh này mang lại cái nhìn toàn cảnh cũng như khả năng đào sâu và chủ động làm sạch môi trường của bạn.

Khi bạn đạt được mức độ minh bạch này, sự hiểu biết về "ai, cái gì và ở đâu" mà việc vệ sinh CNTT mang lại sẽ mang lại lợi ích to lớn cho tổ chức của bạn.

2. Cải thiện khả năng phục hồi của các ứng dụng truy cập Internet

Chúng tôi đã quan sát thấy các tác nhân đe dọa tội phạm điện tử khai thác xác thực một yếu tố và các ứng dụng truy cập internet chưa được vá. BOSS SPIDER, một trong những kẻ tấn công ransomware săn trò chơi lớn (BGH) đầu tiên, thường xuyên nhắm mục tiêu vào các hệ thống bằng Giao thức máy tính từ xa (RDP) có thể truy cập từ internet.

Những kẻ đe dọa ít tinh vi hơn vận hành các biến thể ransomware như Dharma, Phobos và GlobeImposter thường xuyên giành được quyền truy cập thông qua các cuộc tấn công vũ phu RDP.

3. Triển khai và tăng cường bảo mật email

Giành được chỗ đứng ban đầu trong tổ chức nạn nhân thông qua email lừa đảo là chiến thuật phổ biến nhất của các nhóm ransomware BGH. Thông thường, những email đáng ngờ này chứa liên kết hoặc URL độc hại mang tải trọng ransomware đến máy trạm của người nhận.

Chúng tôi khuyên bạn nên triển khai giải pháp bảo mật email tiến hành lọc URL và cả hộp cát đính kèm. Để hợp lý hóa những nỗ lực này, khả năng phản hồi tự động có thể được sử dụng để cho phép cách ly các email đã gửi trước khi người dùng tương tác với chúng.

Ngoài ra, các tổ chức có thể muốn hạn chế người dùng nhận các tệp zip, tệp thực thi, tệp javascript hoặc tệp gói trình cài đặt Windows được bảo vệ bằng mật khẩu trừ khi có nhu cầu kinh doanh chính đáng. Việc thêm thẻ "[External]" vào các email có nguồn gốc từ bên ngoài tổ chức và một thông báo cảnh báo ở đầu nội dung email có thể giúp nhắc nhở người dùng thận trọng khi xử lý những email như vậy.

4. Điểm cuối cứng hơn

Trong suốt vòng đời tấn công mà đỉnh điểm là triển khai ransomware, các tác nhân đe dọa thường sẽ tận dụng một số kỹ thuật khai thác điểm cuối. Các kỹ thuật khai thác này khác nhau, từ khai thác cấu hình AD kém đến tận dụng các khai thác có sẵn công khai đối với các hệ thống hoặc ứng dụng chưa được vá.

Danh sách dưới đây bao gồm một số hành động tăng cường hệ thống quan trọng để người bảo vệ thực hiện. Điều quan trọng cần lưu ý là đây không phải là danh sách đầy đủ và việc tăng cường hệ thống phải là một quá trình lặp đi lặp lại.

  • Đảm bảo phạm vi phủ sóng đầy đủ trên tất cả các điểm cuối trên mạng của bạn cho các sản phẩm bảo mật điểm cuối và cho nền tảng phát hiện và bảo vệ điểm cuối (EDR). Mỗi nền tảng bảo mật điểm cuối phải có các biện pháp bảo vệ chống giả mạo nghiêm ngặt và cảnh báo ngay lập tức nếu và khi cảm biến ngoại tuyến hoặc bị gỡ cài đặt.
  • Phát triển một chương trình quản lý lỗ hổng và bản vá. Làm như vậy sẽ đảm bảo rằng tất cả các ứng dụng điểm cuối và hệ điều hành đều được cập nhật. Những kẻ tấn công ransomware lợi dụng các lỗ hổng điểm cuối cho nhiều mục đích, bao gồm nhưng không giới hạn ở việc leo thang đặc quyền và di chuyển ngang. Các khách hàng hiện tại của Falcon có thể tận dụng tính năng quản lý lỗ hổng theo cách gần như theo thời gian thực để hiểu mức độ tiếp xúc với một lỗ hổng cụ thể trên toàn môi trường mà không cần phải triển khai thêm tác nhân và công cụ bảo mật.
  • Thực hiện theo các phương pháp hay nhất về bảo mật Active Directory dựa trên một số lỗi AD phổ biến nhất mà chúng tôi quan sát thấy trong các hoạt động tương tác với ransomware.

5. Dữ liệu chống ransomware với bản sao lưu ngoại tuyến

Trong những năm gần đây, và kể từ khi ransomware nổi lên như một phương thức tấn công kiếm tiền hàng đầu, các nhà phát triển mã độc đã trở nên rất hiệu quả trong việc đảm bảo nạn nhân và các nhà nghiên cứu bảo mật không thể giải mã dữ liệu bị ảnh hưởng nếu không trả tiền chuộc cho khóa giải mã.

Hơn nữa, khi phát triển cơ sở hạ tầng sao lưu chống ransomware, ý tưởng quan trọng nhất cần xem xét là các tác nhân đe dọa đã nhắm mục tiêu sao lưu trực tuyến trước khi triển khai ransomware ra môi trường.

Vì những lý do này, cách chắc chắn duy nhất để cứu dữ liệu trong cuộc tấn công bằng ransomware là thông qua các bản sao lưu chống ransomware. Ví dụ: việc duy trì sao lưu ngoại tuyến dữ liệu của bạn cho phép khôi phục nhanh hơn trong trường hợp khẩn cấp. Những điểm sau đây cần được xem xét khi phát triển cơ sở hạ tầng sao lưu ngoại tuyến chống ransomware:

  • Các bản sao lưu ngoại tuyến cũng như các chỉ mục (mô tả khối lượng nào chứa dữ liệu nào) phải tách biệt hoàn toàn với phần còn lại của cơ sở hạ tầng.
  • Việc truy cập vào các mạng như vậy phải được kiểm soát thông qua danh sách kiểm soát truy cập nghiêm ngặt (ACL) và tất cả các xác thực phải được thực hiện bằng xác thực đa yếu tố (MFA).
  • Quản trị viên có quyền truy cập vào cả cơ sở hạ tầng ngoại tuyến và trực tuyến nên tránh sử dụng lại mật khẩu tài khoản và sử dụng hộp nhảy khi truy cập cơ sở hạ tầng sao lưu ngoại tuyến.
  • Các dịch vụ lưu trữ đám mây, với các quy tắc và ACL nghiêm ngặt, cũng có thể đóng vai trò là cơ sở hạ tầng sao lưu ngoại tuyến.
  • Các tình huống khẩn cấp như tấn công ransomware phải là lần duy nhất cơ sở hạ tầng ngoại tuyến được phép kết nối với mạng trực tiếp.

6. Hạn chế quyền truy cập vào cơ sở hạ tầng quản lý ảo hóa

Như đã đề cập trước đó, những kẻ đe dọa tham gia vào các chiến dịch ransomware săn trò chơi lớn đang liên tục đổi mới để tăng hiệu quả của các cuộc tấn công của chúng.

Sự phát triển gần đây nhất bao gồm khả năng tấn công trực tiếp vào cơ sở hạ tầng ảo hóa. Cách tiếp cận này cho phép nhắm mục tiêu vào các trình ảo hóa triển khai và lưu trữ máy ảo (VMDK).

Do đó, các sản phẩm bảo mật điểm cuối được cài đặt trên máy ảo hóa không thể phát hiện được các hành động độc hại được thực hiện trên bộ ảo hóa.

7. Triển khai Kiến trúc Zero Trust mạnh mẽ

Các tổ chức có thể cải thiện tình trạng bảo mật của mình bằng cách triển khai kiến trúc không tin cậy mạnh mẽ. Bằng cách kích hoạt mô hình bảo mật không tin cậy, người dùng trong và ngoài tổ chức phải được xác thực và ủy quyền trước khi được cấp quyền truy cập vào mạng và dữ liệu của tổ chức.

Là một phần của kiến trúc, bạn có thể triển khai  chương trình quản lý truy cập danh tính (IAM). Điều này cho phép nhóm CNTT kiểm soát quyền truy cập vào tất cả các hệ thống và ứng dụng dựa trên danh tính của từng người dùng.

Có nhiều  công cụ bảo vệ danh tính khác nhau giúp hiểu rõ quy trình vệ sinh cửa hàng danh tính tại chỗ và đám mây (ví dụ: Active Directory, Entra ID). Xác định các lỗ hổng và phân tích hành vi cũng như sai lệch cho mọi tài khoản lực lượng lao động (người dùng con người, tài khoản đặc quyền, tài khoản dịch vụ), phát hiện chuyển động ngang và triển khai quyền truy cập có điều kiện dựa trên rủi ro để phát hiện và ngăn chặn các mối đe dọa từ ransomware.

8. Xây dựng và kiểm tra áp lực Kế hoạch ứng phó sự cố

Các tổ chức đôi khi nhận thức được hoạt động của tác nhân đe dọa trong môi trường của họ, nhưng họ thiếu tầm nhìn để giải quyết vấn đề hoặc thông tin tình báo phù hợp để hiểu bản chất của mối đe dọa. Nhận biết mối đe dọa và ứng phó nhanh chóng, hiệu quả có thể là sự khác biệt giữa một sự cố lớn và một sự cố suýt xảy ra.

Các kế hoạch ứng phó sự cố và sách hướng dẫn giúp tạo điều kiện thuận lợi cho việc đưa ra quyết định nhanh chóng. Các kế hoạch phải bao gồm tất cả các phần của nỗ lực ứng phó trong toàn tổ chức.

Đối với nhóm bảo mật, họ nên hỗ trợ việc ra quyết định để những người ứng phó tuyến đầu không bỏ qua các chi tiết quan trọng trong khi phân loại cảnh báo. Họ cũng nên phác thảo phạm vi thẩm quyền của nhóm bảo mật để thực hiện các hành động mang tính quyết định — chẳng hạn như đóng cửa các dịch vụ thiết yếu cho doanh nghiệp — nếu một cuộc tấn công bằng ransomware sắp xảy ra.

9. Triển khai Chương trình đào tạo toàn diện về an ninh mạng

Một trong những ý tưởng chính đằng sau việc cài đặt chương trình đào tạo an ninh mạng toàn diện trong tổ chức của bạn là bảo vệ khỏi các mối đe dọa trên mạng như phần mềm tống tiền. Nhân viên sẽ có cách tiếp cận chủ động khi thực hiện các công việc thông thường như kiểm tra email để phát hiện hành vi lừa đảo hoặc sử dụng VPN khi đăng nhập vào mạng của tổ chức từ wifi công cộng.

Chương trình đào tạo cũng nên bao gồm danh sách các chính sách liên quan đến an ninh mạng và tầm quan trọng của việc mọi bên liên quan tuân theo chúng.

10. Biết khi nào cần yêu cầu giúp đỡ

Trong trường hợp bạn cho rằng tổ chức của mình có thể bị ảnh hưởng bởi phần mềm tống tiền, việc kêu gọi các chuyên gia giúp điều tra, hiểu rõ và cải thiện tình hình có thể tạo ra sự khác biệt giữa một sự cố nhỏ và một vi phạm lớn.

Trong một số trường hợp, các tổ chức nhận thức được hoạt động của tác nhân đe dọa trong môi trường của họ nhưng có thể thiếu tầm nhìn để giải quyết vấn đề hoặc thông tin tình báo phù hợp để hiểu bản chất của mối đe dọa.

Nhận thông tin về các mối đe dọa mới nhất và tìm kiếm trợ giúp bằng cách kích hoạt nhóm ứng phó sự cố hoặc người lưu giữ, chẳng hạn như những người do dịch vụ cung cấp, có thể cho phép phát hiện và khắc phục trước khi tác nhân đe dọa có thể triển khai phần mềm tống tiền hoặc lấy cắp dữ liệu khỏi môi trường.

Tốt hơn hết là bạn nên tìm kiếm sự trợ giúp của chuyên gia trước khi bạn thực sự cần đến nó. Đánh giá kỹ thuật có thể giúp bạn chủ động xác định và hiểu rõ các yếu tố về mạng của tổ chức bạn có thể khiến ít nhiều xảy ra sự cố phần mềm tống tiền trong tương lai.

Nó có thể có nhiều hình thức khác nhau, tùy thuộc vào nhu cầu hiện tại và mức độ bảo mật của bạn. Ví dụ: nếu bạn gặp phải một cuộc xâm nhập bị giới hạn trong một phân đoạn mạng cụ thể hoặc đơn vị kinh doanh cụ thể, thì đánh giá thỏa hiệp trên toàn doanh nghiệp có thể mang lại niềm tin rằng kẻ tấn công đã không di chuyển vào các phần của môi trường nằm ngoài phạm vi điều tra ban đầu.

Ngoài ra, đánh giá vệ sinh CNTT có thể xác định mật khẩu yếu, cấu hình Active Directory hoặc các bản vá bị bỏ sót có thể tạo cơ hội cho kẻ tấn công tiếp theo.