Bạn có nên trả tiền cho những kẻ tấn công Ransomware? Microsoft nói không

Ransomware ảnh hưởng đến người dùng PC lớn và nhỏ, với một số thành phố gần đây bị ảnh hưởng nặng nề và tê liệt trong nhiều tuần bởi phần mềm mã hóa dữ liệu của họ và yêu cầu thanh toán để làm cho cơ sở hạ tầng máy tính hoạt động trở lại. Phần mềm ransomware cũng thường nhắm mục tiêu đến các hệ thống sao lưu, khiến nó không thể khôi phục về một bản sao lưu tốt đã biết.

Khi đối mặt với nhu cầu tiền chuộc và với cơ sở hạ tầng quan trọng và chức năng hành chính của hàng trăm nghìn người không đủ năng lực, nhiều thành phố đã bị cám dỗ để trả tiền chuộc, và một số trên thực tế đã phải nhượng bộ.

Tuy nhiên, Microsoft rất rõ ràng trong lời khuyên của họ là đừng bao giờ nhượng bộ những kẻ khủng bố:

Chúng tôi không bao giờ khuyến khích nạn nhân của ransomware trả bất kỳ hình thức đòi tiền chuộc nào. Trả tiền chuộc thường tốn kém, nguy hiểm và chỉ tiếp thêm năng lực cho những kẻ tấn công tiếp tục hoạt động của chúng; điểm mấu chốt, điều này tương đương với một câu châm ngôn vỗ lưng cho những kẻ tấn công. Điều quan trọng nhất cần lưu ý là việc trả tiền cho tội phạm mạng để lấy khóa giải mã ransomware không đảm bảo rằng dữ liệu đã mã hóa của bạn sẽ được khôi phục.

Thật không may, Microsoft không mở rộng về những việc cần làm thay vào đó đề xuất rằng phòng bệnh hơn chữa bệnh, nói rằng:

… Mọi tổ chức nên coi một sự cố an ninh mạng là vấn đề khi nào nó sẽ xảy ra và liệu nó có xảy ra hay không. Có tư duy này giúp tổ chức phản ứng nhanh chóng và hiệu quả với những sự cố như vậy khi chúng xảy ra.

Microsoft đưa ra chiến lược sau:

1. Sử dụng giải pháp lọc email hiệu quả

Theo Báo cáo Tình báo Bảo mật của Microsoft Tập 24 năm 2018, thư rác và email lừa đảo vẫn là phương thức phổ biến nhất để lây nhiễm ransomware. Để ngăn chặn hiệu quả phần mềm tống tiền tại điểm xâm nhập của nó, mọi tổ chức cần áp dụng dịch vụ bảo mật email đảm bảo tất cả nội dung email và tiêu đề khi vào và rời tổ chức được quét để tìm spam, vi rút và các mối đe dọa phần mềm độc hại nâng cao khác. Bằng cách áp dụng giải pháp bảo vệ email cấp doanh nghiệp, hầu hết các mối đe dọa an ninh mạng chống lại một tổ chức sẽ bị chặn khi xâm nhập và đi ra.

2. Thường xuyên vá các hệ thống phần cứng và phần mềm và quản lý lỗ hổng bảo mật hiệu quả

Nhiều tổ chức vẫn đang không áp dụng một trong những khuyến nghị an ninh mạng lâu đời và các biện pháp phòng thủ quan trọng chống lại các cuộc tấn công an ninh mạng—áp dụng các bản cập nhật và bản vá bảo mật ngay sau khi nhà cung cấp phần mềm phát hành chúng. Một ví dụ nổi bật của sự thất bại này là sự kiện ransomware WannaCry vào năm 2017, một trong những cuộc tấn công an ninh mạng toàn cầu lớn nhất trong lịch sử Internet, sử dụng lỗ hổng bị rò rỉ trong giao thức Mạng máy chủ thông báo (SMB) của Windows, mà Microsoft đã phát hành một vá gần hai tháng trước khi sự cố công khai đầu tiên. Bản vá thường xuyên và một chương trình quản lý lỗ hổng hiệu quả là những biện pháp quan trọng để bảo vệ chống lại phần mềm tống tiền và các dạng phần mềm độc hại khác và là các bước đi đúng hướng để đảm bảo mọi tổ chức không trở thành nạn nhân của phần mềm tống tiền.

3. Sử dụng phần mềm chống vi-rút cập nhật và giải pháp phát hiện và phản hồi điểm cuối (EDR)

Mặc dù chỉ sở hữu một giải pháp chống vi-rút không đảm bảo bảo vệ đầy đủ chống lại vi-rút và các mối đe dọa máy tính tiên tiến khác, nhưng điều rất quan trọng là đảm bảo các giải pháp chống vi-rút được cập nhật với các nhà cung cấp phần mềm của họ. Những kẻ tấn công đầu tư rất nhiều vào việc tạo ra các loại vi-rút và khai thác mới, trong khi các nhà cung cấp vẫn đang cố gắng bắt kịp bằng cách phát hành các bản cập nhật hàng ngày cho công cụ cơ sở dữ liệu chống vi-rút của họ. Bổ sung cho việc sở hữu và cập nhật một giải pháp chống vi-rút là việc sử dụng các giải pháp EDR để thu thập và lưu trữ khối lượng lớn dữ liệu từ các thiết bị đầu cuối và cung cấp khả năng giám sát cấp độ tệp và dựa trên máy chủ theo thời gian thực cho các hệ thống. Các tập dữ liệu và cảnh báo được tạo ra bởi giải pháp này có thể giúp ngăn chặn các mối đe dọa nâng cao và thường được tận dụng để ứng phó với các sự cố bảo mật.

4. Tách biệt thông tin đăng nhập quản trị và đặc quyền với thông tin đăng nhập tiêu chuẩn

Làm việc với tư cách là nhà tư vấn an ninh mạng, một trong những khuyến nghị đầu tiên tôi thường cung cấp cho khách hàng là tách tài khoản quản trị hệ thống của họ khỏi tài khoản người dùng tiêu chuẩn của họ và để đảm bảo các tài khoản quản trị đó không thể sử dụng được trên nhiều hệ thống. Việc tách các tài khoản đặc quyền này không chỉ thực thi quyền kiểm soát truy cập thích hợp mà còn đảm bảo rằng sự xâm phạm của một tài khoản duy nhất không dẫn đến sự xâm phạm của toàn bộ cơ sở hạ tầng CNTT. Ngoài ra, sử dụng các giải pháp Xác thực đa yếu tố (MFA), Quản lý nhận dạng đặc quyền (PIM) và Quản lý truy cập đặc quyền (PAM) là những cách để chống lại việc lạm dụng tài khoản đặc quyền một cách hiệu quả và là một cách chiến lược để giảm bề mặt tấn công thông tin xác thực.

5. Thực hiện một chương trình danh sách trắng ứng dụng hiệu quả

Nó rất quan trọng như là một phần của chiến lược ngăn chặn ransomware để hạn chế các ứng dụng có thể chạy trong cơ sở hạ tầng CNTT. Danh sách ứng dụng cho phép đảm bảo chỉ những ứng dụng đã được kiểm tra và phê duyệt bởi một tổ chức mới có thể chạy trên các hệ thống trong cơ sở hạ tầng. Mặc dù điều này có thể tẻ nhạt và đưa ra một số thách thức về quản trị CNTT, nhưng chiến lược này đã được chứng minh là hiệu quả.

6. Thường xuyên sao lưu các hệ thống và tệp quan trọng

Khả năng khôi phục về trạng thái tốt đã biết là chiến lược quan trọng nhất của bất kỳ kế hoạch xử lý sự cố an toàn thông tin nào, đặc biệt là ransomware. Do đó, để đảm bảo sự thành công của quá trình này, một tổ chức phải xác nhận rằng tất cả các hệ thống, ứng dụng và tệp quan trọng của mình được sao lưu thường xuyên và các bản sao lưu đó được kiểm tra thường xuyên để đảm bảo chúng có thể khôi phục được. Ransomware được biết là mã hóa hoặc phá hủy bất kỳ tệp nào mà nó bắt gặp và nó thường có thể khiến chúng không thể khôi phục được; do đó, điều quan trọng nhất là tất cả các tệp bị ảnh hưởng có thể được khôi phục dễ dàng từ một bản sao lưu tốt được lưu trữ tại vị trí phụ không bị ảnh hưởng bởi cuộc tấn công ransomware.

Microsoft cũng cung cấp các công cụ để mô phỏng một cuộc tấn công ransomware.  Microsoft Secure Score giúp các tổ chức xác định những kiểm soát nào cần bật để giúp bảo vệ người dùng, dữ liệu và thiết bị. Nó cũng sẽ cho phép các tổ chức so sánh điểm của họ với các hồ sơ tương tự bằng cách sử dụng máy học tích hợp trong khi Trình mô phỏng tấn công cho phép các nhóm bảo mật doanh nghiệp chạy các cuộc tấn công mô phỏng bao gồm các chiến dịch giả mạo ransomware và lừa đảo. Điều này sẽ giúp họ tìm hiểu phản hồi của nhân viên và điều chỉnh cài đặt bảo mật cho phù hợp.

Microsoft tất nhiên cũng cung cấp các công cụ sao lưu đám mây được thiết kế để phát hiện hành vi thao túng dữ liệu người dùng hàng loạt và ngăn chặn nó theo dõi.

Tìm hiểu thêm tại Blog Nhóm Phát hiện và Phản hồi của Microsoft tại đây.