TẤN CÔNG RANSOMWARE! NHỮNG ĐIỀU BẠN PHẢI LÀM TRONG 24H ĐẦU TIÊN

Khoảnh khắc bạn nhận ra hệ thống của mình đang bị tấn công bởi ransomware, mỗi giây đều có giá trị. 24 giờ đầu tiên rất quan trọng trong việc xác định mức độ thiệt hại, giảm thiểu tổn thất và tạo tiền đề cho việc khôi phục. Hướng dẫn này cung cấp kế hoạch hành động ngắn gọn để giúp bạn vượt qua giai đoạn quan trọng này.

Các Bước Quan Trọng Đầu Tiên

Giờ đầu tiên sau một cuộc tấn công ransomware rất quan trọng. Các hành động ngay lập tức của bạn nên bao gồm những điều sau:

Phản Ứng Ngay Lập Tức (2-4 Giờ Đầu)

Ngăn chặn: Ưu tiên và ngắt kết nối các hệ thống bị nhiễm khỏi mạng để ngăn chặn sự lây lan. Điều này có thể bao gồm tắt máy chủ, vô hiệu hóa các network segments và kích hoạt các quy tắc tường lửa để chặn lưu lượng độc hại (malicious traffic).
Cách ly: Cách ly các hệ thống vật lý hoặc ảo hóa và kho dữ liệu quan trọng để hạn chế tác động của cuộc tấn công.
Xác định & Phân loại: Phân loại các hệ thống quan trọng bằng cách xác định chúng và ưu tiên khôi phục chúng trên một mạng sạch. Sắp xếp các hệ thống này để phân tích pháp lý và xác định các tài khoản liên quan đến vụ vi phạm.

Phản Ứng Nhanh Chóng (4-6 Giờ)

Kích hoạt: Khởi động kế hoạch Ứng phó Sự cố (Incident Response plan – IRP) của bạn và tập hợp nhóm ứng phó sự cố của doanh nghiệp (IT, bảo mật, pháp lý và truyền thông).
Đánh giá: Xác định phạm vi của cuộc tấn công, bao gồm các hệ thống bị ảnh hưởng, loại ransomware liên quan và bất kỳ yêu cầu tiền chuộc nào.
Sao lưu An toàn: Cách ly và xác minh các bản sao lưu của bạn. Xác nhận rằng chúng ngoại tuyến, không thể truy cập được đối với kẻ tấn công và có thể sử dụng để khôi phục.
Liên lạc: Thiết lập các kênh liên lạc nội bộ và bên ngoài để thông báo cho các bên liên quan.

Các Hành Động Tiếp Diễn (0-24+ Giờ)

Ghi lại: Ghi lại tỉ mỉ tất cả các hành động, quan sát. Bản ghi này sẽ rất quan trọng cho các cuộc điều tra và phục hồi, bao gồm cả phân tích pháp lý sau sự cố. Thu thập triệt để tất cả các dấu chân kỹ thuật số(digital footprints) và nhật ký (logs) có sẵn.
Điều tra: Tiến hành điều tra kỹ lưỡng để xác định nguyên nhân gốc rễ của cuộc tấn công và xác định bất kỳ lỗ hổng nào cần được giải quyết.

Kiểm soát Thiệt hại và Lập Kế hoạch Ứng phó của Bạn (6-24+ Giờ)

Sau khi bạn đã thực hiện các bước đầu tiên đó, bạn có thể chuyển trọng tâm sang các hành động sau.

Tham gia Cyber Insurance: Nếu bạn có bảo hiểm mạng, hãy thông báo cho nhà cung cấp của bạn ngay lập tức. Họ có thể cung cấp hướng dẫn, nguồn lực và hỗ trợ tài chính có giá trị.
Báo cáo cho Cơ quan Thực thi pháp luật: Liên hệ với các cơ quan thực thi pháp luật có liên quan, chẳng hạn như FBI hoặc đơn vị tội phạm mạng địa phương của bạn, để báo cáo sự cố.
Tuyển dụng Chuyên gia An ninh Mạng: Nếu bạn thiếu chuyên môn nội bộ, hãy mời các chuyên gia an ninh mạng. Họ có thể hỗ trợ phân tích phần mềm độc hại, các chiến lược ngăn chặn nâng cao và lập kế hoạch phục hồi.
Chiến lược Giao tiếp: Thiết lập một kế hoạch giao tiếp rõ ràng. Giữ cho nhân viên, khách hàng và các bên liên quan được thông báo bằng các cập nhật minh bạch và kịp thời.
Tùy chọn Khôi phục: Đánh giá các tùy chọn khôi phục được ghi lại trong kế hoạch khôi phục mạng của bạn. Điều này có thể bao gồm: Khôi phục từ các bản sao lưu (xác nhận rằng chúng có thể truy cập, sạch và đã được xác minh). Tham khảo ý kiến cố vấn pháp lý về khả năng thương lượng với kẻ tấn công (tiến hành cực kỳ thận trọng).

Khôi phục và Xây dựng Khả năng phục hồi (24-48+ Giờ)

Trọng tâm của 24 giờ tiếp theo chuyển sang tích cực khôi phục hệ thống của bạn và thực hiện các biện pháp để cải thiện tư thế bảo mật của bạn:

Kích hoạt kế hoạch khôi phục mạng của bạn: Điều này có thể bao gồm khôi phục từ các bản sao lưu và xây dựng lại các hệ thống bị ảnh hưởng. Cân nhắc khôi phục vào môi trường sạch để giữ cho các hệ thống và dữ liệu được khôi phục không có bất kỳ mối đe dọa dai dẳng nào. Ưu tiên các hệ thống và dữ liệu quan trọng để giảm thiểu thời gian ngừng hoạt động và gián đoạn kinh doanh.
Tăng cường các biện pháp bảo mật của bạn: Thực hiện các bước để giúp giảm các cuộc tấn công trong tương lai bằng cách vá các lỗ hổng, cập nhật phần mềm bảo mật và thực hiện xác thực đa yếu tố. Xem xét các chính sách và thủ tục bảo mật của bạn để xác định bất kỳ điểm yếu nào có thể đã góp phần vào cuộc tấn công.
Tiến hành đánh giá kỹ lưỡng sau sự cố: Phân tích cuộc tấn công để hiểu cách nó xảy ra, xác định các lỗ hổng trong hệ thống của bạn và cải thiện kế hoạch ứng phó sự cố của bạn cho các sự kiện trong tương lai. Đánh giá này nên có sự tham gia của tất cả các bên liên quan chính và dẫn đến những thay đổi có thể hành động.
Tham khảo ý kiến cố vấn pháp lý: Tuân thủ luật pháp liên quan, chẳng hạn như luật thông báo vi phạm dữ liệu. Khám phá các hành động pháp lý tiềm năng chống lại thủ phạm.
Duy trì cảnh giác: Tiếp tục theo dõi hệ thống của bạn để tìm bất kỳ dấu hiệu tái nhiễm hoặc hoạt động đáng ngờ nào. Bối cảnh mối đe dọa liên tục phát triển, vì vậy hãy điều chỉnh các biện pháp bảo mật của bạn cho phù hợp.

Các cuộc tấn công ransomware có thể tàn phá, nhưng với kế hoạch và chuẩn bị đúng đắn, bạn có thể giảm đáng kể tác động. Để tìm hiểu thêm về việc xây dựng một kế hoạch khả năng phục hồi mạng mạnh mẽ, hãy xem xét tham dự hội thảo lập kế hoạch khả năng phục hồi mạng của chúng tôi. Hội thảo tương tác này, được cung cấp tại các thành phố trên toàn thế giới, hướng dẫn những người tham gia thông qua quá trình tạo ra một kế hoạch phục hồi mạng toàn diện. Sử dụng các kịch bản trong thế giới thực, hội thảo giúp các tổ chức phát triển các chiến lược để chịu được và phục hồi sau các cuộc tấn công mạng.