Doanh nghiệp cần chủ động bảo vệ tài sản, nguồn lực và dữ liệu khỏi Ransomware (mã độc tống tiền) để tránh rủi ro ảnh hưởng đến uy tín thương hiệu, đánh mất lòng tin của khách hàng và đối mặt với các khoản chi trả tài chính khổng lồ.

Tổng quan

Cách ngăn chặn ransomware và giảm thiểu tác động của nó

Ransomware đã trở thành một thực tế khắc nghiệt trong môi trường kinh doanh số hiện nay, và mức độ thiệt hại mà nó gây ra cho các tổ chức ngày càng nghiêm trọng.

Theo Trung tâm Tích hợp Tình báo Mối đe dọa Không gian mạng, đã có 2.321 vụ tấn công ransomware được báo cáo trên toàn cầu trong giai đoạn từ tháng 1 đến tháng 6 năm 2024. Con số này tăng so với cùng kỳ năm 2023 và chiếm khoảng một nửa tổng số vụ tấn công được ghi nhận trong cả năm. Báo cáo Security Intelligence cho biết các khoản tiền chuộc ransomware trong năm 2024 đã đạt mức kỷ lục, với tổng số tiền nạn nhân chi trả gần 460 triệu USD cho tội phạm mạng.

Khoản tiền chuộc lớn nhất từng được ghi nhận cũng xảy ra vào năm 2024, khi một công ty thuộc Fortune 50 (không được tiết lộ danh tính) đã trả 75 triệu USD cho nhóm ransomware Dark Angels. Mức tiền chuộc trung vị, vốn dưới 199.000 USD vào đầu năm 2023, đã tăng vọt lên 1,5 triệu USD vào tháng 6 năm 2024. Trong khi đó, mức tiền chuộc trung bình trong năm 2024 tăng lên 2,73 triệu USD, cao hơn gần 1 triệu USD so với năm 2023.

Mối đe dọa từ ransomware là liên tục và không thể phủ nhận. Mặc dù gần như không thể ngăn chặn hoàn toàn mọi cuộc tấn công ransomware độc hại, các tổ chức vẫn có thể áp dụng các thông lệ tốt nhất và tăng cường hệ thống phòng thủ để giảm thiểu đáng kể nguy cơ thiệt hại nghiêm trọng. Với chiến lược sao lưu và khôi phục hiệu quả, doanh nghiệp có thể hạn chế tổn thất trong quá trình bị tấn công và nhanh chóng phục hồi, trở lại trạng thái hoạt động bình thường sau sự cố. Các quy trình bảo vệ và khôi phục dữ liệu toàn diện sẽ giúp bảo mật dữ liệu và ngăn ransomware làm gián đoạn hoạt động kinh doanh.

6 yếu tố phòng ngừa bắt buộc

Những yếu tố cốt lõi để phòng chống ransomware

Phòng ngừa và bảo vệ trước ransomware đòi hỏi một phương pháp tiếp cận đa lớp, kết hợp các thông lệ và quy trình tốt nhất, nâng cao nhận thức con người thông qua đào tạo, và tận dụng các công nghệ mới nhất để bảo vệ tổ chức trước các tác nhân độc hại. Chiến lược bảo mật đa lớp là yếu tố then chốt, và khả năng sẵn sàng khôi phục đóng vai trò cực kỳ quan trọng.

1. Đào tạo và nâng cao nhận thức cho nhân viên thường xuyên

Doanh nghiệp có thể bảo vệ mình trước ransomware bằng cách tổ chức các chương trình đào tạo định kỳ giúp nhân viên nhận diện các cuộc tấn công độc hại. Ví dụ, các cuộc tấn công phishing thường sử dụng kỹ thuật thao túng tâm lý để đánh lừa người dùng tiết lộ thông tin nhạy cảm. Việc đào tạo nhân viên, đối tác và khách hàng nhận biết các dấu hiệu của hình thức tấn công này sẽ giúp họ tránh trở thành nạn nhân.

Hãy hướng dẫn nhân viên thói quen duyệt web an toàn và giải thích lý do không nên nhấp vào các liên kết đáng ngờ, đồng thời trang bị cho họ kiến thức để nhận diện và tránh các mối đe dọa tiềm ẩn. Giáo dục sẽ giúp nhân viên trở thành tuyến phòng thủ đầu tiên chống lại ransomware, đưa ra các quyết định thông minh hơn khi hoạt động trực tuyến và tránh những rủi ro phổ biến.

2. Áp dụng chiến lược sao lưu bất biến

Chiến lược sao lưu cần phải tinh vi tương đương với các kỹ thuật tấn công ransomware ngày càng phức tạp. Một thông lệ bảo vệ dữ liệu được công nhận rộng rãi là duy trì ba bản sao dữ liệu, lưu trữ trên hai loại phương tiện khác nhau và đảm bảo một bản sao được lưu trữ ở vị trí bên ngoài.

Phương pháp 3-2-1 giúp giảm thiểu rủi ro mất dữ liệu trước ransomware bằng cách đa dạng hóa vị trí và phương tiện lưu trữ. Cụ thể, tạo ba bản sao dữ liệu quan trọng, bao gồm dữ liệu gốc trên hệ thống chính và hai bản sao lưu. Hai bản sao lưu này cần được lưu trữ trên hai loại phương tiện khác nhau, chẳng hạn như ổ cứng cục bộ và lưu trữ đám mây, nhằm tránh điểm lỗi đơn lẻ.

Các chuyên gia khuyến nghị doanh nghiệp lưu trữ một bản sao dữ liệu trên hệ thống lưu trữ thứ cấp như thiết bị hyperscale, băng từ hoặc đám mây. Những phương tiện này cho phép lưu trữ dữ liệu ở chế độ bảo vệ trước ransomware, khó bị truy cập trái phép. Ngoài ra, cần đảm bảo một bản sao lưu được đặt ở vị trí từ xa, tách biệt với trung tâm dữ liệu chính để phòng tránh rủi ro từ thiên tai tại chỗ.

Việc đầu tư vào sao lưu bất biến cũng vô cùng quan trọng. Sao lưu bất biến là bản sao dữ liệu không thể bị thay đổi hay chỉnh sửa dưới bất kỳ hình thức nào, kể cả bởi quản trị viên hay kẻ tấn công. Điều này giúp bảo vệ dữ liệu khỏi bị xóa hoặc mã hóa và đảm bảo có thể khôi phục dữ liệu ngay cả khi hệ thống chính bị ransomware xâm nhập. Một khi dữ liệu đã được đặt ở trạng thái bất biến, nó không thể bị ghi đè, chỉnh sửa hay xóa bỏ.

3. Áp dụng kỹ thuật cô lập, phân vùng và air gap

Kỹ thuật cô lập và air gap là chiến lược bảo mật trong đó dữ liệu sao lưu được lưu trữ tách biệt và cách ly vật lý khỏi mạng chính. Điều này tạo ra một khoảng cách ngăn chặn truy cập trái phép, bảo vệ bản sao lưu khỏi các phần mềm độc hại hoặc ransomware có thể lây nhiễm hệ thống chính.

Dữ liệu sao lưu được tách riêng thông qua các phương pháp phân vùng mạng như VLAN, tường lửa hoặc các kỹ thuật phân đoạn khác để hạn chế quyền truy cập. Việc phân đoạn mạng cũng giúp ngăn chặn các cuộc di chuyển ngang của kẻ tấn công nếu chúng đã vượt qua được lớp phòng thủ ban đầu.

Hệ thống lưu trữ sao lưu cách ly nên được ngắt kết nối vật lý khỏi mạng chính để ngăn truy cập trực tiếp vào dữ liệu. Dữ liệu cần được sao chép sang môi trường cách ly này nhằm đảm bảo các bản sao lưu được truyền an toàn vào không gian air-gapped. Nhờ đó, nguy cơ ransomware mã hóa dữ liệu sao lưu được giảm thiểu đáng kể vì mã độc không thể tiếp cận mạng bị cô lập.

4. Triển khai kiểm soát truy cập, phân quyền người dùng và hệ thống phát hiện xâm nhập (IDS)

Để hiểu rõ tình trạng an ninh tổng thể của tổ chức, việc rà soát chính sách và cách thức triển khai kiểm soát truy cập là rất cần thiết. Doanh nghiệp cần đánh giá cách người dùng truy cập mạng cả nội bộ lẫn từ xa, đồng thời áp dụng các biện pháp bảo vệ như mật khẩu mạnh và xác thực đa yếu tố cho VPN, cổng truy cập hoặc các tài nguyên cho phép truy cập từ xa.

Hệ thống IDS mạnh mẽ sẽ chủ động phát hiện hành vi độc hại bằng cách so sánh lưu lượng mạng với các mẫu chữ ký của mối đe dọa đã biết. Khi phát hiện hoạt động bất thường, IDS sẽ cảnh báo cho tổ chức. Cách tiếp cận bảo mật đa lớp, kết hợp IDS, VPN, tường lửa, phần mềm diệt virus, bộ lọc spam và hệ thống ngăn chặn rò rỉ dữ liệu trên đám mây, sẽ khiến việc xâm nhập và truy cập dữ liệu nhạy cảm trở nên khó khăn hơn đối với kẻ tấn công.

5. Giám sát môi trường hệ thống thường xuyên

Hầu hết các tổ chức đã thực hiện giám sát hệ thống định kỳ, nhưng để chống lại ransomware, việc giám sát liên tục là yếu tố then chốt nhằm phát hiện sớm các hoạt động đáng ngờ có thể là dấu hiệu của một cuộc tấn công. Theo dõi lưu lượng mạng giúp đội ngũ an ninh phát hiện mã độc hoặc ransomware sớm hơn và chủ động ngăn chặn sự lây lan.

Khi có hệ thống giám sát dữ liệu và lưu lượng toàn diện, đội ngũ an ninh cũng có thể bảo vệ dữ liệu trước khi thiệt hại nghiêm trọng xảy ra. Các dấu hiệu như truy cập tệp bất thường, mã hóa dữ liệu với tốc độ cao hoặc lưu lượng mạng bất thường đều có thể chỉ ra một cuộc tấn công ransomware. Việc giám sát liên tục giúp phát hiện kẻ tấn công kịp thời và nhanh chóng cô lập mối đe dọa.

6. Xây dựng kế hoạch ứng phó sự cố

Tất cả các biện pháp trên giúp ngăn chặn và phát hiện hoạt động độc hại, nhưng khi sự cố xảy ra, kế hoạch ứng phó sự cố sẽ cung cấp các bước cần thiết sau khi phát hiện tấn công, đồng thời giảm nguy cơ tái diễn trong tương lai. Kế hoạch này cần nêu rõ cách thu thập dữ liệu để xác định nguồn gốc, bản chất và phạm vi của cuộc tấn công ransomware. Khôi phục an ninh mạng thực sự không chỉ dừng ở ứng phó sự cố mà còn bao gồm khả năng nhanh chóng khôi phục các hệ thống và dữ liệu quan trọng.

Các tổ chức nên thường xuyên kiểm tra và diễn tập kế hoạch ứng phó sự cố để đảm bảo các bên liên quan hiểu rõ vai trò và trách nhiệm của mình. Việc kiểm tra định kỳ cũng giúp đánh giá hiệu quả của kế hoạch và xác định những điểm cần cải thiện. Đầu tư vào nền tảng cho phép khôi phục và phục hồi dữ liệu nhanh chóng là yếu tố then chốt để phản ứng kịp thời và giảm thiểu thời gian gián đoạn hoạt động.

Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua email: info@unitas.vn hoặc Hotline: (+84) 939 586 168.