Cách bảo vệ dữ liệu của bạn khi bị Ransomware tấn công

Ransomware

không phải là một vector tấn công mới. Trên thực tế, phần mềm độc hại đầu tiên thuộc loại này đã xuất hiện cách đây hơn 30 năm và được phát tán qua đĩa mềm 5,25 inch. Để trả tiền chuộc, nạn nhân phải gửi tiền qua đường bưu điện đến một PO Box ở Panama.

Nhanh chóng cho đến ngày nay, các bộ ransomware-as-a-service (RaaS) giá cả phải chăng đã có sẵn trên dark web cho bất kỳ ai mua và triển khai. và công nghệ di động.

Bắt đầu một cuộc tấn công ransomware là tất cả về việc giành được quyền truy cập một cách riêng lẻ. Và vì nhân viên hiện có thể truy cập dữ liệu của bạn từ bất cứ đâu, nên bạn đã mất khả năng hiển thị về cách họ làm như vậy. Để bảo vệ trước các cuộc tấn công này, bạn không chỉ tìm kiếm phần mềm độc hại, bạn cần có thông tin chi tiết liên tục về người dùng của mình, điểm cuối họ sử dụng cũng như các ứng dụng và dữ liệu họ truy cập.

Lookout, công ty hàng đầu trong lĩnh vực bảo mật từ điểm cuối đến đám mây, đã xuất bản một đồ họa thông tin tương tác để giúp bạn hình dung cách thức một cuộc tấn công ransomware xảy ra và hiểu cách bảo vệ dữ liệu của bạn. Lookout sẽ sử dụng blog này để thiết lập 1) môi trường dẫn đến 20 tỷ đô la tiền chuộc vào năm 2021 và 2) cách bạn có thể bảo vệ tổ chức của mình khỏi những mối đe dọa đang diễn ra này.

Làm việc từ mọi nơi cải thiện cả năng suất và sự xâm nhập của kẻ tấn công

Mặc dù phần mềm độc hại thực tế được sử dụng để giữ dữ liệu của bạn làm con tin được gọi là “ransomware”, nhưng đó không phải là thứ bạn nên tập trung vào. Trước khi bất cứ thứ gì được triển khai, những kẻ tấn công cần quyền truy cập vào cơ sở hạ tầng của bạn.

Ngày nay, người dùng đang truy cập dữ liệu bằng các mạng bạn không kiểm soát và các thiết bị bạn không quản lý, làm cho bất kỳ biện pháp bảo mật tại chỗ nào bạn đã lỗi thời.

Điều này có nghĩa là các tác nhân đe dọa có thể khởi động các cuộc tấn công lừa đảo để xâm phạm thông tin đăng nhập của người dùng hoặc khai thác một ứng dụng dễ bị tấn công mà ít gây hậu quả. Và một khi chúng ở bên trong cơ sở hạ tầng của bạn, chúng sẽ nhanh chóng triển khai phần mềm độc hại để tạo các cửa hậu liên tục cho phép chúng đến và đi tùy ý. Nếu họ , gần như không thể ngăn họ di chuyển ngang dọc và giữ dữ liệu của bạn làm con tin.

Xem tiếp:   IoT / Khám phá thiết bị được kết nối và Kiểm tra bảo mật trong Mạng công ty

Từng bước: cách bảo vệ khỏi ransomware

Có một số bước xảy ra giữa việc kẻ tấn công truy cập cơ sở hạ tầng của bạn và yêu cầu tiền chuộc. Các bước này được nêu trong phần giải phẫu của một đồ họa thông tin tấn công ransomware và đây là bản tóm tắt cấp cao về những gì sẽ xảy ra và cách bạn có thể bảo vệ tổ chức của mình.

1 – Chặn các cuộc tấn công lừa đảo và che giấu các ứng dụng hỗ trợ web

Một trong những cách dễ nhất mà kẻ tấn công có được quyền truy cập là chiếm tài khoản người dùng bằng cách xâm nhập thông tin đăng nhập bằng các cuộc tấn công lừa đảo. Điều quan trọng là có thể kiểm tra lưu lượng truy cập web trên bất kỳ thiết bị nào để ngăn chặn các cuộc tấn công này ảnh hưởng đến cả người dùng PC và thiết bị di động. Điều này sẽ đảm bảo rằng các nhà khai thác ransomware không thể bắt đầu các cuộc tấn công của họ bằng cách xâm phạm tài khoản.

Các tác nhân đe dọa cũng sẽ thu thập dữ liệu web để tìm cơ sở hạ tầng tiếp xúc với internet dễ bị tấn công hoặc bị lộ để khai thác. Nhiều tổ chức có các ứng dụng hoặc máy chủ tiếp xúc với web để cho phép truy cập từ xa, nhưng điều này có nghĩa là những kẻ tấn công có thể tìm thấy chúng và tìm kiếm các lỗ hổng. Che giấu các ứng dụng này khỏi bị phát hiện là một chiến thuật phòng thủ quan trọng. Điều này giúp bạn thoát khỏi quyền truy cập không kiểm soát do VPN cung cấp và đảm bảo chỉ những người dùng được ủy quyền mới truy cập vào dữ liệu họ cần.

2 – Phát hiện và phản ứng với các hành vi bất thường

Nếu những kẻ tấn công cố gắng xâm nhập vào cơ sở hạ tầng của bạn, chúng sẽ bắt đầu di chuyển theo chiều ngang để tiến hành do thám. Điều này là để tìm ra các lỗ hổng bổ sung với mục tiêu cuối cùng là phát hiện ra các dữ liệu nhạy cảm. Một số bước mà họ có thể thực hiện bao gồm thay đổi của bạn để giảm quyền bảo mật, tách dữ liệu và tải lên phần mềm độc hại.

Xem tiếp:   Các chuyên gia tìm thấy những điểm tương đồng về chiến lược b / w NotPetya và WhisperGate Các cuộc tấn công vào Ukraine

Một số bước trong số này có thể không phải là hành vi nguy hiểm hoàn toàn nhưng có thể được coi là hành vi bất thường. Đây là lúc mà sự hiểu biết về hành vi của người dùng và thiết bị cũng như phân đoạn quyền truy cập ở cấp ứng dụng trở nên cần thiết. Để ngăn chặn chuyển động ngang, bạn cần đảm bảo không có người dùng nào được chuyển vùng miễn phí vào cơ sở hạ tầng của bạn và họ không hành động theo cách độc hại. Nó cũng rất quan trọng để có thể phát hiện các đặc quyền quá mức hoặc bị định cấu hình sai để bạn có thể ngăn chặn các thay đổi đối với ứng dụng và trạng thái đám mây của mình.

3 – Kết xuất dữ liệu vô dụng để đòi tiền chuộc với mã hóa chủ động

Bước cuối cùng của cuộc tấn công bằng ransomware là giữ dữ liệu của bạn làm con tin. Ngoài việc mã hóa dữ liệu và khóa quản trị viên của bạn, kẻ tấn công cũng có thể trích xuất một số dữ liệu để sử dụng làm đòn bẩy, sau đó xóa hoặc mã hóa những gì còn lại trong cơ sở hạ tầng của bạn.

Quá trình lọc và tác động thường là khi kẻ tấn công cuối cùng tiết lộ sự hiện diện của chúng. Những thay đổi mà họ thực hiện đối với dữ liệu, bất kể nó đang ở trạng thái nghỉ hay đang chuyển động, sẽ gióng lên hồi chuông cảnh báo và họ sẽ yêu cầu thanh toán. Tuy nhiên, bạn có thể khiến mọi nỗ lực của họ trở nên vô ích nếu dữ liệu đó được mã hóa chủ động bởi nền tảng bảo mật của bạn và khiến nó hoàn toàn vô dụng đối với kẻ tấn công. Mã hóa là một phần quan trọng của bất kỳ ngăn ngừa mất dữ liệu (DLP) và kích hoạt nó khỏi các chính sách bảo vệ dữ liệu theo ngữ cảnh có thể giúp bạn bảo vệ dữ liệu nhạy cảm nhất của mình khỏi bị xâm phạm.

Xem tiếp:   Hướng đẫn disable side channel mitigations trên máy ảo vmware

Bảo mật chống ransomware: sản phẩm điểm so với một nền tảng thống nhất

Một cuộc tấn công ransomware không chỉ là một sự kiện đơn lẻ; đó là một mối đe dọa dai dẳng. Để bảo mật tổ chức của mình, bạn cần có một bức tranh đầy đủ về những gì đang xảy ra với các thiết bị đầu cuối, người dùng, ứng dụng và dữ liệu của mình. Điều này đảm bảo rằng bạn có thể chặn các cuộc tấn công lừa đảo, che giấu các ứng dụng web, phát hiện và phản ứng với chuyển động ngang, đồng thời bảo vệ dữ liệu của bạn ngay cả khi dữ liệu đó đã bị lọc và giữ để đòi tiền chuộc.

Trong lịch sử, các tổ chức đã mua các công cụ mới để giảm thiểu các vấn đề mới. Nhưng kiểu tiếp cận này sẽ không hiệu quả với các mối đe dọa như ransomware. Mặc dù bạn có thể có một số phép đo từ xa đối với hoạt động truy cập của người dùng, tình trạng của thiết bị do công ty sở hữu và cách xử lý dữ liệu của bạn, nhóm bảo mật của bạn sẽ phải quản lý nhiều bảng điều khiển không hoạt động với nhau.

Lookout hiểu nhu cầu về cách tiếp cận nền tảng và đã xây dựng Nền tảng Security Service Edge (SSE) bao gồm DLP, Phân tích hành vi người dùng và pháp nhân (UEBA)Quản lý Quyền Kỹ thuật số Doanh nghiệp (EDRM).

Với nền tảng cung cấp thông tin chi tiết tích hợp về mọi thứ đang diễn ra bên trong tổ chức của bạn, chúng tôi cho phép bạn bảo mật dữ liệu nhạy cảm mà không cản trở năng suất. Nền tảng SSE của Lookout gần đây đã được đặt tên là Visionary bởi 2022 Gartner Magic Quadrant cho SSE. Lookout cũng đạt điểm trong ba trường hợp hàng đầu cho tất cả các trường hợp sử dụng SSE trong 2022 Các khả năng quan trọng của Gartner cho SSE.

Để tìm hiểu thêm về các bài học chính mà bạn có thể học từ các cuộc tấn công ransomware lớn vào năm 2021 và cách bảo vệ dữ liệu nhạy cảm của bạn, hãy tải xuống bản mới nhất của Lookout hướng dẫn về ransomware.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …