Các cuộc tấn công ransomware tiếp tục gia tăng về số lượng và tác động phần lớn là do các tổ chức kiểm soát bảo mật yếu kém. Các công ty tầm trung được nhắm mục tiêu vì họ sở hữu một lượng dữ liệu có giá trị đáng kể nhưng thiếu mức độ kiểm soát bảo vệ và nhân sự của các tổ chức lớn hơn.
Theo một cuộc khảo sát gần đây của RSM, 62% các công ty tầm trung tin rằng họ có nguy cơ bị ransomware tấn công trong 12 tháng tới. Cảm xúc của các nhà lãnh đạo an ninh mạng nằm ở đâu đó trên phạm vi giữa “điều quan trọng nhất” với “điều này khiến tôi bị đau nửa đầu nghiêm trọng.”
Vì phần mềm tống tiền vẫn là cách ưa thích để các tác nhân kiếm tiền từ quyền truy cập của họ, nên cần phải hiểu mức độ sẵn sàng của tổ chức, đồng thời xác định và khắc phục các lỗ hổng trước khi kẻ tấn công có thể khai thác chúng.
Các nhóm an ninh mạng tinh gọn có thể nhanh chóng đánh giá mức độ sẵn sàng của phần mềm tống tiền bằng cách tuân theo khuôn khổ NIST CSF, tự hỏi bản thân: “Chúng ta có thứ gì đó như thế này không?” cho từng chức năng cốt lõi: “Xác định”, “Bảo vệ”, “Phát hiện”, “Phản hồi” và “Khôi phục”:
Nhận định
Quản lý tài sản là quá trình biết tất cả các tài sản quan trọng của tổ chức bạn là gì, chúng nằm ở đâu, ai sở hữu chúng và ai có quyền truy cập vào chúng. Dữ liệu cần được phân loại để có thể quản lý quyền truy cập và công ty được hưởng lợi từ việc đảm bảo tính toàn vẹn của dữ liệu. Một tổ chức chỉ cần bảo vệ tính bảo mật của một số dữ liệu dựa trên phân loại của nó. Các biện pháp kiểm soát đảm bảo tiện ích và tính xác thực của dữ liệu mang lại giá trị thực cho tổ chức.
Bảo vệ
Danh tính là một dạng dữ liệu xác định mối quan hệ giữa một người và một tổ chức. Nó được xác minh thông qua thông tin đăng nhập (tên người dùng và mật khẩu) và khi bị xâm phạm, một sự kiện bảo mật sẽ trở thành một sự cố. Ví dụ: việc sử dụng thông tin đăng nhập bị rò rỉ cho phép các tác nhân đe dọa cài đặt phần mềm tống tiền vào máy tính của bạn. Theo Báo cáo của Bộ bảo vệ Microsoft năm 2022, việc tuân thủ 98% quy trình vệ sinh bảo mật cơ bản như Xác thực đa yếu tố (MFA), áp dụng các nguyên tắc không tin cậy, luôn cập nhật phần mềm cũng như sử dụng phần mềm chống phần mềm độc hại có khả năng phát hiện và phản hồi mở rộng vẫn bảo vệ khỏi 98% các cuộc tấn công.
Một khía cạnh quan trọng khác của việc bảo vệ danh tính là đào tạo nâng cao nhận thức — giúp nhân viên nhận ra tệp đính kèm hoặc liên kết độc hại. Khi đề cập đến các mô phỏng vi phạm, điều quan trọng là phải khen thưởng những nhân viên làm tốt thay vì phạt những người không làm tốt. Nếu được thực hiện không chính xác, mô phỏng vi phạm có thể cản trở nghiêm trọng niềm tin của nhân viên vào tổ chức của họ.
Bảo mật dữ liệu tốt có thể bảo vệ dữ liệu của bạn khỏi mã độc tống tiền và cho phép bạn khôi phục sau một cuộc tấn công. Điều này có nghĩa là có quản lý truy cập, mã hóa và sao lưu tại chỗ. Mặc dù điều này nghe có vẻ cơ bản, nhưng nhiều tổ chức thiếu ít nhất một hoặc hai trong số những điều trên. Các biện pháp kiểm soát khác thuộc chức năng “Bảo vệ” của NIST CSF là quản lý lỗ hổng, lọc URL, lọc email và hạn chế sử dụng các đặc quyền nâng cao.
Hạn chế cài đặt phần mềm là điều cần thiết — nếu bạn không thể cài đặt phần mềm, bạn không thể cài đặt phần mềm tống tiền. Tuy nhiên, một số ransomware có thể khai thác thành công các lỗ hổng hiện có cho phép nâng cao đặc quyền, bỏ qua kiểm soát cài đặt bị hạn chế.
Điều này đưa chúng ta đến kiểm soát tiếp theo trong chức năng “Bảo vệ” của NIST CSF: kiểm soát chính sách. Phần mềm thực thi chính sách có thể giảm số lượng nhân viên cần thiết để thực hiện các biện pháp kiểm soát như hạn chế sử dụng và cài đặt chỉ đối với phần mềm được ủy quyền hoặc hạn chế sử dụng các đặc quyền nâng cao.
Phát hiện
Các công nghệ giải quyết các yêu cầu về kiểm soát theo chức năng này thực sự có thể tạo ra sự khác biệt, nhưng chỉ khi đi kèm với yếu tố con người. Có rất nhiều từ viết tắt ở đây: Phân tích hành vi người dùng và thực thể (UEBA), Quản lý nhật ký tập trung (CLM), Thông tin về mối đe dọa (TI) và EDR/XDR/MDR.
Phần mềm tống tiền dễ dàng bị UEBA tốt phát hiện vì phần mềm này thực hiện những việc mà không phần mềm tốt nào làm được. Công nghệ này chỉ có thể phát hiện ransomware — không thể ngăn chặn hoặc ngăn chặn nó. Việc ngăn chặn yêu cầu phần mềm khác, như ngăn chặn lừa đảo, giám sát liên tục bảo mật và EDR/XDR/MDR. Theo báo cáo Chi phí vi phạm năm 2022 của IBM, các tổ chức có công nghệ XDR đã xác định và ngăn chặn vi phạm nhanh hơn 29 ngày so với những tổ chức không có XDR. Ngoài ra, các tổ chức có XDR đã giảm được 9,2% chi phí do vi phạm, điều này nghe có vẻ như là một cải tiến nhỏ, nhưng với chi phí vi phạm trung bình là 4,5 triệu USD, con số này tương đương với khoản tiết kiệm gần nửa triệu USD.
Đáp ứng
Bất kể các công cụ và kiểm soát của tổ chức có thể tốt đến mức nào, sẽ luôn có điều gì đó cần đến phản ứng của con người. Có một kế hoạch và thử nghiệm nó giúp giảm đáng kể chi phí vi phạm — trung bình 2,66 triệu đô la Mỹ, theo báo cáo.
Các biện pháp kiểm soát bổ sung có thể tối đa hóa mức độ sẵn sàng của mã độc tống tiền: có các mẫu giao tiếp (để đảm bảo nhóm biết phải liên hệ với ai, như thế nào và khi xảy ra sự cố), thực hiện phân tích sự kiện bắt buộc và triển khai công nghệ Phối hợp bảo mật, Tự động hóa và Phản hồi (SOAR) như một trong hai một sản phẩm riêng biệt hoặc một phần gốc của giải pháp XDR.
Hồi phục
Có kế hoạch khôi phục, sao lưu đám mây bất biến và kế hoạch truyền thông sự cố là ba biện pháp kiểm soát chính để tối đa hóa khả năng sẵn sàng chống ransomware của tổ chức bạn.
Kế hoạch khôi phục phần mềm tống tiền phải bao gồm các phương tiện để khôi phục dữ liệu được mã hóa, thiết lập lại hệ thống hoạt động và khôi phục lòng tin của khách hàng trong trường hợp vi phạm.
Ransomware hoạt động bằng cách ngăn chặn quyền truy cập vào dữ liệu. Nếu dữ liệu đó có thể được khôi phục từ một thiết bị không bị nhiễm ransomware (bản sao lưu bất biến), thì quá trình khôi phục có thể nhanh chóng và tương đối miễn phí. Theo báo cáo của Bộ bảo vệ Microsoft 2022, 44% tổ chức bị ảnh hưởng bởi phần mềm tống tiền không có bản sao lưu cố định.
Kế hoạch truyền thông về sự cố giúp cải thiện khả năng ứng phó của tổ chức và giảm thiểu thiệt hại về uy tín bằng cách cung cấp các cơ chế để nhanh chóng cảnh báo và điều phối các bên liên quan bên trong và bên ngoài đồng thời theo dõi cảm tính của khách hàng.
Để giúp các nhà lãnh đạo an ninh mạng xây dựng khả năng phục hồi trước mã độc tống tiền, Cynet đang cung cấp một đánh giá nhanh chóng về mức độ sẵn sàng của mã độc tống tiền dựa trên NIST cùng với việc tìm hiểu sâu hơn về các chức năng cốt lõi.
Tải xuống Đánh giá mức độ sẵn sàng chống phần mềm tống tiền của Cynet để giúp kiểm tra khả năng phục hồi của các biện pháp kiểm soát bảo mật của bạn.
