Các công ty hiện đại ngày nay được xây dựng dựa trên dữ liệu, hiện có trên vô số ứng dụng đám mây. Do đó việc ngăn ngừa mất mát dữ liệu là điều cần thiết để bạn thành công. Điều này đặc biệt quan trọng để giảm thiểu các cuộc tấn công bằng ransomware đang gia tăng – mối đe dọa mà 57% các nhà lãnh đạo bảo mật mong đợi sẽ bị xâm phạm trong vòng năm tới.
Khi các tổ chức tiếp tục phát triển, đến lượt nó, ransomware cũng vậy. Để giúp bạn luôn dẫn đầu, Giám đốc Chiến lược của Lookout, Aaron Cockerill đã gặp Cố vấn Bảo mật của Microsoft, Sarah Armstrong-Smith để thảo luận về cách thức hoạt động từ xa và đám mây khiến việc phát hiện một cuộc tấn công ransomware trở nên khó khăn hơn, cũng như cách triển khai hành vi- phát hiện dựa trên điểm bất thường có thể giúp giảm thiểu nguy cơ ransomware. Truy cập cuộc phỏng vấn đầy đủ.
Aaron Cockerill: Tôi cảm thấy như cách các doanh nghiệp hiện đại hoạt động, bao gồm sự kết hợp của nhiều công nghệ, đã cho phép ransomware phát triển mạnh mẽ. Đã từng trải qua kiểu tấn công này trong các vai trò trước đây của mình, tôi biết có bao nhiêu CISO đang cảm thấy như vậy. Bản năng của con người là trả tiền chuộc. Bạn đang nhìn thấy xu hướng nào?
Sarah Armstrong-Smith: Thật thú vị khi nghĩ về cách ransomware đã phát triển. Chúng tôi nghĩ về những cuộc tấn công này là thực sự tinh vi. Thực tế là những kẻ tấn công ưa chuộng những gì đã thử và đã được kiểm tra: chúng ủng hộ việc đánh cắp thông tin xác thực, phun mật khẩu, chúng đang quét mạng, mua thông tin đăng nhập từ dark web, sử dụng bộ ransomware.
Vì vậy, theo nhiều cách, mọi thứ không thay đổi. Họ đang tìm kiếm bất kỳ cách nào vào mạng của bạn. Vì vậy, mặc dù chúng ta nói về các cuộc tấn công mạng ngày càng trở nên tinh vi, nhưng điểm xâm nhập ban đầu thực sự không phải là điều khiến các nhà khai thác ransomware trở nên khác biệt, đó là điều xảy ra tiếp theo.
Đó là do sự bền bỉ và kiên nhẫn. Xu hướng ngày càng tăng là những kẻ tấn công hiểu rất rõ về cơ sở hạ tầng CNTT. Ví dụ: rất nhiều công ty đang chạy các máy Windows hoặc Linux hoặc có các thực thể tại chỗ. Họ cũng có thể đang sử dụng các dịch vụ đám mây hoặc nền tảng đám mây hoặc các điểm cuối khác nhau. Những kẻ tấn công hiểu tất cả những điều đó. Vì vậy, họ có thể phát triển phần mềm độc hại tuân theo các mẫu cơ sở hạ tầng CNTT đó. Và về bản chất, đó là nơi chúng đang phát triển, chúng trở nên khôn ngoan hơn trước hàng phòng thủ của chúng ta.
Aaron: Một sự tiến hóa mà chúng tôi đã chứng kiến là việc đánh cắp dữ liệu và sau đó đe dọa công khai dữ liệu. Bạn có đang nhìn thấy điều tương tự không?
Sarah: Yeah tuyệt đối. Chúng tôi gọi đó là sự tống tiền kép. Vì vậy, một phần của vụ tống tiền ban đầu có thể là về việc mã hóa mạng của bạn và cố gắng lấy lại khóa giải mã. Phần thứ hai của vụ tống tiền thực sự là về việc bạn phải trả một số tiền khác để cố gắng lấy lại dữ liệu của mình hoặc để dữ liệu không bị phát tán. Bạn nên giả định rằng dữ liệu của bạn đã biến mất. Rất có thể nó đã được bán và đã có trên web đen.
Aaron: Bạn nghĩ gì về một số lầm tưởng phổ biến liên quan đến ransomware?
Sarah: Có một quan niệm sai lầm rằng nếu bạn trả tiền chuộc, bạn sẽ nhận lại dịch vụ của mình nhanh hơn. Thực tế là khá khác nhau.
Chúng ta phải giả định rằng các nhà khai thác ransomware coi đây là một doanh nghiệp. Và, tất nhiên, kỳ vọng là nếu bạn trả tiền chuộc, bạn sẽ nhận được khóa giải mã. Thực tế là chỉ 65% các tổ chức thực sự lấy lại được dữ liệu của họ. Và nó không phải là một cây đũa thần.
Ngay cả khi bạn nhận được khóa giải mã, chúng vẫn khá lỗi. Và nó chắc chắn sẽ không mở ra mọi thứ. Thông thường, bạn vẫn phải duyệt từng tệp một và nó vô cùng tốn công sức. Nhiều tệp trong số đó có khả năng bị hỏng. Cũng có nhiều khả năng là những tệp lớn, quan trọng mà bạn dựa vào là những tệp bạn sẽ không thể giải mã.
Aaron: Tại sao ransomware vẫn ảnh hưởng xấu đến các công ty? Có vẻ như chúng ta đã nói về các phương pháp mà kẻ tấn công sử dụng để thực hiện các cuộc tấn công này, chẳng hạn như lừa đảo và xâm nhập email doanh nghiệp, cũng như ngăn chặn máy chủ lấy cắp dữ liệu và vá lỗi mãi mãi? Tại sao ransomware vẫn là một vấn đề lớn như vậy? Và chúng ta có thể làm gì để ngăn chặn nó?
Sarah: Ransomware được điều hành như một doanh nghiệp. Càng nhiều người trả tiền, thì càng có nhiều kẻ đe dọa đòi tiền chuộc. Tôi nghĩ đó là thách thức. Miễn là ai đó ở đâu đó sẽ trả tiền, thì kẻ tấn công sẽ có được lợi tức đầu tư.
Bây giờ sự khác biệt là, kẻ tấn công có bao nhiêu thời gian và sự kiên nhẫn. Đặc biệt là một số người lớn hơn, họ sẽ có tính kiên trì, và họ có sẵn sàng và mong muốn tiếp tục di chuyển thông qua mạng. Họ có nhiều khả năng sử dụng tập lệnh, các phần mềm độc hại khác nhau và họ đang tìm kiếm sự nâng cao đặc quyền đó để có thể lấy cắp dữ liệu. Họ sẽ ở lại mạng của bạn lâu hơn.
Nhưng lỗ hổng phổ biến, nếu bạn muốn, là kẻ tấn công đang trông cậy vào việc không có ai theo dõi. Chúng tôi biết rằng đôi khi những kẻ tấn công ở trong mạng hàng tháng. Vì vậy, tại thời điểm mạng đã được mã hóa hoặc dữ liệu bị tách rời, thì đã quá muộn đối với bạn. Sự việc thực sự bắt đầu từ vài tuần, vài tháng hoặc cách đây rất lâu.
Đó là bởi vì họ đang học cách phòng thủ của chúng tôi: “liệu có ai để ý nếu tôi nâng cao đặc quyền, nếu tôi bắt đầu lấy cắp một số dữ liệu? Và giả sử tôi bị chú ý, liệu có ai có thể phản hồi kịp thời không?” Những kẻ tấn công này đã hoàn thành bài tập về nhà của họ, và tại thời điểm họ yêu cầu một loại tống tiền hoặc yêu cầu nào đó, họ đã thực hiện một lượng lớn hoạt động. Đối với các nhà khai thác ransomware lớn hơn, sẽ có lợi tức đầu tư. Vì vậy, họ sẵn sàng bỏ thời gian và công sức vì họ nghĩ rằng họ sẽ nhận lại được điều đó.
Aaron: Có một bài báo thú vị được viết bởi Gartner về cách phát hiện và ngăn chặn ransomware. Nó cho biết điểm tốt nhất để phát hiện các cuộc tấn công là ở giai đoạn di chuyển bên, nơi kẻ tấn công đang tìm cách khai thác để xoay từ hoặc nhiều tài sản có giá trị hơn để đánh cắp.
Tôi nghĩ rằng đó là một trong những thách thức cơ bản nhất mà chúng tôi gặp phải. Chúng tôi biết phải làm gì để giảm thiểu nguy cơ lừa đảo – mặc dù đó luôn là một vấn đề vì có yếu tố con người trong đó. Nhưng một khi họ có được quyền truy cập ban đầu đó, hãy nhận RDP (Giao thức Máy tính Từ xa), hoặc thông tin xác thực cho máy chủ hoặc bất cứ thứ gì, và sau đó họ có thể bắt đầu chuyển động bên đó. Chúng ta phải làm gì để phát hiện ra điều đó? Có vẻ như đó là cơ hội lớn nhất để phát hiện.
Hãy lắng nghe toàn bộ cuộc phỏng vấn để nghe những suy nghĩ của Sarah về cách tốt nhất để phát hiện cuộc tấn công bằng ransomware.
Bước đầu tiên để bảo mật dữ liệu là biết điều gì đang xảy ra. Thật khó để nhìn thấy những rủi ro mà bạn phải đối mặt khi người dùng của bạn ở khắp mọi nơi và sử dụng các mạng và thiết bị mà bạn không kiểm soát để truy cập vào dữ liệu nhạy cảm trên đám mây.
Loại bỏ phỏng đoán bằng cách tăng khả năng hiển thị về những gì đang xảy ra, trên cả điểm cuối không được quản lý và được quản lý, trên đám mây và mọi nơi ở giữa. Liên hệ với Lookout ngay hôm nay.
.
