Như ở bài viết trước đã nêu nên thực trạng đáng báo động trong các doanh nghiệp hiện nay khi mà đến 99% các doanh nghiệp đều chưa thực sự chú trọng đến vấn đề an toàn và bảo mật thông tin. Bài viết lần này hãy cũng chúng tôi liệt kê 5 biện pháp phòng tránh sự cố mã độc phù hợp nhất với thực trạng của các Doanh nghiệp Việt hiện nay.
1.Xây dựng các chính sách
Nếu một doanh nghiệp không xác định được tầm quan trọng của việc phòng tránh mã độc trong các chính sách của mình thì các hoạt động phòng tránh mã độc không thể được thực hiện nhất quán và hiệu quả.
Một chính sách phòng tránh mã độc thường gồm:
– Yêu cầu rà quét mã độc trên các thiết bị từ bên ngoài doanh nghiệp trước khi chúng được đưa vào sử dụng.
– Yêu cầu quét mã độc trên các tập tin đính kèm email trước khi mở chúng.
– Nghiêm cấm/ngăn chặn gửi hoặc nhận một số định dạng tập tin cụ thể (chẳng hạn .exe) qua email.
– Cấm hoặc hạn chế việc sử dụng các phần mềm không cần thiết vì nhiều phần mềm có thể bị lợi dụng để truyền nhiễm mã độc (VD: các ứng dụng nhắn tin hoặc dịch vụ truyền file).
– Hạn chế sử dụng các thiết bị ngoại vi di động (VD: thiết bị nhớ USB), đặc biệt đối với các máy tính nhiều người truy cập.
– Chỉ định các công cụ phòng tránh mã độc cụ thể (VD: phần mềm diệt virus, công cụ lọc nội dung,…) đối với từng loại thiết bị cụ thể (VD: mail server, web server, laptop, smart phone,…) và đối với từng ứng dụng cụ thể (VD: 13 email client, trình duyệt web,…); đặt ra các mức yêu cầu cao đối với việc cấu hình và bảo trì phần mềm (VD: tần suất cập nhật phần mềm, tần suất và phạm vi rà quét thiết bị,…).
– Cấm hoặc hạn chế việc sử dụng các thiết bị di động (bao gồm cả thiết bị do doanh nghiệp cấp phát hoặc sở hữu cá nhân) trong mạng của doanh nghiệp hoặc sử dụng để truy cập từ xa.
2. Nâng cao nhận thức
Tất cả nhân viên trong doanh nghiệp cần được trang bị nhận thức về cách mã độc xâm nhập và lây nhiễm qua các thiết bị, những hành vi nguy hại mà mã độc có thể thực hiện, những hạn chế về khả năng kiểm soát mọi sự cố mã độc và tầm quan trọng của người dùng trong việc phòng tránh sự cố mã độc, nhấn mạnh vào việc tránh những cuộc tấn công kỹ thuật xã hội (social engineering). Chương trình nâng cao nhận thức cho nhân viên của một doanh nghiệp cần bao gồm các chính sách như đã đề cập ở phần III.1, kết hợp với một số hành động thực tế như:
– Không mở các email và tập tin đính kèm email hoặc các đường dẫn khả nghi từ người gửi không rõ ràng; không truy cập các trang web có thể chứa nội dung độc hại.
– Không click vào các cửa sổ pop-up khả nghi trên trình duyệt.
– Không mở các tập tin với phần mở rộng có thể liên quan đến mã độc như .bat, .com, .exe, .pif, .vbs,…
– Không được tắt cơ chế kiểm soát an ninh mã độc như phần mềm diệt virus, phần mềm lọc nội dung, tường lửa,…
– Không sử dụng tài khoản người dùng mức quản trị hệ thống để thực hiện các hoạt động thông thường trên máy tính.
– Không tải xuống và chạy các ứng dụng từ nguồn không uy tín.
Các doanh nghiệp cũng cần bắt buộc nhân viên của mình có kiến thức về chính sách và các thủ tục xử lý sự cố mã độc như cách xác định một máy tính bị lây nhiễm, cách báo cáo khi nghi ngờ xảy ra sự cố mã độc và trách nhiệm hỗ trợ của nhân viên trong việc xử lý sự cố (VD: cập nhật phần mềm diệt virus, rà quét thiết bị để xác định mã độc,…). Nhân viên cần hiểu được thông báo của doanh nghiệp khi một sự cố mã độc xảy ra và nắm được những thay đổi tạm thời để xử lý sự cố, chẳng hạn như ngắt kết nối một máy tính bị lây nhiễm khỏi hệ thống mạng. Hoạt động phổ cập nhận thức cho nhân viên của một doanh nghiệp cần bao gồm việc đào tạo phòng tránh các cuộc tấn công sử dụng kỹ thuật xã hội. Một số ví dụ khuyến nghị nhằm tránh cuộc tấn công kỹ thuật xã hội như:
– Không trả lời các email yêu cầu cung cấp thông tin tài chính và thông tin cá nhân. Thay vào đó, liên hệ trực tiếp tới cá nhân hoặc tổ chức đối tác bằng điện thoại hoặc website chính thức. Không sử dụng thông tin liên lạc được cung cấp trong email và không click vào bất kỳ tập tin đính kèm hay đường dẫn nào trong email.
– Không cung cấp mật khẩu, mã PIN hoặc các mã truy cập khác khi trả lời email hoặc điền vào các cửa sổ pop-up không mong muốn. Chỉ cung cấp các thông tin truy cập trên đối với website và ứng dụng hợp lệ.
– Không mở tập tin đính kèm email ngay cả từ người gửi quen biết. Nếu nhận được một tập tin đính kèm email, cần liên hệ với người gửi (có thể bằng điện thoại hoặc phương tiện liên lạc khác) để xác nhận tập tin đính kèm là an toàn.
– Không phàn hồi bất kỳ email khả nghi nào.
3. Giảm thiểu lỗ hổng phần mềm
Mã độc thường tấn công một máy tính bằng cách khai thác lỗ hổng của hệ điều hành, các dịch vụ và các ứng dụng chạy trên nó. Giảm thiểu lỗ hổng phần mềm là bước rất quan
trọng trong việc phòng tránh mã độc, nhất là đối với các mã độc được phát tán ngay sau khi một lỗ hổng phần mềm mới được công bố hoặc thậm chí trước khi lỗ hổng đó được biết đến rộng rãi. Cần cập nhật các bản vá lỗi hoặc cấu hình lại phần mềm (VD: vô hiệu hóa dịch vụ chứa lỗ hổng). Việc giảm thiểu lỗ hổng phần mềm cần phải có các chính sách, tiến trình và thủ tục rõ ràng.
Một số nguyên tắc gia cố hệ thống khác mà doanh nghiệp có thể áp dụng:
– Vô hiệu hóa hoặc gỡ bỏ các dịch vụ không cần thiết (đặc biệt là các dịch vụ mạng) vì những dịch vụ này có thể vô tình là các hướng tân công phụ mà mã độc có thể lợi dụng để lây lan.
– Loại bỏ các ứng dụng chia sẻ tập tin không an toàn.
– Gỡ bỏ hoặc thay đổi tài khoản người dùng mặc định của hệ điều hành và các ứng dụng vì các tài khoản này có thể được mã độc sử dụng để truy cập trái phép tới các thiết bị.
– Vô hiệu hóa tính năng tự động thực thi đối với tập tin nhị phân hoặc các script, bao gồm cả tính năng AutoRun trên các máy tính chạy Windows.
– Thay đổi File Associations mặc định (ứng dụng mặc định để mở một tập tin theo định dạng cụ thể) đối với các định dạng tập tin người dùng ít sử dụng nhưng thường được sử dụng bởi mã độc (VD: .pif, .vbs), thay đổi này giúp tập tin không được thực thi tự động khi một người dùng cố mở chúng.
Gia cố hệ thống cần được áp dụng đối với cả các ứng dụng như email client, trình duyệt web và các trình xử lý văn bản, các ứng dụng này thường xuyên là mục tiêu khai thác của mã độc (VD: ngôn ngữ macro trên trình xử lý văn bản, các plug-in trên trình duyệt web). Ta nên vô hiệu hóa những tính năng không cần thiết trên các ứng dụng này để hạn chế hướng tấn công của mã độc.
4. Giảm thiểu mối đe dọa
Giả sử mọi lỗ hổng phần mềm đều đã được vá, giảm thiểu mối đe dọa vẫn là bước đặc biệt quan trọng, ví dụ, để ngăn chặn các mã độc không khai thác lỗ hổng phần mềm mà dựa vào các kỹ thuật xã hội đánh lừa người dùng thực thi các tập tin độc hại. Các công cụ thường được sử dụng để giảm thiểu mối đe dọa là: phần mềm diệt virus, hệ thống ngăn chặn xâm nhập trái phép (IPS), tường lửa, công cụ lọc nội dung và một danh sách các ứng dụng an toàn (application whitelisting).
5. Bảo vệ BIOS
Các sửa đổi trái phép lên BIOS thực hiện bởi các phần mềm độc hại có thể dẫn đến các hành vi độc hại khác vì BIOS firmware có vị trí đặc quyền trong kiến trúc máy tính. Sửa đổi trái phép lên BIOS có thể là một phần của một cuộc tấn công phức tạp, có chủ đích đối với doanh nghiệp – một vụ DoS vĩnh viễn (BIOS bị hư hại khiến máy tính không thể khởi động) hoặc một mã độc tồn tại bền vững trên hệ thống (mã độc được nhúng vào BIOS). Việc thay đổi từ triển khai BIOS sang UEFI cũng có thể khiến mã độc lây lan rộng rãi vì UEFI được triển khai theo một chuẩn chung.
Doanh nghiệp của bạn đang gặp những vấn đề về an toàn thông tin và bảo mật dữ liệu… hãy liên hệ ngay với chúng tôi để được tư vấn.
