Phòng chống ransomware: 5 bước hiệu quả cho doanh nghiệp

0
43
ransomare là gì

1. Bước 1: Lập kế hoạch phản ứng với sự cố mạng 

Thật may mắn nếu doanh nghiệp của bạn chưa từng bị tấn công ransomware. Tuy nhiên, đừng vội chủ quan. Đây là thời điểm phù hợp để lập kế hoạch phản ứng với sự cố mạng, ngay cả khi doanh nghiệp của bạn không có đội ngũ bảo mật.

Hãy bắt đầu với những câu hỏi đơn giản sau: nếu doanh nghiệp của bạn bị tấn công, bạn sẽ phản ứng như thế nào? Liên hệ với đội ứng cứu sự cố ra sao? Cần làm gì để đưa hệ thống hoạt động trở lại bình thường? Khi lập kế hoạch, hãy giả định trường hợp bị mất dữ liệu và xem việc đó ảnh hưởng như thế nào đến cách mà doanh nghiệp của bạn phản ứng với sự cố mạng.

Đọc thêm: 5 bước xây dựng kế hoạch ứng cứu sự cố toàn diện

2. Bước 2: Yêu cầu các phòng ban có liên quan tham gia vào công tác bảo mật

Tấn công ransomware không chỉ ảnh hưởng đến vấn đề bảo mật của một doanh nghiệp. Chúng còn ảnh hưởng trực tiếp đến người dùng, vấn đề tài chính cũng như pháp lý của doanh nghiệp đó. Vì vậy, bạn cần đảm bảo công tác phòng chống ransomware phải có sự tham gia của các phòng ban có liên quan:

  • Quản trị viên của máy chủ và hệ thống giữ vai trò quan trọng trong việc kiểm tra môi trường Active Directory của doanh nghiệp.
  • Các kỹ sư mạng chịu trách nhiệm về thời gian hoạt động và lưu lượng truy cập mạng.
  • Phòng pháp chế lên kế hoạch dự phòng hậu quả phải đối mặt trong trường hợp sự cố mạng xảy ra.

Các công việc nêu trên cần được thực hiện ngay lập tức. Bởi chúng góp phần quan trọng trong việc giám sát môi trường mạng, cải thiện khả năng phòng thủ. Đặc biệt, trong trường hợp xảy ra sự cố mạng, chúng giúp doanh nghiệp bình tĩnh phản ứng và phục hồi nhanh chóng sau khi bị tấn công.

3. Bước 3: Kiểm tra và giới hạn các tài khoản có đặc quyền cao trong Active Directory

Một trong những mục tiêu đầu tiên của tin tặc khi xâm nhập vào hệ thống mạng của nạn nhân là lấy được các thông tin xác thực cao. Những thông tin xác thực này rất cần thiết để tin tặc đạt được mục tiêu của chúng. Chúng cần có đặc quyền để tìm các hệ thống bổ sung, di chuyển ngang xung quanh môi trường, thực hiện các lệnh nhất định, thiết lập tính bền bỉ… Trong các cuộc điều tra tấn công ransomware, các chuyên gia an ninh mạng đã nhận ra một môi trường mạng có quá nhiều tài khoản có đặc quyền cao và tin tặc đang đặt cược vào điều đó.

Có rất nhiều công cụ có sẵn cho tin tặc cấu hình Active Directory. Một số thậm chí còn tìm ra cách “ngắn nhất” để lấy được tài khoản quản trị viên tên miền. May mắn thay, những công cụ này hoạt động theo cả hai cách: chúng có thể được sử dụng nội bộ để thực hiện rà quét và sử dụng chính kết quả đó để hạn chế các tài khoản có quá nhiều đặc quyền

4. Bước 4: Sử dụng các biện pháp bảo vệ tích hợp cho các tài khoản có đặc quyền cao

Sau khi đã kiểm tra và giới hạn các tài khoản có đặc quyền cao, doanh nghiệp cần sử dụng các biện pháp bảo vệ tích hợp có khả năng giảm thiểu rủi ro đánh cắp thông tin xác thực.

Ví dụ: hệ điều hành Windows mới có biện pháp bảo vệ thông tin xác thực và bảo vệ thông tin xác thực từ xa cho Windows 10 và Windows Sever 2016+. Hãy tận dụng chúng. Đối với các điểm cuối cũ hơn, hãy sử dụng chế độ quản trị viên bị hạn chế (Restricted Admin Mode).

Hãy đặt tài khoản có đặc quyền và phi dịch vụ vào nhóm người dùng được bảo vệ. Bên cạnh đó, doanh nghiệp cần vô hiệu hóa các phương thức lưu thông tin đăng nhập không mã hóa trong bộ nhớ. Nếu doanh nghiệp có sẵn các tác nhân phát hiện và phản hồi điểm cuối (EDR), hãy xem chúng có cung cấp các biện pháp bảo vệ tài khoản người dùng hay không. Hầu hết các kỹ thuật đánh cắp thông tin đăng nhập của tin tặc đều được biết đến và rất nhiều doanh nghiệp, thật không may, không sử dụng các biện pháp bảo vệ có sẵn cho các giải pháp mà họ đang sử dụng.

5. Bước 5: Liên tục kiểm tra và giám sát hệ thống mạng

Khi doanh nghiệp đã có các biện pháp bảo vệ tài khoản, hãy sử dụng các công cụ mã nguồn mở hoặc dịch vụ đánh giá an ninh từ các nhà cung cấp bảo mật để kiểm tra hệ thống mạng của mình. Việc giám sát hệ thống mạng thường xuyên sẽ giúp doanh nghiệp có cái nhìn cụ thể hơn về hiện trạng an ninh mạng và các lỗ hổng bảo mật đang tồn tại. Từ đó, doanh nghiệp có thể tiến hành xử lý và khắc phục, giảm thiểu tối đa nguy cơ bị tấn công.

Hoạt động bảo mật thông tin đòi hỏi kiến ​​thức về an ninh mạng cũng như việc kiểm tra và điều chỉnh thường xuyên. Nếu doanh nghiệp của bạn may mắn chưa bị tấn công, hãy bảo vệ hệ thống ngay lập tức. Việc doanh nghiệp hành động sớm thực sự có giá trị hàng triệu đô la.

Nếu doanh nghiệp cần tư vấn về bảo vệ an ninh mạng, hãy đăng ký để nhận tư vấn từ SecurityBox.