Các cuộc tấn công Ransomware hiện nay thường được bắt đầu từ một điểm yếu bảo mật của cơ quan, tổ chức… Kẻ tấn công xâm nhập hệ thống, duy trì sự hiện diện, mở rộng phạm vi xâm nhập và kiểm soát hạ tầng công nghệ thông tin của tổ chức, làm tê liệt hệ thống, nhằm bắt buộc các tổ chức nạn nhân thực hiện hành vi tống tiền mà kẻ tấn công hướng tới.
Sau đây là 9 biện pháp phòng chống, giảm thiểu rủi ro từ tấn công Ransomware:
- Xây dựng kế hoạch ứng phó sự cố
Ứng phó sự cố là một phần quan trọng trong việc đảm bảo khả năng bảo vệ và khôi phục hệ thống khi gặp phải các sự cố bảo mật, bao gồm cả các cuộc tấn công Ransomware. Bằng cách xây dựng và thực hiện một kế hoạch ứng phó sự cố một cách đầy đủ sẽ giúp tổ chức giảm thiểu rủi ro và tăng cường khả năng ứng phó khi gặp phải các sự cố bảo mật.
- Xác định rõ vai trò và trách nhiệm của mỗi thành viên trong tổ chức khi có sự cố xảy ra, bao gồm cả các người quản lý, nhân viên IT, bộ phận bảo mật.
- Đảm bảo có đủ các tài nguyên cần thiết để ứng phó với sự cổ, bao gồm cả con người, công cụ, và phần mềm, hạ tầng cung cấp và sẵn sàng sử dụng khi cần thiết.
- Thử nghiệm các phương án phục hồi, khôi phục hệ thống để kiểm tra tính sẵn sàng của con người, của hạ tầng, của dữ liệu.
- Xây dựng kế hoạch sao lưu, phục hồi dữ liệu
Mục tiêu của các cuộc tấn công sử dụng Ransomware là cố gắng ngăn chặn việc khôi phục dữ liệu sau khi bị mã hóa, kẻ tấn công thường tìm và thu thập thông tin xác thực được lưu trữ trong hệ thống, sử dụng những thông tin xác thực đó để truy cập vào các giải pháp sao lưu, phục hồi, từ đó xóa hoặc mã hóa các bản sao lưu đó.
Chúng tôi khuyến nghị thực hiện việc sao lưu “offline”, không để các bản sao lưu đặt trong môi trường kết nối với hạ tầng mạng.
Thực hiện sao lưu thường xuyên và đảm bảo dữ liệu của các bản sao lưu được đầy đủ, từ đó hạn chế, giảm thiểu ảnh hưởng của việc mất dữ liệu (khi bị mã hóa) và đẩy nhanh quá trình khôi phục khi có sự cố.
Thực hiện quy tắc dự phòng 3-2 -1:
- Có 03 bản sao lưu dự phòng trên các phương tiện lưu trữ khác nhau giúp hệ thống có khả năng chống lại các rủi ro về ransomware cao hơn.
- Lưu trữ ít nhất trên 02 loại phương tiện khác nhau: Cloud, NAS, SAN…
- 01 bản được lưu giữ “offline”.
Kiểm tra bản sao lưu:
- Kiểm tra tính toàn vẹn của tất cả các bản sao lưu, đảm bảo rằng các bản sao lưu không có lỗi khi tiến hành khôi phục.
- Kiểm tra, tính toán lượng băng thông và tài nguyên cần thiết để khôi phục nhiều hệ thống đồng thời.
- Triển khai các biện pháp xác thực mạnh
Các cuộc tấn công sử dụng Ransomware thường sử dụng các tài khoản bị đánh cắp, bị lộ lọt trên mạng internet để truy cập các dịch vụ, máy chủ nội bộ. Từ đó kẻ tấn công sử dụng các phương pháp khác nhau như: Man-in-the-middle, brute-force, dump bộ nhớ… để tìm kiếm và chiếm quyền các tài khoản có quyền quản trị, quyền truy cập vào tài nguyên quan trọng.
Việc triển khai xác thực mạnh, giúp hệ thống có thể an toàn hơn trước các rủi ro bị lộ lọt tài khoản, góp phần đảm bảo hệ thống được an toàn.
Triển khai xác thực mạnh cho hệ thống:
- Thiết lập chính sách mật khẩu an toàn cho tất cả các tài khoản quản trị, tài khoản truy cập hệ thống quan trọng.
- Triển khai xác thực đa yếu tố MFA cho tất cả các dịch vụ nếu có thể, đặc biệt đối với Email, VPN, vCenter, ESXI, tài khoản truy cập dữ liệu, và các tài khoản truy cập vào các hệ thống quan trọng.
- Rà quét, cập nhật bản vá lỗ hổng ATTT trên các thiết bị, phần mềm, ứng dụng
Kẻ tấn công thường sử dụng lỗ hổng của các dịch vụ mở công khai trên internet để xâm nhập vào hệ thống, từ đó leo thang đặc quyền, khai thác sâu vào bên trong các hệ thống quan trọng.
Thực hiện rà quét lỗ hổng thường xuyên để xác định và cập nhật bản vá lỗ hổng, đặc biệt là các lỗ hổng trên các thiết bị mở công khai trên Internet giúp hạn chế bề mặt tấn công, chủ động kiểm soát được các rủi ro.
- Cập nhật các phần mềm, hệ điều hành lên phiên bản mới nhất hiện có. Ưu tiên vá lỗi kịp thời cho các máy chủ kết nối Internet cung cấp dịch vụ ra Internet: cập nhật bản vá cho VPN, tường lửa…
- Đảm bảo rằng tất cả các trình ảo hóa và cơ sở hạ tầng CNTT liên quan: vCenter, ESXI, DC đều được cập nhật đẩy đủ bản vá mới nhất.
- Định kỳ rà quét để kịp thời phát hiện ra các lỗ hổng mới.
- Thường xuyên cập nhật thông tin về các lỗ hổng mới được phát hiện, công bố.
- Đảm bảo bản vá lỗ hổng được tải từ nguồn tin cậy.
- Hạn chế sử dụng các dịch vụ điều khiển máy tính từ xa
Những kẻ tấn công có thể sử dụng các tài khoản bị đánh cắp, bị lộ lọt như tài khoản VPN, RDP… hoặc các dịch vụ điều khiển máy tính từ xa để xâm nhập vào vùng mạng của hệ thống. Cần hạn chế việc sử dụng các dịch vụ điều khiển, truy cập mạng từ xa để tránh các rủi ro tấn công:
- Hạn chế sử dụng RDP và các dịch vụ máy tính từ xa khác như Teamview, Anydesk…
- Rà soát toàn bộ các tài khoản đang được kết nối từ xa thông qua VPN, xóa các tài khoản không sử dụng.
- Giới hạn quyền truy cập từ VPN đến các tài nguyên, chỉ cho phép truy cập vào các tài nguyên theo đúng mục đích.
- Triển khai MFA trên tất cả các kết nối VPN để tăng tính bảo mật. Nếu MFA không được triển khai, hãy yêu cầu nhân viên làm việc từ xa sử dụng mật khẩu từ 15 ký tự trở lên.
- Thực hiện phân vùng truy cập mạng chặt chẽ
Những kẻ tấn công thường thường bắt đầu xâm nhập thông qua các máy trạm của người dùng, qua các vùng mạng DMZ, các máy chủ mở dịch vụ ra Internet. Sau khi đã có quyền truy cập nội bộ, kẻ tấn công tìm cách mở rộng, leo thang xâm nhập vào các máy chủ, hệ thống quan trọng của tổ chức.
Thực hiện phân vùng truy cập mạng đến các tài nguyên một cách chặt chẽ giúp hạn chế việc truy cập trái phép giữa các phân vùng, giữa các máy tính với nhau, ngăn chặn rủi ro lây lan thông qua mạng nội bộ.
- Thực hiện phân vùng mạng, tách biệt phân vùng của các tài nguyên quan trọng như: vCenter, ESXI, Domain Controller… với các phân vùng khác như DMZ, CSDL…
- Thực hiện phân vùng mạng giữa vùng mạng quản trị với vùng mạng người dùng thường, phân vùng mạng riêng cho các phòng ban…
- Tắt những tính năng SSH, Telnet trên các máy chủ ESXI, chặn quyền truy cập SMB từ Internet bằng cách chặn cổng TCP 445 nếu không sử dụng.
- Sử dụng tường lửa để kiểm soát truy cập giữa các vùng, các máy chủ, áp dụng nguyên lý tối thiểu hóa truy cập.
- Kiểm soát chặt chẽ các truy cập đến vùng mạng quan trọng: vCenter, ESXI, DC. Có thể cấu hình chỉ cho phép truy cập vật lý vào vCenter, ESXI trong trường hợp cần thiết.
- Áp dụng nguyên tắc đặc quyền tối thiểu cho các hệ thống
Việc áp dụng nguyên tắc đặc quyền tối thiểu, đặc biệt đối với các hệ thống quan trọng, giúp giảm khả năng bị tấn công, hạn chế lây lan mã độc, dễ dàng phát hiện các bất thường, các hành vi cố gắng xâm nhập hệ thống.
- Không sử dụng tài khoản truy cập administrator/root cho các hoạt động thường xuyên. Tạo người dùng, nhóm và vai trò để thực hiện nhiệm vụ quản trị tài nguyên cụ thể.
- Hạn chế quyền truy cập vào vCenter, ESXI, DC. Có thể cấu hình chỉ cho phép truy cập theo whitelist.
- Vô hiệu hoá các tính năng không cần thiết, hạn chế việc cài đặt các phần mềm trên DC vì chúng có thể được tận dụng để tấn công vào hệ thống.
- Đánh giá định kỳ các tài khoản quản trị và đặc quyền, giúp giảm nguy cơ “leo thang đặc quyền”, lỗ hổng này thường xảy ra khi các bộ phận tổ chức lại hoặc các cá nhân thay đổi vai trò mà hệ thống giữ lại các đặc quyền mà họ không cần nữa.
- Sử dụng các đặc quyền có giới hạn thời gian.
- Giám sát liên tục phát hiện sớm các hành vi xâm nhập
Việc thực hiện chủ động giám sát giúp phát hiện sớm được các vấn đề rủi ro, các dấu hiệu tấn công trong mạng, đặc biệt giám sát các truy cập đến vCenter, ESXI, Domain Controller.
- Đảm bảo rằng hệ thống IDS/IPS hoạt động đúng và dữ liệu được quản lý tập trung.
- Cấu hình các công cụ gửi các cảnh báo về các dấu hiệu xâm nhập mức mạng.
- Cấu hình cảnh báo các hành vi cố gắng truy cập, đăng nhập thành công/ không thành công vào các hạ tầng quan trọng vCenter, ESXI, Domain Controller, VPN….
- Cấu hình cảnh báo về các kết nối từ mạng nội bộ đến các máy chủ C&C để kịp thời phát hiện các rủi ro trong hệ thống.
- Cập nhật liên tục các chỉ báo về mã độc, tấn công mạng (Indica- tors of Compromise) để phát hiện các rủi ro trong hệ thống.
- Cấu hình cảnh báo về các thay đổi trên các hệ thống quan trọng vCenter, ESXI, Domain Controller… do kẻ tấn công thường cố gắng chiếm quyền điều khiển vCenter, ESXI, Domain Controller để có thể tối đa các ảnh hưởng đến hệ thống.
- Thực thi chính sách khóa tài khoản đăng nhập vào các hệ thống sau một số lần đăng nhập thất bại nhất định.
- Chủ động tìm kiếm dấu hiệu tấn công và quét mã độc, yêu cầu đơn vị chuyên trách xử lý
Rà quét mã độc là một phần quan trọng trong chiến lược bảo mật để phát hiện và loại bỏ các phần mềm độc hại khỏi hệ thống. Bằng cách thực hiện rà quét mã độc một cách định kỳ và toàn diện, điều đó có thể giữ cho hệ thống an toàn khỏi các mối đe dọa tiềm ẩn của phần mềm độc hại.
- Thực hiện rà quét mã độc bằng giải pháp rà quét mã độc hiện có
- Yêu cầu đơn vị chuyên trách ATTT thực hiện xử lý các mã độc phát hiện ra.
- Kiểm tra tất cả các cảnh báo về dấu hiệu về mã độc trên máy chů.
- Rà soát đầy đủ các cảnh báo trên hệ thống SIEM/SOC trong thời gian gần đây, yêu cầu đơn vị vận hành điều tra đầy đủ theo các cảnh báo.
- Thường xuyên cập nhật các chỉ báo về các mã độc APT.