5 chiến lược bảo vệ khỏi mã độc tống tiền cho năm 2023

Fortinet vừa đưa ra khuyến nghị về 5 chiến lược bảo vệ các doanh nghiệp và người dùng cá nhân khỏi mã độc tống tiền cho năm 2023. Các ý kiến được chuyên gia bảo mật Aamir Lakhani tổng hợp.

Sự gia tăng của các cuộc tấn công bằng mã độc tống tiền (ransomware) vào năm 2022 khiến chúng ta hình dung các nguy cơ sẽ tiếp diễn như thế nào trong tương lai. Các nhóm chuyên trách bảo mật ở khắp mọi nơi nên lường trước việc phương thức tấn công này thậm chí còn trở nên phổ biến hơn vào năm 2023.

Chỉ trong nửa đầu năm 2022, số lượng các biến thể mã độc tống tiền mới do Fortinet xác định được đã tăng gần 100% so với khoảng thời gian sáu tháng trước đó. Đội ngũ nghiên cứu an ninh mạng và mối đe dọa toàn cầu của FortiGuard Labs đã ghi nhận 10.666 biến thể mã độc tống tiền mới trong 6 tháng đầu năm 2022 so với con số 5.400 biến thể trong nửa cuối năm 2021. Sự gia tăng đột biến các biến thể mã độc tống tiền mới này chủ yếu là do ngày càng nhiều kẻ tấn công lợi dụng phương thức RaaS trên web đen (Ransomware-as-a-Service – dùng dịch vụ mã độc tống tiền).

Tuy nhiên, với sự gia tăng về số lượng biến thể của mã độc tống tiền, các kỹ thuật mà những kẻ xấu sử dụng để phát tán ransomware phần lớn vẫn giống nhau. Dự đoán này là tin tốt vì các nhóm chuyên trách bảo mật có thể chuẩn bị sẵn sàng để chống lại các cuộc tấn công này. Dưới đây là phân tích của Aamir Lakhani và đội ngũ FortiGuard Labs về các chiến lược giảm thiểu thiệt hại từ mã độc tống tiền và cách thức triển khai những chiến lược này trong các tổ chức, doanh nghiệp.

Việc phát hiện mã độc tống tiền hiệu quả đòi hỏi sự kết hợp giữa đào tạo và công nghệ. Chuyên gia bảo mật Aamir Lakhani thay mặt đội ngũ nghiên cứu của Fortinet đưa ra khuyến nghị những phương thức giúp phát hiện và ngăn chặn sự phát triển của các cuộc tấn công mã độc tống tiền hữu hiệu nhất hiện nay:

1. Hướng dẫn cho nhân viên về các dấu hiệu nổi bật của mã độc tống tiền: Việc đào tạo nâng cao nhận thức về bảo mật cho lực lượng lao động ngày nay là điều bắt buộc và sẽ giúp các tổ chức phòng thủ chống lại một loạt các mối đe dọa ngày càng phát triển. Hướng dẫn nhân viên cách phát hiện các dấu hiệu của mã độc tống tiền, chẳng hạn như email được thiết kế giống như email đến từ các doanh nghiệp đáng tin cậy hay cách nhận diện liên kết bên ngoài và tệp đính kèm đáng ngờ.
2. Dùng mánh khóe dụ dỗ và ngăn chặn những kẻ tấn công: Honeypot là một mồi nhử bao gồm các kho lưu trữ giả mạo các tệp được thiết kế để trông giống như các mục tiêu hấp dẫn đối với những kẻ tấn công. Có thể phát hiện và ngăn chặn cuộc tấn công khi tin tặc đòi tiền chuộc tấn công Honeypot. Công nghệ lừa đảo qua mạng như thế này không chỉ sử dụng các kỹ thuật và chiến thuật riêng của chính mã độc tống tiền chống lại chính nó để kích hoạt khả năng phát hiện, mà còn khám phá ra các chiến thuật, công cụ và quy trình (TTP) kẻ tấn công sử dụng trong mạng để nhóm chuyên trách bảo mật có thể xác định và khắc phục những lỗ hổng bảo mật đó.
3. Giám sát mạng và các thiết bị đầu cuối: Bằng cách tiến hành giám sát mạng liên tục, có thể ghi lại lưu lượng truy cập đến và đi, quét file để tìm bằng chứng tấn công (chẳng hạn như việc sửa đổi không thành công), thiết lập đường cơ sở cho hoạt động được chấp nhận của người dùng, và sau đó điều tra mọi dấu hiệu bất thường. Việc triển khai các công cụ chống virus và chống mã độc tống tiền cũng rất hữu ích vì có thể sử dụng các công nghệ này để đưa vào danh sách trắng các trang web được chấp nhận. Cuối cùng, việc bổ sung các tính năng phát hiện dựa trên hành vi vào hộp công cụ bảo mật là điều cần thiết, đặc biệt khi bề mặt tấn công của tổ chức ngày càng mở rộng và những kẻ tấn công liên tục nâng cao khả năng bằng các cuộc tấn công mới, phức tạp hơn.
4. Nhìn ra bên ngoài tổ chức: Hãy xem xét việc nhìn ra bên ngoài mạng lưới để tìm hiểu những nguy cơ rủi ro đối với một tổ chức. Dịch vụ DRP, một phần mở rộng của kiến trúc bảo mật, có thể giúp tổ chức nhìn thấy và giảm thiểu ba lĩnh vực rủi ro bổ sung: rủi ro tài sản kỹ thuật số, rủi ro liên quan đến thương hiệu, các mối đe dọa ngầm và các mối đe dọa tiềm ẩn sắp xảy ra.
5. Tăng cường SOC-as-a-service (dịch vụ đảm bảo an toàn thông tin trên nền tảng website giúp người dùng dễ dàng theo dõi tình hình an ninh mạng bên trong hệ thống theo thời gian thực) cho tổ chức nếu cần: Thực tế hiện tại qua toàn cảnh mối đe dọa, xét cả về tốc độ và mức độ tinh vi, chúng ta hiểu rằng cần nỗ lực hơn để luôn đi trước những kẻ tấn công. Cụ thể, làm việc thông minh hơn, ví dụ như thuê ngoài các nhiệm vụ, công việc cụ thể như ứng phó với sự cố và săn lùng mối đe dọa. Đây là lý do tại sao việc dựa vào nhà cung cấp dịch vụ Phát hiện và phản hồi được quản lý (MDR) hoặc cung cấp dịch vụ SOC rất hữu ích. Tăng cường năng lực cho tổ chức theo cách này có thể giúp đơn giản hóa quy trình công việc, giải phóng các nhà phân tích để họ có thể tập trung vào các nhiệm vụ nghiên cứu quan trọng nhất.
   Mặc dù quy mô và tốc độ của mã độc tống tiền không chậm lại nhưng vẫn có sẵn nhiều công nghệ và quy trình giúp các tổ chức, các nhóm chuyên trách bảo mật giảm thiểu rủi ro liên quan đến loại hình tấn công này. Từ các chương trình giáo dục, đào tạo về không gian mạng đang sẵn có ra cho đến các nỗ lực tăng cường ZTNA, Fortinet tự hào có thể cung cấp cho các tổ chức những công cụ và giải pháp ngăn chặn những kẻ tấn công xảo quyệt nhất.