Có rất nhiều cách để bảo vệ bạn khỏi nhiễm ransomware. Với công nghệ đang không ngừng phát triển, việc tuân thủ các biện pháp an ninh mạng và luôn chủ động là rất quan trọng. Điều này đảm bảo rằng cả bạn và doanh nghiệp của bạn sẽ không bao giờ phải đối mặt với bất kỳ mối đe dọa ransomware nào.
1. Sao lưu dữ liệu
Bảo vệ dữ liệu của bạn thông qua việc sao lưu dữ liệu vào ổ cứng ngoài hoặc máy chủ đám mây là một trong những biện pháp giảm thiểu rủi ro dễ dàng nhất. Trong trường hợp bị tấn công ransomware, việc xoá sạch máy tính và cài đặt lại các tệp sao lưu trở thành một giải pháp hiệu quả. Để bảo vệ tối đa, các tổ chức nên sao lưu dữ liệu quan trọng ít nhất một lần mỗi ngày.
Tuân theo quy tắc 3-2-1 là một chiến lược được áp dụng rộng rãi. Điều này yêu cầu việc giữ ít nhất 3 bản sao riêng biệt cho dữ liệu trên 2 loại lưu trữ khác nhau với 1 bản sao lưu ngoại tuyến. Bạn có thể thêm một lớp bảo mật bổ sung bằng cách lưu trữ thêm một bản sao trên máy chủ lưu trữ đám mây không thể thay đổi và không thể xóa.
Tại VNG Cloud, chúng tôi mang tới giải pháp sao lưu dữ liệu an toàn - vBackup với những tính năng nổi bật:
Duy trì tình trạng hoạt động của hệ điều hành, trình duyệt web, phần mềm diệt virus và các phần mềm khác bằng cách thường xuyên cập nhật chúng lên phiên bản mới nhất. Để chống lại sự phát triển liên tục của malware, virus và ransomware, việc cập nhật tính năng bảo mật mới nhất là điều cần thiết, ngăn chặn các biến thể mới khai thác lỗ hổng.
Những doanh nghiệp lớn làm việc dựa trên các hệ thống cũ đã lỗi thời thường trở thành mục tiêu của những kẻ tấn công mạng.
3. Cài đặt phần mềm diệt virus và tường lửa
Triển khai phần mềm diệt virus và chống malware mạnh mẽ là một biện pháp phòng thủ tiêu chuẩn chống lại ransomware, cung cấp khả năng scan, phát hiện và ứng phó với các mối đe dọa mạng. Tuy nhiên, việc cấu hình tường lửa của bạn cũng quan trọng không kém, vì phần mềm chống virus hoạt động nội bộ và chỉ có thể phát hiện các cuộc tấn công khi chúng đã xâm nhập vào hệ thống.
Tường lửa đóng vai trò là biện pháp phòng thủ quan trọng chống lại mọi cuộc tấn công từ bên ngoài, cả các mối đe dọa dựa trên phần mềm và phần cứng. Chúng rất cần thiết đối với các doanh nghiệp hoặc mạng riêng tư vì chúng có thể chặn và lọc hiệu quả các dữ liệu đáng ngờ xâm nhập vào hệ thống.
TIP: Hãy cẩn thận với các cảnh báo phát hiện virus giả mạo. Nhiều cảnh báo giả mạo bắt chước phần mềm chống virus của bạn, đặc biệt là qua email hoặc cửa sổ pop-up trên trang web. Không nhấp vào bất kỳ liên kết nào cho đến khi bạn xác minh trực tiếp thông qua phần mềm chống virus.
4. Phân đoạn mạng
Do sự lây lan nhanh chóng của ransomware trên toàn mạng, việc hạn chế phạm vi lan rộng của nó trong một cuộc tấn công là rất quan trọng. Triển khai phân đoạn mạng liên quan đến việc chia mạng thành các phần nhỏ, cho phép tổ chức cô lập ransomware và ngăn chặn sự lây lan của nó đến các hệ thống khác.
Mỗi hệ thống con riêng biệt phải có các biện pháp kiểm soát bảo mật, tường lửa và quyền truy cập riêng để ngăn chặn ransomware tiếp cận dữ liệu mục tiêu. Quyền truy cập được phân đoạn không chỉ ngăn chặn sự lây lan đến mạng chính mà còn cung cấp thêm thời gian cho đội ngũ bảo mật để xác định, cách ly và loại bỏ mối đe dọa.
5. Bảo mật email
Ransomware có thể xâm nhập qua email theo nhiều cách khác nhau, bao gồm:
Thực hiện các biện pháp bảo mật email trên giúp giảm đáng kể nguy cơ trở thành nạn nhân của các cuộc tấn công ransomware qua email
6. Whitelist ứng dụng
Whitelist xác định các ứng dụng trên mạng nào có thể được tải xuống và chạy. Chỉ những chương trình và trang web đã được phê duyệt mới được phép, trong khi các phần mềm hoặc trang web trái phép không nằm trong whitelist đều bị hạn chế hoặc chặn. Việc sử dụng các công cụ whitelist như Windows AppLocker cho phép kiểm soát bổ sung, cho phép "blacklist" hoặc chặn các chương trình và trang web cụ thể.
7. Bảo mật điểm cuối
Bảo mật điểm cuối phải là ưu tiên hàng đầu khi các doanh nghiệp mở rộng. Với sự gia tăng của người dùng cuối, tạo ra nhiều điểm cuối hơn, bao gồm laptop, smartphone và server, việc bảo mật từng điểm cuối trở nên rất quan trọng. Sự gia tăng của các điểm cuối từ xa cũng tạo cơ hội tiềm ẩn cho tội phạm truy cập thông tin riêng tư hoặc đe dọa mạng chính.
Cho dù bạn đang điều hành doanh nghiệp tại nhà hay là một phần của một công ty lớn, hãy cân nhắc việc triển khai các nền tảng bảo vệ điểm cuối (EPP) hoặc phát hiện và phản hồi điểm cuối (EDR) cho tất cả người dùng mạng. Các công nghệ này cho phép người quản trị hệ thống giám sát và quản lý bảo mật cho từng thiết bị từ xa. EDR, tiên tiến hơn so với EPP, tập trung vào việc ứng phó với những mối đe dọa xâm nhập vào mạng.
EPP và EDR thường cung cấp một bộ công cụ bảo vệ, bao gồm:
Tăng cường bảo vệ mạng và hệ thống bằng việc giới hạn quyền truy cập và quyền của người dùng chỉ đối với những dữ liệu cần thiết. Áp dụng khái niệm "đặc quyền tối thiểu" (least privilege) sẽ giới hạn quyền truy cập vào dữ liệu quan trọng, ngăn chặn sự lây lan của ransomware trong hệ thống của công ty. Ngay cả khi có quyền truy cập, người dùng vẫn có thể gặp phải các chức năng hoặc tài nguồn bị hạn chế, theo đúng chính sách kiểm soát quyền truy cập dựa trên vai trò (RBAC).
Phương pháp này thường sử dụng mô hình zero-trust, giả sử rằng người dùng nội bộ hoặc người dùng bên ngoài không thể được tin cậy một cách tự động. Điều này yêu cầu phải xác minh danh tính ở mọi cấp độ truy cập, thường thông qua xác thực hai yếu tố (2FA) hoặc xác thực đa yếu tố (MFA) để ngăn chặn quyền truy cập trái phép trong trường hợp vi phạm.
9. Kiểm tra bảo mật định kỳ
Việc nâng cao các biện pháp bảo mật phải là một nhiệm vụ liên tục. Với các kỹ thuật ransomware ngày càng phát triển, các công ty cần thường xuyên thực hiện kiểm tra và đánh giá an ninh mạng để duy trì khả năng thích ứng trong môi trường thay đổi. Điều này bao gồm các hoạt động như:
10. Đào tạo nâng cao nhận thức về bảo mật
Vì người dùng cuối và nhân viên là điểm khởi đầu chính cho các cuộc tấn công mạng, một trong những khóa đào tạo quan trọng nhất mà công ty có thể cung cấp là đào tạo nâng cao nhận thức về bảo mật. Các kế hoạch lừa đảo và tấn công phi kỹ thuật có thể lợi dụng những người dùng không có sự nghi ngờ và sự chuẩn bị. Có kiến thức cơ bản về an ninh mạng sẽ ngăn chặn các cuộc tấn công ngay từ đầu.
Các phương pháp đào tạo bảo mật chính bao gồm:
Với kế hoạch khôi phục sau tấn công ransomware, tổ chức có thể nhanh chóng trở lại hoạt động bình thường
Dù có các biện pháp bảo mật nghiêm ngặt nhưng việc trở thành nạn nhân của ransomware vẫn có khả năng xảy ra. Một kế hoạch bảo mật toàn diện nên đưa ra các hành động ngay lập tức sau khi bị lây nhiễm để giảm thiểu thiệt hại. Thiết lập trước các quy trình liên lạc và ứng phó khẩn cấp để đảm bảo người dùng hiểu những bước cần phải làm nếu cuộc tấn công xảy ra. Một số bước cần thực hiện bao gồm:
1. Sao lưu dữ liệu
Bảo vệ dữ liệu của bạn thông qua việc sao lưu dữ liệu vào ổ cứng ngoài hoặc máy chủ đám mây là một trong những biện pháp giảm thiểu rủi ro dễ dàng nhất. Trong trường hợp bị tấn công ransomware, việc xoá sạch máy tính và cài đặt lại các tệp sao lưu trở thành một giải pháp hiệu quả. Để bảo vệ tối đa, các tổ chức nên sao lưu dữ liệu quan trọng ít nhất một lần mỗi ngày.
Tuân theo quy tắc 3-2-1 là một chiến lược được áp dụng rộng rãi. Điều này yêu cầu việc giữ ít nhất 3 bản sao riêng biệt cho dữ liệu trên 2 loại lưu trữ khác nhau với 1 bản sao lưu ngoại tuyến. Bạn có thể thêm một lớp bảo mật bổ sung bằng cách lưu trữ thêm một bản sao trên máy chủ lưu trữ đám mây không thể thay đổi và không thể xóa.
Tại VNG Cloud, chúng tôi mang tới giải pháp sao lưu dữ liệu an toàn - vBackup với những tính năng nổi bật:
- Bảo vệ dữ liệu với cơ chế Replication mỗi dữ liệu 2 bản.
- Mã hóa AES 256-bit và truyền tải dữ liệu an toàn qua giao thức HTTPS.
- Sao lưu & Khôi phục nhanh chóng trước các cuộc tấn công ransomware.
- Hỗ trợ sao lưu dữ liệu đa nền tảng, đa hệ điều hành.
- Tối ưu chi phí với mô hình thanh toán Pay as you go.
Duy trì tình trạng hoạt động của hệ điều hành, trình duyệt web, phần mềm diệt virus và các phần mềm khác bằng cách thường xuyên cập nhật chúng lên phiên bản mới nhất. Để chống lại sự phát triển liên tục của malware, virus và ransomware, việc cập nhật tính năng bảo mật mới nhất là điều cần thiết, ngăn chặn các biến thể mới khai thác lỗ hổng.
Những doanh nghiệp lớn làm việc dựa trên các hệ thống cũ đã lỗi thời thường trở thành mục tiêu của những kẻ tấn công mạng.
3. Cài đặt phần mềm diệt virus và tường lửa
Triển khai phần mềm diệt virus và chống malware mạnh mẽ là một biện pháp phòng thủ tiêu chuẩn chống lại ransomware, cung cấp khả năng scan, phát hiện và ứng phó với các mối đe dọa mạng. Tuy nhiên, việc cấu hình tường lửa của bạn cũng quan trọng không kém, vì phần mềm chống virus hoạt động nội bộ và chỉ có thể phát hiện các cuộc tấn công khi chúng đã xâm nhập vào hệ thống.
Tường lửa đóng vai trò là biện pháp phòng thủ quan trọng chống lại mọi cuộc tấn công từ bên ngoài, cả các mối đe dọa dựa trên phần mềm và phần cứng. Chúng rất cần thiết đối với các doanh nghiệp hoặc mạng riêng tư vì chúng có thể chặn và lọc hiệu quả các dữ liệu đáng ngờ xâm nhập vào hệ thống.
TIP: Hãy cẩn thận với các cảnh báo phát hiện virus giả mạo. Nhiều cảnh báo giả mạo bắt chước phần mềm chống virus của bạn, đặc biệt là qua email hoặc cửa sổ pop-up trên trang web. Không nhấp vào bất kỳ liên kết nào cho đến khi bạn xác minh trực tiếp thông qua phần mềm chống virus.
4. Phân đoạn mạng
Do sự lây lan nhanh chóng của ransomware trên toàn mạng, việc hạn chế phạm vi lan rộng của nó trong một cuộc tấn công là rất quan trọng. Triển khai phân đoạn mạng liên quan đến việc chia mạng thành các phần nhỏ, cho phép tổ chức cô lập ransomware và ngăn chặn sự lây lan của nó đến các hệ thống khác.
Mỗi hệ thống con riêng biệt phải có các biện pháp kiểm soát bảo mật, tường lửa và quyền truy cập riêng để ngăn chặn ransomware tiếp cận dữ liệu mục tiêu. Quyền truy cập được phân đoạn không chỉ ngăn chặn sự lây lan đến mạng chính mà còn cung cấp thêm thời gian cho đội ngũ bảo mật để xác định, cách ly và loại bỏ mối đe dọa.
5. Bảo mật email
Ransomware có thể xâm nhập qua email theo nhiều cách khác nhau, bao gồm:
- Tải xuống các tệp đính kèm từ email đáng ngờ.
- Nhấp vào các liên kết dẫn đến các trang web bị nhiễm virus.
- Tấn công phi kỹ thuật, thao túng người dùng tiết lộ thông tin nhạy cảm.
- Tránh mở email từ những người gửi không xác định và không nhấp vào tệp đính kèm, tệp hoặc liên kết từ các nguồn trái phép.
- Luôn cập nhật các ứng dụng email client để ngăn chặn tội phạm công nghệ cao khai thác các lỗ hổng bảo mật trong công nghệ lỗi thời.
- Sử dụng Sender Policy Framework (SPF) để xác thực email, chỉ định các máy chủ email cụ thể cho các thư gửi đi.
- Sử dụng DomainKeys Identified Mail (DKIM) để cung cấp các khóa mã hóa và chữ ký số, đảm bảo tính xác thực của email.
- Áp dụng Domain Message Authentication Reporting & Conformance (DMARC) để tăng cường xác thực email bằng cách kết hợp với các giao thức SPF và DKIM.
Thực hiện các biện pháp bảo mật email trên giúp giảm đáng kể nguy cơ trở thành nạn nhân của các cuộc tấn công ransomware qua email
6. Whitelist ứng dụng
Whitelist xác định các ứng dụng trên mạng nào có thể được tải xuống và chạy. Chỉ những chương trình và trang web đã được phê duyệt mới được phép, trong khi các phần mềm hoặc trang web trái phép không nằm trong whitelist đều bị hạn chế hoặc chặn. Việc sử dụng các công cụ whitelist như Windows AppLocker cho phép kiểm soát bổ sung, cho phép "blacklist" hoặc chặn các chương trình và trang web cụ thể.
7. Bảo mật điểm cuối
Bảo mật điểm cuối phải là ưu tiên hàng đầu khi các doanh nghiệp mở rộng. Với sự gia tăng của người dùng cuối, tạo ra nhiều điểm cuối hơn, bao gồm laptop, smartphone và server, việc bảo mật từng điểm cuối trở nên rất quan trọng. Sự gia tăng của các điểm cuối từ xa cũng tạo cơ hội tiềm ẩn cho tội phạm truy cập thông tin riêng tư hoặc đe dọa mạng chính.
Cho dù bạn đang điều hành doanh nghiệp tại nhà hay là một phần của một công ty lớn, hãy cân nhắc việc triển khai các nền tảng bảo vệ điểm cuối (EPP) hoặc phát hiện và phản hồi điểm cuối (EDR) cho tất cả người dùng mạng. Các công nghệ này cho phép người quản trị hệ thống giám sát và quản lý bảo mật cho từng thiết bị từ xa. EDR, tiên tiến hơn so với EPP, tập trung vào việc ứng phó với những mối đe dọa xâm nhập vào mạng.
EPP và EDR thường cung cấp một bộ công cụ bảo vệ, bao gồm:
- Phần mềm diệt virus và chống malware
- Mã hóa dữ liệu
- Ngăn ngừa mất dữ liệu
- Phát hiện xâm nhập
- Bảo mật trình duyệt web
- Bảo mật di động và máy tính để bàn
- Đánh giá mạng cho đội ngũ bảo mật
- Cảnh báo và thông báo bảo mật theo thời gian thực.
Tăng cường bảo vệ mạng và hệ thống bằng việc giới hạn quyền truy cập và quyền của người dùng chỉ đối với những dữ liệu cần thiết. Áp dụng khái niệm "đặc quyền tối thiểu" (least privilege) sẽ giới hạn quyền truy cập vào dữ liệu quan trọng, ngăn chặn sự lây lan của ransomware trong hệ thống của công ty. Ngay cả khi có quyền truy cập, người dùng vẫn có thể gặp phải các chức năng hoặc tài nguồn bị hạn chế, theo đúng chính sách kiểm soát quyền truy cập dựa trên vai trò (RBAC).
Phương pháp này thường sử dụng mô hình zero-trust, giả sử rằng người dùng nội bộ hoặc người dùng bên ngoài không thể được tin cậy một cách tự động. Điều này yêu cầu phải xác minh danh tính ở mọi cấp độ truy cập, thường thông qua xác thực hai yếu tố (2FA) hoặc xác thực đa yếu tố (MFA) để ngăn chặn quyền truy cập trái phép trong trường hợp vi phạm.
9. Kiểm tra bảo mật định kỳ
Việc nâng cao các biện pháp bảo mật phải là một nhiệm vụ liên tục. Với các kỹ thuật ransomware ngày càng phát triển, các công ty cần thường xuyên thực hiện kiểm tra và đánh giá an ninh mạng để duy trì khả năng thích ứng trong môi trường thay đổi. Điều này bao gồm các hoạt động như:
- Đánh giá lại đặc quyền của người dùng và điểm truy cập.
- Xác định các lỗ hổng mới trong hệ thống.
- Phát triển các giao thức bảo mật cập nhật.
10. Đào tạo nâng cao nhận thức về bảo mật
Vì người dùng cuối và nhân viên là điểm khởi đầu chính cho các cuộc tấn công mạng, một trong những khóa đào tạo quan trọng nhất mà công ty có thể cung cấp là đào tạo nâng cao nhận thức về bảo mật. Các kế hoạch lừa đảo và tấn công phi kỹ thuật có thể lợi dụng những người dùng không có sự nghi ngờ và sự chuẩn bị. Có kiến thức cơ bản về an ninh mạng sẽ ngăn chặn các cuộc tấn công ngay từ đầu.
Các phương pháp đào tạo bảo mật chính bao gồm:
- Lướt web an toàn
- Tạo mật khẩu mạnh và an toàn
- Sử dụng VPN an toàn (tránh Wi-Fi công cộng)
- Nhận dạng email hoặc tệp đính kèm đáng ngờ
- Duy trì hệ thống và phần mềm cập nhật
- Đào tạo về bảo mật thông tin
- Cung cấp kênh báo cáo khẩn cấp cho các hoạt động đáng ngờ.
Với kế hoạch khôi phục sau tấn công ransomware, tổ chức có thể nhanh chóng trở lại hoạt động bình thường
Dù có các biện pháp bảo mật nghiêm ngặt nhưng việc trở thành nạn nhân của ransomware vẫn có khả năng xảy ra. Một kế hoạch bảo mật toàn diện nên đưa ra các hành động ngay lập tức sau khi bị lây nhiễm để giảm thiểu thiệt hại. Thiết lập trước các quy trình liên lạc và ứng phó khẩn cấp để đảm bảo người dùng hiểu những bước cần phải làm nếu cuộc tấn công xảy ra. Một số bước cần thực hiện bao gồm:
Bài viết liên quan
Bài viết mới