Doanh nghiệp đối phó với ransomware như thế nào?
- PC World
- /
- 25.06.2016
- /
- 28704
Bạn hãy tưởng tượng có một cuộc gọi khẩn cho bạn vào lúc 5:00 sáng, nói rằng toàn bộ dữ liệu trên hệ thống mạng công ty bạn đều bị mã hoá và chỉ có một cách duy nhất để xem lại được dữ liệu là phải trả một khoản tiền cho một bên thứ ba ẩn danh nào đó, thanh toán bằng đồng Bitcoin. Nghe có vẻ như kịch bản của một bộ phim Hollywood nào đó, nhưng đây là câu truyện có thực, rất thực. Đó là cách mà vài biến thể ransomware , còn gọi là mã độc tống tiền, đang gây hại cho cá nhân, các tổ chức, doanh nghiệp.
Hai biến thể ransomware mới nhất cho thấy vấn đề này đang trở nên nghiêm trọng, cả về số lượng lẫn mức độ, vì ransomware đang nhiễm vào các tổ chức, doanh nghiệp lớn, kể cả những dịch vụ công cộng và xã hội, và tác động của ransomware là không hề nhỏ.
• BBC cho biết bệnh viện Chino Valley Medical Center and Desert Valley ở California, Mỹ bị nhiễm ransomware. Người phát ngôn của bệnh viện này xác nhận rằng "các hệ thống quản lý của bệnh viện bị ảnh hưởng nghiêm trọng".
• Trong một vụ việc mới đây, trung tâm y tế Hollywood Presbyterian Medical Center công bố một trường hợp khẩn, nội bộ sau khi bị ransomware tấn công. Cuối cùng, trung tâm y tế này quyết định buộc phải chi tiền ra, trả bằng đồng Bitcoin vơí mức giá hơn 17.000 USD để có thể truy cập lại được hệ thống mạng của mình. Yêu cầu tiền chuộc ban đầu là đến 3,7 tỉ USD trả bằng Bitcoin nhưng trung tâm này đã thương lượng được với kẻ tống tiền.
• Một bệnh viện ở Kentucky, Methodist Hospital mới đây bị nhiễm một ransomware mà các chuyên gia nhận diện đó là Locky, một biến thể mới của Cryptolocker, xâm nhập được vào hệ thống mạng của bệnh viện và lan nhiễm ra toàn mạng nội bộ cũng như vài hệ thống liên quan khác. Theo CNBC, ban đầu yêu cầu tiền chuộc của ransomware này là 1.600 USD nhưng bệnh viện vẫn chưa quyết định có nên trả khoản tiền chuộc này hay không. Bệnh viện này cho trang tin Ars Technica biết rằng: "Nếu buộc phải trả thì chúng tôi mới trả”.
Rõ ràng ransomware là mối nguy hiểm, gây nhức nhối cho mọi doanh nghiệp. Ransomware thường nhiễm từ file đính kèm trong email, có nội dung tựa như hoá đơn hay tài liệu theo dõi đơn hàng xuất nhập hay một nội dung gì đó có vẻ rất "công việc". Nhưng một khi mở ra, ransomware âm thầm mã hoá mọi loại file mà nó tiếp cận được mà không cần bất kỳ tương tác nào khác của người dùng, nên người dùng không hề hay biết. Một khi nó mã hoá xong xuôi, nó mới bắt đầu thông báo cho người dùng biết rằng mọi thông tin, dữ liệu của họ đã bị mã hoá và họ phải trả tiền mới mong xem được thông tin.
Những phiên bản ransomware đầu tiên của Cryptlocker không mấy thông minh, nên không thể lan khắp các ổ cứng mạng và chỉ nhiễm vào những file riêng lẻ trên một máy tính bị nhiễm ban đầu mà thôi. Lúc đó, chỉ có ai dùng trực tiếp những chiếc máy tính đó mới bị bối rối vì dữ liệu của họ bỗng dưng không truy cập được. Còn các doanh nghiệp tầm trung và lớn thường lưu dữ liệu trên các ổ cứng mạng, chia sẻ hay trên SAN, NAS nên không mấy xem trọng ransomware.
Nhưng tại thời điểm này, ransomware không còn đơn giản như trước nữa, bởi vì loại virus này càng ngày càng tỏ ra lợi hại và có khả năng kiếm tiền rất cao đối với kẻ xấu, nên hầu hết biến thể ransomware hiện nay đều có thể di chuyển khắp các ổ cứng mạng và theo các đường dẫn UNC, mã hoá mọi thứ mà chúng có thể truy cập đến được, với quyền truy cập tương đương với quyền của người dùng. Kết quả là ransomware gây ra tác động vô cùng lớn với doanh nghiệp.
Chiến lược đối phó với ransomware
Có hai giải pháp cơ bản để giải quyết vấn đề này, một đơn giản và một giải pháp có lẽ sẽ phân nhỏ đội ngũ của doanh nghiệp.
Sao lưu dữ liệu thường xuyên và nhất quán, đồng thời cần thử và kiểm tra các bản phục hồi dữ liệu. Cách này sẽ giúp bạn không rơi vào tình huống bị làm "con tin" vì ransomware vì đã có giải pháp phục hồi lại dữ liệu. Vấn đề là bạn cũng cần thường xuyên kiểm tra để đảm bảo nội dung sao lưu là an toàn và có thể hồi phục được.
Tiếp theo, cần phải giám sát chặt chẽ hệ thống dữ liệu hơn. Nhiều chuyên gia công nghệ cho rằng họ dễ dàng nhận diện ngay được khi có nhiều file bị thay đổi hàng loạt, nhất là với những file từ lâu chưa ai mở chúng. Đồng thời, bạn cần đảm bảo thiết lập đúng quyền truy cập cho nhân viên. Từ đó, bạn có thể dễ dàng nhận được một dấu hiệu xâm nhập nào đó và phục hồi lại dữ liệu bị mã hóa từ các bản phục hồi. Như vậy, bạn không bị rơi vào cái bẫy của ransomware, và nếu có bị nhiễm, chỉ có một số dữ liệu không quan trọng, không liên quan.
Lập danh sách trắng cho ứng dụng. Đây cũng là một phương cách khác chống lại ransomware. Lập danh sách trắng cần đến kiểm tra, hay như theo dõi "dấu vân tay số" của mỗi ứng dụng mà bạn cho phép chúng chạy trong hệ thống, còn những thứ còn lại bên ngoài đều không được phép chạy.
Ban đầu, giải pháp này nghe có vẻ hợp lý, vì không có mã độc nào có thể chạy được nếu nó không lọt được vào danh sách trắng. Nhưng cách này cũng có rủi ro là rất có thể malware cũng có khả năng lọt được vào danh sách này trong tương lai, ngay cả khi bạn có thiết lập mức bảo mật tốt đến đâu chăng nữa. Dù vậy, tạo một danh sách ứng dụng tin cậy, còn lại loại trừ mọi thứ khác là bước quan trọng để tăng cường mức bảo mật cho hệ thống.
Những giải pháp này lại có một rắc rối khác: nếu bạn tạo một tập ứng dụng thường xuyên thì bạn cũng phải kèm luôn cả những phiên bản khác nhau của mỗi ứng dụng đó cài trên máy tính của nhân viên, đồng thời cũng phải quản lý nhiều bản vá, sửa lỗi khác nhau cho mỗi ứng dụng, và sử dụng các chức năng tạo danh sách trắng tích hợp trong Windows, nên bạn cần tạo chứng thực cho tất cả ứng dụng ấy, mỗi ứng dụng là một chứng thực. Cũng có vài giải pháp tự động hóa nhưng các giải pháp này đều tốn phí cũng như bỏ nhiều thời gian quản trị chúng.
Cuối cùng, với danh sách trắng, người dùng phải chịu một chút thiệt thòi. Người dùng sẽ không thể tải về bất kỳ thứ gì, trong đó có cả plugin cho trình duyệt, nếu không có sự chấp thuận của người quản trị. Thậm chí, những chương trình nhỏ như PuTTY để truy cập SSH, hay Notepad+, công cụ soạn thảo văn bản và lập trình mà dân công nghệ rất quen thuộc, là những chương trình đơn giản, chỉ có một file thực thi, không cần cài đặt và có thể chuyển qua lại giữa nhiều máy tính (như có thể lưu trên bút nhớ), cũng không thể chạy được.
Bạn và phòng CNTT trong doanh nghiệp có sẵn lòng tạo một danh sách trắng tập ứng dụng an toàn và bỏ công sức để cập nhật tập danh sách ấy hay không, và những nhân viên mới yêu cầu những chương trình mới, dịch vụ trực tuyến mới thì bạn sẽ xử lý thế nào? Thay đổi như vậy sẽ tác động rất nhiều đến hệ thống nói chung, nhưng lại là chọn lựa hợp lý nhất, trực diện nhất để đối diện với ransomware.
Tin liên quan
Mã hóa là gì?
Mã hóa giúp bảo mật dữ liệu cá nhân của bạn khỏi những con mắt tò mò. Đây là một giải thích cơ bản về cách nó hoạt động của nó.
Chi tiết...6 ứng dụng cốt lõi này sẽ thay đổi trong Windows 11
Hầu hết các ứng dụng Windows chỉ đơn giản là được cập nhật để trông giống như Windows 11. Nhưng một số cũng nhận được các tính năng mới.
Chi tiết...Bảo mật IoT của bạn: Tại sao tấn công thông minh và phát hiện mối đe dọa nội gián là chìa khóa
Điều gì khiến các chuyên gia an ninh mạng thức đêm? Đó luôn là một câu hỏi chưa có lời giải đáp, nhưng gần đây tôi nghĩ rằng có một thứ thực sự có thể giúp bạn yên tâm trong giấc ngủ của mình đó là Internet Vạn Vật (IoT). IoT có thể đưa ra một số thách thức đáng ghờm đối với các chuyên gia bảo mật thông tin.
Chi tiết...Mọi điều cần biết về Windows 10 S
Đầu tháng 5, MiWindows 10 S có đặc điểm nổi bật là không đòi hỏi nhiều về cấu hình phần cứng, tạo điều kiện thuận lợi cho mọi học sinh có được chiếc máy tính Windows đầy đủ chức năng phục vụ học tập.
Chi tiết...Google và cơ hội từ dịch vụ lưu trữ không giới hạn Nearline Storage
Hồi giữa tháng 3/2015, Google giới thiệu dịch vụ lưu trữ trực tuyến Nearline, thích hợp để lưu dữ liệu khổng lồ, dạng không thể xóa được, mà lưu trên máy tính hay ổ cứng gắn ngoài cũng không xong.
Chi tiết...Bên cạnh Facebook, Amazon chính là đối thủ mới đáng gờm nhất của Google trong ngành quảng cáo
Trong nhiều năm, các nhà tiếp thị và những người trong ngành đã dự đoán rằng Amazon sẽ trở thành một “thế lực thứ ba” trong ngành quảng cáo.
Chi tiết...