Làm thế nào nó có thể bảo vệ chống lại ransomware

Chúng ta đều biết ransomware là một trong những biến thể phần mềm độc hại tàn phá nhất hiện có. Bạn đang nói về việc nhấp vào liên kết sai và khiến dữ liệu của tổ chức của bạn biến mất trong một vũng lầy được mã hóa, hoặc thậm chí hệ điều hành máy chủ (HĐH) và các tệp quan trọng khác chỉ cần biến mất một ngày. Bạn có thể trả tiền chuộc, nhưng điều đó không chỉ tốn kém mà còn không đảm bảo rằng những kẻ xấu sẽ trả lại cho bạn dữ liệu của bạn.

Khi bạn bị tấn công, các lựa chọn của bạn rất ảm đạm: hy vọng rằng bạn có thể khôi phục hệ thống của mình hoạt động bằng cách sử dụng các bản sao lưu dựa trên đám mây hoặc trả tiền chuộc và hy vọng rằng khóa giải mã hoạt động. Nhưng đó chỉ là khi bạn trúng. Sự lựa chọn tốt hơn là giữ cho các tệp của bạn được mã hóa ở vị trí đầu tiên hoặc, nếu một số tệp bị tấn công, sau đó giữ cho cuộc tấn công không lan rộng. Chìa khóa là nâng cấp trò chơi bảo mật của công ty bạn để tránh bị tấn công.

Làm thế nào để tránh một cuộc tấn công Ransomware

Bước đầu tiên là những gì Israel Barak, Giám đốc An ninh Thông tin (CISO) của nhà phát triển phần mềm phát hiện và phản hồi điểm cuối Cyberory gọi là "CNTT và vệ sinh bảo mật". Điều này có nghĩa là tránh các lỗ hổng và lọc lưu lượng email và web. Điều đó cũng có nghĩa là cung cấp đào tạo người dùng và đảm bảo rằng các bản vá cho hệ điều hành, ứng dụng và sản phẩm bảo mật của bạn hoàn toàn cập nhật.

Bước thứ hai là có một chiến lược kinh doanh liên tục và phục hồi. Điều này có nghĩa là thực sự lập một kế hoạch khi mọi thứ trở nên tồi tệ thay vì chỉ hy vọng họ sẽ không làm thế. Barak cho biết điều này bao gồm có các bản sao lưu tại chỗ và được thử nghiệm, biết cách bạn sẽ phục hồi các dịch vụ bị ảnh hưởng, biết nơi bạn sẽ lấy tài nguyên máy tính để phục hồi và biết rằng kế hoạch khôi phục hoàn toàn của bạn sẽ hoạt động vì bạn đã thực sự kiểm tra nó.

Bước thứ ba là bảo vệ chống phần mềm độc hại. Barak cho biết điều này bao gồm các biện pháp bảo vệ chống phần mềm độc hại xâm nhập vào mạng của bạn và bảo vệ chống lại phần mềm độc hại khi thực hiện trên hệ thống của bạn. May mắn thay, hầu hết các phần mềm độc hại khá dễ phát hiện vì các tác giả phần mềm độc hại thường chia sẻ các thói quen thành công.

Tại sao Ransomware lại khác

Thật không may, ransomware không giống như phần mềm độc hại khác. Barak nói rằng, bởi vì ransomware chỉ cư trú trên máy tính một thời gian ngắn, không khó để tránh bị phát hiện trước khi nó hoàn thành mã hóa và gửi tin nhắn ransomware. Ngoài ra, không giống như các loại phần mềm độc hại khác, phần mềm độc hại thực sự mã hóa tệp có thể đến trên máy tính của nạn nhân chỉ một lúc trước khi mã hóa bắt đầu.

Hai loại phần mềm độc hại tương đối gần đây, Ryukuk và SamSam, xâm nhập vào hệ thống của bạn dưới sự hướng dẫn của nhà điều hành con người. Trong trường hợp của Ryuk, nhà điều hành đó có lẽ nằm ở Bắc Triều Tiên và SamSam ở Iran. Trong mỗi trường hợp, cuộc tấn công bắt đầu bằng việc tìm kiếm thông tin đăng nhập cho phép xâm nhập vào hệ thống. Khi đó, nhà điều hành kiểm tra nội dung của hệ thống, quyết định tập tin nào cần mã hóa, nâng cao đặc quyền, tìm kiếm và hủy kích hoạt phần mềm chống phần mềm độc hại và liên kết đến các bản sao lưu để mã hóa hoặc trong một số trường hợp, hủy kích hoạt sao lưu. Sau đó, có lẽ sau nhiều tháng chuẩn bị, phần mềm độc hại mã hóa được tải và khởi chạy; nó có thể hoàn thành công việc của mình trong vài phút. Quá nhanh để một nhà điều hành con người can thiệp.

"Ở SamSam, họ không sử dụng lừa đảo thông thường", Carlos Solari, Phó chủ tịch của nhà phát triển giải pháp an ninh mạng Comodo Cybersecurance và cựu CIO của Nhà Trắng giải thích. "Họ đã sử dụng các trang web và thông tin đánh cắp của mọi người và sử dụng vũ lực để lấy mật khẩu."

Solari cho biết những sự xâm nhập này thường xuyên không được phát hiện vì không có phần mềm độc hại nào cho đến khi kết thúc. Nhưng ông nói rằng, thực hiện đúng, có nhiều cách để ngăn chặn cuộc tấn công vào thời điểm này. Thông thường, ông nói, bọn tội phạm sẽ theo đuổi các dịch vụ thư mục cho mạng và tấn công chúng để chúng có thể giành được các đặc quyền cấp hành chính cần thiết cho việc dàn dựng cuộc tấn công. Tại thời điểm này, một hệ thống phát hiện xâm nhập (IDS) có thể phát hiện các thay đổi và, nếu các nhà khai thác mạng biết phải tìm gì, thì họ có thể khóa hệ thống xuống và đuổi những kẻ xâm nhập.

"Nếu họ đang chú ý, thì họ sẽ nhận ra rằng ai đó đang ở bên trong", Solari nói. "Điều quan trọng là tìm thấy trí thông minh mối đe dọa bên trong và bên ngoài. Bạn đang tìm kiếm sự bất thường trong hệ thống."

Cách tự bảo vệ mình

Đối với các công ty nhỏ hơn, Solari đề nghị các công ty tìm Trung tâm điều hành bảo mật và phát hiện được quản lý (MDR) được quản lý (SOC) như một dịch vụ. Ông nói thêm rằng các công ty lớn hơn có thể muốn tìm Nhà cung cấp dịch vụ bảo mật được quản lý (MSSP). Một trong hai giải pháp sẽ giúp bạn có thể theo dõi các sự kiện bảo mật, bao gồm cả việc dàn dựng trước một cuộc tấn công ransomware lớn.

Ngoài việc giám sát mạng của bạn, điều quan trọng là làm cho mạng của bạn sao cho nó không thể đối phó với bọn tội phạm nhất có thể. Theo Adam Kujawa, Giám đốc Phòng thí nghiệm Malwarebyte, một bước quan trọng là phân đoạn mạng của bạn để kẻ xâm nhập không thể đơn giản di chuyển qua mạng của bạn và có quyền truy cập vào mọi thứ. "Bạn không nên giữ tất cả dữ liệu của mình ở cùng một nơi", Kujawa nói. "Bạn cần một mức độ bảo mật sâu hơn."

Nhưng, nếu bạn phát hiện ra các giai đoạn xâm lấn trước cuộc tấn công của ransomware, thì sẽ có một lớp hoặc phản hồi khác, đó là phát hiện hành vi của phần mềm độc hại khi nó bắt đầu mã hóa tệp.

"Những gì chúng tôi đã thêm là cơ chế hành vi dựa trên hành vi điển hình cho ransomware, " Barak giải thích. Ông cho biết phần mềm như vậy xem những gì ransomware có thể đang làm, chẳng hạn như mã hóa tập tin hoặc xóa các bản sao lưu, và sau đó phải hành động để giết quá trình trước khi nó có thể gây ra bất kỳ thiệt hại nào. "Nó hiệu quả hơn trước các chủng ransomware chưa từng thấy."

Cảnh báo sớm và bảo vệ

Để cung cấp một hình thức cảnh báo sớm, Barak cho biết Cyberory tiến thêm một bước. "Những gì chúng tôi đã làm là sử dụng một cơ chế ngoại lệ, " ông nói. "Khi phần mềm Cyberory đi vào điểm cuối, nó sẽ tạo ra một loạt các tệp cơ sở được định vị trong các thư mục trên ổ cứng, điều này sẽ khiến ransomware cố gắng mã hóa chúng trước." Ông cho biết những thay đổi đối với những tập tin đó được phát hiện ngay lập tức,

Sau đó, phần mềm của Cyberory hoặc phần mềm tương tự từ Malwarebytes sẽ chấm dứt quá trình và trong nhiều trường hợp, hãy chứa phần mềm độc hại để nó không gây thêm thiệt hại.

Vì vậy, có một số lớp phòng thủ có thể ngăn chặn một cuộc tấn công của ransomware và, nếu bạn có tất cả các chức năng và tại chỗ, thì một cuộc tấn công thành công sẽ phải tuân theo một loạt các thất bại để xảy ra. Và bạn có thể ngăn chặn những cuộc tấn công bất cứ nơi nào dọc theo chuỗi.

Bạn có nên trả tiền chuộc?

Nhưng giả sử bạn quyết định bạn muốn trả tiền chuộc và khôi phục hoạt động ngay lập tức? "Đối với một số tổ chức, đó là một lựa chọn khả thi", Barak nói.

Bạn sẽ phải đánh giá chi phí gián đoạn kinh doanh để xác định xem chi phí đưa trở lại hoạt động có tốt hơn chi phí phục hồi hay không, tất cả mọi thứ đều được xem xét. Barak nói rằng, đối với các cuộc tấn công ransomware kinh doanh, "trong hầu hết các trường hợp, bạn sẽ lấy lại các tập tin."

Nhưng Barak nói rằng, nếu trả tiền chuộc là một khả năng, thì bạn có những cân nhắc khác. "Làm thế nào để chúng tôi chuẩn bị trước để có cơ chế đàm phán chi phí nhận lại các dịch vụ? Làm thế nào để chúng tôi trả tiền cho chúng? Làm thế nào để chúng tôi hình thành cơ chế để môi giới loại thanh toán đó?"

Theo Barak, gần như mọi cuộc tấn công của ransomware đều bao gồm một phương tiện liên lạc với kẻ tấn công và hầu hết các doanh nghiệp đều cố gắng đàm phán một thỏa thuận mà những kẻ tấn công ransomware thường mở. Ví dụ: bạn có thể quyết định rằng bạn chỉ cần một phần của các máy đã được mã hóa và chỉ cần thương lượng để trả lại các máy đó.

• Bảo vệ ransomware tốt nhất cho năm 2019 Bảo vệ ransomware tốt nhất cho năm 2019
• Tin tặc SamSam Ransomware kiếm được 5, 9 triệu đô la Tin tặc Ransomware SamSam kiếm được 5, 9 triệu đô la
• 2 người Iran đứng sau các cuộc tấn công của SamSam Ransomware, Hoa Kỳ tuyên bố 2 Người Iran đứng sau các cuộc tấn công của SamSam Ransomware, Tuyên bố của Hoa Kỳ

"Kế hoạch phải được đưa ra trước thời hạn. Bạn sẽ trả lời như thế nào, ai sẽ giao tiếp, bạn sẽ trả tiền chuộc như thế nào?" Barak nói.

Mặc dù trả tiền là một lựa chọn khả thi, nhưng đối với hầu hết các tổ chức, đây vẫn là một lựa chọn cuối cùng, không phải là phản hồi. Có nhiều biến số bạn không thể kiểm soát trong kịch bản đó, cộng với việc đã thanh toán một lần, bạn không bao giờ có thể đảm bảo mình sẽ không bị tấn công để có thêm tiền mặt trong tương lai. Một kế hoạch tốt hơn là sử dụng một biện pháp phòng thủ vững chắc, đủ khó để làm chệch hướng hầu hết các cuộc tấn công phần mềm độc hại và đánh bại những kẻ đã thành công. Nhưng bất cứ điều gì bạn quyết định, hãy nhớ rằng hầu như mọi giải pháp đều yêu cầu bạn sao lưu một cách tôn giáo. Làm ngay bây giờ, làm thường xuyên và kiểm tra thường xuyên, để đảm bảo mọi thứ sẽ hoạt động trơn tru trong một nhúm.