Làm thế nào để bảo vệ và phục hồi doanh nghiệp của bạn khỏi ransomware

Hoa Kỳ đang chuẩn bị cho tác động đầy đủ của một dịch bệnh ransomware toàn cầu dựa trên chủng phần mềm độc hại Wanna Decryptor. Điều quan trọng là bảo vệ doanh nghiệp và dữ liệu của bạn khỏi mối đe dọa lây lan nhanh này, nhưng một khi chúng ta đã vượt qua nó, bạn cần nhớ rằng Wanna Decryptor chỉ là ví dụ ồn ào nhất về vấn đề ransomware.

Có ba điều cần biết về ransomware: thật đáng sợ, nó phát triển nhanh và là một công việc lớn. Theo Trung tâm Khiếu nại Tội phạm Internet (IC3) của FBI, hơn 992 khiếu nại liên quan đến CryptoWall đã nhận được từ tháng 4 năm 2014 đến tháng 6 năm 2015, dẫn đến thiệt hại hơn 18 triệu đô la. Thành công ác tính đó được phản ánh qua tốc độ tăng trưởng của ransomware với Infoblox DNS Threat Index, báo cáo sự gia tăng 35 lần trong các tên miền mới được tạo cho ransomware trong quý đầu tiên của năm 2016 (so với quý IV năm 2015).

Nói chung, ransomware giảm một bức tường được mã hóa giữa một doanh nghiệp và dữ liệu nội bộ và các ứng dụng mà doanh nghiệp cần để hoạt động. Nhưng những cuộc tấn công này có thể nghiêm trọng hơn nhiều so với việc không thể truy cập dữ liệu. Nếu bạn chưa chuẩn bị, thì công việc kinh doanh của bạn có thể bị đình trệ.

Chỉ cần hỏi Trung tâm y tế Presbyterian Hollywood. Rất lâu trước khi Wanna Decryptor, bệnh viện đã học được một bài học đau đớn khi nhân viên mất quyền truy cập vào PC của họ trong đợt bùng phát ransomware vào đầu năm 2016. Bệnh viện đã trả khoản tiền chuộc 17.000 đô la sau khi nhân viên mất 10 ngày dựa vào máy fax và biểu đồ giấy. Hoặc hỏi Sở cảnh sát Tewksbury. Vào tháng 4 năm 2015, họ đã trả tiền chuộc để lấy lại quyền truy cập vào hồ sơ bắt giữ và sự cố được mã hóa.

Làm thế nào để các doanh nghiệp bị nhiễm bệnh?

Nếu có một lớp lót bạc cho Wanna Decryptor ở bất kỳ cấp độ nào, thì chắc chắn rằng nó phục vụ để chứng minh, không nghi ngờ gì nữa, rằng mối đe dọa được đưa ra bởi ransomware là có thật. Không có doanh nghiệp hoặc nhân viên nào miễn nhiễm với một cuộc tấn công ransomware tiềm năng. Điều quan trọng là phải hiểu cách ransomware lây nhiễm vào máy tính trước khi thảo luận về cách bảo vệ doanh nghiệp của bạn khỏi nó hoặc cách phản hồi nếu bạn bị xâm phạm. Hiểu về nguồn gốc và phương thức lây nhiễm cung cấp những hiểu biết về việc giữ an toàn.

Ransomware thường đến từ một trong hai nguồn: trang web bị xâm nhập và tệp đính kèm email. Một trang web hợp pháp đã bị xâm nhập có thể lưu trữ bộ công cụ khai thác lây nhiễm vào máy của bạn, thường là thông qua khai thác trình duyệt. Phương pháp tương tự có thể được sử dụng bởi một trang web lừa đảo. Tải xuống ổ đĩa cài đặt ransomware và nó bắt đầu mã hóa các tệp của bạn.

Trong trường hợp tệp đính kèm email độc hại, người dùng bị lừa mở tệp đính kèm, sau đó cài đặt ransomware. Điều này có thể đơn giản như một tin nhắn email giả mạo với tệp đính kèm có thể thực thi được, tệp Microsoft Word bị nhiễm để lừa bạn bật macro hoặc tệp có phần mở rộng được đổi tên như tệp kết thúc bằng "PDF" nhưng thực sự là tệp EXE (một thực thi).

"Trong cả hai trường hợp này, một số loại kỹ thuật xã hội được sử dụng để dụ người dùng tự lây nhiễm", Luis Corrons, Giám đốc kỹ thuật PandaLabs tại Panda Security cho biết. "Điều này cung cấp cho các doanh nghiệp một cơ hội tuyệt vời để giáo dục người dùng của họ để tránh những rủi ro này, nhưng thật không may, hầu hết các doanh nghiệp nhỏ bỏ qua điều này và bỏ lỡ cơ hội để tự cứu mình một cơn đau đầu lớn."

Hiện tại, không có viên đạn bạc nào để đảm bảo an toàn cho tổ chức của bạn khỏi ransomware. Nhưng có năm bước mà mỗi doanh nghiệp nên thực hiện có thể làm giảm đáng kể cơ hội lây nhiễm của họ và cũng giảm bớt nỗi đau nếu một cuộc tấn công thành công.

Chuẩn bị

Một thành phần quan trọng để chuẩn bị cho một cuộc tấn công ransomware là phát triển một chiến lược sao lưu mạnh mẽ và thực hiện sao lưu thường xuyên. "Sao lưu mạnh mẽ là một thành phần chính của chiến lược chống ransomware", Philip Casesa, Chiến lược gia phát triển sản phẩm tại ISC2, một tổ chức phi lợi nhuận toàn cầu chứng nhận các chuyên gia bảo mật. "Khi tệp của bạn được mã hóa, tùy chọn khả thi duy nhất của bạn là khôi phục bản sao lưu. Các tùy chọn khác của bạn là trả tiền chuộc hoặc mất dữ liệu."

"Bạn phải có một số loại sao lưu, một giải pháp sao lưu thực sự của các tài sản bạn xác định là rất cần thiết cho doanh nghiệp của bạn", Casesa tiếp tục. "Sao lưu hoặc đồng bộ hóa thời gian thực sẽ sao lưu các tệp được mã hóa của bạn. Bạn cần một quy trình sao lưu mạnh mẽ, nơi bạn có thể quay lại vài ngày, và khôi phục dữ liệu và ứng dụng cục bộ và máy chủ."

Panda Security's Corrons đưa ra một cảnh báo khác: các bản sao lưu "rất quan trọng trong trường hợp phòng thủ của bạn thất bại nhưng hãy chắc chắn đã loại bỏ hoàn toàn ransomware trước khi khôi phục bản sao lưu. Tại PandaLabs, chúng tôi đã thấy các tệp sao lưu mã hóa ransomware."

Một chiến lược tốt để xem xét là một giải pháp sao lưu phân cấp hoặc phân tán, giữ một số bản sao của các tệp sao lưu ở các vị trí khác nhau và trên các phương tiện khác nhau (vì vậy một nút bị nhiễm không có quyền truy cập ngay vào kho lưu trữ tệp hiện tại và lưu trữ sao lưu). Các giải pháp như vậy có sẵn từ một số nhà cung cấp sao lưu trực tuyến doanh nghiệp vừa và nhỏ (SMB) cũng như hầu hết các nhà cung cấp dịch vụ phục hồi thảm họa (DRaaS).

Ngăn chặn

Như đã đề cập trước đây, giáo dục người dùng là một vũ khí mạnh mẽ nhưng thường xuyên bị bỏ qua trong kho vũ khí của bạn chống lại ransomware. Huấn luyện người dùng nhận ra các kỹ thuật kỹ thuật xã hội, tránh clickbait và không bao giờ mở tệp đính kèm từ người mà họ không biết. Tệp đính kèm từ những người họ biết nên được xem và mở một cách thận trọng.

"Hiểu cách lan truyền của ransomware xác định các hành vi của người dùng cần được sửa đổi để bảo vệ doanh nghiệp của bạn", Casesa nói. "Tệp đính kèm email là nguy cơ lây nhiễm số một, tải xuống theo ổ đĩa là số hai và liên kết độc hại trong email là số ba. Con người đóng vai trò quan trọng trong việc bị nhiễm ransomware."

Đào tạo người dùng để xem xét mối đe dọa ransomware dễ dàng hơn bạn nghĩ, đặc biệt là đối với SMB. Chắc chắn, nó có thể là hình thức truyền thống của một cuộc hội thảo nội bộ kéo dài, nhưng nó cũng có thể đơn giản là một loạt các bữa ăn trưa nhóm mà CNTT có cơ hội thông báo cho người dùng thông qua thảo luận tương tác với giá rẻ của một vài chiếc pizza. Bạn thậm chí có thể xem xét việc thuê một nhà tư vấn bảo mật bên ngoài để thực hiện đào tạo, với một số video bổ sung hoặc ví dụ thực tế.

Bảo vệ

Nơi tốt nhất để bắt đầu bảo vệ SMB của bạn khỏi ransomware là với Bốn chiến lược giảm thiểu hàng đầu này: danh sách trắng ứng dụng, vá ứng dụng, vá hệ điều hành (HĐH) và giảm thiểu các đặc quyền quản trị. Casesa đã nhanh chóng chỉ ra rằng "bốn biện pháp kiểm soát này xử lý 85% hoặc hơn các mối đe dọa phần mềm độc hại".

Đối với SMB vẫn dựa vào phần mềm chống vi-rút PC (AV) riêng lẻ để bảo mật, việc chuyển sang giải pháp bảo mật điểm cuối được quản lý cho phép CNTT tập trung bảo mật cho toàn bộ tổ chức và kiểm soát hoàn toàn các biện pháp này. Điều đó có thể làm tăng đáng kể hiệu quả AV và chống phần mềm độc hại.

Dù bạn chọn giải pháp nào, hãy đảm bảo rằng nó bao gồm các biện pháp bảo vệ dựa trên hành vi. Cả ba chuyên gia của chúng tôi đều đồng ý rằng phần mềm chống phần mềm độc hại dựa trên chữ ký không hiệu quả trước các mối đe dọa phần mềm hiện đại.

Đừng trả tiền

Nếu bạn chưa chuẩn bị và bảo vệ bản thân trước ransomware và bạn bị nhiễm bệnh, thì có thể bạn sẽ phải trả tiền chuộc. Tuy nhiên, khi được hỏi liệu đây có phải là một bước đi khôn ngoan, ba chuyên gia của chúng tôi đã thống nhất trả lời. Corrons đã nhanh chóng chỉ ra rằng "thanh toán là rủi ro. Bây giờ bạn chắc chắn mất tiền của mình và có thể bạn đang lấy lại các tệp của mình không được mã hóa." Rốt cuộc, tại sao một tên tội phạm sẽ trở nên danh dự sau khi bạn trả tiền cho anh ta?

Bằng cách trả tiền cho bọn tội phạm, bạn đang khuyến khích chúng và phương tiện để phát triển phần mềm ransomware tốt hơn. "Nếu bạn trả tiền, bạn sẽ làm cho nó tồi tệ hơn nhiều đối với những người khác, " Casesa nói. "Những kẻ xấu sử dụng tiền của bạn để phát triển phần mềm độc hại nhanh hơn và lây nhiễm cho người khác."

Bảo vệ các nạn nhân trong tương lai có thể không phải là vấn đề hàng đầu khi bạn đang cố gắng điều hành một doanh nghiệp với dữ liệu bị giữ làm con tin, nhưng chỉ cần nhìn vào quan điểm này: nạn nhân tiếp theo có thể là bạn một lần nữa, lần này còn chiến đấu nhiều hơn phần mềm độc hại hiệu quả mà bạn đã giúp trả tiền để phát triển.

Casesa chỉ ra rằng "bằng cách trả tiền chuộc, giờ đây bạn đã trở thành mục tiêu riper cho bọn tội phạm vì chúng biết bạn sẽ trả tiền." Bạn trở thành, theo cách nói bán hàng, một người dẫn đầu có trình độ. Giống như không có danh dự giữa những tên trộm, không có gì đảm bảo rằng ransomware sẽ bị xóa hoàn toàn. Tên tội phạm có quyền truy cập vào máy của bạn và có thể giải mã các tệp của bạn và để phần mềm độc hại trên đó để theo dõi các hoạt động của bạn và đánh cắp thông tin bổ sung.

Duy trì năng suất

Nếu thiệt hại do ransomware gây ra là sự gián đoạn đối với doanh nghiệp của bạn, thì tại sao bạn không thực hiện các bước để tăng tính liên tục trong kinh doanh bằng cách chuyển sang đám mây? "Mức độ bảo vệ và bảo mật tổng thể bạn nhận được từ đám mây lớn hơn nhiều so với những gì một doanh nghiệp nhỏ có thể tự chi trả", Brandon Dunlap, CISO toàn cầu của Black & Veatch. "Các nhà cung cấp đám mây có quét phần mềm độc hại, xác thực nâng cao và nhiều biện pháp bảo vệ khác khiến cho tỷ lệ họ bị tấn công bởi ransomware rất thấp."

Ít nhất, di chuyển các máy chủ email lên đám mây. Dunlap chỉ ra rằng "email là một vectơ tấn công khổng lồ cho ransomware. Chuyển nó sang đám mây nơi các nhà cung cấp gói nhiều kiểm soát bảo mật như quét phần mềm độc hại và DLP vào dịch vụ." Các lớp bảo mật bổ sung, chẳng hạn như danh tiếng trang web dựa trên proxy và quét lưu lượng truy cập, có thể được thêm thông qua nhiều dịch vụ đám mây và có thể hạn chế hơn nữa việc bạn tiếp xúc với ransomware.

Dunlap rất nhiệt tình về các biện pháp bảo vệ mà đám mây đưa ra chống lại ransomware. Dunlap nói: "Chúng ta đang ở một thời điểm tuyệt vời trong lịch sử công nghệ với vô số giải pháp ma sát thấp cho nhiều vấn đề mà doanh nghiệp nhỏ gặp phải". "Điều này làm cho các doanh nghiệp nhỏ nhanh nhẹn hơn từ góc độ CNTT."

Nếu máy cục bộ của bạn bị nhiễm ransomware, điều đó có thể không quan trọng nếu dữ liệu của bạn nằm trên đám mây. Xóa máy cục bộ của bạn, hình ảnh lại nó, kết nối lại với các dịch vụ đám mây của bạn và bạn sẽ quay lại công việc.

Đừng đợi giày rơi

Đây không phải là một trong những tình huống trong đó phương pháp chờ xem là chiến thuật tốt nhất của bạn. Wanna Decryptor cho thấy rõ rằng ransomware nằm ngoài đó; nó phát triển trong những bước nhảy vọt, cả về sự tinh tế và sự nổi tiếng của kẻ xấu và nó chắc chắn đang tìm kiếm bạn. Ngay cả sau khi mối đe dọa hiện tại này thổi qua, điều cực kỳ quan trọng là bạn phải thực hiện các bước để bảo vệ dữ liệu và thiết bị đầu cuối khỏi bị lây nhiễm.

Tạo các bản sao lưu thường xuyên, đào tạo nhân viên để tránh lây nhiễm, vá các ứng dụng và HĐH, giới hạn đặc quyền của quản trị viên và chạy phần mềm chống phần mềm độc hại không có chữ ký. Nếu bạn làm theo lời khuyên này, thì bạn có thể ngăn chặn tất cả các trường hợp nhiễm trùng chảy máu nhất (và những người có khả năng không nhắm mục tiêu SMB). Trong trường hợp một cuộc tấn công vượt qua hàng phòng thủ của bạn, hãy lên kế hoạch rõ ràng, đã được thử nghiệm để CNTT dọn dẹp sự lây nhiễm, khôi phục các bản sao lưu và tiếp tục các hoạt động kinh doanh bình thường.

Nếu bạn không tuân theo những thực hành tốt nhất này và bạn bị nhiễm bệnh, thì hãy biết rằng việc trả tiền chuộc không có gì đảm bảo, đủ điều kiện bạn là kẻ hút tội phạm và cung cấp cho họ phương tiện để phát triển phần mềm ransomware thậm chí còn nguy hiểm hơn (và khuyến khích để sử dụng nó cho bạn thường xuyên nhất có thể). Đừng là nạn nhân. Thay vào đó, hãy dành thời gian ngay bây giờ để gặt hái những lợi ích sau này: chuẩn bị, ngăn chặn, bảo vệ và duy trì năng suất làm việc.