Sunday, July 4, 2021

5 bước quan trọng để phục hồi sau cuộc tấn công an ninh mạng bằng Ransomware

 Tin tặc đang ngày càng sử dụng ransomware như một công cụ hiệu quả để phá vỡ doanh nghiệp và tài trợ cho các hoạt động độc hại.



Một phân tích gần đây của công ty an ninh mạng Group-IB cho thấy các cuộc tấn công ransomware tăng gấp đôi vào năm 2020, trong khi Cybersecurity Ventures dự đoán rằng một cuộc tấn công ransomware sẽ xảy ra cứ sau 11 giây vào năm 2021.

Các doanh nghiệp phải chuẩn bị cho khả năng bị tấn công ransomware ảnh hưởng đến dữ liệu, dịch vụ và tính liên tục của doanh nghiệp. Những bước nào liên quan đến việc khôi phục sau cuộc tấn công ransomware?

  • Cô lập và tắt các hệ thống quan trọng
  • Thực hiện kế hoạch tiếp tục kinh doanh của bạn
  • Báo cáo cuộc tấn công mạng
  • Khôi phục lại từ bản sao lưu
  • Khắc phục, vá lỗi và giám sát

Bước 1: Cô lập và tắt các hệ thống quan trọng

Bước quan trọng đầu tiên là cô lập và tắt các hệ thống quan trọng trong kinh doanh. Có khả năng phần mềm tống tiền đã không ảnh hưởng đến tất cả dữ liệu và hệ thống có thể truy cập. Tắt và cô lập cả hệ thống bị nhiễm và hệ thống khỏe mạnh sẽ giúp chứa mã độc.

Từ bằng chứng đầu tiên về ransomware trên mạng, việc ngăn chặn nên được ưu tiên. Việc quản lý và cách ly có thể bao gồm cách ly hệ thống từ góc độ mạng hoặc tắt nguồn hoàn toàn cho chúng.

Bước 2: Thực hiện kế hoạch tiếp tục kinh doanh của bạn

Việc thực hiện kế hoạch tiếp tục kinh doanh song hành với việc khắc phục thảm họa an ninh mạng là điều cần thiết để duy trì hoạt động kinh doanh của bạn theo một mức độ nào đó.

Kế hoạch tiếp tục kinh doanh là một cẩm nang từng bước giúp tất cả các bộ phận hiểu được cách thức hoạt động của doanh nghiệp trong thời kỳ thảm họa hoặc các tình huống thay đổi kinh doanh khác. Thành phần khôi phục thảm họa nêu chi tiết cách dữ liệu và hệ thống quan trọng có thể được khôi phục và đưa trở lại trực tuyến.

Bước 3: Báo cáo cuộc tấn công mạng

Nhiều doanh nghiệp có thể do dự khi làm như vậy, nhưng việc báo cáo vụ tấn công cho khách hàng, các bên liên quan và cơ quan thực thi pháp luật là điều cần thiết. Các cơ quan thực thi pháp luật có thể cung cấp quyền truy cập vào các nguồn tài nguyên có thể không có sẵn.

Bạn cũng sẽ cần phải xem xét các quy định về tuân thủ. Ví dụ, GDPR cung cấp cho các doanh nghiệp khoảng thời gian 72 giờ để tiết lộ vi phạm dữ liệu liên quan đến thông tin cá nhân của khách hàng.

Bước 4: Khôi phục lại từ bản sao lưu

 

Biện pháp bảo vệ tốt nhất mà bạn có cho dữ liệu của mình là sao lưu. Tuy nhiên, việc khôi phục số lượng lớn dữ liệu có thể tốn nhiều thời gian, buộc doanh nghiệp phải ngoại tuyến trong một thời gian dài.

Tình huống này cho thấy sự cần thiết phải phát hiện và ngăn chặn các trường hợp lây nhiễm ransomware càng nhanh càng tốt để giảm lượng dữ liệu cần khôi phục.

Bước 5: Khắc phục, vá lỗi và giám sát

Trong giai đoạn cuối cùng của quá trình khôi phục sau cuộc tấn công ransomware, các công ty sẽ khắc phục sự cố lây nhiễm ransomware, các hệ thống vá lỗi có thể đã dẫn đến sự xâm nhập ban đầu của ransomware và giám sát chặt chẽ môi trường để phát hiện thêm các hoạt động độc hại khác.

Không phải là chưa từng có hoạt động độc hại tiếp tục, ngay cả khi tiền chuộc được trả hoặc nếu hệ thống bị nhiễm đã được khôi phục. Nếu tồn tại cùng một lỗ hổng dẫn đến cuộc tấn công ban đầu, môi trường có thể bị xâm phạm một lần nữa.

Khắc phục các điểm nhập phổ biến cho ransomware

Khi các doanh nghiệp tìm cách củng cố môi trường chống lại phần mềm tống tiền và các mối đe dọa độc hại khác, điều quan trọng là phải xem xét các điểm vào chung cho các kiểu tấn công này.

Các cuộc tấn công mạng sử dụng các cuộc tấn công lừa đảo để thu thập thông tin đăng nhập bị đánh cắp, sau đó có thể được sử dụng để khởi động một cuộc tấn công ransomware hoặc truy cập trực tiếp vào hệ thống.

Phòng ngừa và các bước tiếp theo

Các doanh nghiệp không được bất cẩn trong việc xử lý bảo mật mật khẩu, đặc biệt là với các tài khoản người dùng Active Directory. Thật không may, Active Directory không có các công cụ bảo mật gốc tốt để bảo mật mật khẩu phù hợp với các yêu cầu chính sách bảo mật mật khẩu ngày nay.

Việc sử dụng các phần mềm diệt virus bảo vệ cho doanh nghiệp có tích hợp nhiều tính năng bảo mật đầu cuối rất quan trọng.

Nguồn: kaspersky.proguide.vn


SHARE THIS

0 comments: