Kịch bản tấn công ransomware tinh vi và giải pháp phòng thủ cho doanh nghiệp
Mặc dù các cơ quan thực thi pháp luật đã triệt phá nhiều băng nhóm tin tặc, nhưng các cuộc tấn công ransomware vẫn tăng nhanh về số lượng và mức độ tinh vi.
Theo nghiên cứu gần đây của Viettel Cyber Security, ransomware và malware đánh cắp thông tin (stealer) là những mối đe dọa hàng đầu đối với doanh nghiệp Việt Nam.
Tin tặc thường sử dụng ransomware để mã hóa dữ liệu hoặc khóa hệ thống, sau đó đòi tiền chuộc.
Một số loại ransomware phổ biến bao gồm Lockbit và Blackcat, nhắm vào cả doanh nghiệp và tổ chức. Bên cạnh đó, các loại stealer như Atomic, Golden Pickaxe và Braodo cũng đang hoành hành, đánh cắp thông tin đăng nhập, mật khẩu và thậm chí cả dữ liệu video khuôn mặt.
Mới đây, bà Thachawan, giám đốc kinh doanh khu vực Đông Nam Á của Synology, đã có những chia sẻ với PLO xoay quanh vấn đề tình hình an ninh mạng tại Việt Nam.
.Phóng viên: Trước hết, xin bà cho biết, những mối đe dọa hàng đầu về mặt bảo mật dữ liệu đối với doanh nghiệp Việt Nam hiện nay là gì? Điều gì khiến các doanh nghiệp trở nên dễ bị tấn công?
+ Bà Thachawan, giám đốc kinh doanh khu vực Đông Nam Á của Synology: Doanh nghiệp Việt Nam đang phải đối mặt với những mối đe dọa ngày càng gia tăng về số lượng và mức độ tinh vi, đặc biệt là ransomware và malware đánh cắp thông tin (stealer).
Ransomware hoạt động tương đối xảo quyệt, xâm nhập vào hệ thống, mã hóa dữ liệu hoặc khóa toàn bộ hệ thống, sau đó đòi tiền chuộc để "giải cứu" dữ liệu. Một số biến thể ransomware đang hoành hành tại Việt Nam có thể kể đến như Lockbit và Blackcat, chúng hoạt động theo mô hình "Ransomware như một dịch vụ" (RaaS), nhắm vào các doanh nghiệp và tổ chức với quy mô tấn công lớn.
Bên cạnh ransomware, các loại stealer cũng là mối đe dọa không thể xem thường. Chúng hoạt động như những tên trộm chuyên nghiệp, âm thầm đánh cắp thông tin nhạy cảm như thông tin đăng nhập, mật khẩu, dữ liệu tài chính, thậm chí là dữ liệu video khuôn mặt.
Atomic, Golden Pickaxe và Braodo là những cái tên tiêu biểu, sử dụng nhiều kỹ thuật tấn công khác nhau, từ khai thác lỗ hổng hệ thống đến lừa đảo xã hội để chiếm đoạt thông tin.
Có nhiều nguyên nhân khiến doanh nghiệp Việt Nam trở thành miếng mồi ngon cho các cuộc tấn công mạng.
Đầu tiên phải kể đến sự bùng nổ dữ liệu. So với tổng lượng dữ liệu được tạo ra trong toàn bộ năm 2010, khối lượng dữ liệu hiện nay đã tăng 90 lần (2 ZB vào năm 2010, dự kiến đạt 181 ZB vào năm 2025). Nhiều dữ liệu hơn dẫn đến rủi ro tấn công cao hơn, chưa kể đến thời gian tăng lên cần thiết cho sao lưu và khôi phục.
Thứ hai, nhiều doanh nghiệp vẫn chưa nhận thức đầy đủ về tầm quan trọng của việc bảo mật dữ liệu sao lưu. Dữ liệu sao lưu thường được lưu trữ sơ sài, thiếu các biện pháp bảo vệ cần thiết, tạo điều kiện cho ransomware dễ dàng xóa hoặc mã hóa chúng.
Cuối cùng, cơ sở hạ tầng CNTT phức tạp, thiếu sự đồng bộ và quản lý tập trung cũng là một trong những nguyên nhân khiến doanh nghiệp dễ bị tấn công.
.Phóng viên: Ransomware và các loại mã độc khác xâm nhập vào hệ thống của doanh nghiệp bằng cách nào? Và trong bối cảnh hiện nay, đâu là giải pháp tối ưu để doanh nghiệp Việt Nam có thể ngăn chặn ransomware một cách hiệu quả?
+ Ransomware thường tấn công theo một quy trình bài bản, được lên kế hoạch kỹ lưỡng. Chúng bắt đầu bằng việc quan sát, thu thập thông tin về mục tiêu, tìm kiếm những điểm yếu trong hệ thống.
Sau đó, chúng sẽ tìm cách xâm nhập vào hệ thống, thường là thông qua việc dụ người dùng nhấp vào liên kết độc hại, khai thác lỗ hổng hệ thống hoặc phần mềm.
Khi đã xâm nhập thành công, ransomware sẽ chuyển sang giai đoạn rình rập, âm thầm hoạt động trong hệ thống, thu thập thêm thông tin, xác định dữ liệu quan trọng.
Giai đoạn cuối cùng là phá hủy và tấn công, ransomware sẽ mã hóa dữ liệu gốc, xóa dữ liệu sao lưu, gây ra thiệt hại nghiêm trọng cho doanh nghiệp. Sau khi tấn công, chúng sẽ đòi tiền chuộc hoặc đe dọa tiết lộ thông tin quan trọng nếu yêu cầu không được đáp ứng.
Để ngăn chặn ransomware, doanh nghiệp cần xây dựng một hệ thống phòng thủ đa lớp, kết hợp nhiều giải pháp khác nhau. Việc cập nhật hệ thống, phần mềm và cài đặt phần mềm diệt virus cũng là những biện pháp quan trọng giúp ngăn chặn mã độc xâm nhập.
Tuy nhiên, phòng bệnh hơn chữa bệnh, doanh nghiệp cần chủ động nâng cao nhận thức của nhân viên về an ninh mạng, đào tạo cho họ kỹ năng nhận biết và phòng tránh các mối đe dọa.
Đặc biệt, việc sao lưu dữ liệu thường xuyên được xem là "chìa khóa" để bảo vệ dữ liệu và đảm bảo khả năng phục hồi sau tấn công.
.Phóng viên: Trong bối cảnh CNTT ngày càng phát triển và các thủ đoạn tấn công ngày càng tinh vi, doanh nghiệp cần chuẩn bị những gì để có thể ứng phó với ransomware và quay trở lại vận hành sớm nhất nếu không may bị tấn công?
+ Các cuộc tấn công ransomware thường gây ra hậu quả nặng nề, khiến hoạt động kinh doanh của doanh nghiệp bị đình trệ.
Trước hết, doanh nghiệp cần xây dựng một kế hoạch phục hồi ransomware chi tiết, bao gồm các quy trình, bước thực hiện cụ thể. Kế hoạch này cần được thường xuyên cập nhật và diễn tập để đảm bảo tính hiệu quả.
Ransomware hiện đại có thể "ẩn mình" trong hệ thống từ 30 đến 90 ngày trước khi kích hoạt tấn công. Do đó, doanh nghiệp cần lưu trữ bản sao lưu trong thời gian đủ dài, ít nhất là 90 ngày, để đảm bảo có thể khôi phục dữ liệu và tiếp tục hoạt động.
Doanh nghiệp không thể dự đoán khi nào sẽ bị tấn công, vì vậy cần chủ động kiểm tra và diễn tập việc khôi phục dữ liệu để đảm bảo có thể phản ứng kịp thời khi sự cố xảy ra.
Để ngăn chặn ransomware xâm nhập và mã hóa dữ liệu sao lưu, doanh nghiệp nên sử dụng các giải pháp lưu trữ cách ly, bất biến, tránh phân tán trên nhiều nền tảng… Điều này đảm bảo bản sao lưu luôn "sạch" và sẵn sàng để khôi phục.
Cuối cùng, doanh nghiệp nên lựa chọn giải pháp sao lưu có chức năng quản lý tập trung, dễ sử dụng, giúp giảm thiểu lỗi con người và nâng cao hiệu quả quản lý.
.Phóng viên: Trong thời đại đám mây bùng nổ như hiện nay, người dùng cá nhân có nên đầu tư vào giải pháp lưu trữ cá nhân như NAS không? Xin bà so sánh ưu nhược điểm của hai giải pháp này, đặc biệt là về mặt bảo mật và an toàn dữ liệu.
+ Dịch vụ lưu trữ đám mây mang lại sự tiện lợi, cho phép người dùng truy cập dữ liệu mọi lúc mọi nơi. Tuy nhiên, NAS vẫn là lựa chọn đáng cân nhắc cho người dùng cá nhân, đặc biệt là những người ưu tiên bảo mật, kiểm soát và quyền riêng tư.
NAS (Network Attached Storage) hay được hiểu đơn giản là ổ cứng mạng, cho phép chúng ta truy cập dữ liệu dễ dàng từ mọi thiết bị như smartphone, laptop, PC ở bất cứ đâu.
Với NAS, bạn có toàn quyền sở hữu dữ liệu và không phải lo lắng về việc dữ liệu bị theo dõi hoặc chia sẻ bởi bên thứ ba. Ngược lại, khi sử dụng đám mây công cộng, dữ liệu của bạn được lưu trữ trên máy chủ của nhà cung cấp, đồng nghĩa với việc bạn phải đặt niềm tin vào các chính sách bảo mật của họ.
Người dùng có thể sử dụng mã hóa, mật khẩu mạnh và các biện pháp bảo mật khác để bảo vệ dữ liệu trên NAS. Tuy nhiên, điều này cũng đồng nghĩa với việc bạn phải tự chịu trách nhiệm về bảo mật dữ liệu.
Trong khi đó, đám mây công cộng thường được trang bị các biện pháp bảo mật và xác thực đa yếu tố, nhưng vẫn tiềm ẩn rủi ro tấn công mạng.
Các nhà cung cấp NAS như Synology thường cung cấp giải pháp sao lưu đầy đủ, cho phép doanh nghiệp khôi phục dữ liệu từ nhiều thiết bị khác nhau. Với các dịch vụ lưu trữ đám mây, việc sao lưu và khôi phục dữ liệu thường được thực hiện tự động. Tuy nhiên, dữ liệu của bạn có thể gặp rủi ro nếu nhà cung cấp dịch vụ gặp sự cố.
Nhìn chung, trong cuộc chiến không ngừng nghỉ với ransomware, doanh nghiệp cần đầu tư vào các giải pháp sao lưu, và phục hồi dữ liệu, kết hợp với việc nâng cao nhận thức về an ninh mạng cho nhân viên. Dữ liệu chính là "vàng", do đó, việc bảo vệ dữ liệu không chỉ là bảo vệ tài sản của doanh nghiệp, mà còn là bảo vệ uy tín và thương hiệu.