Đối phó với những cuộc tấn công ransomeware: Những người ra quyết định có những lựa chọn nào?
Thông thường, nạn nhân sẽ cố gắng thương lượng với tin tặc để giảm tiền chuộc xuống một số tiền nhất định để không ảnh hưởng đến tài chính của doanh nghiệp nhưng vẫn đủ để thỏa mãn chúng. Thật không may khi đây không phải là một ý tưởng hay, bởi vì các cuộc đàm phán có thể phản tác dụng và thậm chí khiến các nhóm tin tặc ransomeware tăng yêu cầu đòi tiền chuộc.
Điều này gần đây đã xảy ra với Acer khi họ cố gắng đàm phán yêu cầu với tin tặc giảm mức tiền từ 50 triệu USD xuống còn 10 triệu USD. Sau đó nhóm tin tặc Revil đã đe dọa tăng gấp đôi số tiền chuộc nếu họ không nhận được 50 triệu USD.
Một ví dụ khác là nhóm tin tặc Egregor thường đe dọa sẽ công bố dữ liệu của nạn nhân lên mạng nếu họ thương lượng hoặc không thực hiện các khoản thanh toán tiền chuộc. Người dùng nếu không muốn thêm tên doanh nghiệp của mình vào danh sách các cuộc đàm phán thất bại thì cần phải biết mình nên và không nên làm những điều gì khi gặp phải những cuộc tấn công ransomeware.
Lập kế hoạch trước khi xảy ra sự cố
Một cuộc tấn công ransomeware nhắm vào doanh nghiệp trong thời đại kinh tế kỹ thuật số ngày nay là vấn đề có thể xảy ra bất cứ khi nào. An ninh mạng là một cuộc chạy đua vũ trang khi mà sự đổi mới công nghệ ngày càng phát triển, tội phạm mạng cũng không ngừng đối mới để phát triển các phương thức tấn công mới và có tính ảnh hưởng cao. Đó là lý do tại sao điều cần thiết là phải lường trước và có sự chuẩn bị cho những cuộc tấn công ransomeware có thể xảy ra với doanh nghiệp của mình và hy vọng rằng sẽ không phải thực hiện bất kỳ một cuộc đàm phán nào với tin tặc.
Chuẩn bị kiến thức cho nhân viên bằng các khóa đào tạo an toàn thông tin
Không có một kế hoạch chuẩn bị nào phù hợp với tất cả các cuộc tấn công ransomeware, nhưng cách tốt nhất là thu hút sự quan tâm của nhân viên đến vấn đề bảo mật an toàn thông tin. Việc đào tạo an toàn thông tin mạng là rất quan trọng. Nhân viên của một doanh nghiệp nên biết các bước cần thực hiện khi họ nghi ngờ một cuộc tấn công ransomeware đã xảy ra (ví dụ: ngắt kết nối máy tính xách tay khỏi mạng và thông báo ngay cho quản trị viên).
Mặt khác, người lãnh đạo CNTT của doanh nghiệp cũng nên có một nhóm xử lý khủng hoảng ransomeware chuyên dụng bao gồm các thành viên nắm được mọi khía cạnh của doanh nghiệp cho đến giám đốc điều hành. Bằng cách đó, nhân viên sẽ biết phải tìm ai khi một cuộc tấn công mạng xảy ra và nhóm sẽ sẵn sàng hành động.
Thực hiện theo các phương pháp tốt nhất về tính liên tục kinh doanh và phục hồi sau sự cố
Một kế hoạch vững chắc cũng sẽ bao gồm tính liên tục trong kinh doanh và các phương pháp khắc phục sự cố tốt nhất. Để tránh bị mắc kẹt trong một cuộc thương lượng về việc mở khóa dữ liệu bị mã hóa thì cần cân nhắc việc bảo vệ các bản sao lưu cả bên ngoài và trên đám mây. Nên cảnh giác trước một số chủng ransomeware mã hóa các tệp sao lưu cùng với dữ liệu chính nếu chúng được kết nối với mạng của nạn nhân, hãy đảm bảo lưu trữ riêng các bản sao lưu.
Hãy luôn ghi nhớ quy tắc 3-2-1 đó là lưu trữ ba bản sao sữ liệu, ở hai vị trí riêng biệt, với một bản sao là ngoại vi hoặc trong đám mây. Bằng cách đó, bạn có thể phục hồi dữ liệu trước khi bị tấn công mà không cần phải trả bất cứ chi phí nào.
Không nên chờ để thông báo việc bị tấn công
Thông báo kịp thời về việc bị tấn công ransomware là bước đầu tiên cần thiết vì nó giúp đưa tin tức đến đúng người càng sớm càng tốt. Cung cấp cho các nhân viên và khách hàng những thông tin về sự cố bằng cách thông báo những gì đã xảy ra và các bước trong kế hoạch đã có để trấn an các bên bị ảnh hưởng rằng mọi thứ vẫn đang trong tầm kiểm soát và dữ liệu của họ vẫn đang an toàn.
Giữ cho mọi người bình tĩnh là rất quan trọng, một đám đông tức giận của các khách hàng và bày tỏ sự thất vọng có thể thúc đẩy các lãnh đạo CNTT của doanh nghiệp thực hiện thương lượng và trả tiền chuộc trước khi có các cách xử lý khác.
Không nên tránh thông báo cho các cơ quan có liên quan
Điều quan trọng là phải báo cáo cuộc tấn công cho các cơ quan có liên quan, đặc biệt nếu thông tin của khách hàng đã bị xâm phạm. Việc xác định mức độ vi phạm bằng cách hợp tác chặt chẽ với các cơ quan chức năng có thể giúp giảm thiểu bất kỳ vi phạm quyền riêng tư dữ liệu nào trước khi chúng bị rò rỉ ra bên ngoài. Ví dụ: theo CCPA (Đạo luật về Quyền riêng tư của người tiêu dùng California) các tổ chức có thể sẽ bị phạt tiền nếu dữ liệu không được phục hồi trong một khung thời gian cụ thể.
Không nên thương lượng hoặc thanh toán
Bất chấp tất cả các kế hoạch giảm thiểu tấn công ransomeware đều không thể tránh khỏi một lúc nào đó một cuộc tấn công sẽ lọt qua các khe hở. Nhưng đừng vội vàng thương lượng về tiền chuộc, đây luôn là biện pháp cuối cùng.
Bằng cách phát triển một kế hoạch chủ động cho thời điểm có thể xảy ra một cuộc tấn công ransomeware, các tổ chức cần phải chuẩn bị tốt cho nhân viên và cả khách hàng của mình, cũng như các phương pháp tốt nhất về sao lưu dữ liệu và khắc phục sự cố. Làm tốt điều này sẽ giúp nhiều công ty, doanh nghiệp có thể tránh được việc phải thanh toán các khoản tiền chuộc. Ransomeware sẽ không sớm biến mất nhưng nó không phải lúc nào cũng là một tác động lớn đến lợi nhuận tài chính của một doanh nghiệp. Người dùng luôn cần chuẩn bị sẵn sàng để đối mặt với chúng.
Quốc Trường
(theo helpnetsecurity)