bởi Pierguido Iezzi
các Tấn công Ransomware họ ngày càng đứng đầu danh sách đáng sợ nhất cho mọi bộ phận CNTT và CISO trong hầu hết các công ty.
Nếu không chuẩn bị đúng cách, thông thường sự lựa chọn để giải quyết vụ việc được giới hạn ở phải trả tiền chuộc mà không có sự chắc chắn về khả năng phục hồi dữ liệu được mã hóa (phục hồi dữ liệu) hoặc bị buộc phải bỏ ra số tiền lớn và thời gian (có nói về trung bình hơn 700 nghìn euro) để cố gắng phục hồi.
Bạn không cần phải ném vào khăn
Ransomware không may một trong những kỹ thuật hack hình sự có lợi nhất hiện có và tiếp tục thu hút nhiều nhóm tội phạm mạng, những người tự tung mình vào các chiến dịch ngày càng có quy mô lớn và ngày càng được nhắm mục tiêu.
Vấn đề, ngoài ra, đó sự hấp dẫn này cũng đã thu hút các diễn viên ít có khả năng đe dọa người lợi dụng Dark Web (trong trường hợp này hoạt động như một thương mại điện tử đồi trụy) và các dịch vụ của Ransomware-như-một-dịch vụ để khởi động các cuộc tấn công.
Tóm lại, bất kể cách tiếp cận, trong thế giới ngày càng kết nối của các doanh nghiệp 4.0, đánh giá thấp nguy cơ tấn công Ransomware luôn trở thành một Câu hỏi khi nào nhiều hơn nếu.
Nghe có vẻ như một lời tiên tri bất chính, nhưng may mắn thay bằng cách tuân theo một số thực tiễn tốt nhất trong ngành, bạn có thể khắc phục và bảo vệ bản thân trước mối đe dọa chưa từng có này.
Các bước
1: Ánh xạ bề mặt tấn công có thể của bạn
khó bảo vệ thứ mà bạn không biết bạn phải bảo vệ, nó có vẻ tầm thường khi xem xét, nhưng không phải tất cả các công ty luôn xác định bản đồ của tất cả các tài sản của công ty và bề mặt tấn công có thể. Điều này có mục đích kép của cung cấp một cái nhìn tổng quan hoàn chỉnh về các mục tiêu có thể có của một cuộc tấn công tin tặc hình sự và để cung cấp một đường cơ sở chính xác trong trường hợp cần phải có hoạt động phục hồi.
2: Cập nhật, cập nhật, cập nhật!
Thiết lập kế hoạch cập nhật thường xuyên tất cả các thiết bị và mạng lên các bản vá bảo mật mới nhất nó nên là một thực hành cơ bản chứ không phải là một thực hành tốt nhất. Thật không may, nó dường như không phải là một quy tắc luôn tuân theo trong tất cả các tổ chức. Tất nhiên, không phải tất cả các hệ thống đã được thiết kế để xóa khỏi mạng cần cập nhật, trong trường hợp này được khuyến nghị khi có thể thay thế hoặc bảo vệ chúng bằng các điều khiển gần rất nghiêm ngặt.
3: Cập nhật hệ thống bảo mật của bạn
Ngoài việc cập nhật các thiết bị được nối mạng của bạn và tất cả các thiết bị IoT và không phải IoT, bạn cũng phải đảm bảo rằng tất cả các giải pháp bảo mật của bạn thực hiện các cập nhật bảo mật mới nhất của chúng. Điều này đặc biệt quan trọng đối với Cổng Email Bảo mật (SEG) của bạn. Hầu hết các Ransomware, đặc biệt là kém tiên tiến hơn, tham gia vào một tổ chức thông qua email Phishing và giải pháp SEG sẽ có thể xác định và xóa các tệp đính kèm và liên kết độc hại trước khi chúng được gửi đến người nhận.
Họ cũng không nên bị đánh giá thấpcác tính năng như danh sách trắng ứng dụng và danh sách đen của các trang web được coi là có hại, lập bản đồ và giới hạn các đặc quyền của công ty và áp dụng các chính sách được xác định rõ trong việc thiết lập mật khẩu.
4: Phân đoạn mạng của bạn
Phân đoạn mạng (Phân đoạn mạng) đảm bảo rằng các hệ thống và phần mềm độc hại bị xâm nhập được chứa trong một phân đoạn cụ thể của mạng trong trường hợp bị nhiễm trùng. Tương tự như vậy, một ý tưởng tuyệt vời để duy trì các dịch vụ vật lý quan trọng (như dịch vụ khẩn cấp hoặc tài nguyên vật lý như hệ thống HVAC) trên một mạng riêng biệt và tách biệt. Hãy suy nghĩ về tác động của Ransomware có thể chặn sistema làm mát phòng máy chủ
5: Đừng đánh giá thấp tính bảo mật của mạng mở rộng
Nếu bạn đã có thể bảo mật mạng nội bộ, hãy đảm bảo các giải pháp tương tự như Cyber Security cũng được triển khai trên mạng của bạn trong mạng mở rộng của bạn (sau đó Công nghệ vận hành, môi trường đám mây và tất cả các nhánh có thể nếu chúng có mặt). Không nên bỏ qua các kết nối từ các tổ chức (như đối tác, khách hàng hoặc nhà cung cấp) có liên hệ với mạng của bạn.
6: Cô lập hệ thống khôi phục của bạn và tạo bản sao lưu thường xuyên
cần thiết thường xuyên sao lưu dữ liệu và hệ thống và, một bước cơ bản khác, để lưu trữ chúng ra khỏi mạng để chúng không bị xâm phạm trong trường hợp vi phạm.
Nhưng có thể không đủ, thậm chí khuyến khích mạnh mẽ để thực hiện quét các bản sao lưu này để tìm dấu vết của phần mềm độc hại.
cũng cần đảm bảo rằng tất cả các hệ thống, thiết bị và phần mềm cần thiết để khôi phục hoàn toàn sistema được cách ly khỏi mạng để chúng có sẵn đầy đủ trong trường hợp cần phục hồi sau khi tấn công thành công
7: Thực hiện các cuộc tập trận phục hồi dữ liệu
Hướng dẫn sử dụng phục hồi thường xuyên đảm bảo rằng dữ liệu sao lưu có sẵn, tất cả các tài nguyên cần thiết có thể được khôi phục mà không gặp sự cố và tất cả các hệ thống đều hoạt động như mong đợi. Họ cũng đảm bảo rằng các chuỗi chỉ huy được đưa ra và tất cả các cá nhân và đội phục hồi đều hiểu trách nhiệm của họ.
8: Dựa vào tư vấn bên ngoài
Trong trường hợp vi phạm, hãy dựa vào các công ty chuyên gia để hỗ trợ bạn trong quá trình phục hồi, chắc chắn là cách tốt nhất để giải quyết tình huống nhanh chóng và hiệu quả.
9: Theo dõi những tin tức mới nhất về Ransomware
Luôn cập nhật những tin tức mới nhất về Ransomware và tạo thói quen cho nhóm của bạn tìm hiểu cách thức và lý do các hệ thống bị xâm phạm và sau đó áp dụng những bài học này vào môi trường làm việc của bạn.
10: Làm việc trên quyền riêng tư của nhân viên
Thay vì là liên kết yếu nhất trong chuỗi bảo mật của bạn, nhân viên của bạn phải là tuyến phòng thủ đầu tiên của bạn. Vì Ransomware thường xâm nhập vào các mạng nhờ các chiến dịch lừa đảo, cần thiết để giáo dục họ các chiến thuật mới nhất mà tội phạm mạng sử dụng để đánh lừa họ, cho dù họ chuyển sang các thiết bị công ty, cá nhân hoặc thiết bị di động. Các hoạt động đào tạo được nhắm mục tiêu như Phishing Attack Simulation cho phép bạn duy trì mức độ chú ý cao và thực hiện các hoạt động đào tạo cùng một lúc.
11: Đặt an ninh phòng ngừa lên hàng đầu
Bảo vệ dữ liệu công ty ngày nay yêu cầucông cụ đầy đủ, cập nhậti và với tỷ lệ chi phí / lợi ích phù hợp với ngân sách doanh nghiệp.
Cụ thể làan ninh phòng ngừanó đòi hỏi các giải pháp cho phépkiểm tra lỗ hổng sistema nói chung và hiểu các điểm cần tập trung nguồn lực vào đâu.
Điều này là do các cuộc tấn công của Ransomware có hai kênh xâm nhập chính, đó là lừa đảo con người, và các lỗ hổng không được phát hiện và chưa được giải quyết.
Đây là lý do tại sao các giải pháp như Quét mạng dễ bị đánh giá là rất cần thiết.
Trong trường hợp đầu tiên, đó là một phân tích bảo mật có mục đích xác định tất cả các lỗ hổng tiềm năng của các hệ thống và ứng dụng. Làm thế nào? Phát hiện và đánh giá thiệt hại tiềm tàng mà kẻ tấn công có thể gây ra cho đơn vị sản xuất.
Mặt khác, quét Mạng là một lần quét cụ thể và chi tiết để phân tích IP của mạng nhằm xác định các điểm yếu và điểm yếu của nó.
Bảo vệ khung
Rõ ràng các bước này có thể rườm rà để thực hiện độc lập trong một tổ chức.
Vì lý do này, dịch vụ Kiểm tra khung bảo mật mạng Swascan đã ra đời.
Dịch vụ cho phép bạn:
- định Khung bảo mật mạng hiện có;
- làm Phân tích Khoảng cách giữa IS và các tiêu chuẩn Quản trị An ninh Mạng và các thực tiễn tốt nhất;
- xây dựng Bản đồ đường đi theo để có được mức độ tối đa của khả năng phục hồi mạng
