Theo Báo cáo xu hướng ransomware Veeam 2022, các doanh nghiệp đang thua trong cuộc chiến chống lại các cuộc tấn công ransomware. Báo cáo của Veeam cho thấy 72% kho sao lưu của các tổ chức bị tấn công một phần hoặc toàn bộ, điều này ảnh hưởng đáng kể đến khả năng khôi phục dữ liệu mà không phải trả tiền chuộc của họ. Veeam Software, công ty hàng đầu về các giải pháp sao lưu, phục hồi và quản lý dữ liệu cung cấp Bảo vệ dữ liệu hiện đại, tiết lộ trong báo cáo rằng 80% các cuộc tấn công thành công nhắm vào các lỗ hổng đã biết. Thông tin này củng cố tầm quan trọng của việc vá lỗi và nâng cấp phần mềm. Báo cáo cũng cho thấy hầu hết tất cả những kẻ tấn công đều cố gắng phá hủy các kho lưu trữ dự phòng để vô hiệu hóa khả năng phục hồi của nạn nhân mà không phải trả tiền chuộc.
Báo cáo xu hướng ransomware Veeam 2022 được phát hành
Báo cáo Xu hướng Ransomware Veeam 2022, một trong những báo cáo lớn nhất trong lĩnh vực này, bao gồm kết quả từ một công ty nghiên cứu độc lập khảo sát 1.000 lãnh đạo CNTT từ các công ty đã bị tấn công ít nhất một lần trong 12 tháng qua.
Nghiên cứu đầu tiên này đã xem xét những kiến thức cơ bản về các cuộc tấn công này, tác động của chúng đối với môi trường CNTT và các bước thực hiện để triển khai các chiến lược Bảo vệ dữ liệu hiện đại nhằm đảm bảo tính liên tục của hoạt động kinh doanh trong tương lai. Dự án nghiên cứu đã nghiên cứu cụ thể bốn vai trò CNTT khác nhau (CISO, Chuyên gia bảo mật, Người quản lý dự phòng và Hoạt động CNTT) để hiểu mức độ sẵn sàng về mạng giữa các tổ chức.
“Ransomware đã dân chủ hóa hành vi trộm cắp dữ liệu và yêu cầu các tổ chức trong mọi ngành tăng cường hợp tác để tối đa hóa khả năng phục hồi sau khi bị đòi tiền chuộc và đưa ra giải pháp.” Danny Allan, CTO của Veeam, cho biết: “Trả tiền chuộc cho tội phạm mạng để khôi phục dữ liệu không phải là một chiến lược khôi phục dữ liệu. Việc trả tiền chuộc không đảm bảo việc phục hồi dữ liệu và làm tăng nguy cơ gây tổn hại đến danh tiếng cũng như mất lòng tin của khách hàng. “Điều này cũng quan trọng vì nó thúc đẩy một lời tiên tri tự ứng nghiệm và khuyến khích hoạt động tội phạm.”
Trả tiền chuộc không phải là một chiến lược phục hồi
Trong số các tổ chức được khảo sát, hầu hết nạn nhân mạng (76%) đã trả tiền chuộc để chấm dứt cuộc tấn công và khôi phục dữ liệu. Thật không may, 52% trong số họ đã trả tiền chuộc và tìm cách khôi phục dữ liệu, trong khi 24% đã trả tiền chuộc nhưng vẫn không khôi phục được dữ liệu. Một kết quả đáng chú ý khác là 19% tổ chức không trả tiền chuộc vì họ có thể khôi phục dữ liệu của chính mình. Vì vậy, 81% nạn nhân mạng nên hướng tới: khôi phục dữ liệu mà không phải trả tiền chuộc.
Allan cho biết: “Một trong những điểm nổi bật của chiến lược Bảo vệ dữ liệu hiện đại mạnh mẽ là nó tuân thủ chính sách rõ ràng rằng tổ chức sẽ làm mọi thứ trong khả năng của mình để ngăn chặn, sửa chữa và phục hồi sau các cuộc tấn công mà không bao giờ phải trả tiền chuộc”. Nói doanh nghiệp bất lực trước điều này là không đúng. Đào tạo nhân viên của bạn và đảm bảo thực hành vệ sinh kỹ thuật số hoàn hảo; thường xuyên thực hiện kiểm tra nghiêm ngặt các giải pháp và giao thức bảo vệ dữ liệu của bạn; và tạo ra các kế hoạch kinh doanh liên tục chi tiết để chuẩn bị cho các bên liên quan chính trong trường hợp xấu nhất”
Phòng ngừa đòi hỏi nỗ lực chăm chỉ từ cả CNTT và người dùng
“Bề mặt tấn công” của tội phạm rất đa dạng. Những kẻ phản diện mạng lần đầu tiên có được quyền truy cập vào môi trường sản xuất khi người dùng độc hại nhấp vào liên kết độc hại để truy cập các trang web không an toàn hoặc tương tác với email lừa đảo, một lần nữa tiết lộ bản chất có thể tránh được của nhiều sự kiện. Sau khi truy cập thành công vào môi trường, có rất ít sự khác biệt về tỷ lệ lây nhiễm giữa các máy chủ của trung tâm dữ liệu, nền tảng văn phòng từ xa và máy chủ được lưu trữ trên đám mây. Trong nhiều trường hợp, những kẻ xâm nhập đã khai thác các lỗ hổng đã biết, bao gồm các hệ điều hành và trình ảo hóa thông thường, cũng như nền tảng NAS và máy chủ cơ sở dữ liệu, xem xét kỹ lưỡng và khai thác mọi phần mềm chưa được vá hoặc lỗi thời mà chúng có thể tìm thấy. Báo cáo về tỷ lệ lây nhiễm cao hơn đáng kể của Chuyên gia bảo mật và Người quản lý dự phòng so với Hoạt động CNTT hoặc CISO là rất đáng kể, ngụ ý rằng “những người ở gần vấn đề hơn thậm chí còn nhìn thấy vấn đề nhiều hơn”.
Sửa chữa bắt đầu với tính bất biến
Những người trả lời khảo sát xác nhận rằng 94% kẻ tấn công đã cố gắng phá hủy các kho lưu trữ dự phòng và chiến lược này ít nhất đã thành công một phần trong 72% trường hợp. Loại bỏ ngưỡng giải cứu của tổ chức theo cách này là một chiến lược tấn công phổ biến vì nó làm tăng khả năng nạn nhân sẽ “phải trả tiền chuộc”. Cách duy nhất để bảo vệ khỏi tình huống này là có ít nhất một lớp bất biến trong khuôn khổ bảo vệ dữ liệu hoặc một lớp biệt lập không được kết nối với bất kỳ hệ thống nào (95% người tham gia khảo sát cho biết họ hiện có lớp này). Trên thực tế, nhiều tổ chức đã báo cáo rằng có một số mức độ bất biến hoặc môi trường biệt lập trên nhiều lớp của chiến lược đĩa, đám mây và băng từ của họ.
Báo cáo xu hướng tấn công ransomware của Veeam 2022Những phát hiện khác trong:
- Quy định là quan trọng: Để chủ động đảm bảo khả năng phục hồi của hệ thống, một phần sáu (16%) nhóm CNTT đã tự động hóa việc xác minh và khả năng phục hồi các bản sao lưu của họ để đảm bảo máy chủ của họ có thể phục hồi được. Ngoài ra, 46% số người được hỏi sử dụng “hộp cát” hoặc khu vực tổ chức/thử nghiệm biệt lập để đảm bảo dữ liệu được khôi phục của họ sạch sẽ trước khi đưa hệ thống trở lại sản xuất trong quá trình sửa chữa một cuộc tấn công bằng ransomware.
- Sự liên kết của tổ chức nên được hợp nhất: 81% tổ chức của họ tin rằng các chiến lược khắc phục thảm họa/tiếp tục hoạt động kinh doanh và mạng của họ là tương thích. Tuy nhiên, 52% số người được hỏi cho rằng sự tương tác giữa các nhóm này cần được cải thiện.
- Đa dạng hóa kho bãi là cần thiết: Gần như tất cả (95%) tổ chức đều có ít nhất một lớp bảo vệ dữ liệu bất biến hoặc tách biệt với các mạng khác, 74% sử dụng kho lưu trữ đám mây cung cấp tính bất biến; 67% sử dụng nhóm đĩa tại chỗ có tính bất biến hoặc khóa; và 22% sử dụng băng cách ly khỏi mạng. Dù bất biến hay không, các tổ chức đều lưu ý rằng, ngoài nhóm đĩa, 45% dữ liệu sản xuất vẫn được lưu trữ trên băng và 62% chuyển sang đám mây tại một thời điểm nào đó trong vòng đời dữ liệu của họ.
Báo cáo xu hướng ransomware đầy đủ của Veeam 2022 từ liên kết này bạn có thể tải về.
