Cuộc chiến chống Ransomware chỉ mới bắt đầu

Cuộc chiến chống Ransomware chỉ mới bắt đầu

bởi | Th9 18, 2019 | Phân Tích Chuyên Sâu

Chính quyền của tiểu bang và địa phương nên thực hiện xác thực hai lớp và áp dụng phương pháp bảo mật chuyên sâu.

Sự phát triển nhanh chóng của các cuộc tấn công ransomware nhắm mục tiêu vào chính quyền của tiểu bang và địa phương và các tổ chức giáo dục đã kêu gọi các đội an ninh áp dụng một tư duy mới để bảo vệ thông tin và tài sản quan trọng. Các đội bảo mật công nghệ và thông tin (Infecec) không còn chỉ có thể dựa vào việc dựng lên các bức tường phòng thủ xung quanh mạng lưới vành đai của họ để ngăn chặn kẻ xấu, vì những kẻ xấu có khả năng đã có trong mạng của họ.

Nghiên cứu gần đây cho thấy tội phạm mạng và tin tặc lén lút di xâm nhập vào các mạng khoảng 190 ngày trước khi bị phát hiện. Các đội an ninh mạng phải đã phải truy tìm để theo dõi chúng và ngăn chúng gây thiệt hại. Chuyển từ tư duy phòng thủ sang tư duy truy tìm, truy tìm là một sự thay đổi tư duy quyết liệt đối với nhiều chuyên gia của chính phủ và giáo dục, nhưng phải được thông qua để ngăn chặn làn sóng ransomware.

Trong hai năm qua, số lượng các tổ chức bị tấn công bởi các cuộc tấn công ransomware đã tăng lên nhiều lần khi số nhóm thực hiện các cuộc tấn công này đã tăng lên, theo bản báo cáo của Symantec, Targeted Ransomware: Báo cáo đặc biệt của ISTR .

Những kẻ tấn công triển khai phần mềm độc hại ransomware thường cố mã hóa càng nhiều máy càng tốt, chúng nhắm mục tiêu vào máy chủ cũng như máy tính thông thường và thường sẽ cố mã hóa hoặc phá hủy dữ liệu. Tổ chức bị ảnh hưởng có thể khiến hoạt động của nó bị gián đoạn nghiêm trọng, mất quyền truy cập vào dữ liệu và dịch vụ quan trọng, trừ khi đưa cho những kẻ tấn công tiền chuộc để được giải mã dữ liệu của các máy tính và máy chủ bị ảnh hưởng.

Ransomware đang tăng lên

Tấn công dường như đang xảy ra hàng tháng. Trên thực tế, 23 chính quyền của các địa phương trên khắp Texas gần đây đã bị tấn công bởi một cuộc tấn công kết hợp các ransomware, theo báo cáo Bộ Tài nguyên Thông tin (DIR). Texas DIR chỉ ra rằng các cuộc tấn công bắt đầu vào sáng thứ Sáu, ngày 16 tháng 8 và mặc dù các địa điểm không được nêu tên, nhưng phần lớn là các chính quyền địa phương nhỏ hơn.

Vào tháng 6, ba đô thị địa phương của Florida đã bị tấn công bởi ransomware – cả ba trường hợp bắt đầu với một nhân viên thành phố click vào tệp đính kèm trong email và phần mềm độc hại được kích hoạt. Năm 2018, các sự cố ransomware trải dài từ các thư viện công cộng và các khu học chính(là khu có nhiệm vụ điều hành các trường tiểu học và trung học công cộng của địa phương) đến các thành phố lớn như Atlanta, cũng như những nơi như Akron, Ohio; Albany, New York; và Hạt Jackson, Georgia.

Trong hầu hết các trường hợp này, tội phạm mạng đang tìm cách làm ít công việc nhất để có lợi nhuận lớn nhất. Vectơ đe dọa số một vẫn còn và có lẽ sẽ luôn là con người, những người đang bị nhắm mục tiêu thông qua các cuộc tấn công lừa đảo qua email. Hơn nữa, việc các quan chức chính quyền thành phố và địa phương báo cáo công khai rằng họ đang trả tiền chuộc sẽ cung cấp một động lực cho những kẻ tấn công nhắm vào họ. Những kẻ tấn công nói rằng, ở đây là một chu kỳ hoạt động kinh doanh.

Ràng buộc tài nguyên

Chính quyền của tiểu bang và địa phương và các tổ chức giáo dục có những người tài năng và có kỹ năng làm việc trên tuyến đầu của bảo vệ mạng, nhưng một thách thức lớn – đặc biệt đối với các tổ chức nhỏ hơn – là thiếu tài nguyên. Không chỉ hạn chế về ngân sách mà khả năng tuyển dụng và giữ chân nhân tài cũng là một trở ngại. Thêm vào việc các cơ quan chính phủ và các tổ chức giáo dục đang sử dụng đám mây và thiết bị di động để hợp thức hóa các hoạt động CNTT và cung cấp nhiều dịch vụ kỹ thuật số hơn, do đó việc chống lại ransomware càng trở thành một thách thức lớn.

Giải quyết vấn đề cho Ransomware

Như báo cáo về ransomware của Symantec chỉ ra những kẻ tấn công đứng ở phía sau các ransomware có kỹ năng và đủ hiểu biết để xâm nhập vào mạng của nạn nhân. Họ triển khai một loạt các công cụ để di chuyển và lập bản đồ mạng và sử dụng nhiều kỹ thuật khác nhau tránh sự phát hiện trước việc mã hóa dữ liệu của hàng loạt máy tính(mã hóa được dữ liệu của càng nhiều máy tính thì càng tốt).

Tuy nhiên, có một số lựa chọn cho tổ chức chính quyền của tiểu bang và địa phương và các tổ chức giáo dục để xem xét, bao gồm:

  • Xác thực hai lớp : Để tăng cường bảo mật truy cập vào các thiết bị và hệ thống có dữ liệu cư trú, triển khai xác thực hai lớp, bổ sung cấp xác thực thứ hai cho đăng nhập tài khoản, là điều bắt buộc.
  • Dịch vụ quản lý vấn đề bảo mật : Để giải quyết các hạn chế về tài nguyên và lực lượng lao động, nhiều tổ chức đang chuyển sang các dịch vụ quản lý vấn đề bảo mật, cung cấp cấu trúc chi phí dựa trên đăng ký của tổ chức đó để cung cấp giám sát liên tục, theo thời gian thực trên môi trường bảo mật của tổ chức.
  • Ngăn chặn mất dữ liệu (DLP) : Ngăn chặn việc xóa dữ liệu trái phép của người nội bộ, đồng thời cung cấp tầm nhìn các mối đe dọa bên ngoài. Các công cụ DLP nhận thức các mối đe dọa để có thể bảo vệ dữ liệu khỏi các mối đe dọa từ bên trong và bên ngoài.
  • Phòng thủ chuyên sâu : Cách tiếp cận bảo mật chuyên sâu, trong đó nhiều lớp kiểm soát bảo mật được đặt trên khắp cơ sở hạ tầng CNTT để bảo vệ chống lại các mối đe dọa mới tinh vi và để bảo vệ dữ liệu bất kì ở vị trí nào và cách để truy cập là điều quan trọng.
  • Truy tìm mối đe dọa: Các tổ chức hoặc nội bộ hoặc thông qua nhà cung cấp dịch vụ bảo mật được quản lý của họ nên triển khai các công cụ và kỹ thuật phát hiện để chủ động phát hiện các mối đe dọa không được chú ý.
  • Nhìn chung, chính quyền của tiểu bang và địa phương và các tổ chức giáo dục cần tiếp tục xây dựng chiến lược chuyên sâu về phòng chống và chuẩn bị cho cuộc truy tìm để đi trước một bước trước các mối đe dọa.

Tham khảo Symantec.com

Phản ứng nhanh giúp ngăn chặn một cuộc tấn công Ransomware

Phản ứng nhanh giúp ngăn chặn một cuộc tấn công Ransomware

bởi | Th6 12, 2019 | Phân Tích Chuyên Sâu

Một cuộc tấn công ransomware đã nhắc nhở tôi về những bài học rất giá trị mà mọi tổ chức cần phải kết hợp.

Đầu năm nay, khi một giám đốc điều hành tại một bệnh viện gọi là nhóm Incident Response (IR) của chúng tôi, anh ta vẫn chưa nhận ra rằng tổ chức của mình đang đối mặt với một cuộc tấn công ransomware đang hoạt động. Symantec Endpoint Protection (SEP) và nhóm nội bộ của anh ta đã đánh dấu là đáng ngờ một số dữ liệu được đánh dấu bằng tên tệp gồm bốn chữ cái, anh ta giải thích và nhiều lần thử để xóa nó đã thất bại.

Anh nói cho tôi biết tên tập tin và trái tim tôi thắt lại. Chưa đầy một tuần trước, tôi đã thấy một nửa tá công ty trong các ngành công nghiệp khác nhau trở thành nạn nhân của các tập tin ransomware bao gồm bốn chữ cái giống nhau. Tuy nhiên, trong trường hợp này, phần lớn là do giám đốc điều hành đã liên hệ với nhóm ứng phó sự cố của chúng tôi ngay lập tức, chúng tôi đã thành công trong việc ngăn chặn cuộc tấn công trong khi nó đang được tiến hành.

Tôi đã khuyên nên tắt Internet tạm thời và triển khai Symantec Endpoint Protection 15, dựa trên nền tảng đám mây Symantec, giúp định vị nhanh chóng và dễ dàng các máy chủ và các mối đe dọa. Họ là những hacker không xác định, hoạt động ở Nam Mỹ và chúng tôi đã loại bỏ chúng trước khi họ có thể truy cập hoặc mã hóa bất kỳ tập tin hoặc bản sao lưu nào của bệnh viện. Nếu giám đốc điều hành do dự trong việc cảnh báo chúng tôi, hậu quả đối với công ty của anh ta có thể đã tàn phá, đặc biệt khi xem xét rằng ransomware được coi là vi phạm HIPAA và các công ty bị phạt nặng vì những vi phạm đó.

Thật vậy, ngay cả sau khi nhóm của chúng tôi đã thử nghiệm và đưa ra một hệ thống bảo vệ điểm cuối mới cho bệnh viện, việc tuân thủ HIPAA yêu cầu luật sư của mình chạy kiểm tra toàn bộ đĩa trên hàng chục máy trạm của bệnh viện, tiêu tốn 9 tháng làm việc. Tôi biết về một công ty có vị trí tương tự đã thất bại trong cuộc tấn công mạng không được đề cập.

Nó đã gần ba tháng kể từ khi sự cố này xảy ra, và khi tôi suy nghĩ về nó, tôi đã bị tấn công bởi cách nó chứng minh ba cách thực hành tốt nhất của Symantec đối với an ninh mạng:

  1. Có kế hoạch ứng phó sự cố chi tiết và chủ động kiểm tra. Chưa đầy hai tuần trước cuộc tấn công ransomware đã cố gắng, bệnh viện đã thực hiện kế hoạch luyện tập ứng phó sự cố trong một cuộc tập trận. Tôi tự tin rằng giải thích một phần lý do tại sao giám đốc điều hành mà tôi đã giải quyết vừa nhanh nhẹn vừa thông thạo trong việc đối phó với mối đe dọa. Ngoài ra, đảm bảo rằng doanh nghiệp của bạn có sẵn nhiều bản sao, cũng như các bản sao lưu cập nhật của tất cả dữ liệu, được lưu trữ ngoại tuyến.
     
  2. Đầu tư vào các công cụ phòng thủ tốt nhất. Là khách hàng của Symantec, bệnh viện được hưởng lợi từ sự tham gia của cả đội giám sát mối đe dọa và đội ứng phó sự cố. Như Symantec đã quan sát trong Báo cáo bảo mật đe dọa Internet năm 2019, các công cụ phân mảnh không còn đủ và các nền tảng tích hợp là tương lai. Được cấp, không giống như phần mềm phân tán thông thường được thiết kế để phát hiện các lỗ hổng trên mạng, bộ sản phẩm và dịch vụ được hỗ trợ của chúng tôi không phải là miễn phí, nhưng nghiên cứu trường hợp này minh họa giá trị to lớn mà doanh nghiệp đạt được khi hợp tác với chúng tôi. Trong năm năm làm người phản ứng sự cố chính của Symantec, tôi đã thấy vô số ví dụ khác về cách bảo vệ mà chúng tôi chi trả cho khách hàng vượt xa chi phí.
  3. Khi chuông báo thức bắt đầu reo. đừng ngại gọi giúp đỡ. Cho rằng tội phạm mạng bị kỳ thị rất cao (và đặc biệt là ransomware), điều đó hoàn toàn dễ hiểu khi các doanh nghiệp có ý thức thương hiệu thường xem nhẹ sự tiếp xúc của họ với các cuộc xâm nhập trực tuyến. Nhưng trong hơn 20 năm hoạt động trong lĩnh vực bảo mật, tôi đã học được nó, luôn luôn tốt hơn để an toàn hơn là xin lỗi. Một người phản ứng sự cố dày dạn sẽ không có thời gian cũng như không quan tâm đến việc chỉ trích doanh nghiệp của bạn vì đã trở thành nạn nhân của một cuộc tấn công. Công việc của chúng tôi là nói chuyện với bạn về tình huống, chống lại cuộc tấn công và hỗ trợ bạn trong việc đưa doanh nghiệp trở lại đúng hướng.

Một lưu ý cuối cùng ở đây về các xu hướng mà chúng tôi thấy trong ransomware: Cho đến năm 2017, người tiêu dùng là người chịu ảnh hưởng nặng nề nhất, nhưng sự cân bằng đã nghiêng về phía các doanh nghiệp. Theo ISTR gần đây nhất của chúng tôi, năm 2018, sự thay đổi đó đã tăng tốc và các doanh nghiệp chiếm 81 phần trăm tất cả các trường hợp nhiễm ransomware.

Symantec đã đạt được hiệu quả cải thiện trong việc ngăn chặn ransomware, cả thông qua bảo vệ email nâng cao và phân tích hành vi và các công cụ máy học. Đây là những tiến bộ đáng kể, một số trong đó tôi đã triển khai để ngăn chặn mối đe dọa chống lại bệnh viện. Đó là một câu chuyện thành công thực sự, và một câu chuyện chứng minh giá trị của việc tiếp cận với các đội phản ứng sự cố như chúng ta từ rất sớm.

Theo Symantec.com