3 hành động cần thực hiện dựa trên cuộc tấn công ransomware của Colonial Pipeline

Ransomware đã là một cái gai đối với các đội an ninh mạng trong vài năm qua. Khi các mối đe dọa bảo mật khác xuất hiện và biến mất, mối đe dọa ngấm ngầm này luôn là thách thức đối với mọi tổ chức.

Năm vừa qua đã được chứng minh là mang lại lợi nhuận đặc biệt cho các nhà khai thác ransomware, vì các tổ chức lớn như United Health Services, Orange và Acer đã trở thành nạn nhân của các cuộc tấn công này.

Nạn nhân mới nhất là Colonial Pipeline, chủ sở hữu hệ thống đường ống lớn nhất ở Mỹ, buộc phải tạm dừng hoạt động và trả 5 triệu USD tiền chuộc. Các báo cáo ban đầu trích dẫn nhiều sai lầm về kiến trúc và bảo mật bao gồm VPN yếu, máy chủ Microsoft Exchange chưa được vá có lỗ hổng nghiêm trọng và các giao thức mạng bị lộ công khai có thể bị khai thác.

Các nhóm ransomware hiện hoạt động giống như các doanh nghiệp. Có nhiều bằng chứng hơn về các nhóm có tổ chức thực hiện các chiến dịch có thể mở rộng giúp tăng tỷ lệ thành công và cho phép họ tái đầu tư vào các công cụ và quy trình mới. Bất kể chúng tôi làm việc ở đâu hoặc như thế nào, những nhóm này vẫn tiếp tục lợi dụng kiến trúc dễ bị tấn công để tống tiền nạn nhân.

Môi trường từ xa là mồi cho ransomware
Khi các tổ chức tiếp tục hỗ trợ công việc từ xa hoặc kết hợp, họ không còn khả năng hiển thị và kiểm soát mà họ đã từng có bên trong chu vi của họ. Những kẻ tấn công đang khai thác điểm yếu này và trục lợi. Dưới đây là ba lý do họ có thể làm như vậy:

Khả năng hiển thị và kiểm soát đã thay đổi. Hầu hết các tổ chức hiện nay đều có nhân viên làm việc từ mọi nơi. Những nhân viên này mong đợi quyền truy cập liền mạch vào tất cả các tài nguyên từ các thiết bị cá nhân và không được quản lý trên các mạng bên ngoài chu vi truyền thống. Điều này làm giảm đáng kể khả năng hiển thị và kiểm soát mà các nhóm bảo mật có và có thể gây khó khăn cho việc hiểu các rủi ro do người dùng và thiết bị mà họ đang làm việc gây ra.

Thiết bị di động giúp kẻ tấn công dễ dàng lừa đảo thông tin đăng nhập hơn. Những kẻ tấn công luôn tìm cách kín đáo vào cơ sở hạ tầng của bạn. Việc thỏa hiệp thông tin đăng nhập của nhân viên cho phép họ có được quyền truy cập hợp pháp và không bị phát hiện.

Thủ đoạn chính của họ để đánh cắp thông tin đăng nhập là lừa đảo nhân viên trên thiết bị di động. Vì điện thoại thông minh và máy tính bảng được sử dụng cho cả lý do công việc và cá nhân, nhân viên có thể được nhắm mục tiêu thông qua nhiều ứng dụng như SMS, nền tảng truyền thông xã hội và ứng dụng nhắn tin của bên thứ ba. Các giao diện người dùng được đơn giản hóa của điện thoại hoặc máy tính bảng che giấu các dấu hiệu lừa đảo và khiến chúng trở thành mục tiêu chín muồi cho các chiến dịch lừa đảo được thiết kế trên mạng xã hội.

VPN cho phép di chuyển ngang. Các tổ chức dựa vào VPN để cung cấp cho nhân viên của họ quyền truy cập từ xa vào các tài nguyên, nhưng cách tiếp cận này có một số thiếu sót về bảo mật. Đầu tiên, VPN cung cấp quyền truy cập không giới hạn cho bất kỳ ai kết nối, có nghĩa là bất kỳ ai vào được đều có thể tự do truy cập vào bất kỳ ứng dụng nào trong cơ sở hạ tầng của bạn. Thứ hai, VPN không đánh giá bối cảnh mà người dùng hoặc thiết bị kết nối. Bối cảnh là cần thiết để phát hiện hoạt động bất thường cho thấy tài khoản hoặc thiết bị bị xâm phạm.

Ba điều bạn có thể làm để bảo vệ khỏi ransomware
Các cuộc tấn công ransomware sẽ không đi đến đâu. Nếu bất cứ điều gì mà các tác nhân đe dọa này đã biến hoạt động của họ thành một doanh nghiệp, tạo ra các chiến dịch có thể mở rộng, có thể lặp lại và có lợi nhuận. Mặc dù không có viên đạn bạc nào để chống lại phần mềm tống tiền cho tổ chức của bạn, nhưng có một số phương pháp Zero Trust có thể giảm thiểu rủi ro.

Liên tục đánh giá rủi ro. Bước đầu tiên để giảm thiểu phần mềm tống tiền là khả năng hiển thị mức độ rủi ro của thiết bị và người dùng để đảm bảo họ không bị xâm phạm. Bằng cách liên tục đánh giá mức độ rủi ro của các thiết bị di động của nhân viên, bạn giảm thiểu khả năng họ bị xâm nhập bởi một cuộc tấn công lừa đảo. Để đảm bảo tài khoản nhân viên của bạn không bị xâm phạm, bạn cũng cần theo dõi hành vi của họ để có thể xác định các hoạt động độc hại.

Triển khai các kiểm soát truy cập động và chi tiết. Bạn cần tránh xa cách tiếp cận tất cả hoặc không có gì của VPN. Thay vì cung cấp quyền truy cập không giới hạn, hãy chỉ cung cấp quyền truy cập vào các ứng dụng và dữ liệu cụ thể mà mỗi nhân viên cần. Do đó, nếu kẻ tấn công xâm phạm thiết bị hoặc tài khoản của họ, việc di chuyển của họ sẽ bị hạn chế.

Hiện đại hóa các ứng dụng tại chỗ của bạn. Nhiều tổ chức vẫn có phần mềm được lưu trữ trong các trung tâm dữ liệu và có thể truy cập từ internet. Để đảm bảo chúng được an toàn, hãy cập nhật chúng bằng các chính sách truy cập đám mây che giấu ứng dụng - ẩn chúng khỏi internet công cộng nhưng vẫn cho phép người dùng được ủy quyền truy cập chúng từ mọi nơi. Điều này không chỉ cung cấp các kiểm soát truy cập chi tiết mà còn mở rộng các lợi ích bảo mật xác thực mạnh mẽ mà các ứng dụng SaaS có và đảm bảo không có người dùng trái phép nào có thể khám phá và truy cập cơ sở hạ tầng của bạn.

Để tìm hiểu thêm về cách bạn có thể triển khai các bước này, hãy xem giải pháp Truy cập mạng tin cậy của Lookout Zero (ZTNA).




ITMAP ASIA - Đối tác của Lookout tại Việt Nam

555 Trần Hưng Đạo, P. Cầu Kho, quận 1, HCM

028 5404 0717 - 5404 0799

[email protected]