Ngăn chặn tấn công ransomware bằng cách sử dụng kiểm soát truy cập

itmapasia

New Member
Joined
Jul 24, 2020
Messages
23
Reaction score
0
Ngăn chặn tấn công ransomware bằng cách sử dụng kiểm soát truy cập


Bất kỳ tổ chức nào, từ chính quyền địa phương, nhà cung cấp dịch vụ chăm sóc sức khỏe và tổ chức tài chính, cho đến các doanh nghiệp vừa và nhỏ, nhà máy năng lượng và nhà cung cấp dịch vụ chăm sóc sức khỏe, đang phải vật lộn với mối đe dọa ngày càng tăng của các cuộc tấn công ransomware.

Các hoạt động tội phạm giật tít đã ảnh hưởng đến Fortune 500, bệnh viện và cơ sở hạ tầng quan trọng, và có vẻ như chỉ là vấn đề thời gian trước khi doanh nghiệp của bạn trở thành nạn nhân tiếp theo.

Sự đồng thuận chung về cách tốt nhất để chuẩn bị cho trường hợp bị tấn công bởi ransomware dường như là có các bản sao lưu tại chỗ và đám mây thường xuyên, cập nhật, an toàn. Những điều này sẽ có thể đưa hoạt động kinh doanh trở lại và trực tuyến với mức gián đoạn tối thiểu, do đó giảm chi phí thời gian ngừng hoạt động và tránh các khoản thanh toán lớn sẽ thúc đẩy tội phạm tiếp tục theo đuổi các hoạt động này.

Tuy nhiên, ngay cả với các bản sao lưu cập nhật, chi phí của một thỏa hiệp có thể rất lớn và quá trình khôi phục hoạt động tốn nhiều thời gian. Cả thời gian cần thiết để phục hồi và giá của một cuộc tấn công thành công dường như đang tăng lên theo thời gian, như nghiên cứu gần đây đã phát hiện ra.

Các tổ chức đã mất trung bình 6,2 ngày để thiết lập lại và vận hành. Thời gian ngừng hoạt động này khiến các doanh nghiệp tiêu tốn trung bình hơn 50 nghìn bảng Anh, nhưng trong một số trường hợp nhất định, chi phí của thời gian ngừng hoạt động có thể vượt quá chi phí đòi tiền chuộc, khiến các tổ chức trả tiền cho tội phạm để lấy lại dữ liệu của họ hiệu quả hơn.

Nếu trả tiền chuộc không phải là một tùy chọn hoặc việc loại bỏ phần mềm độc hại và thực hiện kế hoạch khôi phục sẽ gây ra quá nhiều thời gian chết cho tổ chức của bạn để có thể chi trả, thì làm cách nào để bạn có thể khôi phục hiệu quả sau cuộc tấn công bằng ransomware tấn công doanh nghiệp của bạn?

Câu trả lời thực sự duy nhất là ngăn chặn hoàn toàn cuộc tấn công bằng cách áp dụng các biện pháp bảo mật phù hợp. Điều này nghe có vẻ bất khả thi, nhưng bằng cách thực hiện một số bước nhất định, các tổ chức có thể củng cố đáng kể tình trạng bảo mật của họ, do đó giảm xác suất trở thành nạn nhân của một cuộc tấn công ransomware.

Hiểu cách các cuộc tấn công ransomware diễn ra
Quy tắc đầu tiên của một chiến lược bảo mật hiệu quả là "biết kẻ thù của bạn".

Ransomware không là gì khác ngoài một gói các cuộc tấn công phần mềm độc hại nhằm mục đích xâm nhập vào các bộ bảo mật internet, thường được triển khai nhất với chiến dịch lừa đảo trực tuyến hoặc lừa đảo trực tuyến nhằm lừa người dùng nhấp vào một liên kết độc hại hoặc tải xuống tệp đính kèm bị xâm phạm.

Thông thường, những email này được thiết kế để trông giống như chúng đến từ một người nào đó ở cấp bậc cao của một tổ chức, điều này làm tăng khả năng nhân viên sẽ mở thư và thực hiện bất kỳ hành động nào mà nó chỉ định.

Sau khi chúng đã lây nhiễm vào máy của người dùng cuối, những phần mềm độc hại này bắt đầu tìm kiếm thông tin xác thực đặc quyền. Những thông tin xác thực này cho phép bọn tội phạm truy cập vào các khu vực nhạy cảm nhất của mạng, cho phép chúng có được dữ liệu có giá trị và cuối cùng là quyền kiểm soát quan trọng đối với toàn bộ cơ sở hạ tầng CNTT và cùng với đó là khả năng khóa tệp và tạm dừng các quy trình kinh doanh.

Tại thời điểm này, tội phạm mạng chỉ cần đợi các tổ chức trả tiền chuộc, ý thức rằng mỗi giây thời gian chết sẽ dẫn đến mất doanh thu.

Bảo vệ dữ liệu bằng Quản lý quyền truy cập đặc quyền
Mặc dù bản chất phá hoại của các cuộc tấn công ransomware đã được ghi nhận rộng rãi bởi tin tức về một số trường hợp xấu nhất, có cấu hình cao, nhưng điều quan trọng cần nhớ là phần mềm độc hại này chỉ có khả năng xâm phạm phần mạng và dữ liệu mà chúng có thể lấy được. truy cập vào.

Nói một cách đơn giản, nếu thông tin đăng nhập đặc quyền được bảo vệ tốt và không thể truy cập được từ máy của người dùng cuối, thì việc lây nhiễm ransomware sẽ chỉ giới hạn ở một máy đó, không thể lây lan sang các quy trình quan trọng gây ra sự cố hoạt động nếu bị dừng thông qua quản lý và giám sát mạng tốt. .

Bằng cách triển khai các quy trình quản lý truy cập đặc quyền (PAM), các tổ chức có thể bảo vệ những món trang sức vương miện của họ không bị xâm phạm, ngay cả trong trường hợp kẻ xâm nhập giành được quyền truy cập vào mạng.

Các khái niệm chính về PAM
Các thành phần chính của một chiến lược PAM thành công là:

Tận dụng kho mật khẩu: Kho lưu trữ mật khẩu tạo thông tin xác thực truy cập đặc quyền hợp lệ cho một phiên duy nhất. Điều này có nghĩa là không có thông tin xác thực nhạy cảm nào để kẻ xâm nhập tìm thấy, nhưng mỗi quyền truy cập được thực hiện với một mật khẩu trở nên lỗi thời ngay sau khi phiên kết thúc.

Giám sát và ghi lại các phiên đặc quyền: Bất cứ khi nào người dùng truy cập vào một vùng đặc quyền của mạng, phiên đó phải được theo dõi và ghi lại. Điều này cho phép các nhóm bảo mật được cảnh báo nếu phát hiện hành vi đáng ngờ và công cụ giám sát có thể kết thúc phiên từ xa nếu rủi ro được cho là vượt quá một ngưỡng nhất định.

Sử dụng sinh trắc học hành vi: Thông qua máy học, các công cụ sinh trắc học hành vi có thể thu thập các dấu hiệu hành vi của từng người dùng có đặc quyền, bao gồm các thao tác vuốt bàn phím và di chuyển chuột. Sau đó, những điểm đánh dấu này được tính toán thành một hồ sơ hành vi được cập nhật liên tục, đóng vai trò là bản thiết kế của hoạt động bình thường sẽ trông như thế nào. Bằng cách này, hoạt động đáng ngờ có thể được phát hiện ngay lập tức và có thể thực hiện các hành động để kết thúc phiên.

Tuân theo nguyên tắc ít đặc quyền nhất: Người dùng phải được cấp quyền truy cập vào phần nhỏ nhất của mạng mà họ cần để thực hiện công việc của mình, chứ không phải nhiều hơn. Điều này bao gồm việc hạn chế người dùng nào được phép tải xuống và chạy phần mềm và ứng dụng nào trên hệ thống của họ.

Khi các cuộc tấn công ransomware tiếp tục gia tăng, các tổ chức cần phải chủ động trong các nỗ lực bảo mật của họ. Mỗi khoản tiền chuộc được trả là một động lực nữa để tội phạm mạng tiếp tục hoạt động của chúng, đó là lý do tại sao nỗ lực chống lại kiểu tấn công này nên là một nỗ lực tập thể.

Bằng cách hiểu cách thức hoạt động của ransomware và bằng cách triển khai các quy trình PAM thích hợp - bao gồm kho mật khẩu, sinh trắc học hành vi, quản lý phiên đặc quyền và đặc quyền ít nhất - các tổ chức đều có thể góp phần làm cho các cuộc tấn công làm tê liệt doanh nghiệp này trở nên lỗi thời.

Senhasegura có thể giúp gì?
Senhasegura tin rằng sự chuẩn bị chủ động và giám sát liên tục là những cách tốt nhất để bảo mật các tài khoản đặc quyền. Chúng tôi biết rằng việc phát triển và xử lý một trung tâm hoạt động an ninh nội bộ để giám sát nhiệm vụ này có thể tốn nhiều tài nguyên và thời gian.

Đây là khi Senhasegura có thể giúp đỡ!

Nhóm Quản lý truy cập đặc quyền (PAM) có kỹ năng của chúng tôi làm việc với bạn để phát triển chiến lược, giải pháp và quy trình PAM của bạn nhằm cho phép bạn bảo vệ và kiểm soát các tài khoản đặc quyền, cũng như xác định và ứng phó với các mối đe dọa tài khoản đặc quyền.

No alt text provided for this image

senhasegura:
Một giải pháp PAM hoàn chỉnh

Vì vậy, bây giờ bạn đã biết rằng quản lý thông tin xác thực là quan trọng, vậy còn việc tìm hiểu các dịch vụ của chúng tôi thì sao? Truy cập trang web của chúng tôi ngay bây giờ và đưa ra yêu cầu Demo cho các hoạt động của chúng tôi.

Xem cách sử dụng PAM có thể giúp bạn chống lại các cuộc tấn công ransomware như Darkside.

No alt text provided for this image

No alt text provided for this image

ITMAP ASIA - Đối tác của hãng Senhasegura tại Việt Nam

555 Trần Hưng Đạo, P. Cầu Kho, quận 1, HCM

028 5404 0717 - 5404 0799

[email protected]
 
Top