Chiến Lược Phòng Thủ Cần Thích Ứng Với Sự Thay Đổi Động Cơ Của Những Kẻ Tấn Công Ransomware

Tác giả: Ram là co-founder và CEO của Acalvio Technologies, hãng công nghệ hàng đầu về Cyber Deception Technology.

Trích nguồn: Forbes Technology Council

Động cơ của những kẻ tấn công ransomware cho đến nay đã rất rõ ràng: triển khai một cuộc tấn công mạng, chiếm đoạt, mã hoá dữ liệu cá nhân của người dùng hoặc dữ liệu sở hữu riêng và chỉ trả lại quyền truy cập khi các công ty chi trả tiền chuộc. Cách tấn công này thực sự đạt được mục đích và nhận được tiền chuộc trong một số trường hợp.

Tuy nhiên, hiện nay các công ty đã được thông tin và cẩn trọng hơn về việc lưu trữ và bảo vệ dữ liệu, hạn chế ảnh hưởng mà kẻ tấn công có thể gây ra bằng cách tuân theo kịch bản cũ. Mặc dù việc có một bản sao của dữ liệu bị đánh cắp để ngăn chặn sự rò rỉ không ngăn chặn kẻ tấn công khỏi việc chúng tống tiền các công ty, nhưng nó giảm khả năng các tổ chức sẽ trả tiền chuộc trừ trường hợp cực kỳ nghiêm trọng và nhạy cảm.

Trong quá khứ, những kẻ tấn công ransomware có thể nhắm vào bất kỳ doanh nghiệp nào có hệ sinh thái kết nối, nhưng ngày nay, chúng có khả năng tấn công các tổ chức sở hữu thông tin quan trọng về khách hàng, bệnh nhân hoặc tài sản trí tuệ nội bộ có giá trị. Ngoài ra, những kẻ tấn công ransomware đã chuyển sang tấn công hệ thống sao lưu điều đó có nghĩa là ngay cả khi các doanh nghiệp đã có sao lưu, vẫn có khả năng bị gây hại.

Do những gì đã đề cập, thống kê hiện nay cho thấy không đến một nửa tổ chức thực sự trả tiền chuộc khi họ bị nhắm vào. Nhưng đó không phải là lý do duy nhất khiến những kẻ tấn công mạng điều chỉnh phương pháp của chúng.

Thay đổi động lực dẫn đến thay đổi về chiến thuật

Giống như các cải tiến bảo mật đã đề cập, chẳng hạn việc mở rộng của các dịch vụ bảo hiểm chống ransomware, cũng là một con dao hai lưỡi. Mặc dù bảo hiểm cung cấp cho các tổ chức gặp phải tấn công nhiều lựa chọn hơn để hạn chế tác động ngắn hạn và dài hạn của cuộc tấn công, nhưng nó cũng cung cấp cho kẻ tấn công danh sách các mục tiêu và các khoản tống tiền tiềm năng.

Thay vì ngăn chặn các tội phạm mạng tấn công vào một công ty, bảo hiểm hiện nay đóng vai trò như một mục tiêu sau lưng của các tổ chức, do các kế hoạch mới tập trung vào các điều khoản chính sách bảo hiểm. Sử dụng các chi tiết của chính sách của một tổ chức, các kẻ tấn công có thể yêu cầu một số tiền cụ thể tương ứng. Điều này có thể dẫn đến việc thanh toán nhỏ hơn, nhưng đó là một sự đánh đổi thú vị cho quy trình đơn giản hóa tạo nên một sự động lực giả mạo giữa các tổ chức và các kẻ tấn công mạng nhắm vào hệ thống của họ.

Thay đổi này cũng đến từ việc tích hợp nhanh chóng các thiết bị kết nối vào môi trường công nghệ vận hành cơ bản (OT) đã làm cho cơ sở hạ tầng quan trọng trở thành một mục tiêu hấp dẫn. Lấy ví dụ về cuộc tấn công vào Colonial Pipeline, một lời nhắc nhở đáng chú ý rằng tác động của ransomware có thể đi xa hơn so với việc rò rỉ dữ liệu. Nó đã cho người dân thấy hậu quả mà những kẻ tấn công có quyền truy cập vào hệ thống OT có thể gây ra chỉ bằng cách xâm nhập vào mạng — và minh họa cho những kẻ tấn công khả năng có thể nhận được khoản thanh toán tiềm năng từ việc đe dọa quyền truy cập của người dân vào các dịch vụ cơ bản.

Trong khi đó, từ phía quản lý, việc cấm thanh toán tiền chuộc đang trở nên phổ biến hơn trên toàn cầu. Gần đây, Hoa Kỳ đã tham gia và đang xem xét áp đặt lệnh cấm riêng của mình. Mặc dù ý đồ của những hướng dẫn này là tốt, nhưng những lệnh cấm này có thể tương tự như bảo hiểm chống ransomware mang lại hậu quả khôn lường của riêng chúng và gia tăng thêm sự phức tạp vào việc hiểu rõ động cơ của kẻ tấn công mạng. Khi tiền bạc không còn đặt trên bàn, những tội phạm mạng còn lại sẽ theo đuổi mục tiêu khác: gây náo loạn và hỗn loạn.

Chủ động phòng thủ trước những thay đổi

Mối quan hệ  giữa các kẻ tấn công mạng và các chuyên gia bảo mật cùng các cơ quan quản lý là những mối quan hệ linh hoạt. Những nhóm này liên tục cạnh tranh để giành ưu thế. Khi động cơ, chiến thuật và công nghệ tiếp tục tiến hóa, nhiệm vụ của các nhóm an ninh cũng sẽ thay đổi theo. Điều này không chỉ là về việc tuân theo những thực tiễn tốt nhất một cách hoàn hảo. Điều quan trọng là hiểu rõ các biến thể động cơ của kẻ tấn công và xây dựng các phản ứng thông minh tương ứng với những mối đe dọa khi xuất hiện.

Để chuẩn bị cho các biến thể mới này, các nhóm bảo mật mạng nên:

• Cập nhật kiến thức về những mối đe dọa tiến hóa. Như những sự kiện trong năm qua đã chỉ ra, kẻ tấn công không ngừng tiến lên, và với mọi rào cản mà chúng ta đặt trước kẻ tấn công, chúng dường như không từ bỏ. Kẻ tấn công luôn nắm bắt những thay đổi , do đó, người bảo vệ cũng cần nhận thức rõ về các vector tấn công tiến hóa.
• Xem xét lại các tập hợp bảo mật hiện có. Chúng ta biết rằng bất cứ điều gì cũng có thể xảy ra vào bất kỳ thời điểm nào. Bạn nên xem xét xem bạn đã áp dụng loại phòng thủ nào và xác định các lỗ hổng tiềm năng trong tập hợp bảo mật hiện có của bạn. Mặc dù rất khó để có thể chuẩn bị cho mọi tình huống, nhưng các công nghệ đổi mới đang nổi lên đã làm cho điều này trở nên khả thi hơn.
• Phát triển phòng thủ chi tiết. Phòng thủ sâu là một khái niệm đã được nhiều tổ chức sử dụng, trong đó họ thiết kế các lớp phòng thủ liên kết thay vì nhiều lớp cùng loại. Toàn bộ khái niệm đằng sau phòng thủ mạng chủ động (ACD (Active Cyber Defense)) là cho phép các tổ chức trở nên linh hoạt hơn trong việc phòng chống mối đe dọa mạng bằng cách để ACD phát hiện, kiểm soát và giảm thiểu mối đe dọa mạng để đảm bảo liên tục hoạt động kinh doanh, điều này phức tạp hơn so với các loại bảo mật cơ bản chỉ bao gồm “phát hiện và bảo vệ”.
• Tập trung vào phòng ngừa chủ động và quản lý bề mặt tấn công. Một trong những yếu tố quan trọng nhất trong phòng thủ chống lại các cuộc tấn công ransomware là có khả năng xác định động cơ của kẻ tấn công trước khi cuộc tấn công được thực hiện thành công. Công nghệ phòng thủ độc đáo mang tên “Deception” cho phép tổ chức có cái nhìn vào dữ liệu hoặc các phần khác của mạng mà kẻ tấn công đang tìm kiếm trước khi họ rời khỏi hệ thống mạng. Cuộc tấn công ransomware hoàn toàn xoay quanh việc tìm kiếm những tài sản có giá trị cao, và công nghệ deception tận dụng chiến lược này bằng cách triển khai các lure, decoy hoặc thậm chí là tài sản, dữ liệu giả mạo dẫn kẻ tấn công tin rằng họ đã đạt được những gì họ mong muốn, trong khi thực tế, họ đã để lộ tất cả mục đích, cách thức tấn công. Cuối cùng, các tổ chức cần quan tâm đầu tư nếu muốn bảo vệ tài sản của họ, vì việc chỉ đơn giản chặn truy cập hoặc thực thi một lệnh nào đó sẽ chỉ là một trở ngại nhỏ đối với kẻ tấn công. Đầu tư bao gồm cả việc dành thời gian nghiên cứu tác động, hành vi để đưa ra phản ứng phù hợp.

Khi ransomware tiếp tục thay đổi và động cơ trở nên khó nắm bắt hơn, có một điều chắc chắn là: Kẻ tấn công không ngừng tiến lên, bất kể có thu lại được tiền hay không. Cách duy nhất để đảm bảo bạn được bảo vệ là bằng cách thiết kế các phòng thủ ngăn chặn kẻ tấn công tiếp cận dữ liệu của bạn ngay từ đầu.

Tư vấn giải pháp chi tiết xin liên hệ:

Công ty cổ phần giải pháp công nghệ Sonic

Tầng 2, Tòa 29T1, Đường Hoàng Đạo Thúy, P. Trung Hòa, Q. Thanh Xuân, TP. Hà Nội

Tel: 02466.564.587

Email: sales@sonic.com.vn