Phòng chống mã độc WannaCry - Bài học từ thực tiễn

(23/05/2018)
99% hệ thống mạng của các doanh nghiệp vẫn tồn tại lỗ hổng MS17-010, 95% số thiết bị trong hệ thống mạng có nguy cơ bị mã độc WannaCry tấn công trở lại. Đó là một thực trạng đáng báo động tại các tổ chức, doanh nghiệp sau một năm bùng phát mã độc WannaCry.


Mã độc WannaCry và những con số báo động

Đã một năm kể từ ngày Mã độc WannaCry bùng phát và lan rộng trên toàn thế giới vào tháng 5 năm 2017. Loại mã độc này khai thác một lỗ hổng bảo mật trong hệ điều hành Microsoft Windows, lây nhiễm trên 200.000 máy tính tại hơn 150 quốc gia và khóa dữ liệu của người dùng. Thủ phạm của các cuộc tấn công yêu cầu một khoản thanh toán Bitcoin trị giá 300 USD từ người bị nhiễm mã độc máy tính để đổi lấy việc mở khóa dữ liệu đó; nếu không trả tiền chuộc, dữ liệu sẽ bị hủy.

Đến nay, một thực trạng đáng báo động đó là mã độc WannaCry vẫn len lỏi và hoành hành tại hầu hết các hệ thống mạng của các tổ chức, doanh nghiệp. Theo báo cáo từ các chuyên gia của Công ty bảo mật SecurityBox, trong quá trình triển khai đánh giá an ninh mạng tại các tổ chức, doanh nghiệp, 99% các tổ chức, doanh nghiệp được kiểm tra, đánh giá vẫn còn tồn tại lỗ hổng MS17010 - Lỗ hổng mã độc WannaCry khai thác và tấn công vào hệ thống mạng. Như vậy, nếu WannaCry tấn công trở lại thì nguy cơ lây nhiễm là rất cao. Điển hình là vụ việc công ty điện tử nổi tiếng LG mới đây đã bị WannaCry tấn công tại Hàn Quốc...

Điều đáng nói ở đây khi kiểm tra tại nhiều đơn vị với hệ thống lên tới 1500 - 2000 thiết bị thì có tới 95% số lượng máy tính vẫn còn tồn tại lỗ hổng này. Kết quả đó cho thấy nhận thức của tổ chức, người dùng về việc phòng ngừa các nguy cơ an ninh, nguy cơ tấn công mạng vẫn còn ở mức đáng báo động.

Một số giải pháp phòng chống mã độc WannaCry

Theo các chuyên gia an ninh mạng tại SecurityBox, các doanh nghiệp và tổ chức có thể áp dụng nhiều phương án sau để giảm nguy cơ gây ra bởi những mối đe dọa này, trong đó cần chú trọng vào các vấn đề sau: cập nhật phần mềm, tạo các bản sao lưu dữ liệu, nâng cao chiến lược phòng thủ tổng thể và nâng cao nhận thức an ninh mạng.

Luôn luôn cập nhật

Khi có những thông tin đầu tiên về lỗ hổng MS17-010 vào tháng 4/2017, Microsoft ngay lập tức thông báo rằng họ đã phát hành một bản vá bảo mật cho lỗ hổng này. Thực tế, họ đã phát hành bản vá này vào tháng 3/2017 - một tháng trước những thông tin đầu tiên về lỗ hổng và vụ rỏ rỉ của NSA. Nếu mọi người cập nhật bản vá kịp thời, quy mô và mức độ thiệt hại gây ra từ WannaCry đã không nghiêm trọng như chúng ta đã chứng kiến. Thực tế, các bản cập nhật hệ thống thường gồm những bản vá bảo mật quan trọng để bảo vệ chúng ta trước các cuộc tấn công không gian mạng. Do đó, việc trì hoãn cập nhật hệ thống sẽ khiến người dùng chịu thiệt hại nặng nề khi các cuộc tấn công diễn ra.

Hơn 200.000 nạn nhân của WannaCry đều là những máy tính chưa được vá lỗ hổng MS17-010. Mặc dù cuộc tấn công diễn ra hồi tháng 5/2017, người dùng đã không chịu cập nhật bản vá của Microsoft từ hồi tháng 3.

Mỗi khi được thông báo về một bản cập nhật mới, hãy ghi nhớ rằng đó có thể là cách tốt nhất giúp bảo vệ chúng ta khỏi các cuộc tấn công như WannaCry. Nếu phải trì hoãn cài đặt, cố gắng đừng trì hoãn quá lâu.

Tạo các bản sao lưu dữ liệu

Cách đối phó an toàn nhất trước các cuộc tấn công mã độc tống tiền chính là tạo và bảo vệ các bản sao lưu dữ liệu. Nếu đã có bản sao tất cả dữ liệu, khi máy tính bị nhiễm mã độc tống tiền, người dùng chỉ cần làm sạch hệ thống khỏi mã độc và khôi phục dữ liệu đã sao lưu mà không phải quan tâm đến việc tống tiền và mất mát dữ liệu.

Nhưng bản sao lưu chỉ có hiệu quả nếu ta thực hiện đúng cách. Khi áp dụng quy trình sao lưu, cần nhớ các quy tắc cơ bản:

Dữ liệu sao lưu nên được lưu trữ riêng biệt với hệ thống mà ta đang sao lưu. Nếu thực hiện sao lưu cục bộ trên một ổ cứng gắn ngoài, hãy để ổ đĩa đó được tháo ra khỏi hệ thống của bạn khi không sao lưu. Nếu sử dụng dịch vụ cloud lưu trữ dữ liệu, hãy nghiên cứu các biện pháp bảo vệ mà nhà cung cấp dịch vụ có để phòng ngừa lây nhiễm ransomware.

Thường xuyên kiểm tra lại bản sao lưu. Hãy coi bản sao lưu này là cách duy nhất bảo vệ ta trước một cuộc tấn công mã độc tống tiền. Cần đảm bảo quy trình hoạt động đúng, hãy định kỳ kiểm tra lại việc khôi phục dữ liệu.

Bảo vệ dữ liệu sao lưu như là bảo vệ dữ liệu gốc. Khi sao lưu thông tin nhạy cảm, đảm bảo rằng nó được mã hóa và bảo vệ bằng mật khẩu. Nếu đó là một ổ đĩa cứng vật lý, giữ nó ở nơi mà không ai có thể dễ dàng lấy nó.

Nâng cao nhận thức về an ninh mạng

Một tháng sau vụ tấn công WannaCry, một vụ tấn công bằng mã độc khác nghiêm trọng không kém là Petya (hoặc NotPetya). Mã độc này xóa hoàn toàn dữ liệu trên ổ cứng của máy tính bị lây nhiễm. Đặc biệt hơn, cách thức lây nhiễm của nó lại dựa trên chính lỗ hổng MS17-010 mà WannaCry từng sử dụng trước đó. Nhiều người trong chúng ta không hành động cho đến khi phát hiện ra mình đã là nạn nhân của một cuộc tấn công không gian mạn. Chúng ta cần phải chuẩn bị cho những mối đe dọa này trước khi quá muộn.

Mặc dù biết rằng ban đầu ransomware được phân phối qua email với một tập tin đính kèm .zip nhưng bên cạnh đó thì một số người tải về sau đó chia sẻ lên các mạng xã hội, đây chính là một cách lây lan mà chúng ta khó kiểm soát và rất nguy hiểm. Do quá chủ quan với những gì công nghệ đang phát triển, chúng ta đang tự đưa mình vào những hiểm họa khi dùng những phần mềm và những đường link không an toàn; bên cạnh với sự hiểu biết về an ninh và hậu quả của nó gây ra mà một số người lại là người giúp việc tích cực cho việc phát tán chúng đi một cách nhanh chóng.

Người dùng thiếu kiến thức trong an toàn thông tin, có một số người dùng đang dùng hệ điều hành không có nguồn gốc và miễn phí không chú trọng đến bản quyền; chưa có thói quen cập nhận lỗ hổng, cũng như các bản mới của nhà sản xuất.

Một số doanh nghiệp chưa thấy rõ điều quan trọng của an toàn mạng và khi có sự cố thì mới đối phó, do đó sẽ dẫn đến hiện tượng phản ứng chậm, gây thiệt hại rất lớn.

Đối với Việt Nam, chúng ta đang thiếu trầm trọng một người am hiểu và tư vấn đúng về công nghệ cho những hệ thống; ví dụ vào tháng 7/2016 chúng ta đã bị tấn công đối với hãng hàng không quốc gia Vietnamairline, mà có thể sẽi có những cuộc tấn công mới nếu chúng ta không phòng thủ ngay từ bây giờ.

Nâng cao chiến lược phòng thủ tổng thể với các hệ thống giám sát mạng tự động

Các hệ thống giám sát mạng tự động và quản lý bảo mật tập trung giúp tăng cường khả năng phòng thủ trong không gian mạng ngày càng rộng lớn khi các công ty dần mở rộng triển khai các thiết bị đầu cuối của mình trên toàn thế giới và sự phát triển của điện toán đám mây. An ninh mạng phải mở rộng trên các thiết bị đầu cuối cũng như dịch vụ điện toán đám mây, các doanh nghiệp và tổ chức cần áp dụng chính sách an toàn thông tin của mình tại bất kỳ đâu và kết nối chúng với các công cụ an ninh mạng quản lý tập trung tự động phát hiện và cảnh báo người dùng trước các mối đe dọa.

Theo ictvietnam

Tin khác