Bảo mật đám mây và các giải pháp phòng chống Ransomware

Hoạt động của các nhóm Ransomware riêng lẻ ngừng hoạt động hoặc im lặng. Vì chúng phải đối mặt với nhiều vấn đề khác nhau như bị áp lực hoặc giám sát từ cơ quan thực thi pháp luật, phân loại đấu tranh nội bộ hoặc đối phó với sự cạnh tranh.

xu-huong-ransomware

Sự trỗi dậy của các chiến thuật tống tiền kép (và nhiều hơn) 

Maze đã phổ biến chiến thuật tống tiền kép vào năm 2019, tạo tiền đề cho những kẻ tấn công về Ransomware. Với kỹ thuật tống tiền kép, kẻ tấn công yêu cầu khoản tiền chuộc và thông báo cho nạn nhân rằng họ sẽ công khai dữ liệu bị đánh cắp nếu tiền chuộc không được trả để nạn nhân thanh toán nhanh chóng và đầy đủ. Vào năm 2021, có 35 nhóm mới sử dụng mô hình tống tiền này. 

Chiến thuật tống tiền gấp ba lần Suncrypt được các nhóm ransomware sử dụng lần đầu vào tháng 10 năm 2019. Nếu đàm phán của chiến thuật tống tiền kép thất bại thì những kẻ tấn công về Ransomware sẽ làm rò rỉ dữ liệu nạn nhân và bắt đầu các cuộc tấn công DDoS để hệ thống dữ liệu, kết xuất của nạn nhân không thể hoạt động. Buộc các nạn nhân phải liên hệ với những kẻ tấn công để khởi động lại các cuộc đàm phán và khôi phục lại hoạt động của các hệ thống doanh nghiệp. 

Ngoài ra, các nhóm ransomware còn sử dụng đến cả chiến thuật đa tống tiền. Các chiến thuật bổ sung, chẳng hạn như như đe dọa để lộ dữ liệu cho các bên liên quan và các phương tiện truyền thông giúp đạt hiệu quả hơn khi tống tiền nạn nhân. 

giai-phap-chong-ransomware

Ransomware trong Môi trường đám mây 

Public Cloud tuân theo các phương pháp hay nhất về bảo mật đám mây có có khả năng chống lại Ransomware tốt hơn so với môi trường On-premises. Sự chia sẻ mô hình trách nhiệm làm giảm đáng kể gánh nặng cho bất kỳ tổ chức nào để đảm bảo cơ sở hạ tầng, nền tảng và phần mềm. 

Các dịch vụ đám mây dựa trên API giúp giám sát, tự động hóa và kiểm soát truy cập tập trung dễ dàng hơn và các dịch vụ sao lưu dựa trên đám mây cung cấp các cách đáng tin cậy để khôi phục tài nguyên đám mây. Tuy nhiên, nó là của một tổ chức trách nhiệm định cấu hình, vận hành và giám sát khối lượng công việc trên đám mây một cách an toàn. 

Khi cơ sở hạ tầng CNTT phát triển cùng với hoạt động kinh doanh, việc bảo mật hàng nghìn khối lượng công việc trong môi trường multi-cloud và hybrid cloud có thể gặp nhiều thách thức. Tuy nhiên, các phương pháp tự động hóa bảo mật DevOps cho phép CNTT và đội bảo mật để duy trì bảo mật trong môi trường năng động cao. 

Với lượng dữ liệu có giá trị trên đám mây, thì việc các nhóm Ransomware nhắm mục tiêu đến các môi trường này chỉ còn là vấn đề thời gian. Tuy nhiên, để khởi động Ransomware trong môi trường đám mây, những kẻ tấn công phải sử dụng TTP mới. Đây cũng là cảnh báo đến các doanh nghiệp cần chuẩn bị điều chỉnh các phương pháp để phòng thủ chắc chắn hơn. 

Tăng cường khối lượng công việc từ hình ảnh xuống các lỗ hổng Log4J trên đám mây giúp quản lý lỗ hổng tốt và bù đắp các kiểm soát khi không thể cập nhật. Phân đoạn tài nguyên đám mây thông qua các chính sách IAM được kiểm soát chặt chẽ giúp sự lây nhiễm chỉ diễn ra trong một hoặc rất ít số lượng công việc.

 

Bảo mật API đám mây thông qua các phương pháp IAM hay nhất 

Những kẻ tấn công không thể dễ dàng lây nhiễm Ransomware trên đám mây sang nhiều máy chủ và mã hóa các tệp được tìm thấy. Vì vậy, việc sử dụng đám mây API để truy cập và mã hóa dữ liệu là chiến thuật mà những kẻ tấn công thường sử dụng. 

Tuy nhiên, tất cả API đều yêu cầu khóa truy cập quản lý danh tính và truy cập (IAM) để có đủ quyền cho tài nguyên đám mây mà người dùng đang cố gắng tương tác. Do đó, các tổ chức cần giám sát chặt chẽ các quyền của IAM để tránh những kẻ tấn công đánh cắp các khóa truy cập. 

Trước tiên, các tổ chức nên kiểm tra đối với các cấu hình sai, quyền quá rộng và các điểm yếu khác trong IAM truy cập. Tiếp theo, các tổ chức nên tiến hành xác định IAM bị phơi nhiễm và liên tục theo dõi các khóa truy cập IAM vào tài nguyên đám mây. 

de-doa-ransomware

Kẻ đe dọa đối mặt với rào cản trong đám mây – Cơ hội để các tổ chức chuẩn bị phòng thủ 

Hiện tại, các rào cản khác nhau có thể sẽ làm chậm những kẻ tấn công tìm cách xâm nhập dữ liệu doanh nghiệp thông qua đám mây. Các API được hỗ trợ cho mỗi dịch vụ đám mây là khác nhau và mỗi nhà cung cấp dịch vụ đám mây cung cấp một số lưu trữ dữ liệu khác nhau. Điều này không có nghĩa là các doanh nghiệp miễn nhiễm với Ransomware trên đám mây. Hiện tại cần thời gian để đưa ra các phương pháp hay nhất, đặc biệt là liên quan đến quản lý danh tính và truy cập. 

Công cụ quản lý hình thức bảo mật đám mây giúp đảm bảo việc triển khai các khuôn khổ được tuân thủ và các kiểm soát môi trường đám mây được thực hiện hợp lệ. Công cụ quản lý quyền lợi cơ sở hạ tầng đám mây có thể hỗ trợ giám sát bảo mật IAM. Các công cụ khác như Mã hóa Bảo mật đám mây và Bảo vệ khối lượng công việc trên đám mây được cấu hình tự động để đảm bảo các nhóm bảo mật có thể mở rộng quy mô khi đám mây mở rộng quy mô.

Một số thói quen cần có để giúp doanh nghiệp bạn vững vàng trước Ransomware 

  • Luôn cập nhật về tình hình mối đe dọa đang phát triển
  • Phân tích tác động kinh doanh của việc mất dữ liệu quan trọng
  • Đánh giá mức độ sẵn sàng bên trong và bên ngoài
  • Xem xét và kiểm tra kế hoạch ứng phó sự cố của bạn
  • Triển khai Zero Trust
  • Xác định tài sản tiếp xúc của bạn
  • Ngăn chặn các mối đe dọa đã biết và chưa biết
  • Tự động hóa khi có thể
  • Khối lượng công việc trên đám mây an toàn
  • Giảm thời gian phản hồi với Retainers