Hướng dẫn phòng chống ransomware: Framework, Kiến Trúc, Giải Pháp và Dịch Vụ

I. Framework

Khung bảo mật quản lý rủi ro National Institute of Standards and Technology (NIST) Ransomware Risk Management là một trong các khung bảo mật tập trung vào quản lý, giảm thiểu rủi ro an ninh mạng đồng thời thúc đẩy các giao tiếp và hành động dựa trên rủi ro giữa các bên liên quan trong nội bộ tổ chức và bên ngoài, bao gồm đối tác và nhà cung cấp. (Nguồn NIST)
Khung bảo mật được tổ chức thành năm chức năng chính - Xác định (Identify), Bảo vệ (Protect), Phát hiện (Detect), Ứng phó (Respond) và Khôi phục (Recovery).

1. Xác định (Identify)

Nâng cao sự hiểu biết tổ chức để quản lý rủi ro an ninh mạng đối với: hệ thống, tài sản, dữ liệu và khả năng.

• Duy trì danh mục tài sản phần cứng & phần mềm.
• Tài liệu hóa luồng thông tin trong tổ chức.
• Xác định các hệ thống thông tin bên ngoài mà tổ chức kết nối. 
• Xác định các quy trình và tài sản quan trọng của doanh nghiệp.
• Thiết lập các chính sách an ninh mạng bao gồm vai trò và trách nhiệm. 

2. Bảo vệ (Protect)

Triển khai các biện pháp bảo vệ thích hợp để đảm bảo khả năng cung cấp dịch vụ.

• Quản lý quyền truy cập vào tài sản và thông tin. 
• Quản lý các lỗ hổng bảo mật. 
• Giáo dục và đào tạo người dùng. 
• Bảo vệ các thiết bị của người dùng - một cách an toàn. 
• Bảo vệ dữ liệu nhạy cảm. 
• Thực hiện sao lưu định kỳ. 

3. Phát hiện (Detect)

Đưa ra các hoạt động thích hợp để phát hiện các sự kiện liên quan đến an ninh mạng.

• Kiểm tra và cập nhật quy trình phát hiện sự cố. 
• Đào tạo nhân viên. 
• Hiểu biết các luồng dữ liệu dự kiến. 
• Nhanh chóng liên lạc và xác định tác động của các sự kiện an ninh mạng. 

4. Ứng phó (Respond)

Thực hiện các hoạt động phù hợp để ứng phó với các sự kiện an ninh mạng sau khi được phát hiện.

• Xây dựng kế hoạch ứng phó sự cố.
• Phối hợp với các bên liên quan bao gồm nội bộ và bên ngoài. 
• Kiểm tra kế hoạch ứng phó sự cố. 
• Cập nhật kế hoạch ứng phó sự. 

5. Khôi phục (Recovery)

Phát triển và triển khai các hoạt động thích hợp để duy trì kế hoạch phòng ngừa và khôi phục bất kỳ tính năng hoặc dịch vụ nào bị ảnh hưởng do sự kiện an ninh mạng.

• Lập kế hoạch dự phòng. 
• Truyền thông với các bên liên quan bao gồm nội bộ và bên ngoài. 
• Quản lý quan hệ công chúng và danh tiếng của công ty. 
• Kiểm tra và cập nhật kế hoạch phục hồi. 

II. Mapping giải pháp

Năm chức năng phí trên cung cấp một cách toàn diện để xem xét vòng đời quản lý rủi ro an ninh mạng. Các hoạt động/giải pháp được liệt kê dưới mỗi chức năng cung cấp một điểm bắt đầu tốt cho bất kỳ tổ chức nào, bao gồm cả những tổ chức có tài nguyên hạn chế để giải quyết các thách thức an ninh mạng.

III. Mô hình tổng thể

IV. Giải pháp và dịch vụ

1. Trellix – Data Protection

Trellix cung cấp một danh mục đa dạng các giải pháp bảo mật với khả năng phát hiện, ngăn chặn và ứng phó cho tất cả các giai đoạn của một cuộc tấn công ransomware phức tạp - từ giai đoạn trinh sát đến giai đoạn mã hóa dữ liệu. Trellix cung cấp sự bảo vệ ransomware toàn diện thông qua các sản phẩm đã được kiểm chứng và tồn tại lâu năm, bao gồm các vector quan trọng như Email Security, Network Detection & Response, Data Loss Prevention và Endpoint Security.

2. Fortra Titus

Giải pháp phân loại dữ liệu Titus đóng một vai trò quan trọng trong chiến lược phòng chống ransomware của một tổ chức. Titus là một hệ thống phân loại dữ liệu tiên tiến, giúp tổ chức xác định, phân loại và bảo vệ các thông tin quan trọng của họ một cách chính xác và hiệu quả.

3. Delinea (PAM)

Các tài khoản đặc quyền cao chính là chìa khóa để khai thác vào các hạ tầng CNTT trọng yếu nhất của doanh nghiệp. Một khi attacker từ bên ngoài giành được quyền kiểm soát được một trong số đó, chúng có thể sử dụng để thực hiện một loạt các hành vi như cài backdoors, mã hóa dữ liệu, shutdown toàn bộ hệ thống. Xây dựng với nguyên tắc Zero Trust, Delinea là một lớp kiểm soát, bảo vệ hệ thống khỏi những truy cập trái phép và các cuộc tấn công mạng như malware, ransomware.

4. Entrust 

Xác thực đa yếu tố MFA (Multi-Factor Authentication) đóng vai trò quan trọng trong cuộc chiến chống lại ransomware. Bằng cách kết hợp nhiều yếu tố xác thực như mật khẩu, mã OTP (One-Time Password), hoặc vân tay, MFA cung cấp một lớp bảo vệ bổ sung cho hệ thống và dữ liệu của tổ chức. Điều này giúp ngăn chặn việc sử dụng mật khẩu yếu hoặc bị lộ thông tin đăng nhập, một trong những cách phổ biến mà ransomware có thể tấn công.

5. Pure Storage

Chiến lược bảo vệ dữ liệu chống Ransomware của Pure Storage tập trung vào các khía canh:

• Tích hợp với các backup/recovey vendor như Commvault, Veeam, Veristas
• Tính năng SafeMode Snapshot an toàn, dễ dàng thiết lập, hacker không thể can thiệp
• Đồng bộ lên Cloud Block Store, Cloud Snapshot - Lưu bản backup trên cloud tự động replicate.

Ngay khi xác định được một cuộc tấn công ransomware và những xâm nhập trái phép trong hệ thống, ta có thể bắt đầu các quy trình khôi phục. Việc sử dụng snapshot giúp tốc độ phục hồi trở nên nhanh chóng. 
Pure FlashArray cung cấp tính năng snapshot miễn phí trên tất cả các thiết bị, đồng thời vô cùng dễ dàng thiết lập. Snapshot trên Pure FlashArray sở hữu nhiều ưu điểm vượt trội:

• Không thể thay đổi: Snapshot không thể bị thay đổi hoặc mã hóa sau khi được tạo, ngay cả bởi người dùng có quyền quản trị. Điều này giúp bảo vệ dữ liệu khỏi các cuộc tấn công ransomware.
• Hiệu quả: Chỉ có các dữ liệu thay đổi kể từ snapshot trước đó mới được lưu lại, giúp giảm thiểu thời gian tạo snapshot và tiết kiệm dung lượng lưu trữ bằng tính năng tránh trùng lặp dữ liệu.
• Đầy đủ dữ liệu: snapshot về cơ bản là các khối lưu trữ mới. Có thể mount, đọc, ghi hoặc snapshot lại chúng với hiệu suất tương đương bản gốc.
• Linh hoạt: Khôi phục volume bất kỳ từ snapshot, cho phép khôi phục nhanh chóng các dịch vụ.
• Tự động hóa: Tự động hóa việc tạo snapshot thông qua các chính sách bảo vệ toàn diện, mang lại sự linh hoạt và an tâm cho người dùng.

6. Commvault

Tính năng bảo mật đa lớp của Commvault backup được xây dựng dựa trên Nguyên tắc Zero Trust và cyber security framework của NIST để bảo vệ dữ liệu và phục hồi nhanh chóng trong trường hợp bị tấn công ransomware. Commvault có khả năng bảo vệ và cách li dữ liệu, giám sát chủ động và cảnh báo, phục hồi nhanh chóng.

Data isolation: Commvault cách li các dữ liệu backup để duy trì tới các bản sao thứ hai/thứ ba trong mạng và domain bảo mật riêng biệt.

Air gapping: Commvault ngoài cung cấp tính năng sao chép an toàn dữ liệu backup sang môi trường riêng biệt, đồng thời phối hợp việc mở và đóng các kết nối

7. OPSWAT (File Security)

OPSWAT sử dụng một chuỗi các công nghệ tiên tiến và độc nhất bao gồm công nghệ multiscan và CDR (Content Disarm and Reconstruction) để tăng cường khả năng phòng chống ransomware thông qua truyền nhân tệp (File transfer).

8. Fortinet

Fortinet Security Fabric là một nền tảng bảo vệ toàn bộ bề mặt tấn công của tổ chức với khả năng phát hiện và ngăn chặn được kết hợp chặt chẽ cho tất cả các giai đoạn của chuỗi tấn công mạng và khả năng phản hồi lại cuộc tấn công 1 cách tự động. Bên cạnh đó, một loạt các dịch vụ từ FortiGuard Labs bổ sung kiến thức chuyên môn về an ninh trong tổ chức để chuẩn bị, thực hành và giám sát phòng tránh ransomware cũng như khả năng cập nhật nhanh chóng các mẫu mã độc ransomware 1 cách nhanh nhất để, tối ưu hóa hiệu suất của các giải pháp trong hệ sinh thái Fortinet để phòng chống lại các cuộc tấn công Ransomware.

9. Dịch vụ an toàn thông tin (VSS CyberSecurity Services)

Trong cuộc chiến chống lại ransomware, các dịch vụ an toàn thông tin đóng vai trò cực kỳ quan trọng. Các dịch vụ này  không chỉ cung cấp các chiến lược an toàn thông tin, mà còn tạo ra một hệ thống bảo mật toàn diện. 

Với gần 20 năm hoạt động trong lĩnh vực an ninh mạng, cùng với đội ngũ kỹ sư/chuyên gia giàu kinh nghiệm, VietSunshine đã và đang nhận được sự tin tưởng và đồng hành của khách hàng, là một trong các đơn vị được cấp phép của Bộ Thông Tin và Truyền thông để cung cấp các dịch vụ bảo mật an toàn thông tin, chúng tôi tự hào cung cấp các dịch vụ:

• Giám sát an toàn thông tin: Viet Sunshine cung cấp dịch vụ Vận Hành Và Giám Sát An Toàn Thông Tin hoàn chỉnh cho khách hàng, giúp tổ chức của bạn giảm bớt áp lực cũng như giải phóng thời gian để tham gia vào các dự án khác nhằm đạt được các mục tiêu xa hơn của tổ chức
• Kiểm thử xâm nhập: Đội ngũ kỹ sư bảo mật của VietSunshine thực hiện các cuộc tấn công mô phỏng (được sự cho phép của khách hàng) trên hệ thống để đánh giá khả năng bảo mật của của khách hàng.
• Red teaming: Các chuyên gia của VietSunshine sẽ rà soát tổng thể khả năng xâm nhập ở nhiều ngữ cảnh và phạm vi khác nhau, thực hiện giả lập các chuỗi tấn công và leo thang qua xâm nhập qua từng hệ thống.
• Điều tra và ứng cứu sự cố: Các chuyên gia của DFIR thu thập và kiểm tra nhiều thông tin để xác định ai đã tấn công, cách họ xâm nhập, các bước chính xác mà kẻ tấn công đã thực hiện để xâm phạm hệ thống và bạn có thể làm gì để vá những lỗ hổng bảo mật đó.
• Thông tin mối đe dọa an ninh mạng: Các chuyên gia của VietSunshine và Mandiant sẽ cung cấp cho khách hàng những thông tin và phân tích sâu sắc về các cuộc tấn công mạng, cũng như các tư vấn để sẵn sàng đối phó.
• Săn tìm mối đe dọa: Săn lùng mối đe dọa ngày càng trở nên quan trọng khi các doanh nghiệp tìm cách vượt qua các mối đe dọa mạng mới nhất và nhanh chóng phản ứng với bất kỳ cuộc tấn công tiềm ẩn nào.
• Kiểm tra cấu hình bảo mật: Đánh giá cấu hình của dịch vụ máy chủ, mạng và hệ thống theo các tiêu chuẩn tuân thủ bảo mật uy tín trên thế giới.

VietSunshine - Nhà cung cấp dịch vụ an ninh mạng, giải pháp bảo mật và lưu trữ của các hãng công nghệ hàng đầu thế giới. Liên hệ với chúng tôi để được tư vấn và hỗ trợ tốt nhất.