Phòng chống ransomware với Fortinet

09/04/2024
Mặc dù ransomware đã tồn tại suốt nhiều thập kỷ, mức độ đe dọa toàn cầu vẫn đang ở mức cao nhất và tiếp tục tiến triển thành một hình thức phức tạp hơn, gây ra tổn thất ngày càng tăng cho các tổ chức trên toàn cầu. Theo các quan sát từ nhóm Phản ứng Sự cố (IR) của FortiGuard Labs, tội phạm mạng với động cơ tài chính chiếm tỷ lệ cao nhất (74%), với 82% trong số các vụ việc này liên quan đến triển khai ransomware hoặc mã độc.

Sự phát triển của ransomware

Tốc độ tăng ransomware từng năm với sự bùng nổ và tần suất đang tăng lên. Lý do có thể cho sự thay đổi này là do các hoạt động Ransomware-as-a-Service (RaaS) đang ngày càng trưởng thành, cho phép các tội phạm mạng giới thiệu các biến thể mới, phức tạp và quyết liệt hơn bao giờ hết. Họ cũng trở nên kỹ tính hơn, đặc biệt là nhắm mục tiêu vào các tổ chức có khả năng cung cấp số tiền lớn.

Cách tiếp cận có hệ thống hơn trong thực hiện các cuộc tấn công ransomware đang đem lại thành công lớn hơn. Đầu tiên, họ dành nhiều thời gian hơn để tiến hành khám phá để xác định mục tiêu có lợi nhuận, điều này đồng nghĩa với việc nhiều yêu cầu tiền chuộc hiện nay thường đạt đến hàng chục triệu đô la.

Sự trưởng thành ngày càng tăng của các hoạt động ransomware là điều có thể dự kiến, bởi vì RaaS là một trong những yếu tố chính thúc đẩy Crime-as-a-Service (CaaS). Do đó, các tổ chức có mọi hình dáng và kích thước phải triển khai các chiến lược bảo mật phù hợp để giảm thiểu nguy cơ xâm nhập có thể xảy ra.

Giảm thiểu rủi ro ransomware với Fortinet Security Fabric

Fortinet Security Fabric là một nền tảng bảo vệ toàn bộ bề mặt tấn công của tổ chức với khả năng phát hiện và ngăn chặn được kết hợp chặt chẽ cho tất cả các giai đoạn của chuỗi tấn công mạng và khả năng phản hồi lại cuộc tấn công 1 cách tự động.

Bên cạnh đó, một loạt các dịch vụ từ FortiGuard Labs bổ sung kiến thức chuyên môn về an ninh trong tổ chức để chuẩn bị, thực hành và giám sát phòng tránh ransomware cũng như khả năng cập nhật nhanh chóng các mẫu mã độc ransomware 1 cách nhanh nhất để, tối ưu hóa hiệu suất của các giải pháp trong hệ sinh thái Fortinet để phòng chống lại các cuộc tấn công Ransomware.

Để giảm thiểu ảnh hưởng của các cuộc tấn công Ransomware, doanh nghiệp cần thực hiện các quy trình sau:

  • Preparation: Việc chuẩn bị sẵn sàng cho các cuộc tấn công là 1 bước quan trọng. Fortinet cung cấp một loạt dịch vụ để giúp tổ chức chuẩn bị cho các cuộc cố gắng xâm nhập của các tấn công ransomware. Doanh nghiệp  có thể tận dụng các chuyên gia của FortiGuard để hỗ trợ họ đánh giá sự sẵn sàng của mình trước ransomware, định nghĩa các chính sách, triển khai các playbook, và tiến hành các bài tập thực tế. Tất cả các dịch vụ trên đều là một phần của FortiGuard Incident Readiness Service.
  • Prevention: Fortinet Security Fabric bao gồm các giải pháp bảo mật hàng đầu cho email, Network, ứng dụng web,.. mang lại khả năng ngăn chặn mối đe dọa đạt điểm cao nhất một cách liên tục để giảm nguy cơ các tác nhân và thành phần ransomware xâm nhập vào bất kỳ tổ chức nào.
  • Detection: Với FortiGuard Labs là trung tâm Threat Intelligent toàn cầu với tệp khách hàng trải dài, tích hợp với khả năng bảo vệ chuyên sâu của FortiSandbox và FortiAI để tạo ra các mẫu mã độc, tấn công mới nhất và nhanh nhất để cập nhật lại xuống hệ sinh thái Fortinet Security Fabric.

Bảo vệ qua kênh email

FortiMail hoạt động như 1 mail gateway thực hiện kiểm tra các email được gửi ra và vào  giúp ngăn chặn các mối đe dọa bao gồm cả những mối đe dọa mà tội phạm mạng sử dụng để chèn ransomware với một loạt các công nghệ tiên tiến như chế độ disarm và tái tạo nội dung. 

Với việc sử dụng cơ chế kiểm tra đa lớp từ các “know attack” đến các cơ chế phân tích hành vi và kết nối đến FortiSandbox để phòng chống lại các “zero-day attack” Fortimail làm giảm thiểu rủi ro các cuộc tấn công Ransomware qua “vector” email. Một trong các vector được các tội phạm mạng sử dụng nhiều nhất để thực hiện cài đặt footholds vào các tổ chức, doanh nghiệp

Bảo vệ qua kênh network

Tường lửa đóng vai trò quan trọng trong việc phòng chống tấn công Ransomware. Một trong các bước cơ bản để phòng chống Ransomware là phân quyền tối thiểu. Với việc phân mảnh và kiểm soát tối đa giữa các vùng trong hệ thống mạng, các tổ chức, doanh nghiệp sẽ càng dễ dàng trong việc ngăn chặn và giảm thiểu rủi ro với các cuộc tấn công ransomware. 

Tường lửa Fortigate với kiến trúc phần cứng mạnh mẽ, mạch xử lý song song giữa network và security giúp tối ưu hiệu xuất đầu tư, dễ dàng thực hiện hiện phân mãnh hệ thống mạng đến các “micro segment”, “host-to-host”, kiểm soát chặt chẽ các lưu lượng truy cập mạng.

Bên cạnh đó, các khả năng bảo mật hàng đầu trong ngành, chẳng hạn như kiểm tra sâu gói tin (Deep SSL Inspection), bao gồm cả phiên bản TLS 1.3 mới nhất, lọc web, hệ thống ngăn chặn xâm nhập (IPS), kiểm tra Antivirus/Ransomware để cung cấp khả năng nhìn thấu đầy đủ và bảo vệ tất cả các cạnh mạng.

Bảo vệ qua kênh ứng dụng

FortiADC/Web là thiết bị chuyên biệt cho các lưu lượng truy cập ứng dụng, dịch vụ Web. Thiết bị với performance thích hợp để thực hiện giải mã kể cả TLS1.3 là các phương thức mã hóa mới nhất hiện nay, để kiểm tra sâu vào các lưu lượng, tránh việc các tội phạm mạng ẩn giấu các mã độc/ransomware dưới các giao thức mã hóa.

Bên cạnh đó, bảo mật ứng dụng web dựa trên cơ chế học máy đa lớp, tính năng AV, IPS giúp hạn chế các tấn công khai thác các lỗ hổng bảo mật, và tải các malware/Ransomware lên các ứng dụng/dịch vụ web của doanh nghiệp.

Truy cập từ xa an toàn với sự kết hợp của FortiNAC, FortiToken-MFA với kiến trúc Zero trust

Với sự gia tăng của nhu cầu làm việc tại bất cứ đâu, việc truy cập từ xa an toàn là một trong các nhu cầu tối quan trọng hiện nay. Việc các tội phạm mạng thực hiện mua các dánh sách tài khoản trên các web đen và thực hiện truy cập vào hệ thống mạng nội bộ doanh nghiệp tổ chức dễ dàng, từ đó thực hiện tiếp các chuỗi tấn công để triển khai các mã độc/ransomware vào hệ thống. 

Kiến trúc Zero trust chỉ ra rằng, ngoài việc cấp các tài khoản truy tới các người dùng, thì để truy cập từ xa an toàn, cần phải thực hiện xác thực nhiều lớp xem việc các truy cập với toàn khoản đã cung cấp có đúng với người dùng và thiết bị được cho phép hay không. 

FortiToken hỗ trợ MFA với truy cập từ xa qua VPN trực tiếp trên Fortigate để nâng thêm 1 lớp xác thực đảm bảo các tài khoản người dùng cần nhập đúng OTP mới được truy cập vào hệ thống.

Nhưng các tội phạm mạng với kỹ thuật nâng cao, có thể lợi dụng các lỗ hổng bảo mật của thiết bị tường lửa để bypass xác thực OTP, lúc này cần xác thực thêm 1 lớp bảo mật về thiết bị để đảm bảo rằng, thiết bị truy cập là thiết bị đã được trust trong hệ thống.

FortiNAC là giải pháp nằm trong kiến trúc ZTNA với khả năng tích hợp với các thiết bị tường lửa để tăng thêm 1 lớp xác thực thiết bị cho các truy cập VPN. Khi các truy cập VPN thành công, thiết bị tường lửa sẽ đưa các các thiết bị đó vào vùng “isolate” và thông báo đến thiết bị FortiNAC để định danh thiết bị xem có nằm trong danh sách “Trust” trước khi chuyển qua các phân vùng VPN phù hợp.

 

Cơ chế hoạt động:

  • Thiết bị truy cập với thông tin authen đã cung cấp
  • Tường lửa thực hiện đưa thông tin đến FortiNAC để kiểm tra thông tin địa chỉ MAC
  • Nếu địa chỉ MAC trùng với danh sách trong “Trust list” và “Know Device” thì được thông qua và thực hiện chuyển VPN đó qua phân vùng phù hợp với người dùng.

 

 

Xem thêm về các giải pháp của Fortinet

VietSunshine là nhà phân phối của Fortinet tại Việt Nam, liên hệ với chúng tôi để được tư vấn và hỗ trợ tốt nhất.