Ransomware: Có nên trả tiền chuộc?

Các cuộc tấn công mạng, chẳng hạn như ransomware, đang trở thành mối đe dọa ngày càng phổ biến đối với các doanh nghiệp vừa và nhỏ. Kris Schulze và James R. Slaby giải thích lý do tại sao việc bảo vệ dữ liệu của bạn lại quan trọng hơn bao giờ hết và đặt câu hỏi khi nào thì nên trả tiền chuộc…

Tội phạm mạng và các quốc gia liên tục phát triển và mở rộng dựa trên các phương pháp tấn công của chúng, nhắm mục tiêu vào các tổ chức với các cuộc tấn công bằng mã độc tống tiền kép, các cuộc tấn công lừa đảo theo chủ đề COVID và các cuộc tấn công cơ hội được kích hoạt bởi số lượng lớn chuyển sang làm việc từ xa. 

Thật không may, các kế hoạch khôi phục thảm họa (DR) truyền thống có thể sẽ không cắt giảm được. Lấy lại dữ liệu của bạn sau một cuộc tấn công ransomware thành công đòi hỏi một chiến lược, kế hoạch và khả năng khôi phục sau thảm họa được tùy chỉnh cao - đó là lý do tại sao khôi phục tấn công mạng là một trường hợp sử dụng phức tạp hơn.

Một chiến lược quản lý rủi ro thích ứng kết hợp dữ liệu vào một phương pháp tiếp cận nhanh và chức năng là chìa khóa để bảo vệ doanh nghiệp của bạn tốt hơn.

Thực hiện các biện pháp phòng ngừa

Ngăn chặn các cuộc tấn công mạng bằng cách tiếp cận chủ động là cách hành động tốt nhất của công ty để tránh khả năng trở thành nạn nhân ngay từ đầu. Phòng ngừa đòi hỏi ba lĩnh vực trọng tâm chính:

Kris Schulze là Chuyên gia Tiếp thị Nội dung và Người ủng hộ Khôi phục Thảm họa tại Acronis.

Kiến thức - Giáo dục người dùng cuối của bạn thông qua đào tạo an ninh mạng và thử nghiệm các giống chó cẩn thận. Khi họ biết và hiểu các rủi ro đối với hành động của họ, bạn sẽ giảm thiểu rủi ro cho doanh nghiệp của mình.

Công nghệ - Tội phạm mạng đang thể chế hóa, sử dụng các công nghệ và chiến lược tiên tiến để giành quyền truy cập vào dữ liệu của bạn. Sử dụng các phương pháp hay nhất về an ninh mạng và công nghệ tiên tiến để bảo vệ điểm cuối của bạn.

Phục hồi - Không có gì giải trừ tác nhân xấu tốt hơn khả năng khôi phục nhanh chóng các bản sao sạch của dữ liệu, hệ thống và ứng dụng đã sao lưu của bạn.

Sẵn sàng cho những chuyện bất ngờ

Bạn có thể không cần phải lập kế hoạch cho một tình huống như ransomware trước đây. Mặc dù bạn nên đảm bảo dữ liệu quan trọng của mình được bảo vệ đúng cách, nhưng bạn cũng phải thực hiện các biện pháp để khôi phục khi dữ liệu bị hỏng hoặc bị mã hóa. Nó không bao giờ là một câu hỏi về 'nếu' nó sẽ xảy ra với bạn; vấn đề là 'khi nào'.

Các kế hoạch khôi phục sau thảm họa kéo dài hai năm của bạn không còn đủ để giải quyết những trở ngại mới. Bạn cần tìm kiếm những vấn đề mà trước đây bạn chưa từng nghĩ đến hoặc chưa giải quyết được. Ransomware sẽ kiểm tra ranh giới của các kịch bản khôi phục thảm họa điển hình .

Để chuẩn bị cho một cuộc tấn công ransomware, hãy chuẩn bị cho những điều bất ngờ bằng cách:

• Giáo dục người dùng. Lừa đảo vẫn là phương tiện tấn công số một. Ít nhấp chuột vào các liên kết hoặc tệp đính kèm đáng ngờ mang lại lợi nhuận lớn.
• Đa dạng hóa và bảo vệ các bản sao lưu. Các tệp và quy trình sao lưu là những mục tiêu phổ biến và khi bị xâm phạm, có thể cản trở đáng kể nỗ lực khôi phục.
• Xác định RPO và RTO thích hợp. Tính xem bạn phải trả bao nhiêu để mất một giờ, nửa ngày, một ngày hoặc một tuần dữ liệu cho các ứng dụng cấp cao nhất của mình. Bạn không thể cân nhắc giữa chi phí phải trả so với việc không trả tiền chuộc.
• Áp dụng cùng một phép tính đó để lập kế hoạch DR Hiểu kinh tế về ROI của việc chuyển sang tài nguyên chuyển đổi dự phòng và tiếp tục hoạt động từ một điểm khôi phục cụ thể - và giá trị của thời gian khôi phục nhanh chóng.
• Thêm các kịch bản tấn công ransomware vào các bài tập DR của bạn. Tiến hành các bài tập trên bàn (TTX) và các cuộc diễn tập trực tiếp, bao gồm các nhóm không phải là CNTT như tuân thủ, pháp lý, quan hệ công chúng, quan hệ nhà đầu tư và nhân sự.
• Xác định ngưỡng. Bao gồm một bài tập phân tích chi phí / lợi ích trong TTX của bạn và các bài tập để xác định điểm giới hạn mà việc trả tiền chuộc có thể ít tốn kém hơn so với việc cố gắng phục hồi.
• Lập kế hoạch dự phòng. Tìm hiểu nguồn tiền mã hóa ở đâu và như thế nào nếu bạn cần trả tiền chuộc.
• Triển khai công nghệ. Các biện pháp chống ransomware được hỗ trợ bởi AI có thể ngăn chặn các cuộc tấn công trước khi chúng bén rễ.

James R. Slaby giữ chức vụ Giám đốc, Bảo vệ mạng tại Acronis, nơi ông tập trung vào việc kết hợp bảo mật CNTT và bảo vệ dữ liệu

Tiền chuộc hay Phục hồi?

Trả tiền chuộc cho tội phạm mạng có thể được coi là lựa chọn tức thời duy nhất cho doanh nghiệp của bạn, nhưng không có cách nào để đảm bảo rằng bạn sẽ lấy lại quyền truy cập vào dữ liệu được mã hóa. Điều cần thiết là phải đưa ra quyết định thanh toán ransomware một cách cẩn thận và xem xét tất cả các rủi ro liên quan.

Tốt hơn hết là bạn nên chứa ransomware và thực hiện các kế hoạch chuyển đổi dự phòng khôi phục từ bản sao lưu hoặc phục hồi sau thảm họa để tiếp tục hoạt động nhanh nhất có thể. Bạn vẫn có thể phải trả tiền chuộc vì những lý do khác (xem bên dưới), nhưng hãy giảm thiểu tác động của cuộc tấn công đối với hoạt động kinh doanh trước.

Ví dụ: nếu bị đe dọa bằng các chiến thuật gây áp lực khác để thanh toán - đánh cắp dữ liệu kinh doanh nhạy cảm trước cuộc tấn công mã hóa (tống tiền kép), hoặc một cuộc tấn công từ chối dịch vụ (DDoS) có thể phá hủy các hệ thống giao diện web - hãy xem xét tính kinh tế thiệt hại của những tình huống đó so với nhu cầu tiền chuộc. Bạn vẫn có thể trả tiền để giữ dữ liệu nhạy cảm ở chế độ riêng tư để tránh các lệnh trừng phạt hoặc kiện tụng theo quy định.

Và cuối cùng, tiến hành phân tích pháp y chi tiết để xác định điều gì đã xảy ra để mọi lỗ hổng có thể được khắc phục. Các nạn nhân của ransomware được công nhận là có khả năng phòng thủ kém và thường bị nhắm mục tiêu trở lại.