Khuyến nghị các tổ chức giám sát 24/7 để chủ động chống tấn công ransomware

Trước việc vừa có thêm doanh nghiệp Việt gặp sự cố tấn công mã hóa dữ liệu, còn gọi là tấn công ransomware, cơ quan chức năng và 2 hiệp hội ngành nghề khuyến nghị các đơn vị khẩn trương rà soát, sao lưu dữ liệu đúng cách và giám sát 24/7.

Tấn công ransomware còn tiếp diễn trong thời gian tới

Trưa ngày 4/6, Tổng công ty Bưu điện Việt Nam (Vietnam Post) cho biết hệ thống CNTT của doanh nghiệp này bị tin tặc tấn công bất hợp pháp theo hình thức mã hóa dữ liệu – ransomware vào 3h10 cùng ngày. Hiện tại, các đơn vị chức năng gồm Cục An toàn thông tin (Bộ TT&TT), Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - A05 (Bộ Công an) đang phối hợp với các công ty an ninh mạng tích cực hỗ trợ Vietnam Post xử lý sự cố.

Theo kết quả phân tích ban đầu được các doanh nghiệp thành viên Hiệp hội An ninh mạng quốc gia – NCA chia sẻ, sự cố tấn công vừa xảy ra với hệ thống CNTT của Vietnam Post là hình thức tấn công trực tiếp vào hệ thống máy chủ ảo hóa và mã hoá các file máy ảo, bao gồm cả hệ điều hành và dữ liệu, với mục đích đòi tiền chuộc.

“Hiện chưa có thông tin cụ thể về nhóm tấn công nhưng cách thức tấn công tương tự như cách thức VNDIRECT bị tấn công cách đây chưa lâu”, đại diện NCA thông tin.


Tấn công ransomware là mối nguy với nhiều doanh nghiệp, tổ chức trên toàn cầu và tại Việt Nam

Phân tích của chuyên gia NCA cho thấy, các hệ thống ảo hóa hiện nay đang được sử dụng rất phổ biến tại các tổ chức, doanh nghiệp của Việt Nam. Trong đó, những hệ thống có quy mô từ 50 máy chủ trở lên thì gần như ảo hóa là giải pháp bắt buộc. Tuy nhiên, thực tế cho thấy, vấn đề đảm bảo an ninh, an toàn cho hệ thống ảo hóa vẫn chưa tương xứng với quy mô đầu tư.

“Với các hệ thống máy chủ vật lý, không sử dụng ảo hóa, tin tặc sẽ phải tìm cách truy cập từng máy để tấn công, phá hoại. Việc này sẽ mất nhiều thời gian, để lại dấu vết và dễ bị phát hiện. Trong khi nếu xâm nhập, chiếm quyền điều khiển hệ thống quản lý ảo hóa, tin tặc có thể từ một chỗ thực hiện chỉnh sửa hay bật tắt các máy chủ bao gồm các dịch vụ quan trọng đang chạy trên hệ thống, đặc biệt là có thể mã hoá toàn bộ các máy ảo, gồm cả các máy ảo dự phòng”, ông Vũ Ngọc Sơn, Trưởng ban Nghiên cứu, tư vấn, phát triển công nghệ và hợp tác quốc tế của NCA cho biết.

Giám sát thường xuyên, sao lưu dữ liệu đúng cách

Để phòng chống và kịp thời ứng phó với các cuộc tấn công mạng, đặc biệt là tấn công ransomware còn tiếp diễn trong thời gian tới, sáng ngày 5/6, NCA đã có khuyến nghị các cơ quan, tổ chức, doanh nghiệp tại Việt Nam khẩn trương rà soát, làm sạch hệ thống, đồng thời tăng cường giám sát an ninh mạng.

Một số biện pháp cụ thể được Ban Nghiên cứu, tư vấn, phát triển công nghệ và hợp tác quốc tế của NCA khuyến cáo các doanh nghiệp, tổ chức triển khai để chủ động phòng chống tấn công ransomware, đặc biệt cho các hệ thống ảo hóa, có thể kể đến như: Rà soát, làm sạch hệ thống (nếu có mã độc), đặc biệt với các máy chủ quan trọng; Cập nhật các bản vá lỗ hổng, loại bỏ các tài sản CNTT không sử dụng để tránh bị lợi dụng tấn công mạng; Kiểm tra lại các hệ thống sao lưu dự phòng, có phương án tách biệt hoàn toàn giữa hệ thống chính với dự phòng, đồng thời có kế hoạch sao lưu hệ thống một cách thường xuyên; Ban hành quy trình ứng phó, xử lý sự cố khi bị tấn công...


Các doanh nghiệp, tổ chức được khuyến nghị cần giám sát thường xuyên, liên tục 24/7 để phát hiện sớm các dấu hiệu bị xâm nhập hệ thống, bị tấn công mạng

Với Hiệp hội An toàn thông tin Việt Nam - VNISA, ngay sau khi biết về sự cố tại Vietnam Post, Hiệp hội này đã lập tức nhắc nhở các doanh nghiệp, tổ chức thành viên và đối tác chú trọng triển khai các giải pháp, biện pháp cần thiết đã được các cơ quan chức năng và VNISA khuyến nghị trong đợt tấn công ransomware hồi đầu tháng 4/2024.

Rà soát an toàn các hệ thống theo hướng dẫn của cơ quan chức năng, trong đó cần tập trung phát hiện các dấu hiệu bị xâm nhập hệ thống nhằm kịp thời xử lý là một nội dung khuyến nghị của VNISA với các doanh nghiệp, tổ chức.

Cùng với đó, các đơn vị cần chú trọng đầu tư, trang bị các giải pháp giám sát mạnh để có thể phát hiện các dấu hiệu bất thường cũng như cảnh báo sớm nguy cơ bị tấn công mạng; Thường xuyên sao lưu dữ liệu theo quy trình chuẩn, triển khai các hệ thống dự phòng cho hệ thống thông tin để đảm bảo có thể cung cấp dịch vụ và hoạt động liên tục khi hệ thống chính gặp sự cố...


Chín biện pháp phòng chống tấn công ransomware mà các tổ chức, doanh nghiệp cần triển khai, theo khuyến nghị của Cục An toàn thông tin

Với chức năng của cơ quan quản lý Nhà nước trong lĩnh vực an toàn thông tin mạng, Cục An toàn thông tin (Bộ TT&TT) đề nghị các cơ quan, đơn vị, doanh nghiệp trên toàn quốc thực hiện theo 9 biện pháp cơ bản đã được hướng dẫn trong ‘Cẩm nang phòng chống, giảm thiểu rủi ro từ tấn công ransomware’ để bảo vệ hệ thống, giảm thiểu rủi ro trước nguy cơ tấn công ransomware.

Trong đó, việc xây dựng kế hoạch sao lưu, phục hồi dữ liệu cho hệ thống, thông tin quan trọng là một biện pháp quan trọng hàng đầu. Các đơn vị cần thực hiện sao lưu đúng cách: Có bản sao lưu ‘offline’, không lưu đặt trong môi trường kết nối với hạ tầng mạng; Sao lưu thường xuyên và đảm bảo dữ liệu của các bản sao lưu được đầy đủ. Từ đó hạn chế, giảm thiểu ảnh hưởng của việc mất dữ liệu (khi bị mã hóa) và đẩy nhanh quá trình khôi phục khi có sự cố.

BBT