An ninh mạng: Tấn công ransomware là xu hướng chủ đạo của tin tặc thời gian tới

(Ảnh: Minh Sơn/Vietnam+)

Chiều 5/4, Câu lạc bộ Nhà báo công nghệ thông tin Việt Nam (Vietnam ICT Press Club) đã phối hợp với Hiệp hội An ninh mạng Quốc gia tổ chức Tọa đàm “Phòng chống tấn công mã hóa dữ liệu tống tiền.”

Trong Kỷ nguyên Số, các cơ quan, tổ chức, doanh nghiệp phải từng ngày, từng giờ đối mặt với các mối đe dọa, những nguy cơ mất an toàn, an ninh thông tin không ngừng gia tăng trên không gian mạng.

Tấn công mạng vào Việt Nam tăng mạnh

Theo thống kê, tính từ đầu năm 2023 đến nay, đã có hơn 13.750 cuộc tấn công mạng vào các hệ thống thông tin tại Việt Nam gây ra sự cố. Trong đó, tính riêng 3 tháng đầu năm nay, số sự cố tấn công mạng vào các hệ thống thông tin tại Việt Nam là 2.323.

Ông Phạm Thái Sơn - Phó Giám đốc Trung tâm giám sát an toàn Không gian mạng Quốc gia (Cục An toàn Thông tin) cho biết, quý 1/2024 ghi nhận hơn 300 nghìn nguy cơ nhắm vào các hệ thống thông tin của Việt Nam. Trong quý 1/2024, đơn vị này cũng ghi nhận hơn 13 nghìn vấn đề liên quan đến ransomware.

Ông Phạm Thái Sơn - Phó Giám đốc Trung tâm giám sát an toàn Không gian mạng Quốc gia (Cục An toàn Thông tin). (Ảnh: Minh Sơn/Vietnam+)

Ông Sơn cũng nhấn mạnh xu hướng tấn công trong thời gian tới sẽ là tấn công ransomware.

Liên tiếp trong thời gian gần đây, nhiều doanh nghiệp của Việt Nam như VNDIRECT, VPOIL… đã lên tiếng bị tấn công mã hóa dữ liệu. Khi xảy ra sự cố này, các lực lượng chức năng về an toàn, an ninh mạng với chủ lực là A05 (Bộ Công an) và Cục An toàn Thông tin (Bộ Thông tin và Truyền thông) đã và đang cùng các chuyên gia tích cực hỗ trợ các doanh nghiệp này khắc phục, xử lý các sự cố.

Việc các tổ chức, doanh nghiệp Việt liên tiếp phải đối mặt với sự cố tấn công ransomware thời gian gần đây đang khiến nhiều cơ quan, đơn vị lo lắng với câu hỏi: Phải chăng đang có một chiến dịch tấn công ransomware nhắm vào các hệ thống thông tin trong nước?

Ông Vũ Ngọc Sơn - Ủy viên Ban chấp hành Hiệp hội An ninh mạng Quốc gia, Giám đốc kỹ thuật Công ty cổ phần Công nghệ An ninh mạng Quốc gia (NCS) nhấn mạnh, đây là câu chuyện lặp đi lặp lại và các tổ chức, doanh nghiệp sẽ gặp nhiều trong thời gian tới.

Ông Vũ Ngọc Sơn đã đưa ra 8 bước mà tội phạm thường sử dụng tấn công mã hóa dữ liệu bao gồm: Dò tìm; Xâm nhập; Nằm vùng; Mã hóa; Dọn dẹp; Đòi tiền; Rửa tiền; Lặp lại.

Tại tọa đàm, Trung tá Lê Xuân Thủy - Giám đốc Trung tâm An ninh mạng Quốc gia (A05 - Bộ Công an) cũng đã nêu ra một số sai sót thường gặp khi các doanh nghiệp, tổ chức ứng phó với các cuộc tấn công mạng như: Chậm trễ trong việc thông báo tới cơ quan chức năng. Lúng túng, không có kế hoạch điều tra và ứng phó, vội vàng khôi phục hệ thống làm mất dấu vết tấn công. Điều này khiến khó xác định nguyên nhân sự cố. Không xác định được nguyên nhân sự cố, khắc phục không triệt để làm tăng nguy cơ tái diễn cuộc tấn công.

Cần làm gì khi bị tấn công mã hóa dữ liệu?

Tại Tọa đàm, chuyên gia Vũ Ngọc Sơn đã chia sẻ 4 bước các tổ chức, doanh nghiệp cần làm sau khi bị dính tấn công mã hóa dữ liệu bao gồm: Cấp cứu, Rà soát, Phục hồi, Rút kinh nghiệm.

- Cấp cứu: Các đơn vị khi bị dính tấn công mã hóa dữ liệu ngay lập tức phải cách ly hệ thống bị tấn công. Liên hệ ngay với Trung tâm an ninh mạng Quốc gia và các bên liên quan. Đánh giá khả năng sử dụng các dữ liệu đã backup. Thông báo cho các bên bị ảnh hưởng. Đưa ra kế hoạch để xử lý.

- Rà soát: Cùng với đó phải rà soát tìm lỗ hổng, điểm yếu hệ thống. Dựng phân vùng mạng sạch, có hệ thống giám sát tiêu chuẩn. Rà soát kỹ từng máy chủ, xong máy nào đưa vào vùng sạch máy đó. Bổ sung các giải pháp phòng thủ nếu có điều kiện. Ban hành quy định về an ninh mạng để đối phó sự cố tương tự có thể xảy ra.

- Phục hồi: Đưa từng dịch vụ thành phần vào hoạt động trở lại. Tuân thủ nghiêm ngặt các quy trình an ninh mạng đã đặt ra. Tăng cường giám sát 24/7.

- Rút kinh nghiệm: Đầu tư nâng cấp các thành phần còn thiếu để đảm bảo an ninh, trong đó đặc biệt chú ý hệ thống, sao lưu và giám sát. Đào tạo, phổ biến kỹ năng an ninh mạng cho quản trị, người dùng. Ra soát, xây dựng lại toàn bộ quy trình vận hành.

Ông Vũ Ngọc Sơn - Ủy viên Ban chấp hành Hiệp hội An ninh mạng Quốc gia, Giám đốc kỹ thuật Công ty cổ phần Công nghệ An ninh mạng Quốc gia (NCS). (Ảnh: Minh Sơn/Vietnam+)

Cũng theo ông Vũ Ngọc Sơn, các giải pháp bảo vệ truyền thống như sử dụng phần mềm diệt virus, sau lưu dữ liệu, tường lửa hay các giải pháp an ninh mạng hiện không còn phù hợp.

"Không nên coi việc tấn công mã hóa dữ liệu là một mã độc. Quy trình tấn công có thể tới 8 bước, và mã độc chỉ 1 bước. Đây là một cuộc tấn công ATP (tấn công có chủ đích). Khi hacker có quyền quản trị hệ thống, thì nó đã thay thế người quản trị hệ thống. Thậm chí có trường hợp hacker vào hệ thống, gỡ phần mềm diệt virus. Như vậy không còn khả năng phòng ngừa nữa," ông Sơn cho biết.

Chia sẻ về việc sao lưu dữ liệu có đảm bảo an toàn không, ông Sơn cho biết từ vụ việc VNDIRECT có thể thấy, nếu không ngăn cách về vật lý, hoặc địa lý, thì sao lưu cũng không còn ý nghĩa gì cả, vì hacker có thể quản trị luôn cả hệ thống sao lưu dữ liệu. Giải pháp tường lửa, an ninh mạng có tác dụng nếu hacker chưa vào được hệ thống. Còn nếu đã có quyền truy cập, thì câu chuyện lúc này đã rất khác.

Ông Sơn cho biết, trước đây các phương pháp truyền thống được các doanh nghiệp, tổ chức đầu tư 80% để ngăn chặn chứ không đầu tư cho theo dõi, giám sát, phản ứng trước các cuộc tấn công. Chính vì vậy ông Sơn cho biết, hiện tại chúng ta nên áp dụng phương pháp “kiềng ba chân” tức là theo dõi giám sát, phản ứng và ngăn chặn nên được đầu tư như nhau.

Ông Sơn cũng cho biết các doanh nghiệp và tổ chức cũng nên áp dụng mô hình 4 lớp đảm bảo an toàn thông tin do Bộ Thông tin và Truyền thông đã đưa ra bao gồm: Lực lượng tại chỗ; Giám sát bảo vệ chuyên nghiệp; Kiểm tra, đánh giá an toàn thông tin chuyên nghiệp; Kết nối, chia sẻ thông tin với hệ thống kỹ thuật Quốc gia.

Ông Phạm Thái Sơn - Phó Giám đốc Trung tâm giám sát an toàn Không gian mạng Quốc gia lại chia sẻ một số biện pháp để bảo vệ và ứng phó với sự cố ramsomware là cần đảm bảo là sao lưu dữ liệu thường xuyên. "Chúng ta cần sao lưu có kế hoạch, có phương án, sao lưu theo quy trình kỹ thuật 3-2-1. Kỹ thuật 3-2-1 nghĩa là lưu giữ ít nhất ba 3 bản sao của dữ liệu. Lưu trữ hai 2 bản sao lưu trên các phương tiện lưu trữ khác nhau. Lưu trữ một 1 bản sao lưu ở vị trí không thuộc nơi làm việc chính của doanh nghiệp (backup offsite).

Ông Phạm Thái Sơn cũng cho biết, cần có những biện pháp giám sát liên tục, bất kể thời điểm nào. "Chúng ta cần có những đội ngũ chuyên nghiệp, phòng thủ 24/7 phát hiện các cuộc tấn công. Các tổ chức, doanh nghiệp cũng cần rà soát các cuộc tấn công mới, cảnh báo sớm và liên tục."

Trung tá Lê Xuân Thủy - Giám đốc Trung tâm An ninh mạng Quốc gia. (Ảnh: Minh Sơn/Vietnam+)

Trung tá Lê Xuân Thủy - Giám đốc Trung tâm An ninh mạng Quốc gia (A05 - Bộ Công an) cũng đưa ra một số lưu ý trong xử lý sự cố an ninh mạng.

Theo đó, các doanh nghiệp, tổ chức cần thu thập, lưu trữ đủ nhật kí hệ thống. Xây dựng các phương án dự phòng, xử lý sự cố Tách biệt dữ liệu của các hệ thống giám sát, đảm bảo an ninh mạng với hệ thống sản xuất. Thực hiện giám sát an ninh mạng.

Khi phát hiện sự cố, các doanh nghiệp, tổ chức cần cách ly thiết bị bị ảnh hưởng. Bảo vệ dữ liệu liên quan đến sự cố song song với khôi phục hệ thống để xác định được nguyên nhân vụ việc đồng thời thông báo cho cơ quan chức năng như Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao A05, Cục An toàn Thông tin./.

(Vietnam+)