Tại hội nghị An ninh mạng: Nâng cao năng lực bảo vệ của doanh nghiệp trên không gian số do CIO Vietnam tổ chức tuần qua tại TPHCM, các chuyên gia đã chỉ ra nguyên tắc cốt lõi để đề phòng và cách ứng phó nếu bị tấn công bằng mã độc tống tiền (ransomware): đừng chủ quan nghĩ rằng mua được khóa giải mã là giải quyết xong sự cố. Đã có nhiều thay đổi và doanh nghiệp cần biết cách ứng phó hữu hiệu.
Các diễn giả trình bày tại sự kiện An ninh mạng: Nâng cao năng lực bảo vệ của doanh nghiệp trên không gian số. Ảnh: CIO Vietnam
Phương thức tấn công bằng mã độc tống tiền (ransomware) gần đây lại trỗi dậy ở Việt Nam khi một loạt vụ tấn công liên tiếp xảy ra nhắm vào các công ty lớn ngành chứng khoán, dầu khí, hậu cần như VNDirect, PVOIL, VNPost.
Theo các chuyên gia an ninh mạng, từ khoảng năm năm trước đã có nhiều vụ tấn công mã hóa dữ liệu bằng ransomware ở Việt Nam và một số doanh nghiệp đã phải chấp nhận trả tiền mua khóa giải mã vì sợ hacker tung dữ liệu quan trọng lên mạng Internet. Mọi việc khi đó có vẻ êm xuôi do nạn nhân chủ yếu là các doanh nghiệp nhỏ và vừa, số tiền chuộc được hacker yêu cầu cũng không quá lớn, chỉ khoảng vài ngàn đô la Mỹ.
Phòng thủ theo nguyên tắc “chó treo, mèo đậy”
Ông Dương Ngọc Thái, Founder kiêm CEO của Calif, một công ty chuyên về tư vấn an ninh mạng có trụ sở ở Mỹ, đã chia sẻ tại hội nghị các tình huống thực tế ghi nhận được từ việc trực tiếp tham gia xử lý ransomware ở Việt Nam.
Theo ông Thái, đa số các cụ tấn công của hacker là không có chủ đích trước mà thuộc dạng tấn công cơ hội. Điều này có nghĩa là hacker dùng công cụ rà quét (scan) hệ thống công nghệ thông tin của doanh nghiệp, khi phát hiện lỗ hổng bảo mật thì quyết định xâm nhập. Bên cạnh việc rà quét, hacker còn có thể mua thông tin lỗ hổng từ dark web – thị trường các giao dịch đen trên Internet.
Để đối phó với hacker xâm nhập không đơn giản vì hệ thống nào cũng có lỗ hổng, không có chuyện an toàn tuyệt đối, nhất là trong bối cảnh các doanh nghiệp ngày càng phải tăng mức độ cung cấp dịch vụ trực tuyến.
Tuy nhiên, nếu doanh nghiệp có chiến lược an ninh tốt thì sẽ giảm hậu quả, tần suất bị tấn công. Bộ phận an ninh mạng của doanh nghiệp phải rà quét, cập nhật để tránh tạo ra các lỗ hổng, nói theo kiểu dân gian là “chó treo, mèo đậy”: đừng bao giờ treo mỡ trước miệng mèo.
Con đường xâm nhập (entry point) thì rất nhiều. Thậm chí, có khi entry point khó quá thì hacker có thể thông qua con người, cài cắm người vào các dự án, người làm bán thời gian cho doanh nghiệp để tấn công đường vòng, ông Nguyễn Lê Thành, CTO của VNG, cho biết.
Các điểm yếu trong hệ thống có thể bị lợi dụng làm đường xâm nhập nhanh để chiếm quyền điều khiển domain admin hệ thống mạng nội bộ được các chuyên gia an ninh mạng lưu ý tại hội nghị có thể kể đến, như máy chủ e-mail Exchange và phần mềm e-mail Outlook hay qua các hệ thống liên quan đến bảo mật như mạng riêng ảo VPN, tường lửa (firewall), phần mềm an ninh dạng end-point protection.
Mặc dù là công cụ bảo vệ nhưng VPN, firewall hay phần mềm bảo mật lại có thể trở thành cửa ngõ xâm nhập do đội an ninh mạng doanh nghiệp dễ chủ quan bỏ qua những hệ thống do họ quản lý trực tiếp.
Không chỉ phòng thủ cho riêng doanh nghiệp, trong bối cảnh liên kết sản xuất kinh doanh hiện nay, theo ông Đào Hữu Phúc, CTO của Bảo hiểm FWD, còn phải quan tâm bảo vệ chung cho các đối tác như nhà máy sản xuất, vận hành kho bãi (third party risk management).
Bộ phận an ninh mạng của doanh nghiệp sử dụng dịch vụ của đối tác bên ngoài phải chia sẻ thông tin, hợp tác với nhau để cùng bảo vệ bởi lẽ nếu một hệ thống bị tấn công, cả chuỗi cung ứng sẽ bị ảnh hưởng từ logistics đến kho bãi, vận chuyển.
Mua được khóa giải mã vẫn chưa xong!
Nếu chẳng may bị “dính” ransomware, doanh nghiệp cần cử người đàm phán có chuyên môn trong trường hợp chấp nhận trả tiền cho hacker để mua khóa giải mã.
Nếu doanh nghiệp không có người phù hợp có thể sử dụng dịch vụ do các công ty an ninh mạng có uy tín cung cấp sẽ hiệu quả hơn tự mò mẫm liên hệ. Việc giao quyền đàm phán cho người chuyên nghiệp bên ngoài giúp tránh bị cảm xúc chi phối do áp lực thời gian thôi thúc như người trong doanh nghiệp, nhờ vậy mà giữ được bình tĩnh và đàm phán được kết quả có lợi hơn.
Cần nắm được tâm lý của hacker luôn muốn “đánh nhanh, rút lẹ” trong đàm phán để giảm số tiền phải trả cũng như các điều khoản hỗ trợ giải mã từ hacker sau khi đã nhận tiền và đưa khóa giải mã.
Trên trang web Ransomware.live, nơi hacker công bố các đoạn chat thương lượng trả tiền mua khóa giải mã ransomware, có trường hợp số tiền giảm từ 3 triệu đô la xuống 1 triệu đô la chỉ trong chưa đầy năm phút.
Tuy nhiên, ngay cả khi đã chấp nhập trả tiền và được hacker giao khóa giải mã, mọi việc cũng chưa hẳn đã suôn sẻ.
Vì cần mã hóa nhanh nên thông thường hacker chỉ mã hóa một phần file và chọn mã hóa tại chỗ (offline) để bộ phận an ninh mạng doanh nghiệp bị tấn công không phát hiện. Cũng với lý do cần mã hóa nhanh, hacker thường chọn kiểu mã hóa hybrid encrytion gồm một cặp khóa (key), trong đó sẽ có một khóa chứa trong file. Khi có khóa do hacker cung cấp khớp nhau thành một cặp, file sẽ được giải mã trở lại trạng thái bình thường.
Ngoài ra, để tránh mất thời gian, hacker thường làm công cụ mã hóa đa nền tảng (multiplatform) để có thể tấn công các hệ thống chạy Windows, Linux, VMware ESXi.
Đây là lý do sẽ có nguy cơ xảy ra lỗi trong quá trình giải mã, dữ liệu không giải mã được dù đã trả tiền và nhận được khóa giải mã từ hacker. Ngoài ra, còn có trường hợp file bị hư trong quá trình mã hóa dẫn đến việc không có key trong file để giải mã, phục hồi dữ liệu.
Chính vì nguy cơ bị lỗi trong quá trình giải mã, doanh nghiệp cần có người đàm phán chuyên nghiệp để yêu cầu hacker vẫn hỗ trợ sau khi lấy tiền và xử lý trục trặc nếu xảy ra trong quá trình giải mã. Ngoài ra còn có hacker còn cung cấp báo cáo chi tiết về quá trình xâm nhập để doanh nghiệp biết hệ thống bị lỗ hổng ra sao.
Ransomware không phải không thể giải mã
Tuy hết sức nguy hiểm nhưng khác với quan niệm phổ biến, ransomware vẫn có thể giải mã được, theo chia sẻ của chuyên gia an ninh mạng Dương Ngọc Thái.
Theo ông Thái, ngay cả hacker viết ransomeware cũng không tránh khỏi bị hack và một số bộ mã nguồn tạo ra ransomware đã được đưa lên trang web chuyên cung cấp mã nguồn GitHub. Từ các bộ mã nguồn này, một số công ty an ninh mạng đã nghiên cứu và viết ra công cụ giải mã được một số ransomware.
Chính vì vậy, khi bị “dính” ransomware doanh nghiệp cần bình tĩnh lên kế hoạch đối phó.
Đầu tiên là nên thiết lập một bộ phận chỉ huy giải quyết sự cố (war room) với người chỉ huy không nhất thiết là nhân sự kỹ thuật nhưng phải có đủ thẩm quyền. Việc quan trọng đầu tiên là đánh giá khả năng tự phục hồi dữ liệu, tự giải mã hay chấp nhận trả tiền cho hacker để mua khóa giải mã.
War room cần đặt ở gần bộ phận kỹ thuật xử lý trực tiếp sự cố (operation) để dễ họp hành, trao đổi. Để tránh khủng hoảng thêm trầm trọng sau khi bị tấn công ransomware, cần tổ chức để tránh vỡ trận do mạnh ai nấy làm. Các bộ phận phải có phân công ca kíp để làm 24/24, có bàn giao những công việc cần làm, thông báo công việc đã làm và dự định phải làm tiếp theo.
Sau khi có khóa giải mã thì doanh nghiệp tập trung phục hồi phần quan trọng nhất trước. Chẳng hạn như đối với ngân hàng, công ty chứng khoán thì cần ưu tiên việc cho khách hàng đăng nhập kiểm tra số tiền trong tài khoản hay số cổ phiếu đang nắm giữ để họ yên tâm.
Các bước tiếp theo sau giải mã (decrypt) là làm sạch (clean), cô lập (isolate) để kiểm tra trước khi phục hồi (recover) hệ thống, đưa vào hoạt động trở lại. Với các hệ thống lớn gồm hàng trăm, hàng ngàn máy chủ thì việc làm cho cả hệ thống kết nối và chạy lại được không phải đơn giản sau khi giải mã.
“Dọn nhà lên mây” -ưu tiên chuyển các loại mã nguồn hệ thống
Để hạn chế hậu quả do ransomware gây ra, doanh nghiệp cần tận dụng các hệ thống lưu trữ dùng công nghệ điện toán đám mây (cloud) để lưu trữ các dữ liệu quan trọng. Việc dùng cloud có lợi ích rất lớn là tận dụng được tính năng bảo vệ đã được nhà cung cấp cloud đầu tư lớn và tốt hơn hệ thống tự xây dựng của doanh nghiệp.
Trong các dữ liệu cần “chuyển lên mây” thì hãy ưu tiên chuyển các loại mã nguồn hệ thống đầu tiên. Việc lưu trữ này sẽ bảo đảm doanh nghiệp luôn có sẵn bộ nguồn sạch để phục hồi hệ thống trong trường hợp bị tấn công, tốt hơn nhiều so với việc dùng bộ mã nguồn đã bị mã hóa sau đó giải mã. Phải đề phòng dù đã bán khóa giải mã nhưng hacker vẫn cài cắm gì trong những dòng mã nguồn đó mà việc dò tìm ra sẽ rất phức tạp, tốn nhiều công sức và có thể bị bỏ sót.
Song Nghi
