49% Nạn nhân Ransomware Mất Dữ liệu Trước Khi Phát hiện Cuộc Tấn công

49% Nạn nhân Ransomware Mất Dữ liệu Trước Khi Phát hiện Cuộc Tấn công

Ransomware vẫn luôn là vấn đề đau đầu, nhưng một báo cáo mới tiết lộ tình trạng phát hiện đang tệ đến mức nào: gần một nửa số nạn nhân ransomware bị đánh cắp dữ liệu trước khi họ kịp nhận ra kẻ tấn công đã xâm nhập vào mạng của mình. Con số này tăng mạnh từ 31% của năm trước, cho thấy tin tặc không chỉ táo bạo hơn mà còn kiên nhẫn và lén lút hơn đáng kể.

Thời gian tồn tại trung bình trước khi bị phát hiện hiện vào khoảng 2,5 tuần. Đó là 17 ngày hoặc hơn, trong thời gian đó kẻ tấn công có thể âm thầm lập bản đồ hệ thống của bạn, xác định các tệp tin giá trị nhất và chuyển chúng ra ngoài, tất cả trước khi bất kỳ cảnh báo nào vang lên.

Mối Đe dọa Thực sự Là Đánh cắp Dữ liệu, Không Chỉ là Mã hóa

Hầu hết mọi người hình dung ransomware là một sự kiện kịch tính: các tệp tin bị khóa, một thông báo đòi tiền chuộc xuất hiện, hoạt động đình trệ. Hình ảnh đó ngày càng lỗi thời. Các nhóm ransomware hiện đại đã chuyển sang chiến lược hai giai đoạn. Đầu tiên, chúng đánh cắp dữ liệu. Sau đó, khi triển khai mã hóa, chúng nắm giữ hai mối đe dọa riêng biệt đối với nạn nhân: trả tiền để khôi phục quyền truy cập, và trả thêm tiền để ngăn dữ liệu bị đánh cắp không bị công bố.

Cách tiếp cận này, thường được gọi là tống tiền kép, thay đổi hoàn toàn cuộc chơi. Ngay cả những tổ chức có hệ thống sao lưu vững chắc có thể nhanh chóng khôi phục các tệp tin bị mã hóa vẫn phải đối mặt với nguy cơ lộ lọt hồ sơ khách hàng nhạy cảm, tài liệu tài chính hoặc sở hữu trí tuệ. Lúc này, mã hóa gần như là thứ yếu.

Hành vi đánh cắp dữ liệu vẫn là đặc điểm nhất quán trong hoạt động tống tiền qua hơn một nửa số vụ việc hàng năm, xác nhận đây không phải là xu hướng nhất thời. Đây giờ là kịch bản mặc định.

Vì Sao Khả năng Phát hiện Ngày càng Tụt hậu

Khoảng cách ngày càng lớn giữa thời điểm xâm nhập và phát hiện chỉ ra một vài vấn đề hội tụ.

Thứ nhất, kẻ tấn công ngày càng sử dụng các công cụ hợp pháp có sẵn trong môi trường của mục tiêu. Phần mềm bảo mật được thiết kế để gắn cờ các chữ ký mã độc lạ, nhưng khi kẻ tấn công dùng tiện ích hệ thống có sẵn để di chuyển tệp, những hành động đó thường không thể phân biệt với hành vi của quản trị viên bình thường.

Thứ hai, nhiều tổ chức vẫn phụ thuộc nhiều vào lớp phòng thủ vành đai. Tường lửa và đường hầm mã hóa bảo vệ dữ liệu trên đường truyền, nhưng một khi kẻ tấn công có được thông tin xác thực hợp lệ hoặc thiết lập chỗ đứng bên trong mạng, các công cụ vành đai ít có khả năng hiển thị những gì đang diễn ra theo chiều ngang.

Thứ ba, tình trạng quá tải cảnh báo là vấn đề có thật và được ghi nhận rõ ràng trong các trung tâm điều hành an ninh. Khi hệ thống phát hiện tạo ra hàng nghìn cảnh báo có độ tin cậy thấp mỗi ngày, các tín hiệu xâm nhập thực sự bị vùi lấp. Kẻ tấn công biết điều này và căn thời gian hoạt động của chúng để hòa vào những khoảng thời gian nhiễu loạn.

Đây cũng là lý do vì sao việc dựa vào một công cụ duy nhất, bao gồm VPN, tạo ra cảm giác an toàn giả tạo. VPN mã hóa lưu lượng giữa thiết bị của bạn và internet, giúp bảo vệ dữ liệu trên đường truyền và che giấu địa chỉ IP. Nhưng nó không làm gì để phát hiện hay chặn phần mềm độc hại đang chạy trên máy đã bị xâm nhập, và không cung cấp tầm nhìn nào vào hành vi của kẻ tấn công khi thông tin xác thực đã bị đánh cắp. Vụ rò rỉ dữ liệu youX tại Úc, nơi kẻ tấn công truy cập dữ liệu định danh nhạy cảm tại một công ty fintech, minh họa cách các vụ xâm nhập tinh vi có thể vượt qua các lớp bảo vệ bề mặt và gây ra hậu quả dây chuyền trong thế giới thực.

Điều Này Có Ý Nghĩa Gì Với Bạn

Dù bạn là một chuyên gia độc lập hay thuộc đội ngũ CNTT của tổ chức, thời gian tồn tại trung bình 2,5 tuần nên định hình lại cách bạn nghĩ về bảo mật.

Câu hỏi không còn chỉ là "làm sao để ngăn chặn kẻ tấn công?" mà còn là "làm sao tôi biết nhanh nhất nếu ai đó đã ở bên trong, và họ sẽ tìm thấy gì?"

Đối với cá nhân và doanh nghiệp nhỏ, điều này có nghĩa:

• Giả định thông tin xác thực có thể bị xâm phạm. Sử dụng xác thực đa yếu tố ở mọi nơi, đặc biệt trên email, lưu trữ đám mây và mọi công cụ truy cập từ xa. Thông tin xác thực bị đánh cắp là điểm xâm nhập phổ biến nhất.
• Giới hạn những gì có thể truy cập. Không phải mọi hệ thống hay thư mục chia sẻ đều cần có thể truy cập từ mọi thiết bị. Hạn chế quyền truy cập sẽ giảm phạm vi kẻ tấn công có thể tiếp cận sau khi đột nhập ban đầu.
• Giám sát các điểm bất thường, không chỉ các mối đe dọa đã biết. Các công cụ phát hiện điểm cuối gắn cờ hành vi bất thường, chẳng hạn tài khoản người dùng bất ngờ truy cập các tệp chưa từng đụng đến, có giá trị hơn so với chỉ dùng phần mềm diệt virus dựa trên chữ ký.
• Có kế hoạch ứng phó sự cố. Biết chính xác các bước cần làm trong giờ đầu tiên khi xác nhận vi phạm sẽ hạn chế đáng kể thiệt hại. Nhiều tổ chức phát hiện ra họ không có quy trình bằng văn bản cho đến khi rất cần.
• Phân đoạn các bản sao lưu. Bản sao lưu nằm cùng mạng với hệ thống chính có thể bị mã hóa hoặc xóa bởi kẻ tấn công trong thời gian chúng ẩn náu. Sao lưu ngoại tuyến hoặc bất biến là một lớp bảo vệ riêng biệt.

VPN vẫn là công cụ thực sự hữu ích, đặc biệt để bảo mật lưu lượng trên các mạng không tin cậy và bảo vệ quyền riêng tư khỏi giám sát thụ động. Nhưng vai trò của chúng chỉ là một lớp trong nhiều lớp, không phải là hàng phòng thủ hoàn chỉnh.

Xây dựng Chiến lược Phòng thủ Nhiều Lớp

Tư thế bảo mật hiệu quả nhất coi phát hiện là ưu tiên ngang bằng với ngăn chặn. Ngăn chặn không bao giờ hoàn hảo, và dữ liệu xác nhận kẻ tấn công ngày càng giỏi hơn trong việc vượt qua nó. Các tổ chức và cá nhân chỉ đầu tư vào việc ngăn chặn kẻ tấn công, trong khi không làm gì để phát hiện chúng khi đã lọt vào, thực chất đang mù mờ trong khoảng thời gian quan trọng nhất.

Phòng thủ nhiều lớp nghĩa là kết hợp các công cụ vành đai, giám sát điểm cuối, phân tích lưu lượng mạng, kiểm soát truy cập chặt chẽ và đào tạo người dùng. Không sản phẩm đơn lẻ nào bịt được mọi lỗ hổng, đó là lý do ngành an ninh nói về phòng thủ theo chiều sâu thay vì một "viên đạn bạc" duy nhất.

Sự gia tăng mạnh của hành vi đánh cắp dữ liệu trước khi bị phát hiện là tín hiệu rõ ràng cho thấy môi trường đe dọa đã trưởng thành. Kẻ tấn công đang hoạt động với kỷ luật và sự kiên nhẫn hơn bao giờ hết. Phản ứng phù hợp là đối sánh với kỷ luật đó bằng các biện pháp phòng thủ nhiều lớp có chủ ý, thay vì mua sắm công cụ phản ứng sau khi sự cố xảy ra.

Hãy bắt đầu bằng cách kiểm kê dữ liệu nhạy cảm bạn đang nắm giữ, nơi nó được lưu trữ, và ai có thể truy cập. Chỉ riêng tầm nhìn đó đã giúp bạn vượt trội so với hầu hết các mục tiêu.