58% CISO Sẵn Sàng Trả Tiền Chuộc Khi Các Endpoint Từ Xa Thúc Đẩy Các Cuộc Tấn Công

58% CISO Sẵn Sàng Trả Tiền Chuộc Khi Các Endpoint Từ Xa Thúc Đẩy Các Cuộc Tấn Công

Một báo cáo mới từ Absolute Security đã đưa ra con số chính xác cho một vấn đề mà các chuyên gia bảo mật đã xoay quanh trong nhiều năm: bảo vệ VPN endpoint từ xa trước ransomware không còn là tùy chọn đối với lực lượng lao động phân tán nữa. Theo nghiên cứu, 58% Giám đốc An ninh Thông tin sẽ xem xét việc trả tiền chuộc để chấm dứt một cuộc tấn công, với thời gian ngừng hoạt động được dẫn ra là nguyên nhân chính. Đáng chú ý hơn, 57% doanh nghiệp được khảo sát báo cáo rằng các cuộc tấn công ransomware xuất phát từ các thiết bị endpoint từ xa hoặc lai. Hai con số đó cùng nhau vẽ nên một bức tranh rõ ràng về nơi bảo mật doanh nghiệp đang thất bại và chi phí phải trả khi điều đó xảy ra.

Cách Các Endpoint Từ Xa và Lai Trở Thành Điểm Xâm Nhập Yêu Thích Của Ransomware

Sự chuyển dịch sang làm việc phân tán đã tạo ra một bề mặt tấn công rộng lớn mà nhiều tổ chức chưa bao giờ lập bản đồ đầy đủ, chứ chưa nói đến việc bảo mật. Các endpoint từ xa — dù là laptop của nhân viên kết nối từ mạng gia đình, thiết bị của nhà thầu trên Wi-Fi công cộng, hay nhân viên làm việc lai chuyển đổi giữa văn phòng và môi trường từ xa — thường nằm ngoài tầm nhìn trực tiếp của các nhóm bảo mật doanh nghiệp. Chúng có thể chạy phần mềm lỗi thời, sử dụng xác thực yếu, hoặc kết nối với hệ thống doanh nghiệp thông qua các tunnel được cấu hình không đúng cách.

Những kẻ tấn công đã nhận ra điều này. Remote Desktop Protocol (RDP) và thông tin xác thực VPN vẫn là những vector truy cập ban đầu bị khai thác phổ biến nhất trong các chiến dịch ransomware, và các thiết bị endpoint thường là quân cờ domino đầu tiên sụp đổ. Khi một thiết bị từ xa bị xâm phạm, kẻ tấn công sử dụng nó như một bàn đạp để di chuyển ngang qua mạng, leo thang đặc quyền và triển khai các payload ransomware trước khi hầu hết các tổ chức kịp phát hiện sự xâm nhập. Các phát hiện của Absolute Security cho thấy 57% cuộc tấn công có nguồn gốc từ các endpoint từ xa hoặc lai, xác nhận rằng đây không phải là rủi ro ngoại lệ. Đây là mô hình tấn công chiếm ưu thế.

Hậu quả của mô hình đó vượt xa phạm vi các tổ chức riêng lẻ. Cuộc tấn công ransomware ChipSoft làm lộ dữ liệu bệnh nhân Hà Lan minh họa điều gì xảy ra khi những kẻ tấn công thành công xâm nhập từ một endpoint vào hệ thống lưu trữ hồ sơ nhạy cảm ở quy mô lớn. Y tế, tài chính và cơ sở hạ tầng quan trọng đều đối mặt với rủi ro ngày càng tăng khi lực lượng lao động của họ trở nên phân tán hơn.

Tại Sao 58% CISO Sẵn Sàng Trả Tiền và Điều Đó Cho Thấy Gì Về Mức Độ Chuẩn Bị

Sự sẵn sàng trả tiền chuộc thường được đóng khung như một câu hỏi đạo đức hoặc pháp lý, nhưng dữ liệu của Absolute Security định hình lại nó như một vấn đề vận hành. Khi 58% CISO nói họ sẽ xem xét việc trả tiền, họ không tán thành hoạt động tội phạm. Họ đang thừa nhận rằng khả năng phục hồi của họ có thể không đủ để chịu đựng thời gian ngừng hoạt động sau một cuộc tấn công lớn mà không gánh chịu thiệt hại tài chính và uy tín đáng kể.

Đó là một vấn đề về sự chuẩn bị. Các tổ chức có cơ sở hạ tầng sao lưu và phục hồi vững chắc, đã được kiểm tra, kết hợp với các kế hoạch ứng phó sự cố mạnh mẽ, ít có khả năng phải đối mặt với tình huống mà việc trả tiền cảm giác như lựa chọn duy nhất. Thực tế là hơn một nửa các lãnh đạo bảo mật được khảo sát sẽ xem xét điều đó cho thấy nhiều doanh nghiệp vẫn chưa chuẩn bị đầy đủ, đặc biệt khi cuộc tấn công xuất phát từ một endpoint nằm ngoài vành đai bảo mật truyền thống.

Điều đó cũng phản ánh thời gian ngừng hoạt động đã trở nên tốn kém như thế nào. Chuỗi cung ứng, dịch vụ hướng khách hàng và hoạt động nội bộ đều phụ thuộc vào quyền truy cập liên tục vào các hệ thống và dữ liệu. Khi ransomware khóa những hệ thống đó, mỗi giờ thời gian phục hồi có một giá trị bằng đô la có thể đo lường được. Phép tính đó — chứ không phải sự linh hoạt về đạo đức — là điều thúc đẩy các quyết định trả tiền chuộc. Và như chính email của Giám đốc FBI bị xâm phạm đã cho thấy rõ, không có tổ chức hay cá nhân nào hoàn toàn miễn nhiễm trước các cuộc tấn công có chủ đích.

Cách Cơ Sở Hạ Tầng VPN Giảm Bề Mặt Tấn Công và Rủi Ro Di Chuyển Ngang

Một VPN được triển khai tốt không phải là giải pháp toàn năng, nhưng nó là một lớp nền tảng mà khi được cấu hình đúng cách, sẽ giảm đáng kể sự phơi bày mà các endpoint từ xa tạo ra. Các tunnel được mã hóa ngăn chặn việc chặn thông tin xác thực trên các mạng không bảo mật. Phân đoạn mạng được thực thi thông qua các chính sách VPN giới hạn phạm vi di chuyển của kẻ tấn công khi đã vào bên trong. Và các yêu cầu xác thực tập trung có nghĩa là các thiết bị bị xâm phạm ít có khả năng âm thầm đi qua mạng mà không bị phát hiện.

Từ quan trọng là "đúng cách." Các cấu hình VPN dựa trên xác thực một yếu tố, cấp quyền truy cập mạng rộng rãi thay vì quyền được phạm vi hóa, hoặc không được vá trong thời gian dài, có thể tự chúng trở thành các vector tấn công. Nguyên tắc đặc quyền tối thiểu, được áp dụng ở lớp VPN, có nghĩa là một endpoint bị xâm phạm chỉ có thể tiếp cận các tài nguyên cụ thể mà nó cần — không phải toàn bộ mạng doanh nghiệp. Kết hợp quyền truy cập VPN với xác thực đa yếu tố và kiểm tra tình trạng endpoint trước khi kết nối tạo ra một rào cản có ý nghĩa làm chậm kẻ tấn công và tạo thời gian cho người bảo vệ phản ứng.

Đặc biệt đối với lực lượng lao động lai, việc thực thi chính sách VPN nhất quán trên tất cả các loại thiết bị — bao gồm cả thiết bị cá nhân được sử dụng cho công việc — là điều cần thiết. Bề mặt tấn công mà báo cáo của Absolute Security mô tả, một phần, là khoảng trống thực thi chính sách cũng như khoảng trống kỹ thuật.

Những Gì Các Nhóm Phân Tán Có Thể Làm Ngay Bây Giờ Để Gia Cố Endpoint Của Họ

Các phát hiện của Absolute Security là lời kêu gọi hành động, không chỉ là suy ngẫm. Các tổ chức với lực lượng lao động phân tán có thể thực hiện các bước cụ thể để giảm rủi ro mà các endpoint từ xa đại diện.

Kiểm tra kho thiết bị endpoint của bạn. Bạn không thể bảo vệ những gì bạn không thể nhìn thấy. Một danh sách đầy đủ, cập nhật về mọi thiết bị kết nối với hệ thống doanh nghiệp — bao gồm cả thiết bị của nhà thầu và thiết bị cá nhân — là điểm khởi đầu cho bất kỳ chiến lược bảo mật endpoint nào.

Thực thi MFA trên tất cả các kết nối VPN. Biện pháp kiểm soát đơn lẻ này loại bỏ một danh mục đáng kể các cuộc tấn công dựa trên thông tin xác thực. Mật khẩu bị đánh cắp một mình không nên đủ để có được quyền truy cập từ xa.

Phân đoạn quyền truy cập mạng theo vai trò. Thay vì cấp cho người dùng từ xa quyền truy cập mạng rộng rãi, hãy cấu hình các chính sách VPN để mỗi người dùng hoặc lớp thiết bị chỉ có thể tiếp cận các hệ thống liên quan đến chức năng của họ. Điều này giới hạn sự di chuyển ngang nếu một thiết bị bị xâm phạm.

Vá các endpoint và cơ sở hạ tầng VPN một cách nhất quán. Nhiều vụ xâm nhập ransomware nổi tiếng khai thác các lỗ hổng đã biết mà các bản vá đã tồn tại. Quản lý vá tự động loại bỏ sự chậm trễ của con người mà kẻ tấn công dựa vào.

Kiểm tra kế hoạch phục hồi của bạn. Nếu một cuộc tấn công ransomware nhắm vào các hệ thống quan trọng nhất của bạn ngay hôm nay, việc phục hồi sẽ mất bao lâu? Thực hiện các bài tập trên bàn và kiểm tra khôi phục sao lưu thường xuyên là cách duy nhất để trả lời câu hỏi đó một cách trung thực và lấp đầy các khoảng trống trước khi chúng trở nên quan trọng.

Báo cáo của Absolute Security là một điểm chuẩn hữu ích cho thấy bảo mật doanh nghiệp đang đứng ở đâu ngay lúc này về mức độ sẵn sàng đối phó ransomware. Các con số thật đáng lo ngại: đa số các cuộc tấn công bắt đầu từ các endpoint từ xa, và đa số các lãnh đạo bảo mật cảm thấy việc trả tiền có thể là không thể tránh khỏi. Nhưng chúng cũng chỉ thẳng vào những gì cần thay đổi. Khả năng hiển thị endpoint, các chính sách VPN được thực thi và khả năng phục hồi đã được kiểm tra không phải là các biện pháp kiểm soát xa lạ. Chúng là đường cơ sở mà mọi tổ chức phân tán đều có thể xác minh. Đánh giá xem thiết lập hiện tại của bạn có thực sự đáp ứng tiêu chuẩn đó hay không là nơi đúng đắn để bắt đầu.