เปิดตัวคู่มือการป้องกันและบรรเทาความเสี่ยงจากการโจมตีด้วยแรนซัมแวร์

จากการติดตามและกำกับดูแล กรมความปลอดภัยข้อมูลได้สังเกตเห็นการเกิดขึ้นของการโจมตีด้วยแรนซัมแวร์ที่มุ่งเป้าไปที่หน่วยงาน องค์กร และธุรกิจต่างๆ มากมายในเวียดนาม โดยเฉพาะในสาขาที่สำคัญ เช่น การเงิน การธนาคาร พลังงาน โทรคมนาคม เป็นต้น ซึ่งก่อให้เกิดความเสียหายต่อทรัพย์สิน ชื่อเสียง และความหยุดชะงักทางธุรกิจของหน่วยงานที่ได้รับผลกระทบ

ตามข้อมูลของกรมความปลอดภัยข้อมูล การโจมตีด้วยแรนซัมแวร์ในปัจจุบันมักเริ่มต้นจากจุดอ่อนด้านความปลอดภัยของหน่วยงานหรือองค์กร ผู้โจมตีจะเจาะระบบ รักษาสถานะ และขยายขอบเขตการบุกรุก จากนั้นแฮกเกอร์จะสามารถควบคุมโครงสร้างพื้นฐานด้านเทคโนโลยีสารสนเทศขององค์กรได้ ทำให้ระบบหยุดทำงาน

เมื่อเผชิญกับสถานการณ์ดังกล่าว กรมความปลอดภัยข้อมูลได้พัฒนาคู่มือเกี่ยวกับมาตรการต่างๆ เพื่อป้องกัน ต่อสู้ และลดความเสี่ยงจากการโจมตีด้วยแรนซัมแวร์สำหรับองค์กรและธุรกิจต่างๆ โดยมุ่งหวังที่จะรับประกันความปลอดภัยทางไซเบอร์ของชาติ

9 มาตรการป้องกันและลดความเสี่ยงจากการโจมตีด้วยแรนซัมแวร์

คู่มือของแผนกความปลอดภัยข้อมูลระบุมาตรการ 9 ประการเพื่อป้องกันและลดความเสี่ยงของการโจมตีด้วยแรนซัมแวร์สำหรับองค์กรและธุรกิจต่างๆ

ประการแรกจำเป็นต้องสร้างแผนการสำรองข้อมูลและกู้คืนข้อมูลสำหรับระบบข้อมูลที่สำคัญตามกฎการสำรองข้อมูล 3-2-1 ซึ่งประกอบด้วยสำเนาสำรอง 3 ชุดในสื่อจัดเก็บข้อมูลที่แตกต่างกัน บันทึกไว้ในสื่อประเภทต่างๆ อย่างน้อย 2 ประเภท และสำเนา 1 ชุดที่บันทึกแบบออฟไลน์

ขั้นตอนต่อไปคือการใช้มาตรการตรวจสอบสิทธิ์ที่เข้มงวดสำหรับบัญชีการเข้าถึงระบบ วิธีแก้ปัญหาได้แก่ การกำหนดนโยบายรหัสผ่านที่ปลอดภัยสำหรับบัญชีผู้ดูแลระบบทั้งหมด บัญชีการเข้าถึงระบบที่สำคัญ การเปิดใช้งานการตรวจสอบสิทธิ์หลายปัจจัย (MFA) สำหรับบริการทั้งหมดหากเป็นไปได้ โดยเฉพาะอย่างยิ่งสำหรับอีเมล VPN vCenter...

นอกจากนี้ ยังจำเป็นต้องแบ่งพาร์ติชันการเข้าถึงเครือข่ายอย่างเคร่งครัด แยกพาร์ติชันทรัพยากรสำคัญ แบ่งพาร์ติชันระหว่างเครือข่ายผู้ดูแลระบบและเครือข่ายผู้ใช้ ใช้ไฟร์วอลล์เพื่อควบคุมการเข้าถึงระหว่างโซน...

สำหรับระบบที่สำคัญ หลักการสิทธิพิเศษสามารถนำไปใช้ได้: ไม่ใช้บัญชีผู้ดูแลระบบสำหรับการดำเนินงานปกติ ปิดการใช้งานฟีเจอร์ที่ไม่จำเป็น ประเมินบัญชีผู้ดูแลระบบเป็นระยะ ใช้สิทธิพิเศษแบบจำกัดเวลา...

เนื่องจากแฮกเกอร์มักใช้ประโยชน์จากช่องโหว่เพื่อเข้าถึงข้อมูล องค์กรต่างๆ จำเป็นต้องสแกนหาช่องโหว่และแก้ไขเป็นระยะๆ อัปเดตซอฟต์แวร์ ระบบปฏิบัติการ ไฮเปอร์ไวเซอร์ และโครงสร้างพื้นฐานด้านไอทีที่เกี่ยวข้องให้เป็นเวอร์ชันล่าสุด โดยต้องแน่ใจว่าได้ดาวน์โหลดแพตช์จากแหล่งที่เชื่อถือได้

นอกจากนี้ จำกัดการใช้งานบริการควบคุมคอมพิวเตอร์ระยะไกล เช่น TeamViewer, Anydesk... ต่อไป ตรวจสอบบัญชีการเชื่อมต่อระยะไกลทั้งหมดที่ใช้ VPN จำกัดการเข้าถึง VPN ให้กับทรัพยากร และปรับใช้ MFA บนการเชื่อมต่อ VPN ทั้งหมดเพื่อเพิ่มความปลอดภัย

ติดตามและดาวน์โหลดเนื้อหาของคู่มือเกี่ยวกับการป้องกันและลดความเสี่ยงจากการโจมตีด้วยแรนซัมแวร์ได้ที่ khonggiamang.vn

โซลูชันการป้องกัน Ransomware ประกอบด้วย: การตรวจสอบเชิงรุกและต่อเนื่องเพื่อตรวจจับการบุกรุก การค้นหาสัญญาณการโจมตีเชิงรุกโดยการสแกนมัลแวร์ การร้องขอหน่วยงานรักษาความปลอดภัยข้อมูล (IT) เฉพาะทางเพื่อจัดการกับมัลแวร์หากตรวจพบ การตรวจสอบคำเตือนมัลแวร์บนเซิร์ฟเวอร์ และการอัปเดตตัวบ่งชี้มัลแวร์ APT เป็นประจำ

ขั้นสุดท้าย ให้วางแผนกระบวนการตอบสนองต่อแรนซัมแวร์อย่างทันท่วงที: พัฒนากรอบภาพรวม อัปเดตเอกสารสำหรับแต่ละขั้นตอน เตรียมแผนการสื่อสาร สร้างรายการสิ่งที่ต้องทำ ฝึกอบรมพนักงานเกี่ยวกับความปลอดภัยทางไอทีเป็นประจำ และตรวจสอบระบบหลังจากเกิดเหตุการณ์

การกู้คืนระบบหลังจากตรวจพบการโจมตีแรนซัมแวร์

คู่มือของแผนกความปลอดภัยข้อมูลยังรวมถึงคำแนะนำบางส่วนสำหรับการกู้คืนระบบหลังจากตรวจพบการโจมตีของแรนซัมแวร์

ขั้นแรก ให้ระบุระบบที่ได้รับผลกระทบและแยกเครือข่ายระบบโดยปิดกั้นการเชื่อมต่อจากระบบและพื้นที่เครือข่ายเหล่านี้ หากไม่สามารถปิดกั้นการเชื่อมต่อได้ ก็สามารถแยกการเชื่อมต่อได้โดยการถอดสายเคเบิลเครือข่ายออก

ต่อไปนี้ ให้จัดประเภทระบบที่ได้รับผลกระทบสำหรับการกู้คืนในพื้นที่เครือข่ายแยกต่างหาก กำหนดลำดับความสำคัญของการกู้คืนระบบที่สำคัญ ตรวจสอบให้แน่ใจว่าระบบปฏิบัติการเซิร์ฟเวอร์กู้คืนได้อย่างปลอดภัย และระบุไฟล์ที่จะกู้คืน

นอกจากนี้ ยังสามารถรวบรวมข้อมูลจากเซิร์ฟเวอร์ ตัวอย่างมัลแวร์ในระบบ วิเคราะห์ตัวอย่างข้อมูลที่เข้ารหัสเพื่อระบุแรนซัมแวร์ แลกเปลี่ยนกับเจ้าหน้าที่เพื่อค้นหาตัวถอดรหัสหากมี

สุดท้าย ให้กำหนดขอบเขตของผลกระทบ ความเป็นไปได้ของการโจรกรรมข้อมูล ระบุรายชื่อบัญชีที่ได้รับผลกระทบของผู้ใช้องค์กรและลูกค้า

หากคุณต้องการความช่วยเหลือ คุณสามารถติดต่อหน่วยงานเฉพาะทางด้านความปลอดภัยของข้อมูล รวมถึงศูนย์ตอบสนองเหตุฉุกเฉินทางไซเบอร์สเปซเวียดนาม (VNCERT/CC) และศูนย์ติดตามความปลอดภัยทางไซเบอร์แห่งชาติ (NCSC)

ดูคู่มือโดยละเอียด ที่นี่