Phục hồi ransomware là gì? Doanh nghiệp cần chuẩn bị gì trước khi nó xảy ra?

Ransomware Recovery là quá trình khôi phục dữ liệu sau một cuộc tấn công mạng có yêu cầu thanh toán để đổi lấy việc mở khóa dữ liệu đã bị mã hóa. Việc có các bản sao lưu dữ liệu tốt và kế hoạch khắc phục thảm họa (Disaster Recovery) vững chắc là những cách tốt nhất mà một công ty, tổ chức có thể phục hồi thành công từ loại tấn công này. Ransomware hiện nay rất phổ biến, các chuyên gia IT đang thúc giục các doanh nghiệp hãy làm như thể họ sẽ bị tấn công, vì vậy việc bảo vệ và đảm bảo khả năng phục hồi là ưu tiên hàng đầu.

Ransomware, phân nhánh của phần mềm độc hại, thường xâm nhập vào hệ thống khi người dùng mở tệp đính kèm trong email hoặc đến một website bị nhiễm mã độc. Một số cuộc tấn công lớn gần đây đã trở thành chủ đề nóng trên khắp thế giới:

• WannaCry ransomware vào tháng 5 năm 2017 đã tấn công hơn 100.000 tổ chức. Tổng số tiền thanh toán không nhiều, nếu xem xét quy mô của cuộc tấn công, nhưng thời gian downtime cho các tổ chức dẫn đến tổn thất rất lớn.
• Petya vào tháng 6 năm 2017 lần đầu tiên được phát hiện trong các hệ thống của chính phủ Ukraine trước khi lan sang các tổ chức trên toàn thế giới.
• Ransomware Bad Rabbit vào tháng 10 năm 2017 lan rộng khắp Đông Âu.
• Một cuộc tấn công ransomware vào thành phố Atlanta vào tháng 3 năm 2018 đã đóng cửa một số phòng ban. Chi phí cho nỗ lực phục hồi là hơn 5 triệu đô la.

Để ẩn danh, những kẻ tấn công thường yêu cầu thanh toán dưới dạng tiền ảo như Bitcoin. Theo FBI, cơ quan này không khuyến nghị nạn nhân trả tiền chuộc, vì quyền truy cập vào các tệp được mã hóa có thể không được đảm bảo và nạn nhân sau đó được biết đến như một tổ chức sẽ trả tiền, mở ra khả năng bị tấn công nhiều hơn. Việc chấp nhận trả tiền cũng sẽ càng khuyến khích “loại hình kinh doanh” này. Chính phủ khuyến nghị nạn nhân nên liên hệ ngay với các cơ quan chức năng để được tham vấn.

Khôi phục sau ransomware đúng cách là điều rất quan trọng vì một cuộc tấn công có thể gây tổn hại hoặc thậm chí đóng cửa một doanh nghiệp. Ngay cả khi một công ty không trả tiền chuộc, chi phí thời gian downtime có thể là thảm họa, do mất doanh thu và mất danh tiếng. Do đó, điều quan trọng là có thể phục hồi nhanh chóng sau một cuộc tấn công ransomware.

Lập kế hoạch phục hồi ransomware rất hữu ích cho một doanh nghiệp không chỉ để phản ứng với các cuộc tấn công mà còn cho toàn bộ kế hoạch khắc phục sau thảm họa. Giai đoạn lập kế hoạch cho phép doanh nghiệp xem xét nơi mà họ có thể dễ bị tổn thương và cần thiết được xem xét.

Bởi vì ransomware liên tục phát triển, điều quan trọng đối với các nhà cung cấp giải pháp bảo vệ dữ liệu là luôn đi trước những kẻ tấn công. Ví dụ, một bước phát triển mới của ransomware là khả năng tấn công trên chính các bản sao lưu dữ liệu, ngoài khối lượng công việc chính. Do đó, một tổ chức phải đảm bảo rằng bộ lưu trữ thứ cấp của họ cũng được bảo vệ.

Phục hồi từ một cuộc tấn công ransomware

Phục hồi ransomware phải bắt đầu trước khi cả một cuộc tấn công được thực thi. Các công ty có tuân theo quy tắc backup 3-2-1 thông thường là có vị thế tốt để phục hồi. Với phương pháp này, có 03 bản sao của dữ liệu, trên ít nhất 02 loại phương tiện khác nhau, với 01 bản sao bên ngoài site (offsite) hoặc offline.

Ví dụ: sử dụng bộ lưu trữ tape cho một trong các bản sao lưu tạo ra hình thức sao lưu offsite hoặc offline. Lưu trữ không được kết nối với mạng sẽ an toàn với ransomware. Mặc dù tape thường không có dữ liệu sao lưu cập nhật nhanh như lưu trữ trên đĩa hoặc đám mây, nhưng nó có một khoảng cách gọi là air-gap – cung cấp sự cô lập thông qua việc thiếu kết nối mạng hoặc internet – và đảm bảo một tổ chức có thể phục hồi ít nhất một số workload của nó.

Khi một cuộc tấn công xảy ra, bộ phận IT cần tiếp quản ngay lập tức trong khi người dùng được ngắt khỏi mạng. Ở dạng đơn giản nhất, IT sẽ xóa sạch các hệ thống bị ảnh hưởng, đảm bảo ransomware không còn trong mạng và khôi phục các hoạt động từ bản sao lưu tốt đã biết trước. Để giúp doanh nghiệp hoạt động nhanh nhất có thể, IT có thể chỉ muốn khôi phục các dữ liệu và hoạt động quan trọng nhất trước tiên, sau đó đưa ra workload ít quan trọng hơn. Các đám mây là một lựa chọn tốt để sao lưu off-site, nhưng nó có thể mất nhiều thời gian để khôi phục lại một khối lượng lớn dữ liệu.

Là một phần của kế hoạch dự phòng và khắc phục sau thảm họa, một công ty nên xác định workload nào là quan trọng nhất đối với sự tồn tại của doanh nghiệp và đảm bảo rằng các kế hoạch đó được sao lưu đúng cách và an toàn. Lý tưởng nhất là công ty sẽ sao lưu các tệp thường xuyên trong suốt cả ngày, sử dụng các phương pháp như data replication.

Testing là chìa khóa để phục hồi ransomware. Một bài kiểm tra có thể đơn giản như chạy qua những gì mỗi thành viên trong nhóm sẽ làm trong trường hợp bị tấn công. Tùy chọn toàn diện nhất liên quan đến việc chạy thử nghiệm toàn diện các bản sao lưu và thất bại trong các hoạt động như thể cuộc tấn công thực sự đã xảy ra.

Kiểm tra bảo mật cũng cần thiết tương tự. Phòng IT cần đảm bảo tính bảo mật của nó – chẳng hạn như phần mềm chống virus – được cập nhật liên tục. Các team bảo mật và khắc phục thảm họa, nếu tách biệt, sẽ nằm trên cùng một trang về các nỗ lực lập kế hoạch và phục hồi.

Huấn luyện và đào tạo người dùng trước là tốt nhất, nhưng nhắc lại ngay sau một cuộc tấn công cũng không kém quan trọng trong khi vấn đề vẫn còn mới mẻ trong tâm trí của mọi người. Nhân viên nên biết rằng không mở tệp đính kèm hoặc trang web thường vào mà họ không nhận ra nó có an toàn hay không. Họ cũng nên biết để thông báo cho phòng IT ngay lập tức nếu họ thấy điều gì đó đáng ngờ.

Các công cụ và nhà cung cấp phục hồi ransomware chính

Các nhà cung cấp bảo vệ dữ liệu gần đây đã được thêm các tính năng cụ thể để phục hồi ransomware.

• Công nghệ của Actifio OnVault cung cấp một khoảng air-gap bằng cách tạo ra một bản sao lưu không thể thay đổi trên bộ lưu trữ đối tượng, tại cơ sở hoặc trên đám mây.
• Phần mềm Acronis sử dụng machine learning để giúp ngăn chặn virus ransomware làm hỏng dữ liệu. Nó cố gắng phát hiện hành vi ứng dụng đáng ngờ trước sự hỏng hóc của các tệp. Acronis Active Protection cho phép khách hàng quay trở lại và phục hồi từ một thời điểm trước khi cuộc tấn công ransomware xảy ra.
• Asigra Cloud Backup ngăn ransomware xâm nhập vào các bản sao lưu bằng cách nhúng các công cụ phần mềm độc hại vào luồng sao lưu và phục hồi. Các công cụ được thiết kế để xác định virus ransomware, cách ly nó và thông báo cho người dùng.
• BackupAssist CryptoSafeGuard hoạt động với phần mềm chống phần mềm độc hại hiện có. Nó quét và phát hiện hoạt động đáng ngờ trong các tệp nguồn có thể liên quan đến ransomware, gửi cảnh báo và chặn các công việc sao lưu tiếp tục chạy cho đến khi giải quyết vấn đề.
• Sao lưu đám mây bảo vệ sao lưu cấp tệp khi tìm thấy phần mềm ransomware. Nó cấm dữ liệu sao lưu hiện có bị ghi đè cho đến khi quản trị viên xác nhận sự cố.
• Druva inSync bao gồm các công cụ giám sát và phát hiện tích hợp. Cảnh báo tự động gắn cờ hoạt động bất thường với dữ liệu trong máy tính để bàn, máy tính xách tay, thiết bị di động và ứng dụng đám mây. Phần mềm cũng giúp xác định ảnh chụp nhanh an toàn cuối cùng .
• Iron Cloud Critical Protection and Recovery của Iron Mountain cô lập dữ liệu, ngắt kết nối dữ liệu khỏi mạng. Trong trường hợp bị tấn công, nó cung cấp một “cleanroom” để khôi phục dữ liệu và đảm bảo rằng ransomware nằm ngoài hệ thống.
• Quorum có một thiết bị được thiết kế đặc biệt để phục hồi từ ransomware. Phiên bản Quorum onQ Ransomware Edition chụp ảnh nhanh các máy chủ và cung cấp khả năng phục hồi ở cấp độ máy chủ.
• Reduxio BackDating đóng vai trò là cỗ máy thời gian cho dữ liệu, sao chép bất kỳ khối lượng nào vào bất kỳ thời điểm nào để phục hồi dữ liệu và cho phép một tổ chức quay trở lại thời điểm trước khi một cuộc tấn công của ransomware.
• Thiết bị vật lý và thiết bị ảo của Unitrends sử dụng các phân tích dự đoán để giúp xác định xem ransomware có hoạt động trong hệ thống hay không. Unitrends cảnh báo khách hàng khi phát hiện virus ransomware, do đó họ có thể khôi phục từ thời điểm an toàn cuối cùng.
• Tính năng ghi nhật ký và bảo vệ dữ liệu liên tục của Zerto cung cấp khả năng tua lại đến một thời điểm trước khi một cuộc tấn công của ransomware.

Các tính năng để tìm kiếm trong một công cụ

Các nhà cung cấp sao lưu và phục hồi có thể giúp đỡ với các vấn đề cụ thể của ransomware theo một số cách.

• Vì một cuộc tấn công ransomware có thể tấn công bất cứ lúc nào, một công cụ có thể cho phép tăng tần suất sao lưu là tốt nhất.
• Tăng thời lượng lưu giữ sao lưu giúp một tổ chức cần lưu giữ các tệp trong thời gian dài.
• Các sản phẩm bảo vệ dữ liệu tích hợp với phát hiện phần mềm độc hại thể hiện sự giao thoa bảo mật quan trọng.
• Phần mềm sao lưu có thể cảnh báo cho quản trị viên về tốc độ thay đổi dữ liệu bất thường, một dấu hiệu cho thấy sự xuất hiện của ransomware.

Bộ phận IT không nên chỉ dựa vào một sản phẩm dự phòng để phục hồi ransomware. Một nền tảng bảo vệ dữ liệu toàn diện và chủ động hơn là tốt hơn. Tuy nhiên, điều quan trọng là phân tích chính xác những gì nhà cung cấp đưa ra, vì đơn giản rằng một công ty có thể phục hồi từ ransomware với một sản phẩm nhất định khác với việc cung cấp một phương thức phục hồi đơn thuần.

---

Xem thêm:
→ Xây dựng chiến lược sao lưu toàn diện cho tổ chức của bạn: Làm gì, như thế nào và tại sao
→ Giải pháp khôi phục sự cố / Site Recovery với Nakivo Backup & Replication
→ Phục hồi sau thảm họa với giải pháp sao lưu lên đám mây AWS
→ Các sản phẩm thiết bị lưu trữ tích hợp phần mềm backup và phục hồi dữ liệu

• Nhận 100GB không gian backup trên cloud miễn phí khi mua thiết bị NAS QNAP
• Hệ thống lưu trữ dự phòng – Backup Storage
• Bảo mật làm việc từ xa: Định nghĩa, rủi ro và cách bảo mật
• Làm cách nào để bảo vệ dữ liệu doanh nghiệp trước ransomware?
• Làm cách nào để ngăn chặn các cuộc tấn công từ Ransomware: 5 kinh nghiệm hữu ích
• Confidential Computing là gì?