THỰC HIỆN CÔ LẬP VÀ TẮT CÁC HỆ THỐNG QUAN TRỌNG
Điều quan trọng đầu tiên cần làm đó là tắt và ngắt kết nối của các thiết bị, máy tính bị nhiễm ransomware ra khỏi các kết nối mạng, cho dù có dây, không dây hay kết nối qua điện thoại cá nhân. Hành động này thực hiện càng sớm thì việc giảm thiểu thiệt hại cũng như nguy cơ lây lan vào sâu bên trong cơ sở dữ liệu càng thấp và số lượng thiết bị bị nhiễm cũng sẽ ít hơn.
Lưu ý rằng, có thể có nhiều thiết bị bị nhiễm cùng một lúc, có nghĩa là ransomware có thể đã xâm nhập vào hệ thống qua nhiều thiết bị, máy tính và chưa thực hiện tấn công. Chính vì vậy, việc xử lý tất cả các thiết bị được kết nối mạng có khả năng lây nhiễm và áp dụng các biện pháp để đảm bảo giảm thiểu việc lây nhiễm là điều đầu tiên cần thực hiện để tránh việc lây lan qua mạng và bị mã hóa các dữ liệu quan trọng.
NHANH CHÓNG XÁC ĐỊNH NGUYÊN NHÂN VÀ NGUỒN GỐC CUỘC TẤN CÔNG
Phản ứng nhanh là rất quan trọng để giảm thiểu thiệt hại tiềm tàng của một cuộc tấn công. Càng mất nhiều thời gian để xác định nguồn lây nhiễm và ngăn chặn sự di chuyển của nó thì thiệt hại tiềm tàng càng nghiêm trọng. Ngoài ra, tiền chuộc có thể chỉ là vỏ bọc cho một cuộc tấn công khác của tin tặc để tìm cách lấy cắp những dữ liệu quan trọng. Việc xác định được nguồn gốc của cuộc tấn công không chỉ giúp cho việc giải quyết sự cố ở hiện tại, mà còn giúp các TC/DN có thể tránh được việc tấn công trong tương lai.
Có thể khó xác định thời gian bị ransomware xâm nhập, bởi vì chúng có thể ở trên hệ thống nhiều tuần, thậm chí là nhiều tháng trước khi khởi động cuộc tấn công. Các TC/DN thiếu nguồn lực hoặc chuyên môn để thực hiện kiểm tra cũng như phòng chống tấn công mạng có thể cân nhắc việc sử dụng dịch vụ của một công ty bảo mật chuyên nghiệp.
BÁO CÁO TÌNH TRẠNG CHO CÁC CƠ QUAN CÓ THẨM QUYỀN
Nhiều cơ quan, doanh nghiệp không sẵn sàng báo cáo các cuộc tấn công mạng hay ransomware cho cơ quan thực thi pháp luật vì sợ lộ dữ liệu nhạy cảm. Tuy nhiên, việc báo cáo này là cần thiết và nó cũng giúp cơ quan thực thi pháp luật mau chóng tìm ra thủ phạm để ngăn chặn các vụ tấn công tiếp theo.
Hơn nữa, việc báo cáo còn giúp các TC/DN tránh vướng vào vấn đề về pháp lý vì tại một số quốc gia có nhiều quy định cần tuân thủ chẳng hạn như: DPA (Data Protection Act - Đạo luật bảo vệ dữ liệu), PCI-DSS (Payment Card Industry Data Security Standard - Tiêu chuẩn an ninh thông tin bắt buộc dành cho các doanh nghiệp lưu trữ, truyền tải và xử lý thẻ thanh toán), HIPAA (Health Insurance Portability and Accountability Act - Đạo luật về trách nhiệm giải trình và cung cấp bảo hiểm y tế), GDPR (General Data Protection Regulation - Quy định chung về bảo vệ dữ liệu) và các quy định khác, yêu cầu các TC/DN thông báo cho các cơ quan chính quyền về các cuộc tấn công mạng. Điều này không chỉ giúp cho các cơ quan thực thi pháp luật sớm tìm ra kẻ tấn công, mà còn giúp các nhà nghiên cứu bảo mật có thể nghiên cứu và đưa ra được những số liệu quan trọng, đóng góp cải thiện tình hình an ninh mạng.
KHÔI PHỤC HỆ THỐNG TỪ BẢN SAO LƯU
Với các TC/DN lớn thì việc khôi phục dữ liệu có thể tốn nhiều thời gian do khối lượng dữ liệu cần khôi phục quá lớn. Ngay cả khi đã thực hiện “cô lập và tắt các hệ thống quan trọng” nhanh chóng, thì vẫn sẽ có nhiều dữ liệu cần được khôi phục. Điều này đòi hỏi phải có bản sao lưu dữ liệu tốt để có thể khôi phục lại dữ liệu đã bị mã hóa từ đó TC/ DN có thể quay trở lại quá trình hoạt động kinh doanh. Hiện nay, phương pháp sao lưu dữ liệu hiệu quả nhất đó là 3-2-1, phương pháp này bao gồm các nguyên tắc sau:
- Giữ 3 bản sao của bất kỳ tệp quan trọng nào, một bản chính của dữ liệu sử dụng hàng ngày và hai bản sao lưu.
- Giữ tệp dữ liệu trên 2 loại phương tiện khác nhau, có rất nhiều phương tiện có sẵn tùy thuộc vào nhu cầu khác nhau như: NAS, ổ cứng gắn ngoài, bộ nhớ ngoài, đám mây,…
- Duy trì 1 bản sao ở bên ngoài, bằng cách này nếu TC/DN có bị tấn công mạng hoặc các vấn đề khác như trộm cắp, lũ lụt, hỏa hoạn,… thì không phải tất cả các bản sao lưu sẽ mất. Giữ một bản sao lưu trên đám mây hoặc tại một nơi khác sẽ tránh khỏi trường hợp mất mát hoàn toàn dữ liệu nếu có trường hợp xấu xảy ra.
KHÔNG THỎA HIỆP VỚI TIN TẶC
Các TC/DN thường có xu hướng chấp nhận việc trả tiền chuộc để có thể khôi phục lại dữ liệu nhằm tránh ảnh hưởng đến tình hình hoạt động. Mặc dù hành vi này có thể hiểu được, nhưng đó không phải là một cách xử lý bền vững cho các TC/DN, vì việc trả tiền chuộc sẽ trực tiếp tài trợ cho tin tặc để chúng tổ chức nhiều cuộc tấn công khác ngày càng táo bạo và tinh vi hơn với thiệt hại ngày càng tăng.
Nếu các TC/DN đã có sẵn kế hoạch khôi phục sau cuộc tấn công, hãy phân tích chi phí - lợi ích để cân nhắc giữa giá của việc trả tiền chuộc so với giá của việc mất dữ liệu độc quyền và không thể thay thế. Tuy nhiên, điều quan trọng cần nhớ là trả tiền chuộc không đảm bảo cho việc lấy lại dữ liệu đã mất, rất nhiều trường hợp các TC/DN không bao giờ có được khóa giải mã sau khi đã trả tiền chuộc. Trả tiền chuộc không chỉ khuyến khích tin tặc hiện nay nhắm mục tiêu vào nhiều tổ chức hơn, nó còn tạo động lực cho những tên tội phạm khác tham gia vào loại hoạt động bất hợp pháp này. Sự thật cho thấy rằng việc trả tiền chuộc sẽ không giúp TC/DN không bị tấn công ransomware mà ngược lại còn dễ trở thành mục tiêu trong tương lai hơn.