Ransomware: Phòng chống mã độc tống tiền

Câu hỏi tự dưng xuất hiện: "Tôi có nên trả tiền chuộc không?" Thành thật mà nói, có những tình huống quằn quại mà trả tiền là quyết định ít tổn thất nhất. Nhưng hầu hết các chuyên gia (bao gồm FBI) đều khuyến cáo không trả. Tại sao? Vì:

• Không có bảo đảm — những gang tội này không có hợp đồng legaltech nào cả. Bạn trả tiền, chúng có thể biến mất, hoặc nếu trả lại "key" giải mã thì có thể đó là fake.
• Nuôi dưỡng tội ác — mỗi đồng tiền bạn trả, lại nuôi sống gang tội này để tấn công công ty khác.
• Rủi ro pháp lý — ở Mỹ, có những trường hợp trả tiền chuộc bị trừng phạt vì một phần tiền đó cuối cùng rơi vào tay các đơn vị ngoại lệ bị cấm vận.

Thực tế về phòng chống

Có ba lớp phòng vệ hiệu quả:

1. 1Ngăn chặn lúc đầu — Patch hệ thống thường xuyên (không phải "khi nào có thời" mà phải có lịch trình cứng), tắt RDP nếu không cần, đặt mật khẩu mạnh, dùng MFA (multi-factor authentication) cho mọi tài khoản admin. EDR (Endpoint Detection and Response) như Crowdstrike hay Microsoft Defender for Endpoint cũng giúp phát hiện hoạt động lạ khi hacker đang lateral move trong mạng.

1. 1Backup cách ly — Backup phải offline hoặc trong một network segment riêng biệt, không thể truy cập từ mạng chính. 3-2-1 rule vẫn là vàng: 3 bản backup, 2 loại storage khác nhau, 1 bản offline. Tôi gặp những công ty vẫn cứ backup vào một thư mục trên cùng server — đó là trò đùa.

1. 1Incident response plan — Hầu hết các công ty không bao giờ test kế hoạch phòng chống sự cố của mình cho đến khi trận thật xảy ra. Lúc đó, mọi thứ trở nên hỗn loạn. Cần phải có quy trình clear: ai là người quyết định isolate network, ai liên hệ với law enforcement, ai gọi cho khách hàng, v.v. Thậm chí cần phải test restart hệ thống từ backup để chắc chắn nó hoạt động.

Một chi tiết nhỏ nhưng lợi lạc

Một điều ít ai chú ý: nên lưu inventory tất cả assets (máy tính, server, application) trong một chỗ riêng, offline, không liên kết tới hệ thống IT chính. Khi bị tấn công, khi đó bạn có danh sách clear về cái gì bị ảnh hưởng, cái gì cần được priority restore. Tôi từng thấy công ty phải mất gần một tháng chỉ để liệt kê toàn bộ assets bị mã hóa vì không có danh sách trước.

---

Ransomware không phải là vấn đề "sẽ xảy ra" mà là "đã xảy ra, giờ chỉ chờ lúc". Những công ty sống sót qua các cuộc tấn công đều có một điểm chung: họ đã chuẩn bị sẵn.

Nếu bạn chưa có quy trình rõ ràng, backup cách ly, hay incident response plan, thời điểm tốt nhất để bắt đầu là hôm nay. Và nếu bạn muốn một đối tác để xây dựng quy trình phòng chống toàn diện, Idflow Technology có thể giúp bạn đánh giá mức độ rủi ro hiện tại của tổ chức.