Sự bùng nổ của COVID-19 đã đưa các cuộc tấn công mạng nhắm vào các nhà cung cấp dịch vụ chăm sóc sức khỏe ngày càng gia tăng. Các yếu tố góp phần vào các cuộc tấn công như vậy bao gồm:
+ Cơ sở khẩn cấp ứng phó với COVID-19 được thiết lập mà không có kế hoạch bảo mật của cơ sở hạ tầng CNTT.
+ Sự gia tăng đáng kể về lượng dữ liệu sức khỏe bệnh nhân được các tổ chức chăm sóc sức khỏe lưu trữ.
+ Telehealth và những người làm việc từ xa trên khắp thế giới, mở ra những lỗ hổng bảo mật.
Đặc biệt với Ryuk ransomware mới hồi sinh gần đây. Cuộc điều tra của sophos cho thấy sự phát triển của các công cụ được sử dụng để xâm nhập vào các mạng và triển khai ransomware. Nhưng điều đáng chú ý hơn là các cuộc tấn công có thể chuyển từ thỏa hiệp ban đầu sang triển khai ransomware nhanh như thế nào. Trong vòng 3 tiếng sau khi mục tiêu mở tệp đính kèm email lừa đảo, những kẻ tấn công đã tiến hành rà soát mạng. Trong vòng một ngày, họ đã có quyền truy cập vào domain controller và đang ở giai đoạn đầu của nỗ lực triển khai ransomware.
Các kỹ thuật trốn tránh của ransomware đang thay đổi nhanh chóng. Trong những năm gần đây, các cuộc tấn công ransomware đã có xu hướng chuyển từ các cuộc tấn công ồ ạt, quy mô lớn sang các cuộc tấn công tập trung, có kế hoạch và thực hiện thủ công khó phát hiện và ngăn chặn hơn nhiều.
Tội phạm mạng đã lai tạp các cuộc tấn công của chúng, kết hợp tự động hóa để tìm ra những nạn nhân có lỗ hổng trong hệ thống phòng thủ. Tiếp cận các server với Remote Desktop Protocol (RDP) được bật, quản trị viên không sử dụng xác thực đa yếu tố để truy cập từ xa, máy chủ web chưa được cập nhật các bản vá hoặc thậm chí những vấn đề tương tự là đủ để đặt mạng, hệ thống và tài nguyên của bạn vào nguy hiểm.
Dưới đây là năm điều mà các nhà cung cấp dịch vụ chăm sóc sức khỏe có thể làm để bảo vệ khỏi các cuộc tấn công ransomware:
Kiểm tra và cập nhật thường xuyên: Đảm bảo rằng bạn đã cài đặt tất cả các bản vá mới nhất, tắt hoàn toàn RDP (hoặc đặt nó sau VPN), sao lưu thường xuyên và giữ chúng ở nơi kẻ tấn công không thể tìm thấy. Nó cũng bao gồm việc áp dụng xác thực đa yếu tố cho các dịch vụ lưu trữ dữ liệu nhạy cảm nhất trong tổ chức của bạn.
Nâng cao nhận thức người dùng: Hướng dẫn nhân viên về tầm quan trọng của mật khẩu mạnh và triển khai xác thực hai yếu tố ở bất cứ đâu bạn có thể. Hướng dẫn nhân viên về lừa đảo qua mail, đây là một trong những con đường chính để triển khai ransomware.
Giảm thiểu sự lây lan: Phân đoạn các mạng LAN thành các vùng nhỏ hơn, biệt lập hoặc các VLAN được bảo mật và kết nối bởi tường lửa. Đảm bảo áp dụng các chính sách IPS phù hợp cho các quy tắc điều chỉnh lưu lượng đi qua các phân đoạn LAN này để ngăn chặn việc khai thác, worm và bot lây lan giữa các phân đoạn LAN. Và nếu một sự lây lan xảy ra, hãy tự động cô lập các hệ thống bị nhiễm bệnh cho đến khi chúng có thể được làm sạch.
Sử dụng các công cụ EDR với tính năng bảo vệ Endpoint: Ngày nay, ngăn chặn ransomware không chỉ là để ngăn chặn một phần mềm độc hại; đó còn là về việc ngăn chặn kẻ thù đang hoạt động và làm gián đoạn chuỗi tấn công khiến chúng có thể chạy phần mềm độc hại. Đảm bảo mọi endpoint được bảo vệ và cập nhật. Một thiết bị không được bảo vệ sẽ dễ bị tấn công bởi ransomware. Sử dụng các công cụ như EDR, cho phép bạn đặt các câu hỏi chi tiết để bạn có thể tìm kiếm các mối nguy đang hoạt động và xác định các mối đe dọa nâng cao trong mạng của mình. Sau khi thực hiện, EDR cũng giúp bạn nhanh chóng thực hiện các hành động thích hợp để ngăn chặn các mối đe dọa như vậy.
Sử dụng MDR: Máy tính, tự động hóa và các công cụ thật đáng kinh ngạc nhưng trí tuệ con người, khả năng nhận dạng khuôn mẫu và khả năng áp dụng ngữ cảnh của chúng ta cung cấp một biện pháp phòng thủ còn ghê gớm hơn. Các dịch vụ Managed Detection and Response (MDR) rất quan trọng ở đây. Việc kết hợp các nhóm CNTT và bảo mật nội bộ của bạn với một nhóm chuyên gia ứng phó và săn lùng mối đe dọa ưu tú bên ngoài giúp đưa ra lời khuyên hữu ích để giải quyết các nguyên nhân gốc rễ của các sự cố lặp lại.
Sophos Intercept X Advanced với EDR
Sophos Intercept X Advanced với EDR bao gồm tất cả các tính năng bạn cần để giúp bảo vệ tổ chức của mình khỏi các cuộc tấn công ransomware như Ryuk, Sodinokibi, Maze và Ragnar Locker.
Intercept X bao gồm công nghệ chống ransomware phát hiện các quy trình mã hóa độc hại và tắt chúng trước khi chúng có thể lây lan trên mạng của bạn. Công nghệ chống khai thác ngăn chặn việc phân phối và cài đặt ransomware, deep learning chặn ransomware trước khi nó có thể chạy và CryptoGuard ngăn chặn mã hóa độc hại của các tệp, đưa chúng trở lại trạng thái an toàn.
Hơn nữa, Sophos EDR giúp giữ cho việc săn lùng mối đe dọa và hoạt động CNTT của bạn luôn hoạt động trơn tru trên toàn bộ mạng của bạn. Sophos EDR cho bạn đặt các câu hỏi chi tiết để xác định các mối đe dọa nâng cao, mối nguy đang hoạt động và các lỗ hổng CNTT tiềm ẩn, sau đó nhanh chóng thực hiện hành động thích hợp để ngăn chặn chúng. Nó cho phép bạn phát hiện kẻ thù ẩn nấp trong mạng của bạn và chờ triển khai ransomware mà có thể không được chú ý.
Sophos Managed Threat Response (MTR)
Dịch vụ Sophos MTR bổ sung kiến thức chuyên môn của con người vào chiến lược bảo mật. Một nhóm chuyên gia săn lùng mối đe dọa ưu tú chủ động tìm kiếm và xác nhận các mối đe dọa tiềm ẩn thay cho bạn. Nếu được ủy quyền, họ sẽ hành động để ngăn chặn và vô hiệu hóa các mối đe dọa, đồng thời đưa ra lời khuyên hữu ích để giải quyết các nguyên nhân gốc rễ của các sự cố lặp lại.
Sophos Rapid Response
Nếu tổ chức của bạn đang bị tấn công và cần hỗ trợ ứng phó sự cố ngay lập tức, Sophos có thể giúp đỡ. Được cung cấp bởi một nhóm chuyên gia ứng phó sự cố, Sophos Rapid Response cung cấp hỗ trợ nhanh như chớp trong việc xác định và vô hiệu hóa các mối đe dọa đang hoạt động chống lại tổ chức. Dịch vụ này có sẵn cho cả khách hàng hiện tại của Sophos cũng như khách hàng không phải của Sophos.
Đội phản hồi nhanh Sophos gồm những người ứng phó sự cố từ xa nhanh chóng thực hiện hành động để phân loại, ngăn chặn và vô hiệu hóa các mối đe dọa đang hoạt động. Loại bỏ kẻ để ngăn chặn thiệt hại thêm cho tài sản của bạn.