BẢO VỆ DỮ LIỆU KHỎI RANSOMWARE TRONG MICROSOFT OFFICE 365

Ransomware là một mối đe dọa ngày càng phổ biến đối với các mạng và dữ liệu của công ty. Những mối đe dọa mới đang xuất hiện mỗi ngày với nhiều phương thức tấn công tinh vi, do đó, doanh nghiệp cần gia tăng hàng rào bảo vệ dữ liệu và hoạt động CNTT khỏi các cuộc tấn công ransomware bằng các công cụ thích hợp nhất. Các biện pháp được sử dụng có thể là ngăn chặn phòng ngừa hoặc giảm thiểu tác hại từ các cuộc tấn công của ransomware.

I. Rủi ro liên quan đến một cuộc tấn công Ransomware

Ransomware có thể gây thiệt hại lớn cho doanh nghiệp và làm tê liệt khả năng hoạt động của họ cho đến khi doanh nghiệp đồng ý làm theo các yêu cầu của kẻ tấn công. Dưới đây là chi tiết về một số trường hợp tấn công ransomware gây tổn thương nghiêm trọng trong những năm gần đây:

♦ Ba thành phố ở Florida đã bị tấn công bằng ransomware , và họ phải trả tiền chuộc lên tới 600.000 đô la.
♦ Cuộc tấn công Ryuk ransomware đã gỡ xuống nhiều bài báo quan trọng vào tháng 12 năm 2018.
♦ Thành phố Baltimore( bang Maryland, Hoa Kỳ) đã phải chi 18 triệu đô la do một cuộc tấn công năm 2019 và tất cả 800 thành phố của thành phố Greenville, máy tính của chính phủ phía Bắc Carolina đã bị tấn công.
♦ Nhiều cuộc tấn công đã được thực hiện bằng một chương trình có tên là EternalBlue, một công cụ NSA bị rò rỉ.

Mọi công ty sử dụng email hoặc hoạt động trên bất kỳ loại nền tảng CNTT nào đều có nguy cơ dễ bị lừa đảo, trộm cắp dữ liệu và tấn công đòi tiền chuộc. Đây là những phương thức chính cho các cuộc tấn công ransomware hiện nay. Với thực tế như vậy, doanh nghiệp càng phải đưa ra các biện pháp cải tiến hệ thống CNTT của mình, để gia tăng hàng rào bảo mật và sắn sàng ứng phó kịp thời khi tấn công xảy ra.

II. Giải pháp bảo vệ từ điểm đầu đến điểm cuối của Office 365

Một cuộc tấn công ransomware có thể làm suy nhược toàn bộ nguồn lực doanh nghiệp của bạn, vậy nên, điều quan trọng hơn bao giờ hết là hợp tác với nền tảng dịch vụ CNTT phù hợp. Microsoft Office 365 có một giải pháp toàn diện cho tất cả các nhu cầu bảo mật của doanh nghiệp liên quan đến ransomware.

Chúng ta hãy cùng theo dõi cách thức hoạt động của tính năng này, chi tiết từng giai đoạn của quy trình bảo vệ và bộ Dịch vụ bảo mật và di động doanh nghiệp của Microsoft .

1. An toàn và bảo vệ trực tuyến cho Ransomware

Về mặt an toàn trực tuyến nói chung, các tính năng được nêu dưới đây đang xử lý hiệu quả các lỗ hổng khiến ransomware dễ dàng xâm nhập.

Windows Defender Protection bảo vệ mọi tệp đính kèm nhận được thông qua Outlook. Cụ thể, mọi tệp đính kèm nhận được trước tiên được quét mã độc hoặc phần mềm độc hại. Ví dụ, giả sử bạn nhận được một tài liệu Word trong email. Đầu tiên, Microsoft tạo các máy ảo để chạy trong nền. Tệp đính kèm được thực thi trên các máy ảo này để xác định xem đó là tệp thực sự được tạo trong Microsoft Word hay nếu nó có một loại mã macro hoặc mã độc nào đó được ghi vào nó sẽ gây hại cho PC của bạn.

Nếu tệp đính kèm không an toàn, Windows Defender Protection sẽ đưa ra cảnh báo. Điều này ngăn người dùng theo dõi để cảnh báo họ rằng có điều gì đó không ổn trước khi họ có thể tiến hành.

Về email lừa đảo, Biểu đồ bảo mật thông minh của Microsoft cho phép Microsoft duy trì nhận thức về các trang web độc hại. Truy cập các trang web này sẽ nhắc nhở một cảnh báo do hệ thống tạo ra, không cho phép bạn tiếp tục duyệt trang web.

2. Bảo vệ máy chủ điểm cuối cho Ransomware

Microsoft Defender Advanced Threat Protection sẽ cung cấp cho bạn quyền truy cập vào bảng điều khiển cho phép bạn xem hiệu suất của tất cả các máy trong môi trường của bạn. Nếu bất kỳ ai trong số họ có phần mềm độc hại, bạn sẽ có thể cho biết loại phần mềm độc hại cũng như máy nào bị nhiễm. Điều này cho phép bạn thực hiện hành động tự động bằng cách cách ly các máy bị nhiễm.

Microsoft Defender Advanced Threat Protection có tính năng học máy được tích hợp để cho bạn biết khi ai đó trong môi trường của bạn tham gia vào bất kỳ hoạt động nào mà họ không thường tham gia. Bạn có thể gắn cờ và dừng mọi hoạt động đáng ngờ ngoài định mức. Một ví dụ có thể là kẻ tấn công xâm phạm máy tính của bạn và cố gắng sao chép dữ liệu của bạn. Vì đây không phải là một hoạt động bình thường, hệ thống sẽ gắn cờ nó ngay lập tức và cho phép bạn can thiệp.

Có nhiều công cụ có sẵn để hỗ trợ bảo vệ máy chủ điểm cuối, bao gồm:

• Thiết bị bảo vệ để ngăn chặn việc tải xuống và phổ biến phần mềm độc hại trên mạng của bạn
• Khởi động an toàn để ngăn chặn các cuộc tấn công kỷ lục khởi động chính
• Windows 10 Kernel Hardening để hạn chế các cuộc tấn công được ban hành thông qua bất kỳ giao thức cũ hoặc chưa sử dụng
• Bảo vệ thông tin để ngăn chặn bất kỳ hành vi trộm cắp thông tin
• Truy cập thư mục được kiểm soát để kết thúc khả năng tấn công tiền điện tử
• Microsoft Defender Advanced Threat Protection bảo vệ bạn trên toàn bộ doanh nghiệp của bạn.

3. Bảo vệ danh tính

Điều quan trọng là có thể bảo vệ tất cả người dùng trong tổ chức của bạn, nhưng điều đặc biệt quan trọng là bảo vệ những người dùng đó với quyền cao trong môi trường của bạn. Các cá nhân, chẳng hạn như quản trị viên hệ thống, có nhiều quyền truy cập hơn và do đó sẽ có rủi ro bảo mật cao hơn so với người dùng có quyền bình thường nếu bị xâm phạm. Việc phơi bày chúng trước một mối đe dọa bảo mật có thể có tác động xếp tầng nghiêm trọng đối với mạng và máy của công ty bạn.

Microsoft có Lộ trình truy cập an toàn giúp bảo vệ các hệ thống truy cập đặc quyền của bạn khỏi những kẻ tấn công. Azure Information Protection cũng cung cấp khả năng tích hợp xác thực đa yếu tố vào hệ thống của bạn. Điều đó có nghĩa là sau khi đăng nhập, hệ thống sẽ nhắc bạn trải qua xác minh thứ hai để chứng minh rằng đó là bạn đăng nhập vào hệ thống. Có lớp xác thực thứ hai đảm bảo thông tin đăng nhập của bạn không bị đánh cắp.

Một khả năng quan trọng khác trong bộ dịch vụ của Azure? Azure Active Directory cho phép bạn quét dark web. Nếu bất kỳ tài khoản nào liên quan đến bạn hoặc công ty của bạn sắp bị rò rỉ thông tin hoặc lén lút trao đổi, bạn sẽ nhận được thông báo. Điều đó có thể ngăn chặn mọi giao dịch bất hợp pháp được thực hiện bằng thông tin cá nhân của bạn. Trong thực tế, tính năng này như đội ngũ tình báo hoạt động ngầm trong công ty của bạn.

4. Phát hiện, điều tra và kiểm soát

Một vấn đề khác với các cuộc tấn công của ransomware: khi máy tính bị tấn công, tất cả các tệp được đồng bộ hóa trong bất kỳ nền tảng ứng dụng đám mây nào bạn đang sử dụng sẽ bị xâm phạm. Cloud App Security cho phép bạn chạy quét và dừng đồng bộ hóa, ngăn chặn sự lan rộng của thiệt hại.

Với Phân tích mối đe dọa nâng cao của Microsoft Office 365, bạn có thể phát hiện bất kỳ hành vi bất thường hoặc đáng ngờ nào có thể đến từ những kẻ tấn công. Ví dụ: nếu bạn nhấp vào liên kết trong email lừa đảo và đăng nhập bằng tên người dùng và mật khẩu tại trang web công ty của bạn, bạn đã tiết lộ thông tin đó cho kẻ tấn công. Họ có thể hình dung sử dụng nó để đăng nhập vào bất kỳ trang web hoặc ứng dụng kinh doanh nào thay mặt bạn mà bạn không biết. Phân tích mối đe dọa nâng cao sẽ gắn cờ loại hoạt động đó.

Điều quan trọng là phải sao lưu mọi thứ nếu dữ liệu của bạn bị xâm phạm. Dự phòng tích hợp là những gì giúp bạn loại bỏ lỗ hổng trong trường hợp tấn công ransomware thành công. Với Azure Backup và Site Recovery, bạn có thể làm điều đó.

Azure Backup and Restore cho phép bạn sao lưu dữ liệu cho dù đó là máy ảo, dữ liệu trong máy chủ tiếp theo hay được chứa ở một vị trí riêng biệt trong hoặc ngoài cơ sở. Đây có thể là dữ liệu được đặt ở đâu đó đơn giản như C Drive trên PC của bạn. Nói một cách đơn giản, khi dữ liệu của bạn được sao lưu và lưu trữ trong Azure, nó sẽ ở một vị trí an toàn nơi bạn có thể nghỉ hưu hoặc lưu trữ dữ liệu dựa trên các chính sách pháp lý của tổ chức. Nếu bạn cần truy cập, bạn có thể khôi phục dữ liệu của mình gần như ngay lập tức.

Một tính năng khác cho phép bạn duy trì tính liên tục là  tính năng khôi phục của OneDrive .

Mặc dù việc chuẩn bị cho một cuộc tấn công ransomware là rất quan trọng, việc có một kế hoạch phản hồi tại chỗ cũng không thể thiếu đối với sự liên tục kinh doanh của bạn. Tương tự, bạn cần một chiến lược sao lưu và phục hồi được phát triển tốt trong trường hợp một cuộc tấn công ảnh hưởng đến dữ liệu nhạy cảm. Azure Backup và Site Recovery có các công cụ đóng vai trò chính trong việc cho phép bạn duy trì hoạt động kinh doanh liên tục sau một cuộc tấn công. Để thiết lập một kế hoạch phản hồi tại chỗ hiệu quả, bạn có thể tham khảo dịch vụ triển khai Office 365 của chúng tôi.

Microsoft Stack

Để làm rõ, tất cả các công cụ nói trên hoạt động tốt ở nhiều điểm khác nhau trong suốt quá trình riêng lẻ, nhưng chìa khóa để phòng ngừa và quản lý là thực hiện một cách tiếp cận toàn diện để phát hiện. Với Microsoft Stack, bạn có thể tối đa hóa phạm vi phát hiện trong mọi giai đoạn của một cuộc tấn công. Microsoft Stack bao gồm:

• Office 365 Bảo vệ Đe dọa Nâng cao
• Bảo vệ mối đe dọa nâng cao của Microsoft Defender
• Phân tích mối đe dọa nâng cao / Azure Bảo vệ mối đe dọa nâng cao

Trong thực tế, mỗi sản phẩm này nói chuyện với nhau, chia sẻ thông tin. Đặc biệt, tất cả chúng đều chạy mã cho bạn khả năng hiển thị đầy đủ trên toàn bộ hệ sinh thái của bạn khi điều đó quan trọng nhất: khi bạn cần tìm hiểu làm thế nào mạng của bạn bị xâm phạm.

Microsoft Stack cho phép bạn thực hiện các chức năng giảm thiểu thiệt hại, tiết kiệm thời gian và tiền bạc:

• Vá lỗ hổng của bạn
• Thực hiện phục hồi của bạn
• Trở lại kinh doanh bình thường

Ransomware là một mối đe dọa gây hậu quả rất nghiêm trọng. Microsoft trang bị cho tổ chức của bạn các công cụ chính xác cần thiết để chống lại các mối đe dọa liên quan đến nó. Cụ thể, khi sử dụng bộ cơ chế bảo mật toàn diện của Office 365 kết hợp với kế hoạch phản hồi và chuẩn bị chi tiết, bạn sẽ ức chế đáng kể khả năng của các tác nhân độc hại làm tổn thương tổ chức của bạn. Để hiểu sâu hơn về công cụ và cách khai thác tối đa lợi ích sử dụng của tất cả tính năng trong đó, quý khách hàng có thể nhận tư vấn cụ thể từ dịch vụ IT của chúng tôi.