Nếu phát hiện cuộc tấn công qua mạng, hành động nhanh là rất quan trọng trong việc giảm thiểu thiệt hại, chứa vi phạm và khôi phục hoạt động. Sau khi bị tấn công, hãy làm theo các bước chính sau:
Ngăn chặn thiệt hại. Loại bỏ các máy tính, máy chủ hoặc phân đoạn mạng bị xâm phạm khỏi mạng để ngăn phát tán thêm. Rút cáp Ethernet, vô hiệu hóa mạng không dây hoặc sử dụng quy tắc tường lửa để ngăn chặn cuộc tấn công. Tắt các tài khoản và thông tin xác thực bị xâm phạm cũng như đặt lại mật khẩu cho các tài khoản bị ảnh hưởng. Thu hồi mã thông báo truy nhập và khóa API nếu cần. Sử dụng quy tắc tường lửa để chặn kết nối từ IP của kẻ tấn công đã biết và tắt mọi phiên truy nhập từ xa trái phép.
Liên hệ với nhà cung cấp dịch vụ được quản lý của bạn. Nhiều công ty cung cấp hỗ trợ trong trường hợp vi phạm bảo mật. Nếu bạn có nhà cung cấp dịch vụ được quản lý để hỗ trợ nhóm nội bộ của mình, hãy liên hệ với họ càng sớm càng tốt.
Xác định loại cuộc tấn công. Tìm kiếm hành vi hệ thống không mong muốn, truy nhập trái phép hoặc yêu cầu tống tiền. Xác định xem đó là phần mềm xấu, mã độc tống tiền, lừa đảo qua mạng, DDoS hay rò rỉ dữ liệu.
Xác định xem dữ liệu có bị xâm phạm hay không. Xem lại nhật ký để biết hành vi truy nhập trái phép. Kiểm tra xem thông tin nhạy cảm của khách hàng, thông tin tài chính hoặc thông tin độc quyền đã bị đánh cắp hay chưa. Nếu cần khôi phục dữ liệu, hãy sử dụng các bản sao lưu sạch, không bị ảnh hưởng để thực hiện khôi phục. Xác minh rằng các bản sao lưu không có phần mềm xấu trước khi triển khai lại.
Đánh giá tính toàn vẹn của hệ thống. Xác định các hệ thống hoặc ứng dụng bị ảnh hưởng. Tìm kiếm các thay đổi tệp, bản ghi đã xóa hoặc quyền đã thay đổi. Xác định các quy trình độc hại và vô hiệu hóa tránh hư hỏng thêm. Loại bỏ phần mềm xấu và truy nhập trái phép. Sử dụng các công cụ chống vi rút và chống phần mềm xấu được cập nhật để quét và làm sạch các thiết bị bị nhiễm. Đặt lại cấu hình hệ thống và loại bỏ các tài khoản trái phép.
Thông báo cho các nhóm và cơ quan chức năng nội bộ. Báo cáo sự cố cho nhóm CNTT, nhóm bảo mật, giám đốc điều hành và nhóm pháp lý. Nếu dữ liệu cá nhân bị xâm phạm, hãy thông báo cho các cơ quan quản lý – chẳng hạn như Quy định Chung về Bảo vệ Dữ liệu (GDPR), Đạo luật về Trách nhiệm Giải trình và Cung cấp Thông tin Bảo hiểm Y tế (HIPAA), cơ quan tuân thủ PCI-DSS – theo yêu cầu của pháp luật.
Giữ nguyên bằng chứng cho phân tích pháp y. Không xóa nhật ký hoặc khởi động lại hệ thống ngay lập tức. Chụp ảnh hệ thống và tệp nhật ký để điều tra thêm.
Vá các lỗ hổng và tăng cường bảo mật. Áp dụng các bản vá bảo mật và bản cập nhật phần mềm mới nhất. Xem lại quy tắc tường lửa, cài đặt bảo mật email và điều khiển truy nhập.
Thực hiện đánh giá sau sự cố. Xác định nguyên nhân gốc rễ và ghi lại bài học trong sự cố vừa qua. Xác định các biện pháp bảo mật nào không thành công và cách cải thiện chúng.
Tại sao bạn cần có kế hoạch ứng phó sự cố mạnh mẽ
Kế hoạch ứng phó sự cố rất cần thiết để giảm thiểu thời gian ngừng hoạt động và tổn thất tài chính bằng cách giảm gián đoạn hoạt động và ngăn ngừa tổn thất doanh thu. Kế hoạch này cũng hỗ trợ tuân thủ quy định, vì nhiều ngành yêu cầu một kế hoạch ứng phó sự cố được lập thành tài liệu để đáp ứng các tiêu chuẩn như GDPR, HIPAA, NIST và PCI-DSS. Kế hoạch ứng phó được thực thi tốt cũng bảo vệ danh tiếng của bạn và giúp duy trì lòng tin của khách hàng bằng cách hỗ trợ việc kiểm soát nhanh chóng các mối đe dọa, và ngăn chặn rò rỉ dữ liệu và thiệt hại thương hiệu. Kế hoạch nâng cao khả năng chuẩn bị và thời gian phản ứng bằng cách giúp các đội ngũ phản ứng nhanh chóng và hiệu quả khi xảy ra sự cố. Ngoài ra, việc đánh giá liên tục và cải thiện kế hoạch ứng phó sự cố cũng tăng cường vị thế bảo mật của tổ chức, giúp ngăn chặn các cuộc tấn công trong tương lai.
Các cuộc tấn công qua mạng có hậu quả rất lớn, vượt xa các doanh nghiệp cá nhân, tác động đáng kể đến nền kinh tế thế giới. Các cuộc tấn công quy mô lớn vào các tổ chức tài chính, chuỗi cung ứng và cơ sở hạ tầng quan trọng có thể dẫn đến tổn thất hàng tỷ đô la, làm gián đoạn các ngành và khiến tăng trưởng kinh tế chậm lại. Ví dụ: các cuộc tấn công bằng mã độc tống tiền vào hệ thống chăm sóc sức khỏe hoặc nhà máy sản xuất dẫn đến việc ngừng hoạt động, dịch vụ bị trì hoãn và chi phí tăng cao. Các doanh nghiệp nhỏ, thường ít được trang bị để xử lý mối đe dọa trên mạng, có thể chịu thiệt hại tài chính không thể khắc phục, dẫn đến mất việc làm và giảm niềm tin trên thị trường. Chi phí ngày càng tăng của các biện pháp an ninh mạng buộc các công ty và chính phủ phải phân bổ nhiều nguồn lực hơn cho phòng thủ thay vì đổi mới và phát triển, cuối cùng ảnh hưởng đến năng suất kinh tế.
Ngoài thiệt hại tài chính, các cuộc tấn công qua mạng có những tác động xã hội nghiêm trọng, làm suy giảm niềm tin của công chúng vào các hệ thống và tổ chức kỹ thuật số. Khi dữ liệu cá nhân bị đánh cắp, cá nhân phải đối mặt với việc bị đánh cắp danh tính, gian lận tài chính và vi phạm quyền riêng tư, dẫn đến căng thẳng tâm lý và mất niềm tin vào các dịch vụ trực tuyến. Các cuộc tấn công vào các dịch vụ thiết yếu, chẳng hạn như lưới điện hoặc bệnh viện, có thể làm gián đoạn cuộc sống hàng ngày, đe dọa an toàn công cộng và thậm chí gây thiệt hại tính mạng. Hơn nữa, chiến tranh mạng giữa các quốc gia và các chiến dịch thông tin sai lệch có thể làm mất ổn định chính phủ, ảnh hưởng đến các cuộc bầu cử và gieo rắc sự chia rẽ trong cộng đồng. Khi sự phụ thuộc vào kỹ thuật số gia tăng, các mối đe dọa mạng đặt ra rủi ro ngày càng tăng đối với sự ổn định toàn cầu, khiến các biện pháp an ninh mạng mạnh mẽ trở nên cần thiết để bảo vệ cả sự thịnh vượng kinh tế và phúc lợi xã hội.
Một vài cuộc tấn công qua mạng đáng chú ý bao gồm:
Cuộc tấn công bằng mã độc tống tiền WannaCry. Vào năm 2017, một cuộc tấn công mã độc tống tiền quy mô lớn đã khai thác một lỗ hổng trong Microsoft Windows, lây lan nhanh chóng qua hơn 150 quốc gia, ảnh hưởng đến các bệnh viện, doanh nghiệp và cơ quan chính phủ. Các nạn nhân đáng chú ý bao gồm Dịch vụ Y tế Quốc gia Vương quốc Anh, FedEx, Renault và Telefónica. Cuộc tấn công qua mạng đã gây thiệt hại lên tới 4 tỷ USD trên toàn cầu.
Vụ rò rỉ dữ liệu Equifax. Vào năm 2017, những kẻ tấn công đã khai thác một lỗ hổng phần mềm chưa được vá, làm lộ thông tin nhạy cảm của 147 triệu người. Dữ liệu bị đánh cắp bao gồm số An sinh xã hội, chi tiết thẻ tín dụng và các thông tin cá nhân. Equifax đã trả một khoản bồi thường 700 triệu USD cho thiệt hại và dịch vụ giám sát tín dụng. Cuộc tấn công này đã dẫn đến việc ban hành các luật bảo vệ dữ liệu nghiêm ngặt hơn và tăng cường giám sát các cơ quan báo cáo tín dụng.
Cuộc tấn công chuỗi cung ứng SolarWinds. Vào năm 2020, những kẻ tấn công – nhắm vào các cơ quan chính phủ Hoa Kỳ và các công ty thuộc nhóm Fortune 500 – đã xâm nhập vào phần mềm Orion của SolarWinds, chèn một cửa hậu được sử dụng để theo dõi các mạng. Các nạn nhân bao gồm Bộ An ninh Nội địa Hoa Kỳ, Microsoft và Intel.
Cuộc tấn công mã độc tống tiền Colonial Pipeline. Vào năm 2021, Công ty Colonial Pipeline đã bị tấn công, dẫn đến việc công ty ngừng tất cả hoạt động. Để khôi phục hệ thống máy tính dùng cho việc quản lý các đường ống dẫn dầu xuyên suốt đông nam Hoa Kỳ, Colonial Pipeline đã phải trả cho những kẻ tấn công số tiền chuộc là 75 bitcoin (tương đương với 4,4 triệu USD vào thời điểm đó). Cuộc tấn công qua mạng này là cuộc tấn công lớn nhất trong lịch sử Hoa Kỳ nhằm vào cơ sở hạ tầng dầu khí, và vụ việc làm nổi bật những lỗ hổng trong các lĩnh vực năng lượng và giao thông, thúc đẩy các biện pháp an ninh mạng mạnh mẽ hơn.
Tiền điện tử. Vào tháng 3 và tháng 4 năm 2022, ba giao thức cho vay khác nhau đều bị tấn công qua mạng. Trong khoảng thời gian một tuần, những kẻ tấn công đã đánh cắp số tiền ảo trị giá 15,6 triệu USD từ Inverse Finance, 625 triệu USD từ Ronin Network (nền tảng trò chơi) và 3,6 triệu USD từ Ola Finance.
Trong những năm gần đây, các cuộc tấn công qua mạng đã trở nên thường xuyên hơn, tinh vi hơn và gây thiệt hại tài chính lớn hơn, với mã độc tống tiền nổi lên như một trong những mối đe dọa quan trọng nhất. Những kẻ tấn công ngày càng nhắm vào cả cá nhân và tổ chức, mã hóa dữ liệu quan trọng và yêu cầu thanh toán tiền chuộc lớn. Các cuộc tấn công bằng mã độc tống tiền nổi bật vào các bệnh viện, tổ chức tài chính và công ty cơ sở hạ tầng đã làm gián đoạn hoạt động và gây thiệt hại tài chính nghiêm trọng. Các tội phạm mạng cũng đã chuyển sang các chiến thuật tống tiền kép, không chỉ khóa dữ liệu mà còn đe dọa tiết lộ thông tin nhạy cảm nếu không thanh toán tiền chuộc. Sự gia tăng mã độc tống tiền như một dịch vụ đã thúc đẩy xu hướng này, cho phép ngay cả những tội phạm mạng không có kỹ thuật cũng có thể thực hiện các cuộc tấn công với các công cụ mã độc tống tiền đã được xây dựng sẵn.
Một xu hướng đáng lo ngại khác là sự tinh vi ngày càng tăng của các kế hoạch lừa đảo và các cuộc tấn công qua mạng do nhà nước tài trợ. Các chiến dịch lừa đảo hiện đại sử dụng email được tạo ra bằng AI, công nghệ deepfake và các chiến thuật kỹ thuật xã hội để lừa đảo ngay cả những cá nhân cẩn thận nhất tiết lộ thông tin nhạy cảm. Các cuộc tấn công này thường vượt qua các biện pháp an ninh truyền thống, dẫn đến việc trộm cắp thông tin xác thực và rò rỉ dữ liệu. Trong khi đó, các cuộc tấn công qua mạng do nhà nước tài trợ đã trở nên phổ biến hơn, nhắm vào cơ sở hạ tầng quan trọng như lưới điện, nhà máy xử lý nước và các cơ quan chính phủ. Các cuộc tấn công này, thường được cho là do các quốc gia tìm cách làm gián đoạn nền kinh tế đối thủ hoặc thu thập thông tin tình báo, nhấn mạnh sự cần thiết phải có các chính sách an ninh mạng mạnh mẽ hơn, các hệ thống phát hiện mối đe dọa được cải thiện và sự hợp tác quốc tế để phòng thủ chống lại chiến tranh mạng.
Theo dõi Microsoft Security