Tin tặc chỉ mất vài tiếng để triển khai mã độc tống tiền
"Không doanh nghiệp nào còn miễn nhiễm với các cuộc tấn công ransomware" - thông điệp này đã trở thành hiện thực vào năm 2024, trong bối cảnh các cuộc tấn công mã hoá dữ liệu tống tiền ngày càng quyết liệt và để lại hậu quả nghiêm trọng, bất chấp những nỗ lực tự bảo vệ của doanh nghiệp. Theo thống kê của Statista năm 2023, hơn 6,06 tỷ cuộc tấn công bằng mã độc đã được phát hiện trên toàn thế giới, trong đó nhiều nhất là khu vực Châu Á - Thái Bình Dương, bao gồm cả Việt Nam.
Nghiêm trọng hơn, trong hai năm gần đây, cuộc đua về khả năng tấn công - phòng thủ giữa hai bên đã thúc đẩy các giới hạn lên một mức độ nguy hiểm mới. Theo báo cáo của Secureworks năm 2023, thời gian trung bình từ khi cuộc tấn công bắt đầu đến khi mã độc được triển khai vào năm 2022 từng là 4,5 ngày, rút ngắn một ngày so với năm trước đó. Tuy nhiên đến năm 2023, quá trình này giảm xuống còn dưới 24 giờ. Trong 10% trường hợp, mã độc tống tiền thậm chí đã được triển khai trong năm giờ kể từ lần truy cập đầu tiên của hacker, mặc dù thời gian mã độc nằm vùng trong hệ thống lại có thể lên tới 200 ngày.
Điều này cũng trùng với báo cáo của Malwarebytes công bố vào tháng 8 năm nay, cho thấy thời gian hoàn thành một chuỗi tấn công đã rút ngắn từ vài tuần xuống còn vài giờ. Đặc biệt, báo cáo cũng chỉ ra phần lớn các cuộc tấn công mã hóa tống tiền xảy ra trong khoảng thời gian 1-5 giờ sáng, khi lực lượng phòng thủ mỏng nhất. Điều này có nghĩa một hệ thống ngày hôm nay vẫn an toàn, nhưng sang ngày hôm sau có thể đã sụp đổ.
Đây là mối nguy chung của mọi doanh nghiệp, trong đó có các doanh nghiệp Việt, nơi nền kinh tế số thuộc top đầu Đông Nam Á. Việt Nam khởi đầu năm 2024 với việc hàng loạt doanh nghiệp lớn bị tấn công mạng, gây gián đoạn dịch vụ trong thời gian tính bằng tháng và có đơn vị đã phải chi hàng triệu USD để chuộc dữ liệu.
Báo cáo của Công ty An ninh mạng Viettel (Viettel Cyber Security - VCS) cho thấy chỉ trong nửa đầu năm, 46 vụ lộ lọt dữ liệu đã làm rò rỉ khoảng 13 triệu bản ghi dữ liệu khách hàng, 12,3 GB mã nguồn và 16 GB dữ liệu nhạy cảm bị rò rỉ. Số lượng các cuộc tấn công ransomware nhắm vào tổ chức, doanh nghiệp tăng đột biến 70% so với cùng kỳ năm ngoài. Đáng chú ý, ít nhất 40 tổ chức được ghi nhận "bước đầu bị tấn công", tức hacker đã len lỏi vào hệ thống chuẩn bị cho việc kích hoạt mã hoá dữ liệu.
Từ thực tế này, các chuyên gia nhận định, chiến lược hiện nay không chỉ là phòng thủ, mà cần hướng tới việc đảm bảo an toàn một cách toàn diện, tức tăng sức chống chịu và có thể phục hồi bất chấp tấn công. Tại cuộc họp của Bộ Thông tin và Truyền thông giữa năm nay, Bộ cũng đánh giá "xác suất để không bị tấn công" là rất thấp. Vì vậy, các tổ chức, doanh nghiệp cần có cách tiếp cận mới theo hướng nâng cao khả năng chống chịu của hệ thống để ngay cả khi bị tấn công cũng không thể sụp đổ.
Đây cũng là mục tiêu của Cyber Resilience - Khả năng phục hồi, hay rộng hơn là khả năng chống chịu trên không gian mạng. Đây được coi là khái niệm mở rộng từ bảo mật mạng (Cyber Security), nhấn mạnh vào sự liên tục trong hoạt động của hệ thống và khả năng nhanh chóng trở lại trạng thái bình thường sau khi bị tấn công. Khái niệm này từng xuất hiện hàng thập kỷ trước dần trở thành chiến lược mới về an toàn thông tin, trong bối cảnh tấn công mạng ngày càng khó lường.
Doanh nghiệp Việt cần chuẩn bị gì cho Cyber Resilience
Theo các chuyên gia, việc đầu tư cho năng lực chống chịu trên không gian mạng có thể giúp doanh nghiệp duy trì hoạt động ngay cả khi bị tấn công, đồng thời giảm tổn thất tài chính và tổn hại danh tiếng. Khi có năng lực này, doanh nghiệp đó có thể tạo dựng lòng tin ở khách hàng và đối tác, đồng thời tăng khả năng cạnh tranh với đối thủ.
Để làm được điều đó, họ cần đảm bảo ít nhất bốn yếu tố, gồm: Khả năng dự đoán và nhận diện mối đe dọa; Phòng thủ và bảo vệ để ngăn chặn hoặc giảm thiểu nguy cơ xảy ra sự cố; Đối phó và ứng phó khi xảy ra sự cố để giảm thiểu tác động; và cuối cùng là khả năng phục hồi để khôi phục hệ thống, duy trì hoạt động đồng thời cải thiện các biện pháp an ninh về sau.
Dù có tầm quan trọng ngày càng tăng, kinh nghiệm của các doanh nghiệp, tổ chức trong nước với Cyber Resilience còn chưa cao, và phần lớn đang tập trung vào khả năng phòng thủ. Tại sự kiện thường niên dành cho Lãnh đạo cấp cao CNTT & ATTT lớn nhất tại Việt Nam - CIO CSO, năm nay, đơn vị tổ chức là Công ty An Ninh Mạng Viettel cũng quyết định chọn Cyber Resilience trở thành chủ đề chính, nhấn mạnh tầm quan trọng của chiến lược phản ứng và phục hồi trước tấn công mạng, đặc biệt là các mối nguy từ ransomware.
Hội thảo CIO CSO 2024 được tổ chức tại TP Hồ Chí Minh ngày 31/10/2024 và TP Hà Nội ngày 06/11/2024.
Để có một chiến lược hiệu quả, điều đầu tiên cần làm là hiểu thực trạng an toàn thông tin của doanh nghiệp. Threat Check Station, khu vực diễn ra hoạt động "khám sức khỏe" luôn được quan tâm nhất tại các kỳ CIO CSO, năm nay tiếp tục được mở rộng và . Tại đây, doanh nghiệp sẽ được kiểm tra, rà soát mối nguy về ATTT, đánh giá và xếp hạng tình trạng, từ đó đưa ra chiến lược phù hợp.
Theo đại diện VCS, các đơn vị tham gia sẽ được thực hiện kiểm tra và nhận báo cáo rà soát các mối nguy gây mất ATTT thông qua nền tảng cập nhật tri thức an ninh mạng hàng đầu Việt Nam - Viettel Threat Intelligence. Từ đây, họ có thể nắm bắt nhanh nhất các mối nguy như số tài khoản bị lộ lọt, các vụ đánh cắp dữ liệu, website giả mạo, lỗ hổng bảo mật,... với đơn vị mình, từ đó lên phương án xử sớm trước khi có thể trở thành nạn nhân của tấn công mạng.
Song song với các toạ đàm, chia sẻ từ chuyên gia, các lãnh đạo quản lý cấp cao của các doanh nghiệp và các cơ quan nhà nước về việc xây dựng và triển khai chiến lược Cyber Resilience. Một trong những phần đặc biệt của CIO CSO năm nay là quá trình tái hiện lại các cuộc tấn công ransomware ngay tại sự kiện, nhằm giúp doanh nghiệp có cái nhìn chân thực và trực quan nhất cách mã độc xâm nhập vào hệ thống, các kẽ hở bảo mật có thể bị kẻ tấn công mạng lợi dụng, từ đó chủ động kiểm tra, rà soát và có biện pháp phòng ngừa phù hợp.
"Khi đưa hoạt động lên không gian mạng đã trở thành xu hướng tất yếu, các doanh nghiệp giống như đang ở giữa một cuộc chiến với tội phạm mạng và không thể biết trước khi nào sẽ trở thành mục tiêu", ông Nguyễn Sơn Hải, Giám đốc VCS đánh giá. "Sẵn sàng chuẩn bị các kịch bản phòng ngừa, ứng phó và phục hồi trước các cuộc tấn công mạng sẽ là yếu tố quyết định đến sự sống còn của hệ thống".