November 23, 2018

Cách phòng chống virus/ransomware một cách hiệu quả nhất 12/2018



Với tình hình virus các loại đang lây lan ngày càng mạnh mẽ gây hoang mang cho người dùng như trường hợp ransomware (CryptoLocker, CryptoWall, Locky...) Việc phòng chống ransomware có nhiều động tác, tùy qui mô doanh nghiệp nhưng kết lại có 4 hướng chính:

Backup hệ thống.
1.Sao lưu dữ liệu và bảo vệ dữ liệu bằng các thiết bị rời như NAS ( ví dụ có thể dùng Synology để bảo vệ file nhé, vì nó có thể phục hồi 36 lần), External tape hàng ngày, ổ cứng gắn ngoài. Cách tốt nhất để đảm bảo sự an toàn của dữ liệu quan trọng là có một lịch trình sao lưu phù hợp kể cả bạn đã có hệ thống tốt. Sao lưu phải được thực hiện thường xuyên và hơn thế nữa bản sao cần phải được tạo ra trên một thiết bị lưu trữ chỉ có thể truy cập trong quá trình sao lưu. Tức là một thiết bị lưu trữ di động ngắt kết nối ngay lập tức sau khi sao lưu. Việc không tuân thủ các khuyến nghị này sẽ dẫn đến các tập tin sao lưu cũng sẽ bị tấn công và mã hóa bằng các phần mềm tống tiền theo cách tương tự như trên các phiên bản tập tin gốc. Nếu có đường truyền đủ mạnh cho users sài cloud, làm cái dịch vụ office 365 quẳng hết lên đó là xong. Hoặc backup hàng ngày lên google drive/one drive cũng là một giải pháp được nhiều người sử dụng.
2. Nếu có điều kiện thì nên ảo hóa. Cần tách biệt phần hạ tầng ảo hóa và các VM cung cấp cho end user. Các VM lưu trữ trên SAN và cấu hình snapshot các vol trên SAN, backup các VM dùng Veeam. Khi có sự cố xử lý nhanh hơn.
3. Bật tính năng System Protection (System Restore) cho tất cả các ổ đĩa. Sử dụng shadows copy để tạo snapshot trên server (lúc 9:00AM, 12:00PM, 3:00PM, 6:00PM) cái này rất hiệu quả để lấy lại file khi cần.

Chính sách hệ thống
1. Trang bị Firewall/Gateway vận hành quét virus/malware vào ra cho web và mail. Tự động xóa bỏ các email có đính kèm các đuôi như exe, msi, html, chm, lnk...Bật các tính năng phòng chống virus, chống tấn công trên hệ thống firewall.
2. Chia nhỏ VLAN dễ quản trị, để tránh lây nhiễm virus, dễ cách ly khi có sự cố
3. Trang bị hệ thống antivirus  endpoint security(TrendMicro/Kaspersky/Symantec) chạy realtime cho cả server và client và bật chế độ bảo vệ trước ransomeware, Update nguồn và phiên bản phần mềm diệt Virus thường xuyên trên server/client.
4. Luôn Bật Firewall trên tất cả các máy client. Không được disable firewall, hãy sử dụng exception để import dịch vụ mình cho phép chạy.
5. Dùng File Screen Management để chặn một số files nguy hiểm có thể thực thi mã độc
6. Người dùng chỉ sử dụng tài khoản user, không được phép cài đặt phần mềm.Những app đòi quyền admin để chạy thì hỗ trợ thông qua Script, Autoit, Powershell…
7.Toàn bộ usb phải tự động scan khi cắm vào máy tính, nếu cần thiết thì cấm hẳn USB
8. Tắt Autoplay cho toàn hệ thống [GPO]
9.  Không cho phép chạy file thực thi từ ổ di động (USB, portable HDD)[GPO]
10. Tắt macro của bộ Office trừ một số trư ờng hợp cần macro để chạy.[GPO]
11. Hạn chế hoặc cấm các trình chat skype, zalo, messenger….
12. Cấu hình hạn chế truy cập đến các thư mục chia sẻ trong mạng, bộ phận nào chỉ làm việc trong khu vực bộ phận đó.
13. Cấm ra internet đối với những bộ phận ko cần làm việc với internet, cấm download đối với những bộ phận ko được phép để hạn chế tải file bậy bạ virus, vừa giảm tải băng thông cho hệ thống.

* ĐỐI VỚI MÔI TRƯỜNG MÁY CHỦ
1. Để an toàn cho vùng DMZ, nên đặt password phức tạp để chống mấy tụi hacker scan password, Đổi port mặc định của các cổng NAT ra ngoài hoặc hạn chế sử dụng các port như 1433(SQL), 21(FTp), 3389(RDP)…. vì đây là miếng mồi ngon, là môi trường hoàn hảo để phát tán.Nên sử dụng VPN cho an toàn.
2. Máy chủ chứa dữ liệu (nhất là SQL server) không được cấu hình cho ra internet. Trường hợp bên ngoài muốn vào để fix, anh em có thể tạo interface ánh xạ cái SQL chính lên đó.






3. Phải thường xuyên audit logs các servers, routers để tìm điểm nghi vấn. Đặt monitoring network traffic cả bên trong và bên ngoài, theo dõi để phát hiện giao dịch cao bất thường.
4. Tận dụng con máy nào cấu hình mạnh, ngoài ứng dụng đang chạy cài 1 con máy ảo trên đó. Cần tải cái gì, cần test cái gì chạy qua con đó. Nếu AV ko báo lỗi hay cảm thấy yên tâm tý thì copy về máy thật cài cho người dùng. Lâu lâu lại restore 1 phát (dùng cho admin test soft)

Vá hệ điều hành, software…
      1.  Luôn đảm bảo hệ điều hành, phần mềm, các ứng dụng (java,adobe,flash,office...) và phần mềm diệt virus được cập nhật thường xuyên và không tắt chương trình diệt virus trong mọi thời điểm.
      2. Update các hotfix của OS (giữ cho Windows luôn được cập nhật thường xuyên - WSUS, một giải pháp đơn giản mà hiệu quả cho việc này).
      3.  Đảm bảo tính năng System Watcher (Giám sát hệ thống) của chương trình virus đã được bật.
      4.  Không dùng phần mềm, win crack trong hệ thống

✔ Về con người
1.  Training cho enduser kiến thức về bảo mật (basic). Thường xuyên gửi mail thông báo về ransomware đến các user.
2.  Nhắc nhở enduser không mở các file đính kèm từ những email chưa rõ danh tính. Những email ko liên quan tới công việc, không click vô các đường link lạ khi không rõ thông tin về nó.
Tóm lại phải chủ động phòng ngừa đa lớp đừng để đến khi bị rồi thì đã muộn.

P/s: Bài viết được tổng hợp từ nhiều nguồn.

Thanks
          

0 comments:

Post a Comment