Với tình hình virus các loại đang lây lan ngày càng mạnh mẽ
gây hoang mang cho người dùng như trường hợp ransomware (CryptoLocker,
CryptoWall, Locky...) Việc phòng chống ransomware có nhiều động tác, tùy qui mô
doanh nghiệp nhưng kết lại có 4 hướng chính:
✔ Backup hệ thống.
1.Sao lưu dữ liệu và bảo vệ dữ liệu bằng các thiết bị rời
như NAS ( ví dụ có thể dùng Synology để bảo vệ file nhé, vì nó có thể phục hồi
36 lần), External tape hàng ngày, ổ cứng gắn ngoài. Cách tốt nhất để đảm bảo sự an toàn của dữ liệu
quan trọng là có một lịch trình sao lưu phù hợp kể cả bạn đã có hệ thống tốt.
Sao lưu phải được thực hiện thường xuyên và hơn thế nữa bản sao cần phải được tạo
ra trên một thiết bị lưu trữ chỉ có thể truy cập trong quá trình sao lưu. Tức
là một thiết bị lưu trữ di động ngắt kết nối ngay lập tức sau khi sao lưu. Việc
không tuân thủ các khuyến nghị này sẽ dẫn đến các tập tin sao lưu cũng sẽ bị tấn
công và mã hóa bằng các phần mềm tống tiền theo cách tương tự như trên các
phiên bản tập tin gốc. Nếu có đường truyền đủ mạnh cho users sài cloud, làm cái
dịch vụ office 365 quẳng hết lên đó là xong. Hoặc backup hàng ngày lên google
drive/one drive cũng là một giải pháp được nhiều người sử dụng.
2. Nếu có điều kiện thì nên ảo hóa. Cần tách biệt phần hạ tầng
ảo hóa và các VM cung cấp cho end user. Các VM lưu trữ trên SAN và cấu hình
snapshot các vol trên SAN, backup các VM dùng Veeam. Khi có sự cố xử lý nhanh
hơn.
3. Bật tính năng System Protection (System Restore) cho tất
cả các ổ đĩa. Sử dụng shadows copy để tạo snapshot trên server (lúc 9:00AM, 12:00PM,
3:00PM, 6:00PM) cái này rất hiệu quả để lấy lại file khi cần.
✔ Chính sách hệ thống
1. Trang bị Firewall/Gateway vận hành quét virus/malware vào ra cho web và mail. Tự động xóa bỏ các email có đính kèm các đuôi như exe, msi, html, chm, lnk...Bật các tính năng phòng chống virus, chống tấn công trên hệ thống firewall.
2. Chia nhỏ VLAN dễ quản trị, để tránh lây nhiễm virus, dễ cách ly khi có sự cố
3. Trang bị hệ thống antivirus endpoint security(TrendMicro/Kaspersky/Symantec) chạy realtime cho cả server và client và bật chế độ bảo vệ trước ransomeware, Update nguồn và phiên bản phần mềm diệt Virus thường xuyên trên server/client.
4. Luôn Bật Firewall trên tất cả các máy client. Không được disable firewall, hãy sử dụng exception để import dịch vụ mình cho phép chạy.
5. Dùng File Screen Management để chặn một số files nguy hiểm có thể thực thi mã độc
6. Người dùng chỉ sử dụng tài khoản user, không được phép cài đặt phần mềm.Những app đòi quyền admin để chạy thì hỗ trợ thông qua Script, Autoit, Powershell…
7.Toàn bộ usb phải tự động scan khi cắm vào máy tính, nếu cần thiết thì cấm hẳn USB
8. Tắt Autoplay cho toàn hệ thống [GPO]
9. Không cho phép chạy file thực thi từ ổ di động (USB, portable HDD)[GPO]
10. Tắt macro của bộ Office trừ một số trư ờng hợp cần macro để chạy.[GPO]
11. Hạn chế hoặc cấm các trình chat skype, zalo, messenger….
12. Cấu hình hạn chế truy cập đến các thư mục chia sẻ trong mạng, bộ phận nào chỉ làm việc trong khu vực bộ phận đó.
13. Cấm ra internet đối với những bộ phận ko cần làm việc với internet, cấm download đối với những bộ phận ko được phép để hạn chế tải file bậy bạ virus, vừa giảm tải băng thông cho hệ thống.
1. Trang bị Firewall/Gateway vận hành quét virus/malware vào ra cho web và mail. Tự động xóa bỏ các email có đính kèm các đuôi như exe, msi, html, chm, lnk...Bật các tính năng phòng chống virus, chống tấn công trên hệ thống firewall.
2. Chia nhỏ VLAN dễ quản trị, để tránh lây nhiễm virus, dễ cách ly khi có sự cố
3. Trang bị hệ thống antivirus endpoint security(TrendMicro/Kaspersky/Symantec) chạy realtime cho cả server và client và bật chế độ bảo vệ trước ransomeware, Update nguồn và phiên bản phần mềm diệt Virus thường xuyên trên server/client.
4. Luôn Bật Firewall trên tất cả các máy client. Không được disable firewall, hãy sử dụng exception để import dịch vụ mình cho phép chạy.
5. Dùng File Screen Management để chặn một số files nguy hiểm có thể thực thi mã độc
6. Người dùng chỉ sử dụng tài khoản user, không được phép cài đặt phần mềm.Những app đòi quyền admin để chạy thì hỗ trợ thông qua Script, Autoit, Powershell…
7.Toàn bộ usb phải tự động scan khi cắm vào máy tính, nếu cần thiết thì cấm hẳn USB
8. Tắt Autoplay cho toàn hệ thống [GPO]
9. Không cho phép chạy file thực thi từ ổ di động (USB, portable HDD)[GPO]
10. Tắt macro của bộ Office trừ một số trư ờng hợp cần macro để chạy.[GPO]
11. Hạn chế hoặc cấm các trình chat skype, zalo, messenger….
12. Cấu hình hạn chế truy cập đến các thư mục chia sẻ trong mạng, bộ phận nào chỉ làm việc trong khu vực bộ phận đó.
13. Cấm ra internet đối với những bộ phận ko cần làm việc với internet, cấm download đối với những bộ phận ko được phép để hạn chế tải file bậy bạ virus, vừa giảm tải băng thông cho hệ thống.
* ĐỐI VỚI MÔI TRƯỜNG
MÁY CHỦ
1. Để an toàn cho vùng DMZ, nên đặt password phức tạp để chống
mấy tụi hacker scan password, Đổi port mặc định của các cổng NAT ra ngoài hoặc
hạn chế sử dụng các port như 1433(SQL), 21(FTp), 3389(RDP)…. vì đây là miếng mồi
ngon, là môi trường hoàn hảo để phát tán.Nên sử dụng VPN cho an toàn.
2. Máy chủ chứa dữ liệu (nhất là SQL server) không được cấu hình cho ra internet. Trường hợp bên ngoài muốn vào để fix, anh em có thể tạo interface ánh xạ cái SQL chính lên đó.
2. Máy chủ chứa dữ liệu (nhất là SQL server) không được cấu hình cho ra internet. Trường hợp bên ngoài muốn vào để fix, anh em có thể tạo interface ánh xạ cái SQL chính lên đó.
3. Phải thường xuyên audit logs các servers, routers để
tìm điểm nghi vấn. Đặt monitoring network traffic cả bên trong và bên ngoài,
theo dõi để phát hiện giao dịch cao bất thường.
4. Tận dụng con máy nào cấu hình mạnh, ngoài ứng dụng đang chạy cài 1 con máy ảo trên đó. Cần tải cái gì, cần test cái gì chạy qua con đó. Nếu AV ko báo lỗi hay cảm thấy yên tâm tý thì copy về máy thật cài cho người dùng. Lâu lâu lại restore 1 phát (dùng cho admin test soft)
4. Tận dụng con máy nào cấu hình mạnh, ngoài ứng dụng đang chạy cài 1 con máy ảo trên đó. Cần tải cái gì, cần test cái gì chạy qua con đó. Nếu AV ko báo lỗi hay cảm thấy yên tâm tý thì copy về máy thật cài cho người dùng. Lâu lâu lại restore 1 phát (dùng cho admin test soft)
✔ Vá hệ điều hành, software…
1. Luôn đảm bảo hệ điều hành, phần mềm, các ứng dụng (java,adobe,flash,office...) và phần mềm diệt virus được cập nhật thường xuyên và không tắt chương trình diệt
virus trong mọi thời điểm.
2. Update các hotfix của OS (giữ cho Windows luôn
được cập nhật thường xuyên - WSUS, một giải pháp đơn giản mà hiệu quả cho việc
này).
3. Đảm bảo tính năng System Watcher (Giám sát hệ thống)
của chương trình virus đã được bật.
4. Không dùng phần mềm, win crack trong hệ thống
✔ Về con người
1. Training cho enduser kiến thức về bảo mật
(basic). Thường xuyên gửi mail thông báo về ransomware đến các user.
2. Nhắc nhở enduser không mở các file đính kèm từ
những email chưa rõ danh tính. Những email ko liên quan tới công việc, không
click vô các đường link lạ khi không rõ thông tin về nó.
Tóm lại phải chủ động phòng ngừa đa lớp đừng để đến khi bị rồi
thì đã muộn.
P/s: Bài viết được tổng hợp từ nhiều nguồn.
Thanks
0 comments:
Post a Comment