5 bước quan trọng cần thực hiện để chống ransomware trong ngành dịch vụ chăm sóc sức khỏe

Sự bùng nổ của COVID-19 đã đưa các cuộc tấn công mạng vào các nhà cung cấp dịch vụ chăm sóc sức khỏe thành hyperdrive. Các yếu tố góp phần vào các cuộc tấn công như vậy bao gồm, nhưng không giới hạn ở:

• Hoạt động kinh doanh phi tập trung.
• Cơ sở khẩn cấp COVID-19 được thiết lập mà không có kế hoạch bảo mật cơ sở hạ tầng CNTT.
• Sự gia tăng đáng kể về lượng dữ liệu sức khỏe bệnh nhân được các tổ chức chăm sóc sức khỏe lưu trữ.
• Telehealth và những người làm việc từ xa trên khắp thế giới gần như chỉ sau một đêm. Điều này mở ra những lỗ hổng bảo mật.

Đặc biệt, Ryuk ransomware đã hồi sinh gần đây. Sophos gần đây đã xác định một chiến dịch spam mới được liên kết với các diễn viên Ryuk. Và nhóm Managed Threat Response (MTR) của Sophos đã hỗ trợ một tổ chức giảm thiểu cuộc tấn công Ryuk. Nhóm cũng cung cấp thông tin chi tiết về cách các công cụ, kỹ thuật và thực tiễn của các diễn viên Ryuk đã phát triển.

Cuộc điều tra cho thấy sự phát triển của các công cụ được sử dụng để xâm nhập các mạng mục tiêu và triển khai ransomware. Nhưng điều đáng chú ý hơn là các cuộc tấn công có thể chuyển từ thỏa hiệp ban đầu sang triển khai ransomware nhanh như thế nào. Trong vòng ba tiếng rưỡi sau khi mục tiêu mở tệp đính kèm email lừa đảo, những kẻ tấn công đã tiến hành rà soát mạng. Trong vòng một ngày, chúng đã có được quyền truy cập vào bộ điều khiển miền (domain controller) và đang ở giai đoạn đầu của nỗ lực triển khai ransomware.

Các kỹ thuật trốn tránh của ransomware đang thay đổi nhanh chóng. Trong những năm gần đây, các cuộc tấn công ransomware đã có xu hướng từ các cuộc tấn công quy mô lớn sang các cuộc tấn công tập trung, có kế hoạch và thực hiện thủ công khó phát hiện và ngăn chặn hơn.

Bọn tội phạm đã lai tạp các cuộc tấn công của chúng, kết hợp tự động hóa để tìm ra những nạn nhân có lỗ hổng trong hệ thống phòng thủ. Máy chủ tiếp xúc với Giao thức máy tính từ xa (Remote Desktop Protocol – RDP) được bật. Quản trị viên không có xác thực đa yếu tố để truy cập từ xa. Máy chủ web chưa được vá. Hoặc thậm chí những vấn đề tương tự này tại đối tác hoặc nhà cung cấp dịch vụ đáng tin cậy là cũng đủ để đặt mạng, hệ thống và tài nguyên dưới dạng tiền chuộc.

Dưới đây là năm điều mà các nhà cung cấp dịch vụ chăm sóc sức khỏe có thể làm để bảo vệ khỏi các cuộc tấn công ransomware:

1. Kiểm tra và cập nhật thường xuyên

Đảm bảo rằng bạn đang thực hành vệ sinh CNTT cơ bản, bao gồm cài đặt tất cả các bản vá mới nhất, tắt hoàn toàn RDP (hoặc đặt nó sau VPN), sao lưu thường xuyên. Và giữ chúng ở ngoại vi nơi kẻ tấn công không thể tìm thấy. Nó cũng bao gồm việc áp dụng xác thực đa yếu tố cho các dịch vụ lưu trữ dữ liệu nhạy cảm nhất trong tổ chức của bạn. Đây chỉ là một số bước cơ bản mà bạn có thể thực hiện để bảo vệ bản thân và mạng của mình ngay hôm nay.

2. Giáo dục ý thức người dùng

Hướng dẫn người dùng về tầm quan trọng của mật khẩu mạnh và triển khai xác thực hai yếu tố ở bất cứ đâu có thể. Hướng dẫn họ về lừa đảo qua mail. Đây là một trong những cơ chế triển khai chính của ransomware.

3. Giảm thiểu rủi ro sự lây lan trong môi trường mạng

Phân đoạn các mạng LAN thành các vùng nhỏ hơn, biệt lập hoặc các VLAN được bảo mật và kết nối bởi tường lửa. Đảm bảo áp dụng các chính sách IPS phù hợp cho các quy tắc điều chỉnh lưu lượng đi qua các phân đoạn LAN này để ngăn chặn việc khai thác, worm và bot lây lan giữa các phân đoạn LAN. Và nếu một sự lây nhiễm xảy ra, hãy tự động cô lập các hệ thống bị nhiễm bệnh cho đến khi chúng có thể được làm sạch.

4. Sử dụng các công cụ phát hiện và phản hồi điểm cuối (EDR) với tính năng bảo vệ điểm cuối

Ngày nay, việc ngăn chặn ransomware mục tiêu không chỉ là để ngăn chặn một phần mềm độc hại. Đó là về việc ngăn chặn kẻ thù đang hoạt động và làm gián đoạn chuỗi tấn công khiến chúng có thể chạy phần mềm độc hại. Đảm bảo mọi điểm cuối được bảo vệ và cập nhật. Một thiết bị không hoạt động bình thường có thể không được bảo vệ và có thể dễ bị tấn công bởi ransomware. Sử dụng các công cụ như EDR, cho phép bạn đặt các câu hỏi chi tiết để bạn có thể tìm kiếm các đối thủ đang hoạt động và xác định các mối đe dọa nâng cao trong mạng của mình. Sau khi thực hiện, EDR cũng giúp bạn nhanh chóng thực hiện các hành động thích hợp để ngăn chặn các mối đe dọa như vậy.

5. Thu hẹp khoảng cách với sự can thiệp của con người

Máy tính, tự động hóa và các công cụ thật tuyệt vời. Nhưng trí tuệ con người, khả năng nhận dạng khuôn mẫu và khả năng áp dụng ngữ cảnh của chúng ta cung cấp một biện pháp phòng thủ thậm chí còn ghê gớm hơn. Các dịch vụ phát hiện và phản hồi được quản lý (Managed detection and response – MDR) rất quan trọng ở đây. Việc kết hợp các nhóm CNTT và bảo mật nội bộ của bạn với một nhóm chuyên gia ứng phó và săn lùng mối đe dọa ưu tú bên ngoài giúp đưa ra lời khuyên hữu ích để giải quyết các nguyên nhân gốc rễ của các sự cố lặp lại.

Sophos Intercept X Advanced với EDR

Sophos Intercept X Advanced với EDR bao gồm tất cả các tính năng bạn cần để giúp bảo vệ tổ chức của mình khỏi các cuộc tấn công ransomware như Ryuk, Sodinokibi, Maze và Ragnar Locker.

Intercept X bao gồm công nghệ chống ransomware phát hiện các quy trình mã hóa độc hại và tắt chúng trước khi chúng có thể lây lan trên mạng của bạn. Công nghệ chống khai thác ngăn chặn việc phân phối và cài đặt ransomware, học sâu chặn ransomware trước khi nó có thể chạy và CryptoGuard ngăn chặn mã hóa độc hại của các tệp, đưa chúng trở lại trạng thái an toàn.

Hơn nữa, Sophos EDR giúp giữ cho hoạt động săn tìm mối đe dọa và hoạt động CNTT của bạn luôn hoạt động trơn tru trên toàn bộ mạng của bạn. Sophos EDR cho phép đặt các câu hỏi chi tiết để xác định các mối đe dọa nâng cao, các đối thủ đang hoạt động và các lỗ hổng CNTT tiềm ẩn. Sau đó, Sophos EDR nhanh chóng thực hiện hành động thích hợp để ngăn chặn chúng. Nó cho phép bạn phát hiện kẻ thù ẩn nấp trong mạng của bạn và chờ triển khai ransomware mà có thể không được chú ý.

Sophos Managed Threat Response (MTR)

Dịch vụ Sophos MTR bổ sung kiến ​​thức chuyên môn của con người vào chiến lược bảo mật phân lớp. Một nhóm chuyên gia săn lùng mối đe dọa ưu tú chủ động tìm kiếm và xác nhận các mối đe dọa tiềm ẩn thay bạn. Nếu được ủy quyền, họ sẽ hành động để ngăn chặn và vô hiệu hóa các mối đe dọa. Đồng thời, họ sẽ đưa ra lời khuyên hữu ích để giải quyết các nguyên nhân gốc rễ của các sự cố lặp lại.

Sophos Rapid Response

Nếu tổ chức của bạn đang bị tấn công và cần hỗ trợ ứng phó sự cố ngay lập tức. Sophos có thể giúp đỡ. Được cung cấp bởi một nhóm chuyên gia về ứng phó sự cố, Sophos Rapid Response cung cấp hỗ trợ nhanh như chớp trong việc xác định và vô hiệu hóa các mối đe dọa đang hoạt động chống lại tổ chức. Dịch vụ này có sẵn cho cả khách hàng hiện tại của Sophos cũng như khách hàng không phải của Sophos.

Đội phản hồi nhanh Sophos gồm những người ứng phó sự cố từ xa nhanh chóng thực hiện hành động để phân loại, ngăn chặn và vô hiệu hóa các mối đe dọa đang hoạt động. Loại bỏ kẻ thù để ngăn chặn thiệt hại thêm cho tài sản của bạn.

Hãy liên hệ với Bộ phận kinh doanh DASS – (028) 384 123 06 để được tư vấn các giải pháp bảo mật Sophos và nhận chương trình giá đặc biệt từ DASS.

CÔNG TY CỔ PHẦN DASS – Nhà phân phối hàng đầu giải pháp bảo mật Sophos

Trụ sở chính: 114/17 Đề Thám, Phường Cầu Ông Lãnh, Quận 1, TP.HCM

☎ 028 38412306

Chi nhánh Hà Nội: Số 29, Lê Đại Hành, Q Hai Bà Trưng, Hà Nội.

☎ 024 3555 3030

Email: info@dass.vn

Fanpage: Công ty Cổ phần DASS