Làm cách nào để ngăn chặn các cuộc tấn công ransomware trên thiết bị Synology ?

Các cuộc tấn công ransomware đang trở thành mối đe dọa ngày càng tăng đối với cả người dùng doanh nghiệp và gia đình. Bài viết này sẽ trình bày các phương pháp về phòng chống ransomware dành riêng cho các sản phẩm Synology. Các nguyên tắc được cung cấp bên dưới dựa trên hướng dẫn về ransomware do Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) và Trung tâm Phân tích và Chia sẻ Thông tin Đa trạng thái (MS-ISAC) tạo ra.

Các phương pháp hay nhất về phòng chống ransomware

Chuẩn bị

Người dùng nên duy trì một bản sao lưu dữ liệu được mã hóa, ngoại tuyến và thường xuyên xác minh lại để bản sao lưu có khôi phục được hay không. Đảm bảo kế hoạch sao lưu của bạn tuân theo đúng nguyên tắc Backup 3-2-1 và Backup-At-Rest. Đặt mục tiêu thời gian khôi phục và tạo điểm đến khôi phục cho từng nền tảng tương ứng và tiến hành kiểm tra khôi phục thảm họa định kỳ.

Xây dựng kế hoạch ứng phó sự cố mạng cơ bản và kế hoạch truyền thông liên kết. Ví dụ, lập danh sách liên lạc khẩn cấp và phân công trách nhiệm cho từng vai trò. Các kế hoạch đó nên có các thủ tục thông báo sau khi sự cố ransomware xảy ra. Các buổi diễn tập thường xuyên về các kế hoạch đó để đảm bảo bạn đã sẵn sàng cho các sự cố ransomware.

Các phương thức lây nhiễm ransomware phổ biến

Các lỗ hổng và cấu hình sai trên Internet

• Không để DSM tiếp xúc với Internet trừ khi cần thiết.
• Nếu bạn phải truy cập các dịch vụ tệp qua Internet, bạn nên sử dụng VPN để kết nối với thiết bị Synology của mình
• Nếu bạn phải truy cập trực tiếp dịch vụ tệp SMB qua Internet mà không sử dụng VPN, hãy đặt Chế độ mã hóa truyền tải thành Bắt Buộc để bảo mật tốt hơn.
• Bật tính năng ký máy chủ SMB nếu thiết bị Synology của bạn hoạt động như một bộ điều khiển miền bằng cách sử dụng gói Máy chủ Thư mục Synology.
• Nếu bạn phải mở quyền truy cập DSM của mình vào Internet, vui lòng chỉ mở các cổng cần thiết cho các dịch vụ của bạn.

Gửi email lừa đảo

• Hãy đề phòng email lừa đảo độc hại. Không cung cấp thông tin đăng nhập DSM của bạn cho các địa chỉ email đáng ngờ. Nếu bạn đang sử dụng Synology MailPlus, vui lòng bật SPF, DKIM, DMARC, v.v., để tăng cường bảo mật xác thực email.

Nhiễm phần mềm độc hại

Ngoài việc cài đặt bảo vệ điểm cuối trên các thiết bị khách DSM của bạn (PC, Mac, Linux, v.v.), hãy đảm bảo phần mềm chống vi-rút và chống phần mềm độc hại và chữ ký của bạn được cập nhật. Cân nhắc cài đặt và sử dụng Antivirus Essential (trên DSM) và Cố vấn bảo mật để thực hiện quét thường xuyên.

Bên thứ ba và nhà cung cấp dịch vụ được quản lý

Hãy theo dõi Tư vấn bảo mật của Synology và các bản cập nhật bảo mật từ các gói của bên thứ ba đã cài đặt.

• Đối với các sản phẩm của Synology, vui lòng làm theo Tư vấn Bảo mật của Synology để biết các vấn đề về lỗ hổng bảo mật mới nhất ảnh hưởng đến DSM và các gói do Synology xuất bản.
• Chúng tôi không khuyến nghị người dùng cài đặt các gói của bên thứ ba. Tuy nhiên, nếu chúng đã được cài đặt, hãy đảm bảo rằng bạn đã cập nhật bản vá mới nhất cho các vấn đề về lỗ hổng bảo mật của chúng.

Các phương pháp hay và hướng dẫn tăng cường bảo mật

• Đảm bảo rằng Auto Block, Account Protection và xác thực đa yếu tố được bật. Các cài đặt bảo mật này có thể giúp tăng cường kiểm tra danh tính truy cập DSM của bạn.
• Chỉ mở những dịch vụ bạn cần. Đối với những dịch vụ bạn đang sử dụng, bạn có thể bật firewall trong DSM và định cấu hình nó để chỉ cho phép các địa chỉ IP và cổng cụ thể.
• Khi bạn kết nối DSM với các dịch vụ bên ngoài như Synology Account, hãy đảm bảo rằng bạn đã thiết lập xác thực đa yếu tố.
• Nếu bạn đang sử dụng DSM làm máy chủ thư mục, hãy lưu ý về các bản cập nhật và bản vá bảo mật cho DSM và các gói của bạn.
• Theo dõi DSM của bạn bằng cách thường xuyên kiểm tra nhật ký kết nối trong Log Center. Ngoài ra, hãy xem xét bật các giao thức tệp chuyển các bản ghi để kiểm tra hoạt động của người dùng DSM thông qua các giao thức tệp.

Danh sách kiểm tra phản hồi ransomware

Ba bước đầu tiên rất quan trọng sau một cuộc tấn công ransomware:

1. Xác định hệ thống nào đã bị tác động và cô lập chúng ngay lập tức. Tách các thiết bị bị nhiễm khỏi mạng cục bộ của bạn.
2. Nếu bạn không thể ngắt kết nối các thiết bị bị ảnh hưởng khỏi mạng, hãy tắt nguồn chúng để ngăn chặn sự lây nhiễm ransomware. Tuy nhiên, tắt nguồn các thiết bị bị ảnh hưởng đó sẽ ngăn bạn duy trì các hiện vật lây nhiễm ransomware và bằng chứng tiềm ẩn được lưu trữ trong bộ nhớ dễ bay hơi.
3. Triage tác động đến hệ thống để khôi phục và phục hồi. Khôi phục dữ liệu của bạn bằng cách sử dụng các tác vụ sao lưu hoặc ảnh chụp nhanh.

Các bước sau sẽ giúp giảm thiểu tác động hoặc sẽ giúp bạn ứng phó với thảm họa ransomware:

1. Thu thập thông tin về cuộc tấn công ransomware. Trao đổi với nhóm của bạn để phát triển và ghi lại những hiểu biết ban đầu về những gì đã xảy ra dựa trên phân tích ban đầu.

Báo cáo phân tích ban đầu cần có những nội dung sau:

1. 1. Thông tin hệ thống
      • Phiên bản DSM
      • Danh sách các dịch vụ đang sử dụng
      • Danh sách các gói đã cài đặt
      • Cấu trúc mạng
      • Quy tắc Firewall
   2. Thông tin về Ransomware
      • Dấu thời gian về thời điểm bạn tìm thấy sự cố.
      • Bạn đã làm gì trước khi liên hệ với Synology Support (ví dụ: khôi phục dữ liệu, đặt lại DSM…)
      • Tệp hướng dẫn giải mã
   3. Thông tin giao thức
      • Danh sách các giao thức tệp đang được sử dụng và nếu nhật ký chuyển đã được bật.
      • Nếu có bất kỳ hành vi đăng nhập bất thường nào.
      • Tài khoản nào đã được sử dụng trong vụ vi phạm.
   4. Để được hỗ trợ Synology
      • Tạo nhật ký hệ thống từ DSM’s Support Center.

2. Tìm kiếm sự hỗ trợ có liên quan và cung cấp kết quả điều tra. Gửi báo cáo ban đầu của bạn đến nhóm Hỗ trợ Synology. Hơn nữa, bạn có thể muốn liên hệ với bộ phận CNTT, các nhà cung cấp dịch vụ bảo mật được quản lý hoặc công ty bảo hiểm mạng.

3. Tham khảo ý kiến ​​của cơ quan thực thi pháp luật về bộ giải mã có thể có. Các nhà nghiên cứu bảo mật có thể đã phá vỡ các thuật toán mã hóa cho một số biến thể của ransomware.

4. Nghiên cứu các hướng dẫn đáng tin cậy cho biến thể ransomware cụ thể đó và làm theo bất kỳ bước nào được đề xuất bổ sung để xác định và chứa các hệ thống hoặc mạng được xác nhận là bị ảnh hưởng.

5. Xác định các hệ thống và tài khoản liên quan đến vi phạm ban đầu. Khách hàng của Synology có thể liên hệ với Bộ phận Hỗ trợ của Synology để giúp xác định nguyên nhân gốc rễ. Xem sự cố này có phải do các cuộc tấn công brute-force gây ra hay không, các bản vá gói cần thiết chưa được cài đặt hoặc các lỗ hổng sản phẩm tiềm ẩn.

6. Xây dựng lại hệ thống dựa trên mức độ ưu tiên của các dịch vụ quan trọng, sử dụng hình ảnh tiêu chuẩn được định cấu hình trước, nếu có thể.

7. Xem xét cài đặt lại DSM. Sau khi xác nhận DSM đã hoàn toàn sạch và tất cả các gói đều được cập nhật, hãy xem xét việc đặt lại mật khẩu tài khoản trên DSM

Phụ lục:  Cân nhắc chuẩn bị danh sách các liên hệ khẩn cấp để ứng phó với sự cố ransomware. 

Kết luận

Ransomware vô cùng nguy hiểm cho tất cả người dùng dữ liệu. Đặc biệt là những doanh nghiệp lớn, khi bị nhiễm Ransomware thì bị ảnh hưởng cực kỳ nghiệm trọng thậm chí là phá sản. Do đó hãy thực hiện các thao tác trên để đảm bảo an toàn dữ liệu của mình.

Xem thêm: 10 mẹo để bảo mật dữ liệu khi dùng NAS Synology

Hiện nay, Mstar Corp là Service Provider duy nhất của Synology tại Việt Nam. Có đội ngũ IT trình độ chuyên môn cao về NAS Synology cũng như các sản phẩm của Synology. Đã có kinh nghiệm triển khai nhiều dự án từ doanh nghiệp nhỏ cho đến lớn, hay cả đơn vị chính phủ. Liên hệ ngay với đội ngũ Mstar Corp để được hỗ trợ tư vấn về các sản phẩm.

Tham gia Group những người dùng NAS Synology để cùng tìm hiểu sâu hơn về NAS Synology tại đây nhé: Synology Vietnam | Hỗ trợ kỹ thuật – Giải Pháp NAS

MODEL ĐỀ XUẤT

---

THÔNG TIN LIÊN HỆ: MSTAR CORP

Hotline: 0943199449 – 0909514461

Email: [email protected]

Fanpage: https://www.facebook.com/mstarcorp/

Group hỗ trợ kỹ thuật: https://www.facebook.com/groups/synologyvn/

Website: mstarcorp.vn

Store: https://store.mstarcorp.vn/

Trụ sở: Tầng 1, 75 Hoàng Văn Thụ, phường 15, quận Phú Nhuận, TP. HCM

Chi nhánh Hà Nội : Tầng 11, tòa nhà Zen Tower, 12 đường Khuất Duy Tiến, P.Thanh Xuân Trung, Q. Thanh Xuân, TP. Hà Nội