Hơn 56% doanh nghiệp bị mã độc tống tiền ransomware tấn công và 70% bị mã hóa dữ liệu đòi số tiền chuộc tăng 5 lần so với năm 2023, theo báo cáo của Sophos. Điều này cũng khiến việc ngăn chặn rủi ro từ mã độc tống tiền đang là bài toán khó nếu doanh nghiệp Việt cứ mãi lơ là.
Cứ 1 trong 2 doanh nghiệp là mục tiêu của Ransomware
Báo cáo đặc biệt ‘State of Ransomware 2024’ về hiện trạng loại mã độc mã hóa dữ liệu, tống tiền nạn nhân (Ransomware) từ Sophos cho thấy, năm 2024 tiếp tục là ‘thảm họa’ cho các doanh nghiệp trước các đợt tấn công không ngừng nghỉ của Ransomware.
Trong đó, mã độc Ransomware được đánh giá là mối nguy hại rất lớn đối với doanh nghiệp bất kể quy mô. Chúng vẫn đang âm thầm diễn ra ngày càng nhiều hơn và nghiêm trọng hơn với con số tiền chuộc lên tới hàng chục triệu USD hoặc thiệt hại tương đương vì ngừng trệ hoạt động.
Các cuộc tấn công mạng nhắm vào các tổ chức, công ty nhỏ và vừa vẫn tiếp tục tăng. Bên cạnh đó là dạng tấn công có chủ đích (APT – Advanced Persistent Threat) vẫn luôn là các mối đe dạo chính cho mọi tổ chức, doanh nghiệp.
Hơn 1/2 doanh nghiệp quy mô vừa và lớn từ 14 quốc gia từ báo cáo của Sophos cho biết bị Ransomware tấn công trong năm 2024. Trong đó, các lỗ hổng mà Ransomware khai thác mạnh nhất lần lượt bao gồm lỗ hổng bảo mật của phần mềm hay hệ thống (32%), tấn công các điểm yếu (29%), email mã độc (23%) và lừa đảo có chủ đích (11%)… Trung bình 35% doanh nghiệp mất từ một tuần để khôi phục lại hoạt động bị ngừng trệ sau khi Ransomware tấn công, và 34% mất một tháng để hoàn thành.
Thiếu hụt giải pháp đồng nhất là nguyên nhân lớn
Theo Sophos, sở dĩ các hệ thống doanh nghiệp bị tấn công thâm nhập là vì sự chồng chéo của các phần mềm, đặc biệt trong giai đoạn bùng nổ của AI (Trí tuệ nhân tạo), sự phát triển của công nghệ mới được ứng dụng vào hoạt động của mọi tổ chức, doanh nghiệp thì đồng thời làm gia tăng bề mặt tấn công mạng.
Bên cạnh đó, việc có quá nhiều lỗ hỏng bảo mật (Vulnerabilities) đến từ các ứng dụng, hệ điều hành được công bố thường xuyên mà nhân lực quản trị CNTT chưa theo kịp, tạo điều kiện cho tội phạm mạng thực hiện các cuộc tấn công.
Đại diện Sophos cho biết, chính vì sự phức tạp của các hệ thống CNTT nên hầu hết mọi tổ chức, doanh nghiệp đang gặp vấn nhiều vấn đề về Bảo mật, An toàn thông tin. Từ đó, Sophos nhận định rằng các doanh nghiệp quy mô vừa và nhỏ chưa có đội ngũ chuyên nghiệp có thể dùng các giải pháp chuyên nghiệp để khắc phục các điểm yếu này.
Với Sophos EDR và XDR (Nhận diện và Phản ứng Nhanh), doanh nghiệp có thể phát hiện sớm các cuộc tấn công ‘ẩn mình’, không được chú ý. Ngoài ra, các báo cáo tin cậy về tình hình bảo mật tại bất kỳ thời điểm nào cũng được cập nhật nhằm giúp phản ứng nhanh chóng và cung cấp cách xử lý sự cố tối ưu nhất cho người dùng. Người vận hành cũng dễ dàng hiểu hơn về cuộc tấn công đã xảy ra và làm thế nào để ngăn chặn. Nhờ đó, doanh nghiệp sử dụng như có “thêm 1 chuyên gia bảo mật hỗ trợ 24/7”.
Theo các chuyên gia từ Sophos, một giải pháp bảo vệ máy trạm mạnh EPP (Endpoint Protection Platform) là không đủ để có thể ngăn chặn các dạng mã độc tấn công ngày càng tinh vi. Chính vì vậy mà các công nghệ tiên tiến được áp dụng vào để giúp EPP có khả năng phát hiện và phản ứng lại các sự cố đó một cách hiệu quả, đó là EDR (Endpoint Detection & Response). XDR là phần mở rộng từ EDR. Sophos XDR có thể giúp phát hiện và phản ứng lại mọi sự cố đến từ Máy trạm, Máy chủ, Tường lửa, Thiết bị di động, Cloud…
Bên cạnh đó, 3 tính năng tạo nên lợi thế của Sophos EDR và XDR còn được xem là công cụ trợ giúp doanh nghiệp hiệu quả bao gồm Live Discovery: cho phép người quản trị có thể tìm kiếm, truy vấn mọi thông tin về trạng thái, mã độc, tấn công,… của toàn hệ thống với dữ liệu lịch sử được lưu trữ trong Hồ dữ liệu (Data Lake). Hỗ trợ IT chủ động săn tìm mã độc (Threat Hunting) dựa vào các dấu hiệu tấn công (IoA – Indicators of Attack) và dấu hiệu xâm nhập (IoC – Indicators of Compromise).
Với tính năng Live Response, người quản trị được hướng dẫn để phản ứng lại các sự cố một cách hiệu quả, bao gồm các hành động như: Cô lập (Isolation), Cách ly đối tượng (Quarantine), Quét đối tượng (Scan), Lấy mẫu hoặc phân tích chuyên sâu về đối tượng mã độc (get file, create threat cases)… Song song đó, người quản trị cũng sẽ được truy cập từ xa vào thiết bị đầu cuối trên giao diện quản trị để xử lý nhanh tình huống xảy ra.
Riêng với Threat Intelligence, tiện ích cung cấp một bản đồ kết nối phân cấp về phân tích nguồn gốc của các sự kiện, sự cố khi xảy ra (Root Cause Analysis). Cùng với việc tích hợp các công nghệ tiên tiến như AI, ML/DL (Máy học), Cloud Sandboxing…, tính năng còn phân tích các tập tin nghi ngờ và đưa ra báo cáo chi tiết về các đối tượng đó nhằm giúp có kịch bản đề phòng hữu hiệu nguy cơ tiềm ẩn rủi ro.