How to Protect against Ransomware in Microsoft Office 365

Bảo vệ khỏi phần mềm tống tiền Office 365 đang trở thành mối quan tâm chính của các tổ chức trên toàn thế giới. Sự chuyển đổi nhanh chóng sang làm việc từ xa và việc sử dụng ngày càng nhiều các dịch vụ đám mây đã mang đến cho tội phạm mạng nhiều cơ hội hơn để mở rộng hoạt động của chúng trên các nền tảng dựa trên đám mây, bao gồm Microsoft Office 365, một trong những bộ ứng dụng văn phòng hàng đầu trên thế giới.

Bài viết này sẽ đề cập đến cách ransomware lây nhiễm dữ liệu Microsoft Office 365 và những công cụ bảo vệ nào bạn có thể sử dụng để giữ an toàn cho dữ liệu của mình.

Cách Ransomware lây nhiễm môi trường Office 365

Ransomware là một loại phần mềm độc hại mã hóa máy tính hoặc môi trường CNTT của bạn cho đến khi bạn trả tiền chuộc. Vào năm 2020, 84% tổ chức được khảo sát trên toàn thế giới từng là nạn nhân của ransomware hoặc tin rằng doanh nghiệp của họ sẽ sớm bị tấn công.

Hiện đã xác định được rằng phần mềm tống tiền có thể lây nhiễm dữ liệu Office 365 dựa trên đám mây thông qua đồng bộ hóa thiết bị hoặc truy cập trực tiếp vào đám mây. Khi một thiết bị cục bộ bị lây nhiễm, các tệp bị hỏng sẽ được đồng bộ hóa với OneDrive và SharePoint thông qua công cụ máy khách đồng bộ hóa.

Đối với quyền truy cập trực tiếp, phần mềm tống tiền không thể xâm nhập nếu không có sự cho phép của bạn. Dưới đây là ba cách bọn tội phạm có thể lừa bạn cho phép chúng truy cập vào môi trường Office 365 của bạn:

  • Lừa đảo. Vào năm 2020, 54% các cuộc tấn công bằng mã độc tống tiền là do email lừa đảo có đính kèm tài liệu độc hại hoặc liên kết đến các trang web độc hại. Hơn nữa, Microsoft đứng đầu danh sách các thương hiệu bị bắt chước nhiều nhất cho các cuộc tấn công lừa đảo. Trong quý 2 năm 2021, 45% trong số tất cả các nỗ lực lừa đảo thương hiệu đã giả danh Microsoft để đánh cắp thông tin xác thực, thông tin cá nhân và thông tin thanh toán của người dùng.
  • Các ứng dụng bị nhiễm Mặc dù Microsoft liên tục quét AppSource để tìm phần mềm độc hại nhưng vẫn có nguy cơ cài đặt một ứng dụng sẽ lây nhiễm cho môi trường của bạn. Tội phạm có thể sử dụng các lỗ hổng của các ứng dụng hiện có hoặc tạo các ứng dụng mới có giao diện và hoạt động giống như các ứng dụng bình thường.
  • Các mối đe dọa nội bộ. Nhân viên của bạn có thể làm việc cùng với tội phạm từ bên ngoài công ty và cấp cho họ quyền truy cập cần thiết hoặc thậm chí cài đặt phần mềm độc hại. Ngoài ra, nhân viên của bạn có thể quyết định trở nên giàu có chỉ sau một đêm và mua bộ công cụ ransomware trên dark web.

Khi bọn tội phạm trở nên xảo quyệt hơn, việc xác định nỗ lực tống tiền có thể là một nhiệm vụ khó khăn. Ví dụ: một email lừa đảo có thể xuất hiện dưới dạng yêu cầu cấp quyền dường như đến từ Microsoft nhưng sẽ mã hóa hộp thư Exchange Online của bạn sau khi bạn nhấn nút “Chấp nhận”.

Để đảm bảo an toàn cho môi trường đám mây của bạn, bạn cần có chiến lược bảo vệ chống phần mềm tống tiền Office 365 toàn diện. Chiến lược này nên bao gồm các kỹ thuật để nâng cao nhận thức về mã độc tống tiền cũng như các công cụ đáng tin cậy để bảo vệ và khôi phục dữ liệu. Hãy khám phá từng thành phần một cách chi tiết.

See more:  Try These 6 Tips When Instagram Not Sharing to Facebook

nhận thức về phần mềm tống tiền

Vì email lừa đảo vẫn là nguồn phổ biến nhất của phần mềm tống tiền, nên khả năng dễ bị tấn công của tổ chức của bạn trước hết phụ thuộc vào nhận thức về phần mềm tống tiền của nhân viên. Nhân viên nên hiểu các mối đe dọa ransomware và biết cách giảm thiểu chúng. Dưới đây là một vài ví dụ:

  • Nhân viên cần biết cách đặt mật khẩu an toàn và cập nhật thường xuyên.
  • Nhân viên cần có khả năng nhận ra các email đáng ngờ và cẩn thận với các tệp đính kèm và liên kết.
  • Khi lướt web, nhân viên cần chú ý đến URL của trang và biểu tượng ổ khóa.

Nhận thức về phần mềm tống tiền không nên chỉ giới hạn trong việc đào tạo nhân viên. Mô hình Trách nhiệm Chia sẻ của Microsoft tuyên bố rằng việc bảo vệ, khôi phục và quản lý quyền truy cập dữ liệu thuộc trách nhiệm của người dùng. Điều này có nghĩa là bạn cần nhận thức được các rủi ro và lỗ hổng bảo mật có thể xảy ra trong môi trường Office 365 của mình.

Đảm bảo cập nhật thường xuyên hệ thống và thiết bị của bạn. Thông thường, các bản cập nhật và bản vá sẽ khắc phục các lỗi và sự cố bảo mật, cải thiện khả năng phục hồi của hệ thống trước các cuộc tấn công của mã độc tống tiền. Ngoài ra, bạn có thể nâng cao khả năng bảo vệ khỏi phần mềm tống tiền gốc của Microsoft bằng phần mềm chống vi-rút sẽ thường xuyên quét môi trường của bạn để tìm các mối đe dọa có thể xảy ra.

Bảo vệ chống phần mềm tống tiền gốc của Microsoft

Microsoft cung cấp nhiều công cụ bảo vệ dữ liệu, bao gồm Exchange Online Protection (EOP), Bộ bảo vệ Microsoft và bảo vệ khỏi phần mềm tống tiền OneDrive cho Office 365. Chúng ta hãy xem xét kỹ hơn từng công cụ.

Exchange Online Protection (EOP)

Exchange Online Protection (EOP) được bật theo mặc định. Công cụ này cho phép bạn lọc các email gửi đến dựa trên danh tiếng của người gửi, tên miền và địa chỉ IP, từ khóa và thuật toán phân tích của Microsoft. Bạn có thể định cấu hình các chính sách và quy tắc lọc, tạo danh sách chặn người gửi, chọn loại tệp đính kèm không mong muốn và từ chối email được viết bằng các ngôn ngữ khác.

Ngoài ra, EOP lọc các email gửi đi để tìm thư rác. Điều này bảo vệ cộng đồng Office 365 khỏi những kẻ gửi thư rác và ngăn việc sử dụng các tài khoản bị hỏng để tấn công thư rác.

Bộ bảo vệ Microsoft

Bộ bảo vệ Microsoft (còn được gọi là Tính năng Chống Mối đe dọa Nâng cao) cho phép người dùng phát hiện và khắc phục phần mềm độc hại cũng như email lừa đảo. Tính năng này chỉ khả dụng trong gói Office 365 E5.

Không giống như các chương trình chống vi-rút thông thường chỉ có thể xác định các mối đe dọa được thêm vào cơ sở dữ liệu chống vi-rút, Defender có thể bảo vệ chống lại các mẫu mã độc tống tiền chưa xác định mới. Công cụ này giám sát hành vi đáng ngờ và có thể lọc các email đến để tìm phần mềm độc hại và các nỗ lực lừa đảo.

Bộ bảo vệ Microsoft bảo vệ người dùng khỏi hai kỹ thuật lừa đảo phổ biến:

  • Email hoặc tên miền mạo danh. Một địa chỉ mạo danh trông giống với địa chỉ của người gửi thực, nhưng chúng không giống nhau. Ví dụ, [email protected] thay vì [email protected] hoặc [email protected] thay vì [email protected]
  • Email giả mạo. Tội phạm sử dụng giả mạo để sửa đổi tiêu đề email để địa chỉ giả được hiển thị cho người nhận. Ví dụ, [email protected] sẽ được hiển thị như [email protected]

Người bảo vệ cũng cho phép hộp thư thông minh xây dựng cơ sở dữ liệu xung quanh thói quen giao tiếp của người dùng để theo dõi những người gửi mới và đáng ngờ.

See more:  All About Telegram Messenger and Its Login Process

Bảo vệ chống phần mềm tống tiền OneDrive

Microsoft theo dõi dữ liệu OneDrive của bạn để tìm mã độc tống tiền trong thời gian thực và thông báo cho bạn về các tệp đáng ngờ. Trong trường hợp có nỗ lực tống tiền, bạn có 30 ngày để khôi phục các tệp của mình về phiên bản trước đó, không bị nhiễm.

Mặt khác, phần mềm tống tiền có thể xóa lịch sử phiên bản cùng với tệp gốc. Vẫn có cơ hội khôi phục tệp gốc từ thùng rác, nhưng cơ hội không phải là thứ bạn chỉ có thể dựa vào. Tùy chọn tốt nhất trong trường hợp này là có các bản sao lưu của bên thứ ba cho phép khôi phục tại thời điểm và cho phép bạn quay lại thời điểm trước khi cuộc tấn công xảy ra.

Hãy đọc ở đây cách một giải pháp sao lưu đáng tin cậy có thể đưa khả năng chống mã độc tống tiền Office 365 của bạn lên một tầm cao mới.

Công cụ bảo vệ khác

Microsoft cho phép bạn giới hạn quyền và truy cập trái phép bằng kiểm soát truy cập dựa trên vai trò và xác thực đa yếu tố. Trên thực tế, xác thực đa yếu tố có thể ngăn nỗ lực của phần mềm tống tiền ngay cả khi người dùng mở email hoặc liên kết lừa đảo, vì vậy hãy đảm bảo rằng tính năng này được bật.

Một tính năng hữu ích khác mà bạn cần kích hoạt là kiểm tra. Microsoft theo dõi các sự kiện và ghi lại các hoạt động của người dùng và quản trị viên trên các dịch vụ Office 365 vào nhật ký kiểm tra. Kiểm tra ban đầu được thiết kế cho mục đích tuân thủ, nhưng bạn có thể sử dụng nó để giám sát hoạt động đáng ngờ và theo dõi các truy cập, quyền, tải xuống, thay đổi mật khẩu, v.v.

Khi các cuộc tấn công trở nên tinh vi hơn, các công cụ của Microsoft có thể không đủ để đảm bảo khả năng chống phần mềm tống tiền của Office 365. Trong trường hợp này, các giải pháp khôi phục có ích.

Giải pháp khôi phục phần mềm tống tiền Office 365

Tính năng bảo vệ hiệu quả của Office 365 chống lại phần mềm tống tiền phải bao gồm các công cụ phục hồi dữ liệu để đảm bảo tính liên tục của doanh nghiệp khi phần mềm tống tiền xâm nhập vào môi trường của bạn. Bạn có thể sử dụng các công cụ khôi phục gốc của Microsoft (lập phiên bản, chính sách lưu giữ và thùng rác) cùng với các giải pháp sao lưu của bên thứ ba. Chúng ta hãy xem xét từng người trong số họ.

lập phiên bản

SharePoint cho phép bạn lưu tới 50.000 phiên bản của thư viện trang và tài liệu cũng như danh sách SharePoint. Tuy nhiên, công cụ này bị giới hạn đối với các tệp dữ liệu ứng dụng mạnh (bạn có thể bật lập phiên bản cho một số nhưng không phải tất cả các ứng dụng) và không khả dụng cho các trang web và siêu dữ liệu trang con. Bảo vệ và khôi phục phần mềm tống tiền OneDrive cũng dựa vào việc lập phiên bản.

Lưu ý rằng việc tạo phiên bản bao gồm các ảnh chụp nhanh đầy đủ (không phải số gia tăng) tiêu tốn nhiều dung lượng lưu trữ và 1.000 phiên bản sẽ tăng mức sử dụng bộ nhớ của bạn lên 1.000 lần. Điều này làm cho việc tạo phiên bản trở thành một giải pháp tốn kém vì bạn sẽ phải trả tiền để có thêm dung lượng lưu trữ. Đôi khi, quản trị viên tắt lịch sử phiên bản để lưu vào bộ nhớ. Nếu điều này xảy ra, việc tạo phiên bản và cùng với đó là khôi phục phiên bản sẽ không khả dụng.

Chính sách duy trì

Chính sách lưu giữ có sẵn trong Office 365 E3 và các gói cao hơn. Chúng cho phép bạn giữ lại các bản sao dữ liệu trong một thời gian xác định. Tuy nhiên, không giống như các bản sao lưu của bên thứ ba, các chính sách lưu giữ của Microsoft dựa trên việc lập phiên bản mà người dùng không thể lên lịch. Điều này có thể dẫn đến mất dữ liệu.

See more:  What Kind of Services does DevOps Company Provide?

Ngoài ra, tất cả các tệp được giữ lại có thể được tải xuống nhưng không được khôi phục về vị trí ban đầu. Vì vậy, nếu bạn cần khôi phục nhiều tệp cùng một lúc, có thể mất rất nhiều thời gian và công sức.

Thùng rác tái chế

Thùng rác cung cấp khả năng lưu giữ sau khi xóa tiêu chuẩn. Khi người dùng xóa một tệp, nó có thể được khôi phục trong vòng 93 ngày. Lưu ý rằng thùng rác cũng dựa vào phiên bản, vì vậy nếu lịch sử phiên bản bị tắt, việc khôi phục sẽ không thể thực hiện được.

Sau 93 ngày, bạn vẫn có thể khôi phục các tệp từ bản sao lưu hàng ngày của Microsoft SharePoint Online trong 14 ngày tới. Nếu các tệp OneDrive for Business được lưu trữ trong tuyển tập trang SharePoint, bạn cũng có thể khôi phục chúng. Đối với điều này, bạn cần liên hệ với bộ phận hỗ trợ của Microsoft và yêu cầu khôi phục toàn bộ trang web. Lưu ý rằng trong một số trường hợp, việc phê duyệt yêu cầu của bạn có thể mất vài ngày. Bạn cũng sẽ không thể khôi phục các phiên bản cụ thể hoặc các mục riêng biệt.

Sau 107 ngày, dữ liệu của bạn sẽ bị xóa vĩnh viễn và không thể khôi phục được trừ khi bạn có bản sao lưu của bên thứ ba.

Giải pháp sao lưu của bên thứ ba

Các công cụ khôi phục gốc của Microsoft có những hạn chế, bao gồm thời gian lưu giữ có giới hạn thời gian và không có khả năng khôi phục tại thời điểm. Quá trình khôi phục và cấu hình lưu giữ có thể phức tạp và kéo dài. Hơn nữa, các tệp được giữ lại có thể tiêu tốn rất nhiều dung lượng lưu trữ và làm tăng tổng chi phí của các dịch vụ Office 365.

Việc áp dụng giải pháp sao lưu an toàn của bên thứ ba có thể cải thiện các mục tiêu về thời gian khôi phục của bạn và giảm thiệt hại do phần mềm tống tiền hoặc lỗi của con người gây ra. Ngay cả Microsoft cũng khuyên bạn nên có một giải pháp sao lưu để giữ an toàn cho dữ liệu của bạn.

Các giải pháp sao lưu ngày nay dựa trên các bản sao lưu gia tăng chỉ lưu trữ các khối dữ liệu đã thay đổi và cho phép bạn tiết kiệm dung lượng lưu trữ. Các công cụ tự động hóa, lập kế hoạch và sơ đồ xoay vòng linh hoạt giúp ngăn ngừa mất dữ liệu và đảm bảo tính liên tục cho hoạt động kinh doanh của bạn. Cuối cùng, các giải pháp của bên thứ ba cho phép bạn lưu trữ các bản sao lưu ngoại tuyến và do đó, cải thiện khả năng phục hồi của chúng trước các cuộc tấn công của mã độc tống tiền.

kết thúc

Các doanh nghiệp có thể trở thành nạn nhân của ransomware ngay cả khi dữ liệu của họ được lưu trữ trên đám mây. Microsoft Office 365 có các công cụ toàn diện để ngăn chặn truy cập trái phép, lừa đảo và phần mềm độc hại. Tuy nhiên, khi tội phạm mạng trở nên tinh vi hơn, bạn cần một cách tiếp cận phức tạp hơn để bảo vệ Office 365 khỏi phần mềm tống tiền.

Để giảm thiểu việc mất dữ liệu và cải thiện khả năng phục hồi của bạn trước các cuộc tấn công của mã độc tống tiền, chiến lược bảo vệ dữ liệu của bạn nên bao gồm đào tạo nâng cao nhận thức về mã độc tống tiền, sử dụng các giải pháp bảo vệ gốc của Microsoft và sao lưu của bên thứ ba.

Categories: How to
Source: vothisaucamau.edu.vn

Leave a Comment