Các chiến lược bảo vệ OneDrive khỏi phần mềm tống tiền
Nhiều người dùng coi OneDrive như một dịch vụ lưu trữ sao lưu trên đám mây. Họ thường cho rằng các tệp được lưu trữ trên OneDrive không thể bị mất mát hay hư hỏng. Nói cách khác, một số người tin rằng các tệp lưu trữ trên đám mây công cộng không thể bị ransomware tấn công, khác với các tệp được lưu trữ trên ổ cứng của máy tính cá nhân hay máy chủ tại chỗ. Điều đó không hoàn toàn đúng! Các tệp được lưu trữ trên OneDrive có thể bị ransomware tấn công, mã hóa và dẫn đến mất mát.
Tần suất các cuộc tấn công ransomware đang gia tăng hàng năm. Tuy nhiên, nếu bạn tuân thủ các khuyến nghị và tuân thủ các chính sách bảo mật, bạn có thể giữ an toàn cho dữ liệu của mình ngay cả khi lưu trữ trên OneDrive. Bài viết này trình bày các chiến lược để bảo vệ dữ liệu trên OneDrive và giải thích cách phòng ngừa các cuộc tấn công ransomware.
Giới thiệu về OneDrive và phần mềm tống tiền
Phần mềm tống tiền có thể lây nhiễm vào OneDrive không? Có, các tệp được lưu trữ trên OneDrive có thể bị nhiễm và mã hóa bởi phần mềm tống tiền trong các trường hợp sau:
- OneDrive được gắn vào một thư mục cục bộ trên máy tính cục bộ, và các tệp được lưu trữ trong OneDrive được đồng bộ hóa với thư mục cục bộ liên quan. Nếu máy tính cục bộ bị nhiễm phần mềm tống tiền, phần mềm này sẽ mã hóa tất cả các tệp có thể truy cập, bao gồm cả các tệp được lưu trữ trong thư mục đồng bộ hóa với OneDrive. Do đó, nếu bạn truy cập OneDrive qua giao diện web, bạn sẽ thấy các tệp bị mã hóa (tức là bị hỏng). Phần mềm tống tiền có thể bắt đầu mã hóa OneDrive, sau đó mã hóa các ổ đĩa khác và tất cả các vị trí lưu trữ có thể truy cập.
- Nếu kẻ tấn công chiếm được thông tin đăng nhập của bạn, các tệp có thể truy cập từ tài khoản người dùng của bạn có thể bị mã hóa bởi phần mềm tống tiền.
- Nhấp vào các liên kết lừa đảo sẽ gây ra việc tải xuống và thực thi virus, phần mềm độc hại và phần mềm tống tiền trên máy tính của nạn nhân. Ransomware làm hỏng các tệp mà nó truy cập được.
- Các tiện ích mở rộng và tiện ích bổ sung độc hại yêu cầu bạn cấp quyền truy cập OneDrive là nguy hiểm và có thể là điểm xâm nhập cho nhiễm ransomware. Hãy đọc kỹ mô tả của các tiện ích mở rộng và tiện ích bổ sung, và kiểm tra nhà cung cấp trước khi cài đặt chúng.
OneDrive có an toàn không? OneDrive có bảo mật không? OneDrive bảo mật đến mức nào? Những câu hỏi này rất phổ biến trong số người dùng Microsoft 365 mới. OneDrive đủ an toàn và bảo mật. Tuy nhiên, bạn nên biết cách phòng tránh các cuộc tấn công ransomware, tuân thủ các khuyến nghị bảo mật và biết phải làm gì nếu phát hiện OneDrive bị hack. Microsoft đã giới thiệu tính năng phát hiện ransomware tích hợp mới, có thể phát hiện các hoạt động đáng ngờ như xóa hàng loạt hoặc mã hóa các tệp được lưu trữ trong OneDrive. Người dùng sẽ nhận được thông báo cảnh báo trên thiết bị của mình và qua email. Một danh sách các khuyến nghị cũng sẽ được hiển thị. Nhưng điều bạn muốn là tránh để ransomware OneDrive làm hỏng các tệp của bạn. Đọc cách bảo vệ thư mục khỏi ransomware trong phần tiếp theo của bài viết này.
Cách bảo vệ OneDrive khỏi cuộc tấn công ransomware
Trong phần này, tôi giải thích cách phòng ngừa ransomware và xác định các chiến lược bảo vệ OneDrive khỏi ransomware. Tuân thủ các khuyến nghị này sẽ giảm thiểu rủi ro bị nhiễm ransomware và mất dữ liệu.
Bảo vệ thông tin đăng nhập
Bảo vệ thông tin đăng nhập của tài khoản quản trị viên Microsoft 365. Bằng cách đánh cắp thông tin đăng nhập của quản trị viên, kẻ tấn công có thể đánh cắp và phá hủy toàn bộ dữ liệu của tổ chức được lưu trữ trên OneDrive (bao gồm cả dữ liệu của tất cả người dùng trong tổ chức).
Bảo vệ thông tin đăng nhập của người dùng. Việc đánh cắp tài khoản người dùng cho phép kẻ tấn công truy cập dữ liệu cá nhân và dữ liệu chia sẻ của họ, phát tán phần mềm tống tiền và lây nhiễm vào các tệp tin. Khi các tệp tin được lưu trữ trên kho lưu trữ OneDrive chia sẻ bị lây nhiễm, những người dùng khác truy cập vào kho lưu trữ này cũng có thể bị lây nhiễm.
Bật xác thực hai yếu tố. Microsoft 365 hỗ trợ xác thực đa yếu tố. Bước bảo mật bổ sung này có thể giúp người dùng bảo vệ tài khoản khỏi bị xâm phạm và thông tin đăng nhập bị đánh cắp. Bạn nên sử dụng xác thực đa yếu tố hoặc xác minh hai bước để bảo vệ các tài khoản Microsoft 365 có quyền quản trị. Dưới đây là bài viết trên blog về Xác thực hai yếu tố cho Microsoft 365.
Bảo vệ từng máy tính
Bảo vệ các máy tính trong tổ chức của bạn. Cài đặt và cấu hình phần mềm chống vi-rút và phần mềm chống phần mềm độc hại. Tuân thủ khuyến nghị này sẽ giảm nguy cơ ransomware lây nhiễm vào máy tính của người dùng và các tệp được lưu trữ trong các thư mục OneDrive được đồng bộ hóa trên các máy tính này (không gian lưu trữ OneDrive được ánh xạ vào các thư mục cục bộ). Đừng quên các máy chủ và máy ảo.
Chặn việc thực thi các tệp được lưu trữ trong %appdata%, %localappdata%. Theo mặc định, các thư mục này được các ứng dụng trong Windows sử dụng để lưu trữ dữ liệu. Các tệp tạm thời và dữ liệu đã tải xuống có thể được lưu trữ tại đây. Khi các tệp ransomware được tải xuống, chúng có thể được ngụy trang và ẩn trong các thư mục này, sau đó được thực thi.
Chặn các macro trong tài liệu Microsoft Office. Macro hiếm khi được sử dụng cho các tác vụ kinh doanh, nhưng chúng là nguồn gốc của các vấn đề nghiêm trọng. Một phương pháp lây nhiễm phổ biến là phân phối các tài liệu chứa macro độc hại, khởi động cuộc tấn công ransomware để lây nhiễm máy tính và sau đó lan rộng qua mạng để lây nhiễm các máy tính khác.
Cập nhật phần mềm và cài đặt các bản vá bảo mật để khắc phục các lỗ hổng phần mềm đã biết mà ransomware có thể tận dụng để xâm nhập và lây nhiễm hệ thống. Bạn có thể bật tính năng cập nhật phần mềm tự động cho Windows và các ứng dụng. Nếu cấu hình bảo mật của bạn không hoàn hảo, kẻ tấn công có thể tận dụng các lỗ hổng phần mềm chưa được vá để khởi động cuộc tấn công ransomware. Đó là lý do tại sao việc cài đặt các bản vá là rất quan trọng.
Giáo dục người dùng
Giáo dục người dùng để nhận biết các cuộc tấn công lừa đảo. Kẻ tấn công thường cho rằng người dùng thiếu kinh nghiệm, và rằng họ sẽ tải xuống tất cả các tệp đính kèm trong email, mở các tệp đó và nhấp vào mọi liên kết. Nhiệm vụ của chúng tôi là cảnh báo người dùng về các mối đe dọa và hướng dẫn họ cách nhận diện nội dung đáng ngờ.
Phương thức tấn công ransomware phổ biến nhất là gửi email lừa đảo đến người dùng. Một liên kết độc hại được thiết kế trông giống như liên kết hợp pháp nhưng sẽ chuyển hướng người dùng đến trang tải xuống và cài đặt ransomware. Hãy di chuột qua liên kết và kiểm tra chính tả trong địa chỉ URL. Nếu chỉ một ký tự sai, hãy tránh nhấp vào liên kết. Địa chỉ email của người gửi, tương tự như các liên kết, có thể bị giả mạo. Nếu bạn không biết người gửi và không muốn nhận bất kỳ tin nhắn nào từ người gửi này, tốt nhất là bỏ qua hoặc từ chối email từ người gửi này. Đừng tải xuống và mở các tệp đính kèm trong email. Hãy nhớ về nguy cơ khi mở các tài liệu Word/Excel có chứa macro.
Các liên kết độc hại trong email và các trang web giả mạo đều rất nguy hiểm. Kẻ tấn công có thể tạo ra các trang web giả mạo và gửi liên kết đến các trang web này qua email. Một trang web giả mạo trông giống như trang web gốc, nhưng việc nhấp vào các yếu tố trên trang hoặc nhập thông tin đăng nhập có thể dẫn đến mất tài khoản hoặc bị nhiễm ransomware.
Ngay cả khi địa chỉ trang web là thật và hợp pháp, hãy lưu ý rằng kẻ tấn công có thể hack trang web và chèn mã độc vào trang đó. Sau khi truy cập trang web như vậy, người dùng có thể bị nhiễm ransomware. Phần mềm diệt virus tốt và được cập nhật thường xuyên có thể ngăn chặn nhiễm trùng trong trường hợp này.
Kẻ tấn công có thể sử dụng các kỹ thuật công trình xã hội và các nhãn như “khẩn cấp”, “quan trọng”, v.v. trong email để thúc giục nạn nhân và làm họ phân tâm khỏi việc kiểm tra nội dung. Hãy cẩn thận khi nhận tin nhắn từ Skype và các dịch vụ khác. Hãy nhớ rằng kẻ tấn công có thể hack tài khoản người dùng và gửi tin nhắn từ tài khoản đó. Tài khoản người dùng trong trường hợp này là thật, nhưng liên kết hoặc tệp được gửi từ tài khoản bị hack có thể tạo ra mối đe dọa.
Khi người dùng được đào tạo để nhận diện nội dung đáng ngờ, rủi ro của một cuộc tấn công ransomware qua email lừa đảo sẽ giảm đáng kể. Luôn tốt hơn là phòng ngừa các cuộc tấn công ransomware trên OneDrive thay vì khôi phục các tệp bị hỏng.
Sử dụng hệ thống bảo vệ email
Sử dụng Exchange Online Protection. Công cụ gốc của Microsoft 365 này cho phép bạn cấu hình các bộ lọc bảo vệ bổ sung, chẳng hạn như bộ lọc liên kết an toàn và bộ lọc tệp đính kèm an toàn.
Cấu hình chính sách chống lừa đảo. Exchange Online Protection có thể xác định người gửi đáng tin cậy, người gửi đáng ngờ, các tệp đính kèm gây nguy hiểm, cũng như các liên kết giả mạo và độc hại dẫn đến các trang web bị nhiễm mã độc. Bạn có thể chặn người gửi giả mạo và email không mong muốn trong phần cài đặt.
Chặn nội dung hoạt động trong các tệp đính kèm như macro trong tài liệu Word/Excel, VBScript và JavaScript. Đọc bài đăng trên blog tại Bảo vệ Exchange Online để biết thêm thông tin về tính năng này.
Sử dụng hệ thống bảo vệ đám mây
Kích hoạt Microsoft 365 Defender trong môi trường Microsoft 365 của bạn. Microsoft 365 Defender là tên mới của Office 365 Bảo vệ chống lại các mối đe dọa nâng cao (Microsoft Defender for Office 365). Tính năng này giúp bạn giảm thiểu rủi ro nhiễm ransomware cho người dùng Microsoft 365 trong tổ chức của bạn. Các tính năng chính của Microsoft 365 Defender bao gồm phát hiện thông minh các mối đe dọa, điều tra tự động và bảo vệ tích hợp chống lại các cuộc tấn công ransomware tinh vi. Microsoft 365 Defender có thể được cấu hình trong Trung tâm bảo mật Microsoft 365. Khi người dùng được đào tạo và phần mềm thông minh được kích hoạt, mức độ bảo vệ sẽ cao hơn nhiều.
Sử dụng tính năng phiên bản (
) Kích hoạt tính năng phiên bản (lịch sử phiên bản) trong cài đặt OneDrive. Nếu ransomware mã hóa các tệp lưu trữ trong OneDrive, chỉ phiên bản mới nhất của tệp bị mã hóa. Bạn có thể chọn một phiên bản tệp trước đó và khôi phục các tệp cần thiết. Đừng quên rằng trước khi khôi phục tệp, bạn nên loại bỏ ransomware khỏi máy tính bị nhiễm để tránh việc tệp bị mã hóa lại. Lưu ý rằng việc khôi phục hàng nghìn tệp bằng cách khôi phục các phiên bản tệp trước đó là tốn thời gian, và việc có bản sao lưu OneDrive phù hợp sẽ giúp bạn tiết kiệm thời gian và tài nguyên trong trường hợp này. Lịch sử phiên bản của OneDrive cho phép bạn khôi phục các tệp được lưu trữ trong OneDrive về bất kỳ phiên bản nào đã thay đổi trong vòng 30 ngày qua. Kiểm tra cài đặt lưu trữ cho các tệp đã xóa (tệp được lưu trữ trong Thùng rác) cho OneDrive.
Cấu hình chính sách lưu trữ. Microsoft 365 chính sách giữ chân nhân viên xác định thời gian dữ liệu được lưu trữ sau khi bị xóa trước khi dữ liệu này bị xóa vĩnh viễn. Lưu ý rằng việc lưu trữ dữ liệu được giữ lại trên đám mây sẽ tiêu tốn dung lượng lưu trữ, điều này có thể dẫn đến chi phí bổ sung.
Sao lưu dữ liệu được lưu trữ trong OneDrive
Sao lưu dữ liệu được lưu trữ trong OneDrive. Một số tùy chọn trên có thể không khả dụng cho tất cả các gói đăng ký Microsoft 365 và có thể chỉ khả dụng cho các gói đăng ký cao cấp. Microsoft cho phép bạn yêu cầu hỗ trợ và khôi phục toàn bộ dữ liệu trong kho lưu trữ đám mây Office 365 trong vòng hai tuần kể từ khi xảy ra sự cố mất dữ liệu, nhưng không có tùy chọn khôi phục chi tiết và bạn không thể chọn các đối tượng cần khôi phục.
Lưu trữ bản sao lưu trên đám mây hoặc tại chỗ ở một nơi an toàn. Kho lưu trữ sao lưu phải được bảo vệ tốt và không được chia sẻ với người dùng khác (chỉ phần mềm sao lưu và quản trị viên mới có thể truy cập).
Sao lưu dữ liệu bằng NAKIVO Backup & Replication
Sử dụng NAKIVO Backup & Replication để bảo vệ OneDrive. NAKIVO Backup & Replication hỗ trợ Sao lưu Microsoft 365 dữ liệu, bao gồm dữ liệu lưu trữ trong OneDrive, Exchange Online và SharePoint Online. Bạn có thể sao lưu dữ liệu OneDrive và tạo tối đa 4.000 điểm khôi phục, sau đó khôi phục các phiên bản tệp cần thiết bằng cách sử dụng các điểm khôi phục này. Khôi phục chi tiết cho phép bạn khôi phục các tệp và thư mục tùy chỉnh của người dùng về vị trí ban đầu hoặc một vị trí tùy chỉnh. Một bản sao NAKIVO Backup & Replication có thể bảo vệ hàng nghìn tài khoản người dùng Office 365. Dữ liệu OneDrive được sao lưu vào kho lưu trữ sao lưu tại chỗ được lưu trữ trên các máy chủ cục bộ. Cấu hình được thực hiện trong giao diện web trực quan.
Đọc thêm các bài viết trên blog về Khôi phục sau tấn công ransomware, ransomware các cuộc tấn công vào thiết bị NAS để tìm hiểu thêm về nguyên lý hoạt động và biện pháp bảo vệ chống lại ransomware.
Cách khôi phục tệp OneDrive
Nếu tệp của bạn bị mã hóa bởi ransomware, tuyệt đối không nên trả tiền chuộc. Việc trả tiền chuộc khuyến khích kẻ tấn công thực hiện thêm các cuộc tấn công để kiếm thêm tiền. Nếu bạn trả tiền chuộc, bạn không có bất kỳ đảm bảo nào rằng sẽ khôi phục được tệp của mình hoàn toàn hoặc một phần. Nếu bạn phát hiện các tệp OneDrive của mình đã bị mã hóa sau một cuộc tấn công ransomware, bạn nên khôi phục dữ liệu bằng các công cụ gốc của Microsoft hoặc từ bản sao lưu bằng phần mềm bảo vệ dữ liệu của bên thứ ba.
Trước hết, hãy gỡ bỏ ransomware đã cài đặt trên tất cả các máy tính trong tổ chức của bạn. Nếu các tính năng gốc của Microsoft 365 đã được kích hoạt cho các tài khoản người dùng trong tổ chức của bạn, hãy khôi phục các tệp OneDrive từ các phiên bản trước hoặc từ Thùng rác (bao gồm cả Thùng rác giai đoạn hai). Nếu bạn có bản sao lưu, hãy khôi phục dữ liệu từ bản sao lưu.
Đọc thêm về sao lưu và khôi phục OneDrive với NAKIVO Backup & Replication tại bài viết trên blog này.
Kết luận
Bài đăng trên blog này đã đề cập đến các chiến lược bảo vệ OneDrive khỏi các cuộc tấn công ransomware và đưa ra một số khuyến nghị cấp cao có thể giúp bạn ngăn chặn các cuộc tấn công ransomware vào OneDrive. Bạn nên bảo vệ dữ liệu của mình về mặt kỹ thuật – định cấu hình cài đặt bảo mật cho tất cả phần mềm được sử dụng trên tất cả các máy và định cấu hình sao lưu dữ liệu của bạn. Ngoài ra, bạn nên hướng dẫn người dùng cách nhận biết các dấu hiệu của các cuộc tấn công ransomware tiềm ẩn, bởi vì những kẻ tấn công thường sử dụng một trong số ít phương pháp để khởi động các cuộc tấn công ransomware trên OneDrive thông qua người dùng thông thường.
Sao lưu là phương pháp đáng tin cậy nhất để khôi phục dữ liệu trong trường hợp ransomware làm hỏng các tệp của bạn. Hãy sử dụng NAKIVO Backup & Replication để bảo vệ dữ liệu của bạn được lưu trữ trên OneDrive.
