Nhấp và kéo vào các sóng âm thanh bên dưới để chuyển đến bất kỳ điểm nào. Bạn cũng có thể nghe trực tiếp trên Soundcloud.

[CHẾ ĐỘ ÂM NHẠC]

---

VỊT VỊT PAUL.  Chào mừng mọi người đến với podcast Naked Security.

Tập này được lấy từ một trong năm nay Tuần lễ bảo mật SOS phiên họp.

Chúng tôi đang nói chuyện với Peter Mackenzie, Giám đốc Ứng phó Sự cố tại Sophos.

Giờ đây, anh ấy và nhóm của mình… họ giống như sự giao thoa giữa Thủy quân lục chiến Hoa Kỳ và Dịch vụ Thuyền đặc biệt của Hải quân Hoàng gia.

Họ lao vào nơi mà các thiên thần sợ bước vào - vào các mạng đã bị tấn công - và sắp xếp mọi thứ.

Vì tập này ban đầu được trình bày dưới dạng video để phát trực tuyến nên chất lượng âm thanh không được tốt, nhưng tôi nghĩ bạn sẽ đồng ý rằng nội dung thú vị, quan trọng và nhiều thông tin, tất cả đều ở mức độ như nhau.

[MÃ MORSE]

[GIỌNG NÓI ROBOT: Sophos bảo mật SOS]

---

VỊT.  Chủ đề hôm nay là: Ứng phó sự cố – ​​Một ngày trong cuộc đời của người ứng phó mối đe dọa trực tuyến.

Vị khách của chúng ta hôm nay không ai khác chính là Peter Mackenzie.

Và Peter là Giám đốc Ứng phó Sự cố tại Sophos.

---

PETER MACKENZIE.  Vâng.

---

VỊT.  Vì vậy, Peter… “ứng phó sự cố cho an ninh mạng.”

Hãy cho chúng tôi biết điều đó thường liên quan đến điều gì và tại sao (thật không may) bạn thường cần được gọi đến.

---

VẬT NUÔI.  Thông thường, chúng tôi được đưa đến ngay sau một cuộc tấn công hoặc trong khi một cuộc tấn công vẫn đang diễn ra.

Chúng tôi đối phó với rất nhiều phần mềm tống tiền và nạn nhân cần trợ giúp để hiểu điều gì đã xảy ra.

Kẻ tấn công đã xâm nhập bằng cách nào?

Làm thế nào mà họ làm những gì họ đã làm?

Họ có ăn cắp gì không?

Và làm thế nào để họ trở lại hoạt động bình thường một cách nhanh chóng và an toàn nhất có thể?

---

VỊT.  Và tôi đoán vấn đề với nhiều cuộc tấn công ransomware là…

…mặc dù chúng nhận được tất cả các tiêu đề vì những lý do rõ ràng, nhưng đó thường là kết thúc của giai đoạn tấn công kéo dài, đôi khi có nhiều hơn một kẻ gian đã xâm nhập vào mạng?

---

VẬT NUÔI.  Vâng.

Tôi mô tả ransomware giống như “biên lai” mà chúng để lại sau cùng.

---

VỊT.  Ôi trời.

---

VẬT NUÔI.  Và nó, thực sự - đó là yêu cầu tiền chuộc.

---

VỊT.  Vâng, bởi vì bạn không thể không chú ý đến nó, phải không?

Hình nền có hình đầu lâu rực lửa trên đó… giấy đòi tiền chuộc.

Đó là khi họ *muốn* bạn nhận ra…

---

VẬT NUÔI.  Đó là họ nói với bạn rằng họ đang ở đó.

Những gì họ muốn che giấu là những gì họ đã làm trong những ngày, tuần hoặc tháng trước.

Hầu hết các nạn nhân của ransomware, nếu chúng ta hỏi, “Điều này xảy ra khi nào?”…

…họ sẽ nói, “Đêm qua. Quá trình mã hóa bắt đầu lúc 1 giờ sáng”; họ bắt đầu nhận được thông báo.

Khi chúng tôi đi vào và điều tra, chúng tôi sẽ phát hiện ra rằng, thực ra, những kẻ lừa đảo đã ở trong mạng trong hai tuần để chuẩn bị.

Nó không tự động, không dễ dàng – họ phải có được thông tin đăng nhập phù hợp; họ phải hiểu mạng của bạn; họ muốn xóa bản sao lưu của bạn; họ muốn ăn cắp dữ liệu.

Và sau đó khi *chúng* sẵn sàng, đó là lúc chúng khởi chạy phần mềm tống tiền – giai đoạn cuối cùng.

---

VỊT.  Và không phải lúc nào cũng có nhiều kẻ lừa đảo, phải không?

Sẽ có những kẻ lừa đảo nói: “Vâng, chúng tôi có thể đưa bạn vào mạng.”

Sẽ có những kẻ lừa đảo nói: “Ồ, chúng tôi quan tâm đến dữ liệu, ảnh chụp màn hình, thông tin đăng nhập ngân hàng và mật khẩu.”

Và sau đó, khi họ đã có mọi thứ họ muốn, họ thậm chí có thể giao nó cho một nhóm thứ ba, những người này nói: “Chúng tôi sẽ tống tiền”.

---

VẬT NUÔI.  Ngay cả trong các cuộc tấn công ransomware đơn giản nhất, thường có một vài người tham gia.

Bởi vì bạn sẽ có một môi giới truy cập ban đầu có thể đã giành được quyền truy cập vào mạng… về cơ bản, ai đó đã đột nhập, đánh cắp thông tin đăng nhập, xác nhận rằng họ đang làm việc, sau đó họ sẽ quảng cáo những thông tin đó.

Người khác sẽ mua những thông tin đăng nhập đó…

---

VỊT.  Đó là một thứ web tối, tôi tưởng tượng?

---

VẬT NUÔI.  Vâng.

Và một vài tuần hoặc vài tháng sau, ai đó sẽ sử dụng những thông tin đăng nhập đó.

Họ sẽ đến và họ sẽ thực hiện phần tấn công của mình, đó có thể là tìm hiểu mạng, đánh cắp dữ liệu, xóa các bản sao lưu.

Và sau đó có thể một người nào đó khác sẽ thực sự triển khai phần mềm tống tiền.

Nhưng sau đó bạn cũng có những nạn nhân thực sự không may mắn…

Gần đây, chúng tôi đã xuất bản một bài báo về nhiều kẻ tấn công, trong đó một nhóm ransomware đã xâm nhập và chúng đã phát động cuộc tấn công vào khoảng buổi sáng… Tôi nghĩ lúc đó là khoảng 10 giờ sáng.

Bốn giờ sau, một nhóm ransomware khác, hoàn toàn không liên quan đến nhóm đầu tiên, đã tung ra…

---

VỊT.  [CƯỜI] Tôi không nên cười!

Vì vậy, những kẻ này… hai kẻ lừa đảo không nhận ra rằng họ đang cạnh tranh?

---

VẬT NUÔI.  Họ không biết họ đã ở đó!

Thật không may, cả hai đều có cùng một cách: mở Giao thức máy tính từ xa [RDP].

Hai tuần sau đó, một nhóm *thứ ba* đến trong khi họ vẫn đang cố gắng phục hồi.

---

VỊT.  [RẦM] Ohhhhhhh…

---

VẬT NUÔI.  Điều đó thực sự có nghĩa là khi phần mềm đầu tiên xuất hiện, chúng bắt đầu chạy phần mềm tống tiền của mình… đó là phần mềm tống tiền BlackCat, còn được gọi là phần mềm tống tiền Alpha, chạy trước.

Họ bắt đầu mã hóa các tập tin của họ.

Hai giờ sau, phần mềm tống tiền Hive xuất hiện.

Nhưng vì BlackCat vẫn đang chạy, Hive cuối cùng đã mã hóa các tệp đã được mã hóa của BlackCat.

BlackCat sau đó đã mã hóa các tệp của Hive đã được mã hóa hai lần…

…vì vậy về cơ bản chúng tôi đã kết thúc với *bốn* cấp độ mã hóa.

Và sau đó, hai tuần sau, vì họ chưa khôi phục được mọi thứ, phần mềm tống tiền LockBit đã xuất hiện và mã hóa các tệp đó.

Vì vậy, một số tệp này đã thực sự được mã hóa *năm lần*.

---

VỊT.  [CƯỜI] Tôi không được cười!

Trong trường hợp đó, tôi cho rằng hai lô kẻ lừa đảo đầu tiên đã tham gia vì họ tình cờ bắt gặp hoặc có thể mua thông tin đăng nhập từ cùng một nhà môi giới.

Hoặc họ có thể tìm thấy nó bằng một công cụ quét tự động…bit đó có thể được tự động hóa, phải không, nơi họ tìm thấy lỗ hổng?

---

VẬT NUÔI.  Vâng.

---

VỊT.  Và sau đó lô thứ ba vào bằng cách nào?

---

VẬT NUÔI.  Cùng một phương pháp!

---

VỊT.  Ồ, không phải thông qua một lỗ do lô đầu tiên để lại? [CƯỜI]

---

VẬT NUÔI.  Không, cùng một phương pháp.

Mà sau đó nói chuyện với: Đây là lý do tại sao bạn cần phải điều tra!

---

VỊT.  Chính xác.

---

VẬT NUÔI.  Bạn không thể chỉ lau máy và mong vùi đầu vào cát.

Tổ chức đưa chúng tôi đến sau cuộc tấn công thứ ba – họ thực sự không biết rằng họ đã có cuộc tấn công thứ hai.

Họ nghĩ rằng họ đã có một cái, và sau đó hai tuần lại có một cái khác.

Chính chúng tôi đã chỉ ra rằng, “Thực ra, bốn giờ sau lần đầu tiên, bạn đã có một lần khác mà bạn thậm chí không phát hiện ra.”

Thật không may, họ đã không điều tra – họ không xác định được rằng RDP đã được mở và đó là cách những kẻ tấn công xâm nhập.

Nên họ không biết rằng đó là thứ cần phải sửa nếu không sẽ có người khác vào…

…đó chính xác là những gì họ đã làm.

---

VỊT.  Vì vậy, khi bạn được đưa vào, rõ ràng là không chỉ, “Này, hãy tìm tất cả phần mềm độc hại, hãy xóa nó, hãy đánh dấu nó và tiếp tục.”

Khi bạn đang điều tra, khi bạn đang cố gắng tìm ra, “Những lỗ hổng nào đã bị bỏ lại do tình cờ hay thiết kế?”…

…làm sao bạn biết khi nào bạn đã hoàn thành?

Làm thế nào bạn có thể chắc chắn rằng bạn đã tìm thấy tất cả?

---

VẬT NUÔI.  Tôi không nghĩ rằng bạn có thể chắc chắn.

Trên thực tế, tôi muốn nói rằng bất kỳ ai nói rằng họ tin tưởng 100% vào bất cứ điều gì trong ngành này… có lẽ họ không hoàn toàn trung thực.

---

VỊT.  +1 cho điều đó! [CƯỜI]

---

VẬT NUÔI.  Bạn phải cố gắng tìm mọi thứ có thể mà kẻ tấn công đã làm, để bạn có thể hiểu, “Họ có thiết lập bất kỳ cửa hậu nào để họ có thể quay lại không?”

Bạn phải hiểu những gì họ đã đánh cắp, bởi vì điều đó rõ ràng có thể liên quan đến các mục đích báo cáo và tuân thủ.

---

VỊT.  Vì vậy, giả sử rằng bạn đã gặp phải một loạt các cuộc tấn công hoặc đã có kẻ gian xâm nhập mạng trong nhiều ngày, nhiều tuần… đôi khi là hàng tháng, phải không?

---

VẬT NUÔI.  Nhiều năm, đôi khi, nhưng có.

---

VỊT.  Ôi chao!

Khi bạn đang điều tra điều gì có thể xảy ra mà có thể khiến mạng kém linh hoạt hơn trong tương lai…

…những điều mà kẻ lừa đảo làm để giúp chúng tấn công rộng hơn và sâu hơn là gì?

---

VẬT NUÔI.  Ý tôi là, một trong những điều đầu tiên kẻ tấn công sẽ làm khi họ ở trong mạng là: họ sẽ muốn biết họ có quyền truy cập nào.

---

VỊT.  Sự tương tự sẽ xảy ra, nếu họ đột nhập vào tòa nhà văn phòng của bạn, họ sẽ không chỉ quan tâm đến việc đi đến hai hoặc ba ngăn kéo bàn và xem liệu mọi người có bỏ quên ví tiền hay không.

Họ muốn biết bộ phận nào sống ở đâu, tủ cáp ở đâu, phòng máy chủ ở đâu, bộ phận tài chính ở đâu, hồ sơ thuế ở đâu?

---

VẬT NUÔI.  Điều đó, trong thế giới mạng, có nghĩa là họ sẽ quét mạng của bạn.

Họ sẽ xác định tên của các máy chủ.

Nếu bạn đang sử dụng Active Directory, họ sẽ muốn xem Active Directory của bạn để có thể tìm ra ai có quyền Quản trị viên miền; những người có quyền truy cập tốt nhất để đến nơi họ muốn đến.

---

VỊT.  Nếu họ cần tạo một người dùng mới, họ sẽ không chỉ gọi người dùng đó WeGotcha99?

---

VẬT NUÔI.  Họ có thể!

Chúng tôi đã thấy những nơi họ vừa tạo một người dùng mới theo đúng nghĩa đen, cấp cho họ Quản trị viên tên miền và gọi cho người dùng hacker… nhưng thông thường họ sẽ đặt một cái tên chung chung.

---

VỊT.  Vì vậy, họ sẽ xem lịch trình đặt tên của bạn và cố gắng phù hợp với nó?

---

VẬT NUÔI.  Vâng, họ sẽ gọi nó Administrat0r, đánh vần bằng số XNUMX thay vì chữ O, đại loại như vậy.

Đối với hầu hết các phần mềm tống tiền… nó không quá cao cấp, vì đơn giản là chúng không cần phải quá cao cấp.

Họ biết rằng hầu hết các công ty không nhìn vào những gì đang xảy ra trên mạng của họ.

Họ có thể đã cài đặt phần mềm bảo mật có thể đưa ra cảnh báo cho họ về một số nội dung mà những kẻ tấn công đang thực hiện.

Nhưng trừ khi ai đó thực sự đang tìm kiếm và điều tra những cảnh báo đó và thực sự phản hồi trong thời gian thực, thì những kẻ tấn công sẽ làm gì nếu không có ai thực sự ngăn chặn chúng.

Nếu bạn đang điều tra tội phạm… giả sử bạn tìm thấy một khẩu súng trong nhà mình.

Bạn có thể tháo súng – thật tuyệt.

Nhưng làm thế nào nó đạt được điều đó?

Đó là câu hỏi lớn hơn.

Bạn có sẵn phần mềm cảnh báo bạn về hành vi đáng ngờ không?

Và sau đó khi bạn thấy điều đó, bạn có thực sự có khả năng cách ly một máy, chặn một tệp, chặn một địa chỉ IP không?

---

VỊT.  Có lẽ, mục tiêu chính của phần mềm an ninh mạng của bạn sẽ là ngăn chặn kẻ gian vô thời hạn, mãi mãi…

…nhưng với giả định rằng sớm muộn gì ai đó cũng mắc lỗi hoặc kẻ gian sẽ vào bằng cách nào đó, thì điều đó vẫn ổn nếu điều đó xảy ra, *miễn là bạn bắt được họ trước khi họ có đủ thời gian để làm điều gì đó tồi tệ*.

---

VẬT NUÔI.  Ngay khi bạn bắt đầu lôi kéo con người tham gia… nếu họ bị chặn, họ sẽ thử cách khác.

Nếu không có ai ngăn cản họ, hoặc là họ sẽ cảm thấy buồn chán, hoặc là họ sẽ thành công.

Nó chỉ là một vấn đề thời gian.

---

VỊT.  Những gì 10 hoặc 15 năm trước đã được coi là thành công lớn: tệp phần mềm độc hại bị rơi trên đĩa; phát hiện; khắc phục; tự động loại bỏ; đưa vào nhật ký; đánh dấu; hãy vỗ nhẹ vào lưng nhau…

…hôm nay, điều đó thực sự có thể là cố ý.

Những kẻ lừa đảo có thể đang cố gắng thực hiện điều gì đó rất nhỏ, vì vậy bạn nghĩ rằng mình đã đánh bại chúng, nhưng những gì chúng *thực sự* đang làm là cố gắng tìm ra những thứ có khả năng thoát khỏi sự chú ý.

---

VẬT NUÔI.  Có một công cụ được gọi là Mimikatz – một số sẽ phân loại nó là công cụ kiểm tra thâm nhập hợp pháp; một số sẽ chỉ phân loại nó là phần mềm độc hại.

Đó là một công cụ để đánh cắp thông tin xác thực ra khỏi bộ nhớ.

Vì vậy, nếu Mimikatz đang chạy trên một máy và ai đó đăng nhập vào máy đó… thì nó sẽ lấy tên người dùng và mật khẩu của bạn, đơn giản như vậy.

Không thành vấn đề nếu bạn có mật khẩu 100 ký tự – điều đó không có gì khác biệt.

---

VỊT.  Nó chỉ nâng nó ra khỏi bộ nhớ?

---

VẬT NUÔI.  Vâng.

Vì vậy, nếu phần mềm bảo mật của bạn phát hiện ra Mimikatz và loại bỏ nó, rất nhiều người sẽ nói: “Tuyệt! Tôi đã được cứu! [DRAMATIC] Virus đã biến mất!”

Nhưng nguyên nhân gốc rễ của vấn đề bạn gặp phải không phải là do một tệp đã được phát hiện và xóa…

…chính là ai đó đã có khả năng đặt nó ở đó ngay từ đầu.

---

VỊT.  Bởi vì nó cần quyền quản trị hệ thống để có thể thực hiện công việc của mình, phải không?

---

VẬT NUÔI.  Vâng.

Tôi nghĩ rằng ưu tiên lớn hơn nên là: giả sử bạn sắp bị tấn công hoặc bạn đã bị tấn công rồi.

Hãy đảm bảo rằng bạn có sẵn các quy trình để giải quyết vấn đề đó và bạn đã phân đoạn mạng của mình tốt nhất có thể để giữ các tài liệu quan trọng ở một nơi mà không phải ai cũng có thể truy cập được.

Không có một mạng phẳng lớn nơi bất kỳ ai cũng có thể truy cập bất cứ thứ gì – điều đó hoàn hảo cho những kẻ tấn công.

Bạn phải suy nghĩ một chút trong suy nghĩ của những kẻ tấn công và bảo vệ dữ liệu của bạn.

Cá nhân tôi đã điều tra hàng trăm, nếu không muốn nói là hàng nghìn vụ việc khác nhau cho các công ty khác nhau…

…và tôi chưa bao giờ gặp một công ty nào có mọi máy móc trong môi trường của họ được bảo vệ.

Tôi đã gặp rất nhiều người *nói* họ làm vậy, và sau đó chúng tôi chứng minh rằng họ không làm như vậy.

Chúng tôi thậm chí đã có một người dùng hoặc một công ty chỉ có tám máy và họ nói, “Tất cả chúng đều được bảo vệ.”

Hóa ra một là không!

Có một công cụ gọi là Cobalt Strike, giúp họ tiếp cận tốt với máy móc.

Họ sẽ triển khai Cobalt Strike….

---

VỊT.  Đó được coi là một công cụ kiểm tra thâm nhập chỉ có giấy phép, phải không?

---

VẬT NUÔI.  Yesssss… [TẠM DỪNG]

Chúng tôi có thể có một podcast hoàn toàn khác về ý kiến ​​​​của tôi về điều đó.

[CƯỜI LỚN]

---

VỊT.  Hãy nói rằng những kẻ lừa đảo không quá lo lắng về vi phạm bản quyền…

---

VẬT NUÔI.  Họ đang sử dụng một công cụ và họ triển khai công cụ đó trên toàn mạng, giả sử trên 50 máy.

Nó bị phần mềm chống vi-rút phát hiện và kẻ tấn công không biết chuyện gì đã xảy ra… nó chỉ không hoạt động.

Nhưng sau đó, hai máy bắt đầu báo cáo lại, bởi vì hai máy đó là những máy không có bất kỳ sự bảo vệ nào.

Chà, bây giờ kẻ tấn công sẽ di chuyển đến hai máy đó, biết rằng không có ai theo dõi chúng, vì vậy không ai có thể biết chuyện gì đang xảy ra.

Đây là những nơi không có chống vi-rút.

Bây giờ họ có thể sống ở đó trong bao nhiêu ngày, tuần, tháng, năm mà họ cần để có quyền truy cập vào các máy khác trên mạng của họ.

Bạn phải bảo vệ mọi thứ.

Bạn phải có các công cụ tại chỗ để bạn có thể thấy những gì đang diễn ra.

Và sau đó bạn phải có người sẵn sàng đáp ứng điều đó.

---

VỊT.  Bởi vì những kẻ lừa đảo đang trở nên khá có tổ chức trong việc này, phải không?

Chúng tôi biết từ một số hậu quả đã xảy ra gần đây trong thế giới băng đảng ransomware, nơi một số chi nhánh (họ là những người không viết ra ransomware; họ thực hiện các cuộc tấn công)…

…họ cảm thấy mình đang bị những kẻ cốt lõi trong băng đảng đánh lừa.

---

VẬT NUÔI.  Vâng.

---

VỊT.  Và họ đã rò rỉ toàn bộ sách vở, hướng dẫn vận hành của họ.

Điều này cho thấy một dấu hiệu tốt rằng một kẻ lừa đảo cá nhân không nhất thiết phải là chuyên gia về mọi thứ.

Họ không phải học tất cả những điều này một mình.

Họ có thể tham gia nhóm ransomware, nếu bạn thích, và họ sẽ được tặng một cuốn sách hướng dẫn có nội dung: “Hãy thử cái này. Nếu điều đó không làm việc, hãy thử điều đó. Hãy tìm cái này; set that; đây là cách bạn tạo một cửa hậu”… tất cả những thứ đó.

---

VẬT NUÔI.  Vâng, thanh mục nhập bây giờ cực kỳ thấp.

Bạn có thể truy cập… thậm chí không phải vào dark web – bạn có thể Google và xem các video trên YouTube về hầu hết những gì bạn cần biết để bắt đầu điều này.

Hiện tại, bạn đã có những tên ransomware lớn, như LockBit, Alpha và Hive.

Họ có những quy tắc khá chặt chẽ về những người họ cho vào.

Nhưng sau đó, bạn có các nhóm khác như phần mềm tống tiền Phobos, khá nhiều…

…họ làm việc theo một kịch bản và nó gần giống như một trung tâm cuộc gọi của những người có thể tham gia cùng họ, làm theo một kịch bản, thực hiện một cuộc tấn công, kiếm tiền.

Nó tương đối dễ dàng.

Có hướng dẫn, có video, bạn có thể trò chuyện trực tiếp với các nhóm ransomware để nhận lời khuyên… [CƯỜI]

---

VỊT.  Chúng tôi biết từ, nó là gì, khoảng một năm trước?…

…nơi nhóm ransomware REvil đặt 1 triệu đô la Bitcoin trả trước vào một diễn đàn trực tuyến để tuyển dụng các nhà khai thác hoặc chi nhánh ransomware mới.

Và bạn nghĩ, “Ồ, họ sẽ tìm kiếm lập trình lắp ráp, kỹ năng hack cấp thấp và kiến ​​thức chuyên môn về trình điều khiển nhân.”

Không!

Họ đang tìm kiếm những thứ như "Bạn có kinh nghiệm với phần mềm sao lưu và máy ảo không?"

Họ muốn mọi người biết cách đột nhập vào mạng, tìm vị trí sao lưu của bạn và phá hỏng chúng!

---

VẬT NUÔI.  Đó là nó.

Như tôi đã nói trước đó, bạn có những nhà môi giới truy cập ban đầu mà họ có thể mua quyền truy cập từ…

…bây giờ bạn đã tham gia, công việc của bạn, với tư cách là một chi nhánh của ransomware, là gây ra nhiều thiệt hại nhất có thể để nạn nhân không còn lựa chọn nào khác ngoài việc trả tiền.

---

VỊT.  Hãy biến điều này thành một điều tích cực…

---

VẬT NUÔI.  OK.

---

VỊT.  Là một người ứng phó sự cố, người thường được gọi đến khi ai đó nhận ra, “Ôi trời, giá như chúng ta làm khác đi”…

…ba lời khuyên hàng đầu của bạn là gì?

Ba điều bạn có thể làm sẽ tạo ra sự khác biệt lớn nhất?

---

VẬT NUÔI.  Tôi muốn nói cái đầu tiên là: đi quanh bàn hoặc trên Zoom với đồng nghiệp của bạn và bắt đầu thực hiện các loại bài tập trên bàn này.

Bắt đầu đặt câu hỏi cho nhau.

Điều gì sẽ xảy ra nếu bạn bị tấn công ransomware?

Điều gì sẽ xảy ra nếu tất cả các bản sao lưu của bạn bị xóa?

Điều gì sẽ xảy ra nếu ai đó nói với bạn rằng có một kẻ tấn công trên mạng của bạn?

Bạn có các công cụ tại chỗ?

Bạn có kinh nghiệm và những người thực sự đáp ứng điều đó không?

Bắt đầu hỏi những loại câu hỏi đó và xem nó dẫn bạn đến đâu…

…vì có thể bạn sẽ nhanh chóng nhận ra rằng mình không có kinh nghiệm và không có công cụ để phản hồi.

Và khi bạn cần chúng, bạn cần chuẩn bị sẵn chúng *sẵn sàng trước*.

---

VỊT.  Chắc chắn rồi.

Tôi không thể đồng ý nhiều hơn với điều đó.

Tôi nghĩ nhiều người cảm thấy rằng làm điều đó là “chuẩn bị thất bại”.

Nhưng không làm, tức là “không chuẩn bị”, có nghĩa là bạn đang thực sự bế tắc.

Bởi vì, nếu điều tồi tệ nhất xảy ra, *thì* đã quá muộn để chuẩn bị.

Theo định nghĩa, chuẩn bị là việc bạn phải làm trước.

---

VẬT NUÔI.  Bạn không đọc hướng dẫn an toàn phòng cháy chữa cháy trong khi tòa nhà đang cháy xung quanh bạn!

---

VỊT.  Và, đặc biệt với một cuộc tấn công bằng mã độc tống tiền, có thể có nhiều vấn đề hơn là chỉ “Nhóm CNTT làm gì?”

Vì có những thứ như…

Ai sẽ nói chuyện với giới truyền thông?

Ai sẽ đưa ra tuyên bố chính thức cho khách hàng?

Ai sẽ liên hệ với cơ quan quản lý nếu cần thiết?

Có rất nhiều thứ mà bạn cần phải biết.

---

VẬT NUÔI.  Và thứ hai, như tôi đã đề cập trước đó, bạn cần phải bảo vệ mọi thứ.

Mỗi máy trên mạng của bạn.

Windows, Mac, Linux… không thành vấn đề.

Có bảo vệ trên đó, có khả năng báo cáo.

---

VỊT.  [IRONIC] Oh, Linux không miễn nhiễm với phần mềm độc hại? [CƯỜI]

---

VẬT NUÔI.  [NGHIÊM TRỌNG] Phần mềm tống tiền Linux đang gia tăng…

---

VỊT.  Nhưng đồng thời, các máy chủ Linux thường được sử dụng như một điểm khởi đầu, phải không?

---

VẬT NUÔI.  Khu vực lớn cho Linux vào lúc này là những thứ như máy chủ lưu trữ ảo ESXi.

Hầu hết các cuộc tấn công ransomware hiện nay là các nhóm lớn… chúng sẽ nhắm vào các máy chủ ESXi của bạn để chúng thực sự có thể mã hóa các máy ảo của bạn ở cấp tệp VMDK.

Có nghĩa là những máy đó sẽ không khởi động.

Những người ứng phó sự cố thậm chí không thể thực sự điều tra kỹ về chúng, bởi vì bạn thậm chí không thể khởi động chúng.

---

VỊT.  Ồ, vậy là họ mã hóa toàn bộ máy ảo, vậy giống như có một đĩa được mã hóa hoàn toàn?

---

VẬT NUÔI.  Vâng.

---

VỊT.  Họ sẽ dừng VM, xáo trộn tệp… có thể xóa tất cả ảnh chụp nhanh và khôi phục của bạn?

---

VẬT NUÔI.  Vì vậy, vâng, bạn cần phải bảo vệ mọi thứ.

Đừng chỉ giả định!

Nếu ai đó nói, "Tất cả các máy của chúng tôi đều được bảo vệ", hãy coi đó là điều có thể không chính xác và hỏi họ cách họ xác minh điều đó.

Và rồi thứ ba, chấp nhận rằng bảo mật là phức tạp.

Nó đang thay đổi liên tục.

Bạn, với vai trò của mình… có lẽ bạn không ở đó để giải quyết vấn đề này 24/7.

Bạn có thể có những ưu tiên khác.

Vì vậy, hãy hợp tác với các công ty như Sophos và MDR Services…

---

VỊT.  Đó là Phát hiện và phản hồi được quản lý?

---

VẬT NUÔI.  Phát hiện và phản hồi được quản lý… mọi người giám sát mạng của bạn 24/7, nếu bạn không thể giám sát mạng đó.

---

VỊT.  Vì vậy, nó không chỉ là ứng phó sự cố khi nó đã sẵn sàng, "Có điều gì đó tồi tệ đã xảy ra."

Nó có thể bao gồm, “Điều gì đó tồi tệ có vẻ như *sắp* xảy ra, hãy bắt đầu ngay”?

---

VẬT NUÔI.  Đây là những người, vào lúc nửa đêm, bởi vì bạn không có nhóm để làm việc vào Chủ nhật lúc 2 giờ sáng…

…đây là những người đang theo dõi những gì đang diễn ra trong mạng của bạn và phản ứng theo thời gian thực để ngăn chặn một cuộc tấn công.

---

VỊT.  Họ đang tìm kiếm sự thật rằng ai đó đang can thiệp vào ổ khóa đắt tiền mà bạn đặt trên cửa trước?

---

VẬT NUÔI.  Họ là nhân viên bảo vệ 24/7 sẽ đi xem ổ khóa đó bị can thiệp, và họ sẽ lấy gậy của mình và… [CƯỜI]

---

VỊT.  Và một lần nữa, đó không phải là sự thừa nhận thất bại, phải không?

Nó không nói rằng, “Ồ, nếu chúng tôi thuê ai đó vào, điều đó có nghĩa là chúng tôi không biết chúng tôi đang làm gì về bảo mật”?

---

VẬT NUÔI.  Đó là một sự chấp nhận rằng đây là một ngành công nghiệp phức tạp; rằng có sự hỗ trợ sẽ giúp bạn chuẩn bị tốt hơn, an toàn hơn.

Và nó giải phóng một số nguồn lực của chính bạn để tập trung vào những gì họ cần tập trung.

---

VỊT.  Peter, tôi nghĩ đó là một nơi lạc quan để kết thúc!

Vì vậy, tôi chỉ muốn cảm ơn tất cả những người đã lắng nghe ngày hôm nay và để lại cho bạn một suy nghĩ cuối cùng.

Và đó là: cho đến lần sau, hãy giữ an toàn!

[MÃ MORSE]