Bảo vệ dữ liệu Microsoft Office 365 khỏi Ransomware

Bảo vệ dữ liệu Microsoft Office 365 khỏi Ransomware

Ransomware hiện là mối đe dọa an ninh mạng lớn nhất đối với các doanh nghiệp. Theo nghiên cứu mới được thực hiện bởi CyberEdge, trong số 1200 chuyên gia CNTT, 62% tổ chức bị ảnh hưởng bởi ransomware vào năm 2020. Trong số các công ty bị ảnh hưởng, 57% đã trả tiền chuộc để lấy lại dữ liệu.

Bây giờ, bạn có thể nghĩ, “Ít nhất họ đã lấy lại được dữ liệu của họ.” Thật không may, việc trả tiền chuộc không đảm bảo rằng bạn sẽ lấy lại được dữ liệu của mình. 33% các công ty trả tiền chuộc vẫn bị mất dữ liệu .

SharePoint và OneDrive đi kèm với một số giải pháp để bảo vệ tệp của bạn. Các giải pháp này ở dạng lập phiên bản và thùng tái chế giai đoạn một và giai đoạn hai, và một số gói Microsoft 365 có Chính sách lưu giữ tuân thủ.

OneDrive thậm chí còn tích hợp sẵn tính năng phát hiện ransomware  và sẽ cảnh báo bạn khi có nhiều tệp bị thay đổi, cho phép bạn nhanh chóng khôi phục chúng.

onedrive bảo vệ ransomware

Vì vậy, lưu trữ tệp của bạn trực tuyến trong OneDrive hoặc SharePoint có thể cảm thấy an toàn với lập phiên bản và thùng tái chế, nhưng nếu không có  giải pháp sao lưu thích hợp , bạn vẫn dễ bị mất dữ liệu. Một trong những vấn đề là một số phần mềm độc hại có khả năng xóa lịch sử phiên bản (bằng cách sao chép tệp và xóa bản gốc) —việc lưu trữ tệp do đó có thể khá khó khăn.

Bạn đã bao giờ cố gắng khôi phục một thư viện tài liệu hoàn chỉnh từ thùng rác giai đoạn đầu tiên chưa?

Bạn không thể chỉ cần chọn thư mục và nhấn khôi phục. Bạn cũng sẽ phải chọn tất cả các tệp và thư mục con. Tất nhiên chúng ta có thể  sử dụng PowerShell  trong những trường hợp này để tăng tốc quá trình khôi phục, nhưng nó vẫn sẽ tốn nhiều công sức và dễ xảy ra lỗi.

Vì vậy, câu hỏi đặt ra là, làm cách nào chúng ta có thể bảo vệ dữ liệu của mình trong Office 365 khỏi ransomware? Và chúng ta có những lựa chọn nào khi khôi phục?

Ransomware có thể lây nhiễm các tệp trong OneDrive hoặc SharePoint như thế nào?

Trước khi chúng ta xem xét những gì bạn có thể làm để bảo vệ mình khỏi ransomware, trước tiên, chúng ta hãy xem xét kỹ hơn cách các tệp trong OneDrive hoặc SharePoint có thể bị nhiễm.

Hầu hết mọi người đều cho rằng các tệp được lưu trữ trực tuyến không thể bị nhiễm. Tuy nhiên, vấn đề là hầu hết tất cả các OneDrives đều được đồng bộ hóa với một thiết bị cục bộ. Và ngay cả với SharePoint, chúng tôi thấy rằng rất nhiều người dùng đồng bộ hóa thư viện tài liệu với thiết bị của họ.

Khi một thiết bị bị nhiễm ransomware, bất kỳ tệp nào được mã hóa sẽ được đồng bộ hóa một cách đơn giản, sao lưu vào OneDrive hoặc SharePoint.

Các cách khác để lây nhiễm các tệp

Ngay cả khi bạn không đồng bộ hóa tệp, vẫn có cách để ransomware mã hóa chúng trong OneDrive hoặc SharePoint. Những kẻ tấn công có thể giành quyền truy cập vào môi trường Microsoft 365 của bạn sau khi tấn công lừa đảo thành công, mã hóa tất cả các tệp OneDrive của bạn.

Phần mềm độc hại hoặc liên kết lừa đảo yêu cầu quyền truy cập vào OneDrive của bạn cũng là một cách để kẻ tấn công giành quyền truy cập vào tệp của bạn.

Office 365 Ransomware Recovery

Khi bị dính ransomware, điều đầu tiên bạn nên làm là dừng đồng bộ OneDrive trên tất cả các máy tính và xóa máy bị nhiễm khỏi mạng. Bằng cách tắt đồng bộ OneDrive, bạn có thể khôi phục các tệp bị nhiễm từ các máy bị nhiễm khác (chưa).

Phiên bản

Trước tiên, bạn có thể thử khôi phục tệp của mình bằng cách hoàn nguyên về phiên bản trước của tệp. Vấn đề với SharePoint là bạn không thể thực hiện việc này cho toàn bộ thư mục cùng một lúc — bạn sẽ phải thực hiện trên mỗi tệp.

Với OneDrive thì dễ dàng hơn một chút. Bạn có thể hoàn nguyên toàn bộ OneDrive của mình lên đến 30 ngày:

  1. Mở OneDrive trong trình duyệt và đi tới cài đặt
  2. Chọn Khôi phục OneDrive của bạn
  3. Chọn một ngày và nhấp vào Khôi phục
khôi phục onedrive

Bản sao lưu của Microsoft

Đối với SharePoint, tùy chọn thực sự duy nhất của bạn để khôi phục tệp sau cuộc tấn công bằng ransomware (nếu bạn không có bản sao lưu của bên thứ ba) là liên hệ với Microsoft và hỏi xem họ có thể khôi phục trang web cho bạn hay không.

Bạn sẽ cần mở một vé tại bộ phận hỗ trợ của Microsoft để khôi phục dữ liệu; có thể mất đến 48 giờ hoặc đôi khi thậm chí nhiều hơn trước khi dữ liệu của bạn được khôi phục. Một nhược điểm khác là Microsoft chỉ khôi phục trang web hoàn chỉnh, vì vậy bạn không thể khôi phục chỉ một thư viện tài liệu.

Hãy nhớ rằng những bản sao lưu đó không được đảm bảo:  Microsoft thậm chí còn khuyến nghị sử dụng  giải pháp sao lưu của bên thứ ba để giữ an toàn cho dữ liệu của bạn.

Khôi phục với Chính sách lưu giữ tuân thủ

Chính sách lưu giữ chỉ có sẵn trên Microsoft Office 365 E3 và các gói cao hơn, vì vậy không phải ai cũng có thể sử dụng tính năng này. Với các chính sách lưu giữ, một bản sao của tệp sẽ được lưu giữ khi tệp được tạo hoặc sửa đổi. Điều này cho phép bạn luôn tìm và khôi phục tệp gốc cũng như tất cả các thay đổi của nó.

Ưu điểm của chính sách lưu giữ là mọi thay đổi đều được giữ lại, so với giải pháp sao lưu chỉ có thể chụp nhanh một vài bức ảnh mỗi ngày. Vì vậy, về lý thuyết, nó là một giải pháp sao lưu hoàn hảo – nhưng có một vài nhược điểm.

Dữ liệu được lưu giữ theo chính sách lưu giữ  được tính vào hạn ngạch bộ nhớ của bạn . Nếu bạn giữ lại dữ liệu của mình trong vài năm, thì dung lượng lưu trữ bổ sung mà bạn cần mua có thể trở nên thực sự đắt đỏ.

Nếu bạn đã tìm đúng tập hợp tệp, thì bạn chỉ có thể tải xuống tệp và sẽ phải tải lên lại theo cách thủ công.

Việc khôi phục tệp từ trung tâm tuân thủ có thể thực sự tốn thời gian và chỉ nên được sử dụng như phương sách cuối cùng của bạn.

Microsoft 365 Ransomware Protection

Để bảo vệ dữ liệu của bạn khỏi ransomware, bạn sẽ phải sử dụng phương pháp phân lớp. Tất cả bắt đầu bằng việc giáo dục người dùng của bạn về cách nhận ra email lừa đảo. Người dùng là người trung gian khi lây nhiễm ransomware.

Hầu hết ransomware lây lan qua các email lừa đảo sẽ liên kết đến các tài liệu hoặc trang web độc hại. Thường xuyên thông báo cho người dùng của bạn về cách nhận ra email lừa đảo thực sự là bước đầu tiên. Khi tôi phát hiện thư lừa đảo, tôi luôn đăng chúng trên Yammer, chỉ ra cách họ có thể nhận ra nó.

Bảo vệ Email

Như đã đề cập, hầu hết các cuộc tấn công bắt đầu bằng email lừa đảo. Chúng tôi có thể sử dụng quy tắc luồng thư trong Exchange Online để chặn các tệp đính kèm độc hại. Đơn giản chỉ cần tạo một quy tắc mới và chặn tất cả các thư có nội dung thực thi.

bảo vệ chia sẻ tiền chuộc

Tôi cũng muốn chặn các tệp .zip vào các hộp thư chung (như hộp thư thông tin hoặc hóa đơn). Các hộp thư này luôn nhận được rất nhiều email spam / lừa đảo, vì vậy nếu có thể, bạn chỉ cần chặn tất cả các thư bằng tệp .zip trong đó.

Nếu bạn muốn bảo mật Exchange Online của mình hơn nữa, thì một tùy chọn tốt là thêm Bộ bảo vệ cho Office 365. Điều này bổ sung khả năng bảo vệ chống lại các liên kết độc hại và tệp đính kèm không an toàn, đồng thời cung cấp khả năng bảo vệ 0 ngày tốt hơn.

Bật xác thực 

Thực sự không có lý do gì để không bật xác thực đa yếu tố. Ứng dụng Microsoft Authenticator giúp việc phê duyệt yêu cầu MFA thực sự dễ dàng và mật khẩu ứng dụng có thể giải quyết các ứng dụng cũ.

Bảo vệ thiết bị

Bước tiếp theo là bảo vệ các thiết bị. Bên cạnh những điểm rõ ràng như luôn cập nhật chương trình chống vi-rút của bạn, bạn cũng nên thực hiện chính sách nhóm với các hạn chế về phần mềm. Bạn có thể ví dụ như chặn các file thực thi trong  %appdata%,  %localappdata%thư mục, và temp.

Các tệp được tải xuống tự động có 90% thời gian được lưu trữ trong một trong các thư mục đó. Việc chặn chúng theo mặc định có thể ngăn phần mềm độc hại hoạt động.

Sao lưu

Ngay cả với tất cả các tính năng bảo mật mà bạn có thể thêm vào Office 365, như Advanced Threat Protection (ATP), Defender for Office 365 và Intune Device Management, bạn vẫn có thể bị nhiễm ransomware. Và tất cả những công cụ này đều phải trả giá, trong khi liên kết yếu nhất trong bảo mật vẫn là người dùng của bạn.

Có giải pháp sao lưu của bên thứ ba cho phép bạn khôi phục dữ liệu nhanh chóng, giảm thiểu thời gian chết và nguy cơ mất dữ liệu. Các giải pháp sao lưu Microsoft 365 hiện đại  có khả năng sao lưu không chỉ SharePoint và OneDrive mà còn cả Teams, OneNote và quy trình làm việc.

Và hãy nhớ rằng ngay cả Microsoft cũng khuyến nghị nó:

Thỏa thuận dịch vụ của Microsoft

Chúng tôi khuyên bạn nên thường xuyên sao lưu Nội dung và Dữ liệu mà bạn lưu trữ trên Dịch vụ hoặc lưu trữ bằng Ứng dụng và Dịch vụ của Bên thứ ba.

Ngoài Microsoft 365, các giải pháp sao lưu hiện đại cũng hỗ trợ Google Workspace, bạn có thể kiểm tra tài liệu Đối tác của Google nếu muốn tìm hiểu thêm.

OneDrive Ransomware Protection

OneDrive được Microsoft bảo vệ chống lại ransomware với tính năng phát hiện ransomware được tích hợp sẵn. Microsoft chủ động giám sát dữ liệu OneDrive của bạn và cảnh báo cho bạn khi nghi ngờ bị nhiễm ransomware.

Bạn có thể khôi phục OneDrive của mình lên đến 30 ngày, nhưng hãy nhớ rằng điều này dựa trên việc tạo phiên bản tệp. Một số ransomware có khả năng sao chép tệp, mã hóa tệp và xóa tệp gốc, bao gồm tất cả các phiên bản. Sau đó, bạn có thể khôi phục nó từ thùng rác, nhưng điều đó không được đảm bảo.

Kết luận

Tôi hy vọng bạn thấy thông tin này hữu ích để bảo vệ dữ liệu Microsoft 365 của bạn chống lại phần mềm tống tiền. Sử dụng phương pháp phân lớp luôn là cách tốt nhất để bảo mật dữ liệu của bạn.

Đảm bảo rằng bạn đào tạo và thông báo cho người dùng của mình thường xuyên về cách nhận dạng thư lừa đảo. Nếu bạn có bất kỳ câu hỏi nào, đừng ngại để lại bình luận bên dưới nhé!

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *