Cường độ của cuộc tấn công ransomware WannaCrypt đã tiêu tan nhưng nỗi sợ vẫn còn lớn. Như vậy, nhiều tổ chức đã ban hành một lời khuyên để đối phó với mối đe dọa này. Họ tin rằng nó sẽ giúp các tổ chức chạy một cơ sở hạ tầng an toàn cho khách hàng của họ và cũng bảo vệ tổ chức của họ khỏi những cuộc tấn công như vậy trong tương lai. Microsoft cũng cho thấy khách hàng của mình thực hành thận trọng và thực hiện theo 8 bước được nêu trong Microsoft Azure bài đăng trên blog để luôn được bảo vệ khỏi cuộc tấn công ransomware, WannaCrypt.
Tư vấn đề cập đến những người dùng chậm phản hồi hoặc tự mãn về bảo mật. Microsoft tin rằng tất cả khách hàng Azure nên làm theo 8 bước này như cả chiến lược phòng ngừa và giảm thiểu.
Các bước cho khách hàng Azure để tránh WannaCrypt Ransomware đe dọa
Những phát hiện sơ bộ cho thấy rằng phần mềm độc hại WannaCrypt khai thác lỗ hổng dịch vụ Message Block (SMB) (CVE-2017-0145) được tìm thấy trong hệ điều hành của máy tính. Như vậy, khách hàng nên cài đặt MS17-010 ngay lập tức để giải quyết lỗ hổng này.
Thứ hai, để ngăn chặn bất kỳ sự kiện bất hạnh nào, xem xét tất cả các đăng ký Azure có điểm tiếp xúc SMB được hiển thị vào internet, thường được kết hợp với các cổng TCP 139, TCP 445, UDP 137, UDP 138. Microsoft cảnh báo chống lại việc mở bất kỳ cổng nào trên internet không cần thiết cho hoạt động của bạn. Để tắt giao thức SMBv1, hãy chạy các lệnh sau:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi
sc.exe config mrxsmb10 start= disabled
Tận dụng khả năng của Trung tâm bảo mật Azure để xác minh rằng phần mềm chống phần mềm độc hại và các điều khiển bảo mật quan trọng khác, là cấu hình đúng cho tất cả các máy ảo Azure của bạn và đang ở trong tình trạng hoạt động. Để xem trạng thái bảo mật của tài nguyên của bạn, hãy truy cập vào ‘Ngăn xếp dự phòng hiển thị trong màn hình‘ Tổng quan ’của Trung tâm bảo mật Azure.
Sau đó, bạn có thể kiểm tra danh sách các vấn đề đó trong khuyến nghị gạch như được hiển thị trong ảnh chụp màn hình bên dưới.
Chiến lược tốt nhất để được bảo vệ khỏi mọi mối đe dọa không mong muốn là thường xuyên cập nhật máy của bạn. Người dùng Windows có thể truy cập Windows Update để kiểm tra mọi bản cập nhật bảo mật mới có sẵn và cài đặt chúng ngay lập tức để giữ cho máy của họ được cập nhật. Đối với người dùng chạy Dịch vụ đám mây Azure, cập nhật tự động được bật theo mặc định, do đó, không cần thực hiện hành động nào từ phía họ. Hơn nữa, tất cả các phiên bản hệ điều hành dành cho khách được phát hành vào ngày 14 tháng 3 năm 2017 và sau đó được cập nhật MS17-010. Bản cập nhật giải quyết bất kỳ lỗ hổng nào được tìm thấy trong máy chủ SMB (mục tiêu chính cho WannaCrypt ransomware).
Nếu cần, bạn có thể xem trạng thái cập nhật tài nguyên của mình trên cơ sở liên tục qua Trung tâm bảo mật Azure. Trung tâm liên tục theo dõi môi trường của bạn để tìm các mối đe dọa. Nó kết hợp sự thông minh và chuyên môn về mối đe dọa toàn cầu của Microsoft, với thông tin chi tiết về các sự kiện liên quan đến bảo mật đám mây trên các triển khai Azure của bạn, từ đó giữ tất cả các tài nguyên Azure của bạn an toàn và bảo mật. Bạn cũng có thể sử dụng trung tâm để thu thập và theo dõi các bản ghi sự kiện và lưu lượng mạng để tìm kiếm các cuộc tấn công tiềm năng.
NSGs a.k.a. dưới dạng Nhóm bảo mật mạng chứa danh sách Danh sách điều khiển truy cập (ACL) quy tắc cho phép hoặc từ chối lưu lượng mạng cho các cá thể VM của bạn trong Mạng ảo. Vì vậy, bạn có thể sử dụng Nhóm bảo mật mạng (NSG) để hạn chế quyền truy cập mạng. Điều này, đến lượt nó, có thể giúp bạn giảm tiếp xúc với các cuộc tấn công và cấu hình NSG với các quy tắc gửi đến hạn chế quyền truy cập vào các cổng yêu cầu duy nhất. Ngoài trung tâm bảo mật Azure, bạn có thể sử dụng tường lửa mạng của các công ty bảo mật có uy tín để cung cấp thêm một lớp bảo mật.
Nếu bạn đã cài đặt phần mềm chống phần mềm độc hại khác, hãy xác nhận rằng đã được triển khai chính xác và được cập nhật thường xuyên. Đối với người dùng dựa vào Windows Defender, Microsoft đã phát hành bản cập nhật vào tuần trước để phát hiện mối đe dọa này Tiền chuộc: Win32 / WannaCrypt. Người dùng phần mềm chống phần mềm độc hại khác nên xác nhận với nhà cung cấp của họ để cung cấp bảo mật đồng hồ tròn.
Cuối cùng, nó thường là một khả năng phục hồi đáng chú ý thể hiện quyết tâm của một người trong việc phục hồi từ các điều kiện bất lợi như quá trình phục hồi từ bất kỳ sự thỏa hiệp nào. Điều này có thể được tăng cường bằng cách có giải pháp sao lưu mạnh mẽ tại chỗ. Vì vậy, nó là điều cần thiết để cấu hình sao lưu với xác thực đa hệ số. May mắn thay, nếu bạn đang sử dụng Sao lưu Azure, bạn có thể khôi phục dữ liệu khi máy chủ của bạn bị tấn công bởi phần mềm ransomware. Tuy nhiên, chỉ người dùng có thông tin đăng nhập Azure hợp lệ mới có thể truy cập các bản sao lưu được lưu trữ trong Azure. Bật Xác thực đa yếu tố Azure để cung cấp thêm một lớp bảo mật cho các bản sao lưu của bạn trong Azure!
Dường như Microsoft quan tâm nhiều đến bảo mật dữ liệu của khách hàng. Do đó, trước đó, công ty cũng phát hành hướng dẫn khách hàng cho người dùng hệ điều hành Windows XP sau khi nhiều khách hàng của nó trở thành nạn nhân của cuộc tấn công phần mềm WannaCrypt toàn cầu.
