Từ sự cố SharePoint
Tháng 7.2025, Microsoft phát hành cảnh báo lỗ hổng bảo mật trên SharePoint đang bị tin tặc tích cực khai thác. SharePoint là một hệ thống cộng tác tài liệu cốt lõi, do đó, việc bị xâm nhập có thể dẫn đến rò rỉ dữ liệu nhạy cảm và làm tê liệt toàn bộ quy trình vận hành của doanh nghiệp.
Điều đáng chú ý trong sự cố này là cách thức tấn công. Thay vì nhắm trực diện vào hệ thống chính, tin tặc đã khai thác một lỗ hổng từ nhà cung cấp dịch vụ bên thứ ba để đánh cắp thông tin đăng nhập, từ đó vượt qua các cơ chế xác thực và xâm nhập vào SharePoint. Điều này chứng tỏ ngay cả khi doanh nghiệp đã trang bị tường lửa hay phần mềm chống virus, họ vẫn có thể bị tổn thương từ những mắt xích yếu hơn trong chuỗi cung ứng kỹ thuật số của mình. Bài học rút ra là một chiến lược phòng vệ chỉ dựa vào việc bảo vệ vành đai bên ngoài là chưa đủ.
Xây dựng chiến lược phòng vệ toàn diện
Trước những mối đe dọa ngày càng phức tạp, các chuyên gia an ninh mạng cho rằng doanh nghiệp cần triển khai chiến lược bảo mật theo chiều sâu, hay phòng vệ đa lớp, để bảo vệ tài sản số quan trọng.
Doanh nghiệp cần có chiến lược an ninh mạng toàn diện để giữ an toàn cho hệ thống
Ảnh chụp màn hình
Chiến lược này bao gồm việc bảo vệ thiết bị đầu cuối (máy tính, máy chủ) bằng các giải pháp phát hiện và phản ứng (EDR) để chủ động ngăn chặn mã độc ngay từ điểm xâm nhập đầu tiên. Song song đó, bảo vệ mạng lưới nội bộ cũng rất quan trọng, thông qua việc phân vùng mạng để cô lập các hệ thống trọng yếu và sử dụng hệ thống phát hiện, ngăn chặn xâm nhập (IDS/IPS) để phân tích lưu lượng, phát hiện hành vi bất thường.
Dữ liệu, tài sản quý giá nhất cần được mã hóa cả khi đang lưu trữ lẫn khi đang được truyền đi. Các giải pháp ngăn ngừa thất thoát dữ liệu (DLP) cũng giúp kiểm soát việc sao chép hoặc gửi thông tin nhạy cảm ra ngoài hệ thống. Đồng thời, việc quản lý truy cập chặt chẽ theo nguyên tắc “zero-trust” (không tin tưởng bất kỳ ai) và quyền tối thiểu, kết hợp với xác thực đa yếu tố (MFA), đăng nhập một lần (SSO) cùng hệ thống quản lý định danh – quyền truy cập (IAM) sẽ giúp ngăn chặn nguy cơ đánh cắp danh tính.
Toàn bộ hoạt động này cần được giám sát liên tục bởi hệ thống quản lý thông tin và sự kiện bảo mật (SIEM) để phát hiện sớm nguy cơ tiềm ẩn.
Sao lưu dữ liệu – Tuyến phòng thủ cuối cùng và chìa khóa phục hồi
Hệ thống phòng vệ đa lớp, trong đó sao lưu được xem là “chìa khóa” cho khả năng phục hồi của doanh nghiệp trong mọi cuộc tấn công mạng
Ảnh: Synology
Trong một chiến lược phòng vệ nhiều lớp, sao lưu dữ liệu được xem là tuyến phòng thủ cuối cùng nhưng lại mang tính quyết định. Khi tất cả lớp bảo vệ khác thất bại và dữ liệu bị mã hóa bởi ransomware hoặc bị xóa bỏ, một bản sao lưu an toàn là hy vọng duy nhất để doanh nghiệp có thể phục hồi hoạt động, tránh phải trả tiền chuộc và giảm thiểu thiệt hại.
Tuy nhiên, việc chỉ sao lưu là chưa đủ bởi tin tặc ngày càng tinh vi, thường tìm cách phá hủy cả máy chủ sao lưu. Lúc này, các phương pháp cách ly dữ liệu tiên tiến được giới chuyên gia khuyến nghị. Theo Synology – hãng công nghệ chuyên về quản lý dữ liệu, sao lưu bất biến (immutable backup) là một trong số đó. Công nghệ này đảm bảo dữ liệu sau khi được ghi sẽ không thể bị chỉnh sửa hoặc xóa trong suốt thời gian lưu trữ đã định, tạo ra lớp bảo vệ vững chắc trước các cuộc tấn công trực tiếp.
Một phương pháp khác là sao lưu ngoại tuyến (offline/air-gapped backup) – lưu trữ bản sao dữ liệu ở một nơi tách biệt hoàn toàn khỏi mạng lưới chính, giúp ngăn chặn nguy cơ lây nhiễm mã độc.
Cuối cùng, điều quan trọng nhất là phải thường xuyên xác minh tính toàn vẹn và khả năng khôi phục của các bản sao lưu. Kế hoạch sao lưu chưa bao giờ được kiểm thử có thể sẽ thất bại vào thời điểm quan trọng nhất. Do đó, việc diễn tập khôi phục sau thảm họa cần được đưa vào quy trình vận hành tiêu chuẩn của doanh nghiệp.