Bảo vệ tổ chức của bạn trước, trong và sau mỗi cuộc tấn công mạng

Aug 6, 2025 | Bài viết, Tin tức, Tin tức Sự kiện, Uncategorized @vi | 0 comments

Nếu bạn đã từng làm việc trong lĩnh vực CNTT trong lúc xảy ra một cuộc tấn công mạng, hẳn bạn biết rõ cảm giác hụt hẫng ấy.
Bạn nhìn chằm chằm vào màn hình, bất lực và nghĩ: “Lẽ ra mình không nên nhận trực cuối tuần này.”

Mọi chuyện bắt đầu từ một phiếu yêu cầu được nâng cấp: cơ sở dữ liệu sản xuất không thể truy cập. Kết nối từ xa thì thất bại. Bạn thử phương thức dự phòng — giao diện lights-out — nhưng cả nó cũng không phản hồi. Bạn cố gắng đăng nhập vào bộ điều khiển miền. Vẫn không được. Rồi đến cú sốc:
“Các tệp cá nhân của bạn đã bị mã hóa.”

Trong khoảnh khắc đó, bạn ước gì có thể quay ngược thời gian để ngăn chặn mọi việc vừa xảy ra.

Tại Sao Chúng Ta Cần Hình Dung Tình Huống Tồi Tệ Nhất

Không ai muốn cứ mãi nghĩ đến những kịch bản xấu nhất — nhưng việc hình dung chúng lại giúp bạn xây dựng được những lớp phòng thủ đúng đắn. Giống như thực hành memento mori trong triết học Khắc Kỷ, điều này không phải để nuôi dưỡng nỗi sợ hãi về thảm họa, mà để trân trọng những gì bạn đang có và hành động một cách khôn ngoan ngay hôm nay.

Đó là lý do tại sao việc suy nghĩ xuyên suốt toàn bộ vòng đời của một cuộc tấn công mạng — trước, trong và sau — lại đóng vai trò then chốt trong việc xây dựng khả năng chống chịu.

Giai đoạn 1: Trước khi xảy ra tấn công

Phòng ngừa luôn là chiến lược tốt nhất. Nhưng chỉ phòng ngừa thôi thì chưa đủ — vì không có hệ thống nào an toàn tuyệt đối 100%. Việc chuẩn bị của bạn cũng cần bao gồm cả các chiến lược khoanh vùng và khôi phục. Nói cách khác, một tuyến phòng thủ vững chắc bắt đầu từ đây:

🧠 Áp dụng tư duy Zero Trust

Hãy quên đi hình ảnh “lâu đài và hào nước”. Môi trường CNTT ngày nay giống như những khu chợ nhộn nhịp, nơi con người, dữ liệu và thiết bị liên tục ra vào. Vì vậy, bạn phải xác minh mọi thứ và không mặc định tin tưởng bất kỳ điều gì. Đây chính là cốt lõi của Zero Trust. Việc giám sát liên tục, truy cập thích ứng và đánh giá rủi ro dựa trên hành vi là vô cùng cần thiết.

🔁 Xem an ninh như một quá trình liên tục

An ninh không phải là một dự án làm một lần rồi thôi. Theo Microsoft, 98% các cuộc tấn công mạng có thể được ngăn chặn nhờ các biện pháp cơ bản — như MFA, máy trạm truy cập đặc quyền (PAWs), và vá lỗi thường xuyên. Tuy nhiên, khi môi trường thay đổi, những biện pháp này cũng phải được đánh giá và điều chỉnh liên tục.

🎯 Tập trung vào các điểm nghẽn (choke points)

Bạn không thể bảo vệ mọi thứ, nhưng có thể tập trung vào những đường đi quan trọng mà kẻ tấn công thường dựa vào. Thay vì cố gắng “bịt mọi lỗ hổng”, hãy xác định các điểm nghẽn trọng yếu trong môi trường của bạn và tăng cường bảo vệ chúng.

Ví dụ:

  • Việc sử dụng PAWs sẽ loại bỏ nhiều vector tấn công ngay từ thiết kế (không có truy cập email, chỉ chạy phần mềm được xác minh, tự động hoàn nguyên hệ thống).
  • Chỉ riêng thay đổi này đã có thể khiến cả một nhóm tấn công trở nên vô hiệu.

 

Giai đoạn 2: Trong khi bị tấn công

Dù đã nỗ lực phòng ngừa, hãy giả định rằng việc bị xâm nhập là điều chắc chắn sẽ xảy ra. Những gì bạn làm trong vài phút và giờ đầu tiên sẽ quyết định thành bại của phản ứng ứng phó.

📡 Phát hiện, phát hiện, phát hiện

Bạn cần có khả năng giám sát toàn diện đối với:

  • Mạng

  • Thiết bị đầu cuối (endpoints)

  • Danh tính (identity)

Các công cụ phát hiện phải được tùy chỉnh cho môi trường của bạn. Đừng chấp nhận giải pháp “một kiểu cho tất cả” — hãy chọn công cụ chuyên biệt cho từng nền tảng (ví dụ: bảo vệ endpoint dành riêng cho macOS nếu tổ chức dùng nhiều Mac).

Tín hiệu rõ ràng, chính xác và nhanh chóng sẽ giúp bạn hành động dứt khoát.

📝 Thực hành để luôn sẵn sàng

Khi tấn công xảy ra, đừng ứng phó theo kiểu “ứng biến”. Hãy chuẩn bị sẵn runbook — những playbook chi tiết, được phê duyệt trước, mô tả rõ cách phản ứng với từng mối đe dọa cụ thể. Bao gồm:

  • Các bước cần thực hiện

  • Người cần thông báo

  • Cách thức xử lý khi cần leo thang sự cố

Hãy tận dụng các framework như MITRE ATT&CK để xây dựng kế hoạch.

Ngoài ra: hãy diễn tập thường xuyên. Những bài tập này giúp nâng cao sự tự tin và phát hiện ra các lỗ hổng trong quy trình.

Giai đoạn 3: Sau khi bị tấn công

Khôi phục là lúc bạn hoặc lấy lại quyền kiểm soát — hoặc phải trả giá, đôi khi là trả bằng tiền thật.

🧩 Khôi phục không phải là “tất cả hoặc không gì cả”

Một cuộc tấn công mạng không phải lúc nào cũng đánh sập toàn bộ hệ thống ngay lập tức. Bạn có thể vẫn còn một số hệ thống hoạt động hoặc dữ liệu chưa bị ảnh hưởng. Và nếu là ransomware, khả năng khôi phục sẽ quyết định việc bạn có phải trả tiền chuộc hay không.

🔍 Tập trung vào khối lượng công việc (workloads), không chỉ là máy chủ

Các chiến lược sao lưu truyền thống thường tập trung vào việc khôi phục toàn bộ máy chủ. Nhưng trong môi trường CNTT hiện đại, cách này thường kém hiệu quả — thậm chí còn tệ hơn khi khôi phục lại cả những hệ thống đã bị xâm nhập.

Thay vào đó, hãy xác định các khối lượng công việc quan trọng và hiểu rõ cách chúng tương tác với nhau. Thực hiện sao lưu và khôi phục chúng một cách riêng lẻ, chính xác. Chiến lược “ở mức nguyên tử” này sẽ giúp giảm thiểu thời gian gián đoạn và hạn chế thiệt hại lan rộng.

Hãy suy nghĩ vượt ra ngoài hạ tầng — điều tổ chức của bạn cần chính là tính liên tục trong kinh doanh, chứ không chỉ là những bản sao máy chủ.

Lời kết

Một tư thế an ninh mạng vững chắc không chỉ nằm ở công cụ hay nền tảng — mà quan trọng là chiến lược, tư duy và cách thực thi.

  • Trước khi bị tấn công: Gia cố môi trường bằng Zero Trust, duy trì “vệ sinh an ninh” liên tục và tập trung xử lý các điểm nghẽn trọng yếu.

  • Trong khi bị tấn công: Phát hiện nhanh, hành động nhanh và tuân thủ các kịch bản ứng phó đã được luyện tập kỹ.

  • Sau khi bị tấn công: Khôi phục thông minh, tập trung vào khối lượng công việc thay vì chỉ hạ tầng.

Khả năng chống chịu trên không gian mạng (cyber resilience) là một kỷ luật. Và giống như bất kỳ kỷ luật nào khác, giá trị của nó không thể hiện lúc bình yên, mà chính là khi hỗn loạn ập đến.

 

Về DT Asia

DT Asia được thành lập năm 2007 với sứ mệnh đưa các giải pháp bảo mật CNTT tiên phong khác nhau từ Hoa Kỳ, Châu Âu và Israel gia nhập thị trường.

Hiện tại, DT Asia đã là một nhà phân phối giá trị gia tăng trong khu vực đối với các giải pháp an ninh mạng, cung cấp công nghệ tiên tiến cho các tổ chức chính phủ trọng yếu cũng như các khách hàng tư nhân lớn bao gồm các ngân hàng toàn cầu và các công ty trong danh sách Fortune 500. Với các văn phòng và đối tác rộng khắp trong khu vực Châu Á Thái Bình Dương, chúng tôi hiểu rõ hơn về thị trường và từ đó mang đến những giải pháp bản địa hóa phù hợp với từng quốc gia, từng tổ chức.

 

Cách chúng tôi có thể giúp

Nếu bạn muốn biết thêm về bảo vệ tổ chức của mình trước, trong và sau mỗi cuộc tấn công mạng, chúng tôi sẵn sàng giúp đỡ! DT Asia là nhà phân phối của Quest, đặc biệt tại Việt Nam và châu Á, các kỹ thuật viên của chúng tôi có kinh nghiệm sâu rộng về sản phẩm và các công nghệ liên quan mà bạn luôn có thể tin tưởng. Chúng tôi cung cấp các giải pháp trọn gói cho sản phẩm này, bao gồm tư vấn, triển khai và dịch vụ bảo trì.

Để biết thêm thông tin chi tiết và được hỗ trợ, vui lòng truy cập: https://dtasiagroup.com/quest/