Hướng dẫn Giữ an toàn và Khả năng phục hồi mạng

Trong thời đại số ngày nay, các công ty ngày càng phụ thuộc vào công nghệ và các hệ thống trực tuyến trong triển khai hoạt động kinh doanh. Do đó, việc đáp ứng các tiêu chuẩn tối thiểu trong giữ an toàn mạng là điều cần thiết để bảo vệ trước các mối đe dọa trên mạng, giảm thiểu rủi ro và đảm bảo khả năng hiện diện liên tục của doanh nghiệp.

Biện pháp bảo vệ bảo mật cơ bản vẫn sẽ giúp bảo vệ trước 98% các cuộc tấn công.¹

Đồ họa đường cong hình chuông về an toàn mạng lấy từ Báo cáo Phòng vệ số Microsoft (MDDR) 2022

Các tiêu chuẩn tối thiểu mà mọi tổ chức nên áp dụng là:

Yêu cầu xác thực đa yếu tố chống lừa đảo (MFA)
Áp dụng nguyên tắc Zero Trust
Sử dụng tính năng chống phần mềm độc hại hiện đại
Duy trì cập nhật hệ thống
Bảo vệ dữ liệu

Bạn muốn giảm thiểu các cuộc tấn công vào tài khoản của mình? Hãy bật MFA. Như tên gọi - biện pháp xác thực đa yếu tố yêu cầu hai hoặc nhiều yếu tố để xác minh. Xâm phạm nhiều yếu tố xác thực là một thách thức lớn đối với kẻ tấn công bởi việc biết (hoặc bẻ khóa) mật khẩu sẽ là không đủ để có quyền truy cập vào hệ thống. Khi bật MFA, bạn có thể ngăn chặn được 99,9% các cuộc tấn công vào tài khoản của bạn.²

Đơn giản hóa MFA

Xác thực đa yếu tố - mặc dù các bước bổ sung là một phần trong tên gọi, nhưng bạn nên cố gắng chọn tùy chọn MFA ít rắc rối nhất (như sử dụng dữ liệu sinh trắc học trong thiết bị hoặc các yếu tố tuân thủ FIDO2 như khóa bảo mật Feitan hoặc Yubico) cho nhân viên.

Tránh thêm rắc rối cho MFA.

Lựa chọn MFA trong xác thực bổ sung có thể giúp bảo vệ dữ liệu nhạy cảm và các hệ thống quan trọng thay vì áp dụng biện pháp này trong mọi tương tác đơn lẻ.

MFA không nên là thách thức đối với người dùng cuối. Hãy sử dụng các chính sách truy cập có điều kiện, cho phép kích hoạt xác minh hai bước dựa trên phát hiện rủi ro, cũng như xác thực chuyển tiếp và đăng nhập một lần (SSO). Bằng cách này, người dùng cuối đang sử dụng thiết bị cập nhật phần mềm mới nhất sẽ không phải trải qua nhiều trình tự đăng nhập khi truy cập vào lịch hoặc chia sẻ tệp không quan trọng trên mạng công ty. Người dùng cũng sẽ không phải đặt lại mật khẩu trong 90 ngày, điều này sẽ cải thiện đáng kể trải nghiệm của họ.

Các cuộc tấn công lừa đảo qua mạng phổ biến

Trong một cuộc tấn công lừa đảo, bọn tội phạm sử dụng các chiến thuật lừa đảo phi kỹ thuật để lừa người dùng cung cấp thông tin truy cập hoặc tiết lộ thông tin nhạy cảm. Các cuộc tấn công lừa đảo qua mạng phổ biến bao gồm:

Nếu bạn muốn tìm hiểu thêm về chủ đề mật khẩu và danh tính, vui lòng xem các tài nguyên của Microsoft bên dưới.

Zero Trust là nền tảng của mọi kế hoạch phục hồi, giúp hạn chế tác động đối với tổ chức. Mô hình Zero Trust là cách tiếp cận tích hợp, chủ động trong việc bảo mật trên tất cả các lớp của tài sản kỹ thuật số nhằm xác minh rõ ràng và liên tục mọi giao dịch; xác nhận quyền truy cập có đặc quyền tối thiểu; và dựa vào thông tin tình báo, khả năng phát hiện trước và phản ứng theo thời gian thực trước các mối đe dọa.

Khi áp dụng phương pháp Zero Trust, bạn có thể:

Hỗ trợ mô hình làm việc kết hợp và từ xa
Giúp ngăn ngừa hoặc giảm thiểu thiệt hại kinh doanh do vi phạm bảo mật
Xác định và giúp bảo vệ danh tính và dữ liệu kinh doanh nhạy cảm
Xây dựng niềm tin vào và chương trình và vị thế bảo mật của bạn trong đội ngũ lãnh đạo, nhân viên, đối tác, các bên liên quan và khách hàng

Nguyên tắc Zero Trust là:

Giả định vi phạm Giả định những kẻ tấn công có thể và sẽ tấn công thành công mọi thứ (danh tính, mạng lưới, thiết bị, ứng dụng, cơ sở hạ tầng, v.v.) và lên kế hoạch phù hợp. Điều này nghĩa là liên tục giám sát môi trường để phát hiện các cuộc tấn công có thể xảy ra.
Xác minh rõ ràng Đảm bảo người dùng và thiết bị đều ở trạng thái tốt trước khi cho phép truy nhập vào tài nguyên. Bảo vệ tài sản khỏi sự kiểm soát của kẻ tấn công bằng cách xác thực rõ ràng thực tế rằng: mọi quyết định về tin cậy và bảo mật đều sử dụng phép đo từ xa và thông tin có sẵn liên quan.
Sử dụng quyền truy nhập đặc quyền tối thiểu Sử dụng quyền truy cập vừa đủ và đúng lúc (JIT/JEA) cũng như các chính sách dựa trên rủi ro như kiểm soát truy nhập thích ứng để hạn chế quyền truy cập vào tài sản có khả năng bị xâm phạm. Bạn chỉ nên cấp đặc quyền cần thiết để truy cập duy nhất vào tài nguyên.

Các lớp bảo mật Zero Trust

Có một thứ gọi là bảo mật quá mức

Bảo mật quá mức là quy trình bảo mật khiến người dùng hàng ngày cảm thấy có quá nhiều hạn chế - điều này có thể dẫn đến kết quả tương tự như không đủ bảo mật ngay từ đầu - tức nhiều rủi ro hơn.

Các quy trình bảo mật nghiêm ngặt có thể khiến mọi người khó khăn hơn khi thực hiện công việc của mình. Tệ hơn nữa, chúng có thể truyền cảm hứng cho mọi người tìm ra những cách giải quyết về CNTT ngầm đầy sáng tạo, thúc đẩy họ hoàn toàn bỏ qua bảo mật, đôi khi bằng cách sử dụng thiết bị, email và bộ lưu trữ riêng, cũng như sử dụng các hệ thống (trớ trêu thay) có mức độ bảo mật thấp hơn và mang lại rủi ro cao hơn cho doanh nghiệp.

Nếu bạn muốn tìm hiểu thêm về chủ đề Zero Trust, vui lòng xem các tài nguyên bên dưới.

Vì sao nên chọn Zero Trust
Bài đăng blog 5 lý do để áp dụng chiến lược bảo mật Zero Trust cho doanh nghiệp của bạn của Vasu Jakkal thuộc Microsoft
Đánh giá vị thế bảo mật Zero Trust

Sử tính năng chống phần mềm độc hại để phát hiện và phản hồi mở rộng. Triển khai phần mềm để phát hiện và tự động chặn các cuộc tấn công, cũng như cung cấp thông tin chuyên sâu cho các hoạt động bảo mật.

Việc giám sát thông tin chuyên sâu từ hệ thống phát hiện mối đe dọa là rất cần thiết để có thể ứng phó kịp thời trước các mối đe dọa.

Các biện pháp hay nhất về tự động hóa và điều phối bảo mật

Di chuyển càng nhiều công việc càng tốt vào trình phát hiện

Chọn và triển khai các cảm biến giúp tự động hóa, tương quan hóa và liên kết các kết luận trước khi gửi cho nhà phân tích.

Tự động thu thập cảnh báo

Nhà phân tích hoạt động bảo mật phải có mọi thông tin họ cần để phân loại và phản hồi một cảnh báo mà không cần thực hiện bất kỳ hoạt động thu thập thông tin bổ sung nào, chẳng hạn như hệ thống truy vấn có thể ngoại tuyến hoặc không, hay thu thập thông tin từ các nguồn bổ sung như hệ thống quản lý tài sản hoặc thiết bị mạng.

Tự động ưu tiên cảnh báo

Nên tận dụng phân tích theo thời gian thực để ưu tiên các sự kiện dựa trên nguồn cấp dữ liệu thông tin về mối đe dọa, thông tin tài sản và chỉ số tấn công. Nhà phân tích và người ứng phó với sự cố nên tập trung vào các cảnh báo có mức độ nghiêm trọng cao nhất.

Tự động hóa các tác vụ và quy trình

Trước tiên, hãy nhắm vào các quy trình hành chính phổ biến, lặp đi lặp lại và tốn thời gian, cũng như tiêu chuẩn hóa các thủ tục phản hồi. Sau khi phản hồi được chuẩn hóa, hãy tự động hóa quy trình làm việc của nhà phân tích hoạt động bảo mật để loại bỏ mọi sự can thiệp của con người nếu có thể, từ đó họ có thể tập trung vào những nhiệm vụ quan trọng hơn.

Cải tiến liên tục

Theo dõi các số liệu chính và điều chỉnh cảm biến cũng như quy trình làm việc để thúc đẩy thay đổi tịnh tiến.

Hỗ trợ bảo vệ, phát hiện và ứng phó với mối đe dọa

Bảo vệ chống lại các mối đe dọa trên tất cả khối lượng công việc bằng cách tận dụng khả năng ngăn chặn, phát hiện và ứng phó toàn diện với tính năng phát hiện và ứng phó mở rộng (XDR) tích hợp, cũng như tính năng quản lý sự kiện và thông tin bảo mật (SIEM).

Truy nhập từ xa

Những kẻ tấn công thường nhắm mục tiêu vào các giải pháp truy cập từ xa (RDP, VDI, VPN, v.v.) để xâm nhập vào môi trường và khởi chạy các hoạt động đang diễn ra nhằm phá hỏng tài nguyên nội bộ.

Để giúp ngăn chặn kẻ tấn công xâm nhập, bạn cần phải:

Duy trì cập nhật phần mềm và thiết bị
Thực thi xác thực người dùng và thiết bị Zero Trust
Định cấu hình bảo mật cho giải pháp VPN của bên thứ ba
Phát hành ứng dụng web tại chỗ

Phần mềm email và cộng tác

Một chiến thuật phổ biến khác để xâm nhập vào môi trường là lan truyền nội dung xấu độc qua email hoặc các công cụ chia sẻ tệp, sau đó thuyết phục người dùng chạy nội dung đó.

Để giúp ngăn chặn kẻ tấn công xâm nhập, bạn cần phải:

Triển khai bảo mật email nâng cao
Kích hoạt quy tắc giảm bề mặt tấn công để chặn các kỹ thuật tấn công phổ biến
Quét tệp đính kèm để tìm các mối đe dọa dựa trên macro

Điểm cuối

Các điểm cuối tiếp xúc với Internet là một cách thức xâm nhập ưa thích vì chúng cung cấp cho kẻ tấn công quyền truy cập vào tài sản của tổ chức.

Để giúp ngăn chặn kẻ tấn công xâm nhập, bạn cần phải:

Chặn các mối đe dọa đã biết bằng quy tắc giảm bề mặt tấn công nhắm vào một số hành vi phần mềm nhất định, như khởi chạy tệp thực thi và tập lệnh cố gắng tải xuống hoặc chạy tệp, chạy các tập lệnh bị xáo trộn hoặc đáng ngờ hoặc thực hiện các hành vi mà ứng dụng thường không bắt đầu trong một ngày làm việc bình thường.
Duy trì cập nhật và hỗ trợ cho phần mềm của bạn
Cô lập, vô hiệu hóa hoặc dừng hoạt động các hệ thống và giao thức không an toàn
Chặn lưu lượng truy cập không mong muốn bằng tường lửa trên nền tảng máy chủ và biện pháp bảo vệ mạng

Luôn cảnh giác

Sử dụng XDR và SIEM tích hợp để cung cấp cảnh báo chất lượng cao cũng như giảm thiểu ma sát và các bước thủ công trong quá trình phản hồi.

Giảm bớt các hệ thống cũ

Hệ thống cũ thiếu những biện pháp kiểm soát bảo mật như chống vi-rút cũng như phát hiện và phản hồi điểm cuối (EDR) - điều này có thể cho phép kẻ tấn công thực hiện toàn bộ chuỗi tấn công bằng mã độc tống tiền và đánh cắp từ một hệ thống duy nhất.

Nếu không thể định cấu hình công cụ bảo mật cho hệ thống cũ thì bạn phải cách ly hệ thống đó về mặt vật lý (thông qua tường lửa) hoặc về mặt logic (bằng cách loại bỏ thông tin xác thực trùng lặp trên các hệ thống khác).

Đừng bỏ qua phần mềm độc hại đại trà

Phần mềm mã độc tống tiền tự động cổ điển có thể thiếu sự tinh vi so với các cuộc tấn công bằng bàn phím, nhưng điều đó không khiến nó bớt nguy hiểm.

Cảnh giác trước việc đối thủ vô hiệu hóa bảo mật

Giám sát môi trường để phát hiện đối phương vô hiệu hóa bảo mật (thường là một phần của chuỗi tấn công) như xóa nhật ký sự kiện, đặc biệt là nhật ký Sự kiện bảo mật và nhật ký Hoạt động PowerShell cũng như vô hiệu hóa các công cụ và điều khiển bảo mật (được liên kết với một số nhóm).

Nếu bạn muốn tìm hiểu thêm về việc sử dụng tính năng chống phần mềm độc hại hiện đại, vui lòng xem các tài nguyên của Microsoft bên dưới.

Công cụ tự đánh giá hoạt động bảo mật
Bài đăng blog 4 nguyên tắc của Microsoft để sở hữu một trung tâm điều hành bảo mật hiệu quả của Jonathan Trull thuộc Microsoft
Bài đăng blog 5 biện pháp hay nhất để tự động hóa hoạt động bảo mật của Jonathan Trull thuộc Microsoft

Các hệ thống chưa được vá và lỗi thời là nguyên nhân chính khiến nhiều tổ chức trở thành nạn nhân của các cuộc tấn công. Đảm bảo mọi hệ thống luôn cập nhật, trong đó có vi chương trình, hệ điều hành và ứng dụng.

Các biện pháp tối ưu

Đảm bảo thiết bị hoạt động mạnh mẽ bằng cách áp dụng các bản vá, thay đổi mật khẩu mặc định và cổng SSH mặc định.
Giảm bề mặt tấn công bằng cách loại bỏ các kết nối internet không cần thiết và cổng mở, hạn chế quyền truy nhập từ xa bằng cách chặn cổng, từ chối quyền truy nhập từ xa và sử dụng các dịch vụ VPN.
Sử dụng giải pháp phát hiện và phản hồi mạng (NDR) nhận biết công nghệ vận hành và internet vạn vật (IoT/OT) cũng như giải pháp quản lý sự kiện thông tin bảo mật (SIEM)/điều phối bảo mật và ứng phó (SOAR) để giám sát thiết bị về các hành vi bất thường hoặc trái phép, chẳng hạn như việc kết nối với các máy chủ không xác định.
Tạo phân đoạn mạng để hạn chế khả năng kẻ tấn công xâm nhập và xâm phạm tài nguyên sau lần xâm nhập ban đầu. Thiết bị IoT và mạng OT nên được tách biệt khỏi mạng CNTT doanh nghiệp thông qua tường lửa.
Đảm bảo các giao thức ICS không hiển thị trực tiếp trên internet
Có được khả năng bao quát rõ hơn về các thiết bị IoT/OT trên mạng của bạn, đồng thời ưu tiên các thiết bị đó cho doanh nghiệp theo mức rủi ro nếu chúng bị xâm phạm.
Sử dụng công cụ quét vi chương trình để nắm rõ về điểm yếu bảo mật tiềm ẩn và phối hợp với nhà cung cấp để xác định cách giảm bớt rủi ro đối với thiết bị có mức rủi ro cao.
Tác động tích cực đến khả năng bảo mật của thiết bị IoT/OT bằng cách yêu cầu nhà cung cấp áp dụng các biện pháp tối ưu cho vòng đời phát triển bảo mật.
Tránh truyền các tệp có chứa định nghĩa hệ thống thông qua các kênh không an toàn hoặc cho nhân sự không cần thiết.
Nếu không thể tránh việc truyền các tệp này, hãy đảm bảo giám sát hoạt động trên mạng và đảm bảo các tài nguyên đều an toàn.
Bảo vệ trạm kỹ thuật bằng cách giám sát thông qua các giải pháp EDR.
Chủ động ứng phó sự cố đối với mạng OT.
Triển khai giám sát liên tục bằng các giải pháp như Microsoft Defender cho IoT.

Nếu bạn muốn tìm hiểu thêm, vui lòng xem các tài nguyên của Microsoft bên dưới

Bài đăng blog 7 cách để củng cố môi trường của bạn trước các xâm phạm của Alan Johnstone và Patrick Strijkers thuộc Microsoft
Tăng khả năng chống chịu nhờ hiểu rõ các rủi ro an ninh mạng: Bài đăng blog Phần 4 - điều hướng các mối đe dọa hiện tại của Mark Simos và Sarah Armstrong-Smith thuộc Microsoft

Để triển khai biện pháp bảo vệ thích hợp, bạn cần nắm rõ về dữ liệu quan trọng của mình, vị trí của dữ liệu và liệu các hệ thống phù hợp đã được triển khai hay chưa.

Những thách thức về bảo mật dữ liệu bao gồm:

Giảm thiểu và quản lý rủi ro từ lỗi của người dùng
Phân loại người dùng thủ công là không thực tế ở quy mô lớn
Dữ liệu phải được bảo vệ ở bên ngoài mạng lưới
Tuân thủ và bảo mật đòi hỏi một chiến lược hoàn chỉnh
Đáp ứng các yêu cầu tuân thủ ngày càng nghiêm ngặt

5 trụ cột của phương pháp tiếp cận phòng thủ chuyên sâu đối với bảo mật dữ liệu

Hiện nay, không gian làm việc kết hợp yêu cầu truy cập dữ liệu từ nhiều thiết bị, ứng dụng và dịch vụ trên khắp thế giới. Với rất nhiều nền tảng và điểm truy cập, bạn phải có biện pháp bảo vệ chống lại hành vi trộm cắp và rò rỉ dữ liệu hiệu quả. Đối với môi trường ngày nay, cách tiếp cận phòng thủ chuyên sâu sẽ mang lại khả năng bảo vệ tốt nhất giúp củng cố bảo mật dữ liệu. Có năm thành phần trong chiến lược này, tất cả đều có thể được thực hiện theo bất kỳ thứ tự nào phù hợp với nhu cầu riêng của tổ chức bạn và các yêu cầu pháp lý có thể có.

Xác định bối cảnh dữ liệu
Trước khi có thể bảo vệ dữ liệu nhạy cảm, bạn cần khám phá nơi dữ liệu đó tồn tại và cách truy cập vào dữ liệu đó. Thao tác đó đòi hỏi khả năng hiển thị đầy đủ toàn bộ kho dữ liệu, cho dù là tại chỗ, kết hợp hay đa đám mây.
Bảo vệ dữ liệu nhạy cảm Cùng với việc ra tạo bản đồ tổng thể, bạn sẽ cần bảo vệ dữ liệu ngay cả khi đang nghỉ ngơi và di chuyển. Đó là lúc thao tác gắn nhãn và phân loại chính xác dữ liệu phát huy tác dụng, nhờ đó, bạn có thể hiểu rõ hơn về cách dữ liệu được truy cập, lưu trữ và chia sẻ. Dữ liệu theo dõi chính xác sẽ giúp ngăn chặn việc dữ liệu rơi vào tình trạng rò rỉ và vi phạm.
Quản lý rủi ro Ngay cả khi dữ liệu được liên kết và gắn nhãn phù hợp, bạn vẫn cần phải tính đến bối cảnh người dùng xung quanh dữ liệu và các hoạt động có thể dẫn đến sự cố bảo mật dữ liệu tiềm ẩn, bao gồm cả mối đe dọa nội bộ. Cách tiếp cận tốt nhất để giải quyết rủi ro nội bộ là tập hợp đúng người, quy trình, đào tạo và công cụ phù hợp lại với nhau.
Ngăn mất dữ liệu Đừng quên hành vi sử dụng dữ liệu trái phép, đó cũng là mất mát. Một giải pháp chống mất dữ liệu hiệu quả cần cân bằng giữa khả năng bảo vệ và năng suất. Điều quan trọng là phải đảm bảo áp dụng các biện pháp kiểm soát quyền truy cập thích hợp và thiết lập các chính sách giúp ngăn chặn các hành động như tải về, lưu trữ hoặc in dữ liệu nhạy cảm không đúng cách.
Quản lý vòng đời dữ liệu Khi quy trình quản trị dữ liệu chuyển sang hướng các nhóm kinh doanh trở thành người quản lý dữ liệu của chính họ thì việc tổ chức phải tạo ra cách tiếp cận thống nhất trong toàn doanh nghiệp là vô cùng quan trọng. Kiểu quản lý vòng đời chủ động này giúp bảo mật dữ liệu tốt hơn và giúp đảm bảo dữ liệu được dân chủ hóa một cách có trách nhiệm cho người dùng, mà ở đó dữ liệu có thể thúc đẩy giá trị kinh doanh.

Nếu bạn muốn tìm hiểu thêm về việc bảo vệ dữ liệu, vui lòng xem các tài nguyên của Microsoft bên dưới.

Bài đăng blog 3 chiến lược trong xây dựng chương trình bảo vệ thông tin của Nhóm Microsoft Security
Bài đăng blog 3 chiến lược giúp khởi động kế hoạch quản trị dữ liệu hiệu quả của Erica Toelle và Anna Chiang thuộc Microsoft

Mặc dù các tác nhân đe dọa ngày càng phát triển và tinh vi hơn, nhưng một sự thật hiển nhiên trong an ninh mạng vẫn lặp lại: Biện pháp giữ an toàn bảo mật mạng cơ bản như kích hoạt MFA, áp dụng nguyên tắc Zero Trust, duy trì cập nhật, sử dụng tính năng chống phần mềm độc hại hiện đại và bảo vệ dữ liệu giúp ngăn chặn 98% các cuộc tấn công.

Để được hỗ trợ trong việc bảo vệ chống lại các mối đe dọa trên mạng, giảm thiểu rủi ro và đảm bảo khả năng hiện diện liên tục cho tổ chức của bạn thì việc đáp ứng các tiêu chuẩn tối thiểu trong giữ an toàn mạng là điều cần thiết.

Bề mặt tấn công Lừa đảo qua mạng Zero Trust

An toàn mạng cơ bản ngăn chặn 99% các cuộc tấn công

Các tiêu chuẩn tối thiểu mà mọi tổ chức nên áp dụng là:

Đơn giản hóa MFA

Các cuộc tấn công lừa đảo qua mạng phổ biến

Các lớp bảo mật Zero Trust

Có một thứ gọi là bảo mật quá mức

Hỗ trợ bảo vệ, phát hiện và ứng phó với mối đe dọa

Truy nhập từ xa

Phần mềm email và cộng tác

Điểm cuối

Bài viết liên quan

Các cuộc tấn công lừa đảo tăng 61%. Hiểu biết về tấn công bề mặt hiện đại.

Tội phạm mạng dưới dạng dịch vụ (CaaS) khiến tỷ lệ lừa đảo qua email doanh nghiệp tăng 38%

Ngày nay, hành vi xâm phạm email doanh nghiệp (BEC) đang gia tăng khi tội phạm mạng có thể che giấu nguồn gốc các cuộc tấn công để trở nên bất chính hơn. Tìm hiểu về CaaS và cách giúp bảo vệ tổ chức của bạn.

Bảo mật lấy đám mây làm trung tâm: Các CISO hàng đầu thu hẹp khoảng cách phủ sóng như thế nào

CISO chia sẻ những ưu tiên về bảo mật đang thay đổi khi tổ chức của họ chuyển sang mô hình lấy đám mây làm trung tâm và những thách thức xung quanh việc đưa toàn bộ tài sản kỹ thuật số tham gia mô hình này.

Theo dõi Microsoft