Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Nguyên tắc sao lưu dự phòng lên môi trường đám mây chống mã độc tống tiền

13:29 | 06/06/2025
Phạm Hữu Thanh (Cục Chứng thực số và Bảo mật thông tin)

[ATTT số 2 (084) 2025] - Trong bối cảnh các cuộc tấn công bằng mã độc tống tiền ngày càng tinh vi và gây ra những hậu quả nghiêm trọng, việc bảo vệ dữ liệu trở thành ưu tiên hàng đầu của mọi tổ chức. Một trong những biện pháp để đối phó với các mối đe dọa này chính là việc sử dụng các dịch vụ sao lưu đám mây. Bài viết này sẽ đi sâu vào các nguyên tắc cốt lõi trong sao lưu đám mây nhằm giúp các doanh nghiệp và người dùng thiết lập một lá chắn vững chắc để bảo vệ dữ liệu trước các mối đe dọa nguy hiểm như mã độc tống tiền.    

NGUYÊN TẮC 1: SAO LƯU PHẢI CÓ KHẢ NĂNG PHỤC HỒI TRƯỚC CÁC HÀNH ĐỘNG PHÁ HOẠI

Các cuộc tấn công bằng mã độc tống tiền có thể tìm cách ngăn chặn việc khôi phục dữ liệu hiệu quả bằng cách phá hủy các bản sao lưu dữ liệu. Do đó, dịch vụ sao lưu phải có khả năng phục hồi trước các nỗ lực phá hủy dữ liệu sao lưu và bảo vệ dữ liệu sao lưu khỏi việc chỉnh sửa, ghi đè hoặc xóa có chủ đích. Vì vậy, yêu cầu đầu tiên đối với sao lưu lên môi trường đám mây phải có khả năng phục hồi trước các hành động phá hoại.

Đề xuất triển khai:

- Chặn mọi yêu cầu xóa hoặc thay đổi bản sao lưu sau khi đã tạo: Nếu không có cơ chế để thay đổi hoặc xóa bản sao lưu, kẻ tấn công sẽ không có cách nào xóa dữ liệu sao lưu. Trên thực tế, dữ liệu sao lưu không thể được lưu trữ mãi mãi, vì vậy chủ sở hữu hệ thống cần thiết lập chính sách trước để chỉ định thời gian lưu trữ bản sao lưu. Điều này phải phù hợp với lịch trình sao lưu và có thể khác nhau đối với các loại dữ liệu khác nhau.

- Cung cấp chức năng xóa mềm theo mặc định: Cơ chế xóa mềm đánh dấu dữ liệu là không thể truy cập, nghĩa là hệ thống vẫn lưu trữ dữ liệu được xác định đã bị xóa vĩnh viễn trong một vùng lưu trữ riêng biệt nhằm mục đích để có thể khôi phục được trong một khoảng thời gian nhất định. Điều này có nghĩa là nếu tác nhân độc hại xóa dữ liệu sao lưu hữu ích, khách hàng vẫn có thể khôi phục dữ liệu đó, do đó tài khoản khách hàng và kẻ tấn công không thể xóa hoặc ghi đè dữ liệu khỏi vùng lưu trữ nơi lưu trữ dữ liệu đã xóa mềm. Để xóa mềm có hiệu quả, chủ sở hữu hệ thống cần thường xuyên theo dõi tình trạng chung của hệ thống sao lưu.

- Trì hoãn việc thực hiện bất kỳ yêu cầu xóa hoặc thay đổi nào: Điều này sẽ diễn ra trong một khoảng thời gian đã thỏa thuận trước, tùy thuộc vào lịch trình giám sát của chủ sở hữu hệ thống. Điều này nhằm mục đích cung cấp một khoảng thời gian để chủ sở hữu hệ thống có thể xem xét và có khả năng ngăn chặn các hành động độc hại trong trường hợp cơ sở hạ tầng bị xâm phạm.

- Cấm các yêu cầu phá hoại từ tài khoản khách hàng: Tập trung vào việc ngăn chặn các yêu cầu phá hoại tiềm ẩn xuất phát từ các tài khoản của kẻ tấn công hoặc thiết bị mà cá nhân đó đang sử dụng. Nghĩa là kẻ tấn công đã xâm phạm hệ thống không thể thực hiện các yêu cầu phá hoại mà không xâm phạm một hệ thống riêng biệt khác.

NGUYÊN TẮC 2: HỆ THỐNG SAO LƯU PHẢI ĐƯỢC CẤU HÌNH SAO CHO KHÔNG THỂ TỪ CHỐI MỌI QUYỀN TRUY CẬP CỦA KHÁCH HÀNG

Kẻ tấn công có thể ngăn chặn nạn nhân truy cập dữ liệu sao lưu của chính mình bằng cách vô hiệu hóa hoặc xóa tất cả tài khoản khách hàng hoặc danh tính công ty thay vì việc phải xóa dữ liệu đó. Do đó, hệ thống sao lưu phải được cấu hình sao cho kẻ tấn công không thể từ chối mọi quyền truy cập của khách hàng. Điều này cũng bao gồm việc thiết lập các chính sách quản lý danh tính và truy cập (IAM).

Đề xuất triển khai:

- Cho phép khách hàng truy cập vào dịch vụ sao lưu, ngay cả khi tất cả các hệ thống công nghệ thông tin và tài sản hiện có của tổ chức không khả dụng: Bằng cách thiết lập một kênh liên lạc riêng biệt, có thể là một tài khoản khách hàng được ủy quyền riêng biệt, một thiết bị hoặc một cụm mật khẩu được chia sẻ trước có thể được lưu trữ vật lý và xác thực qua điện thoại giữa khách hàng và dịch vụ.

- Cấm bất kỳ chính sách IAM nào hạn chế quyền truy cập vào một tài khoản duy nhất nằm trong tầm kiểm soát của kẻ tấn công: Điều này buộc kẻ tấn công phải phá hoại nhiều tài khoản mới có thể kiểm soát hoàn toàn hệ thống sao lưu.

NGUYÊN TẮC 3: DỊCH VỤ CHO PHÉP KHÁCH HÀNG KHÔI PHỤC TỪ PHIÊN BẢN SAO LƯU NGAY CẢ KHI CÁC PHIÊN BẢN SAO BỊ HỎNG

Nếu kẻ tấn công có thể làm tràn kho lưu trữ sao lưu bằng dữ liệu sao lưu bị hỏng thay vì phải xóa chính dữ liệu đó. Do đó, dịch vụ sao lưu phải cho phép khách hàng lưu trữ các bản sao lưu trong thời gian lưu giữ phù hợp với mức độ chấp nhận rủi ro của họ và chủ sở hữu hệ thống phải theo dõi, kiểm tra trạng thái sao lưu thường xuyên.

Đề xuất triển khai:

- Cung cấp các cơ chế để chủ sở hữu hệ thống có thể kiểm tra xem họ có thể khôi phục từ trạng thái sao lưu hiện tại hay không: Có thể theo yêu cầu cho phép chủ sở hữu hệ thống phát hiện xem bản sao lưu có bị hỏng hay không. Để điều này có hiệu quả, chủ sở hữu hệ thống nên kiểm tra điều này như một phần của quy trình giám sát thường xuyên.

- Lưu trữ dữ liệu sao lưu theo một khoảng thời gian cố định: Điều này sẽ ngăn chặn kẻ tấn công ghi đè lên kho lưu trữ sao lưu bằng một loạt các bản sao lưu bị hỏng liên tiếp.

- Tạo và lưu giữ lịch sử phiên bản: Để chủ sở hữu hệ thống có thể khôi phục từ phiên bản họ lựa chọn.

- Cung cấp chính sách lưu trữ linh hoạt: Để chủ sở hữu hệ thống có thể quyết định số lượng bản sao lưu cần giữ trong các khoảng thời gian khác nhau, tùy theo mức độ chấp nhận rủi ro của họ.

NGUYÊN TẮC 4: QUẢN LÝ KHÓA MẠNH MẼ ĐỂ BẢO VỆ DỮ LIỆU KHI ĐANG ĐƯỢC LƯU TRỮ

Nếu bản sao lưu được lưu trữ dưới dạng mã hóa để bảo vệ dữ liệu tĩnh, kẻ tấn công không cần phải xóa dữ liệu thực sự, chúng chỉ cần xóa hoặc sửa đổi khóa mã hóa.

Do đó, các khóa dùng để mã hóa dữ liệu tĩnh phải được bảo vệ để đảm bảo dữ liệu sao lưu có thể được giải mã khi cần thiết.

Đề xuất triển khai:

- Theo Hướng dẫn bảo mật đám mây của Trung tâm An ninh mạng quốc gia Mỹ (NCSC): Xác định dịch vụ quản lý khóa đám mây an toàn (Key Management Service - KMS) và cách sử dụng chúng để mã hóa dữ liệu một cách an toàn. KMS là một thành phần phổ biến trong các dịch vụ đám mây. Chúng thường được sử dụng để tạo, lưu trữ, sử dụng và hủy tài liệu khóa mật mã. Khi được thiết kế, vận hành và sử dụng tốt, KMS cung cấp chức năng lưu trữ an toàn các khóa mã hóa và sử dụng các thuật toán mã hóa và chữ ký số. KMS thường là thành phần nền tảng của chính dịch vụ đám mây. Trong các nền tảng đám mây, nơi khách hàng triển khai các ứng dụng của riêng họ, KMS thường được cung cấp cho khách hàng để bảo mật các dịch vụ mà họ đã xây dựng trên nền tảng đám mây. Mã hóa dữ liệu hiệu quả phụ thuộc vào quản lý khóa an toàn, vì vậy người dùng nên tận dụng tối đa KMS của nhà cung cấp dịch vụ đám mây nếu nó đáp ứng nhu cầu của bạn và đáp ứng các yêu cầu về KMS an toàn.

- Cung cấp tùy chọn sao lưu khóa ngoài kênh chính thức: Với tùy chọn sao lưu khóa ngoài kênh chính thức chẳng hạn như tùy chọn ghi mã khóa chính vào giấy dưới dạng mã hóa văn bản thân thiện với con người hoặc dạng mã QR để có thể lưu trữ ở nơi an toàn như két sắt.

NGUYÊN TẮC 5: KÍCH HOẠT NHỮNG CẢNH BÁO NẾU CÓ NHỮNG THAY ĐỔI HOẶC CÁC HÀNH ĐỘNG ĐẶC QUYỀN ĐƯỢC THỰC HIỆN

Kẻ tấn công thường xâm phạm bản sao lưu với hy vọng sẽ không bị phát hiện. Vì vậy việc nhắm mục tiêu vào hệ thống sao lưu có thể là bước mở đầu cho một cuộc tấn công vào hệ thống chính của tổ chức.

Nếu có một thay đổi đáng kể được thực hiện, dịch vụ sao lưu đám mây phải đưa ra cảnh báo, sau đó phải có các hành động tiếp theo để bảo vệ. Dịch vụ phải cung cấp các loại cơ chế phân phối cảnh báo khác nhau để cảnh báo vẫn có thể được nhận nếu cơ sở hạ tầng của khách hàng bị xâm phạm. Những thay đổi đáng kể có thể bao gồm yêu cầu xóa hàng loạt, dừng sao lưu, thay đổi thời gian lưu giữ, thay đổi chính sách mã hóa hoặc thay đổi thông tin chi tiết về tài khoản quản trị viên. Các cảnh báo phải được đưa ra cho dù các nỗ lực có thành công hay không. Cảnh báo chỉ có hiệu quả nếu khách hàng khởi tạo quy trình quản lý sự cố tiếp theo sau khi được kích hoạt.

Đề xuất triển khai:

- Dịch vụ lưu trữ cần cung cấp nhiều loại cảnh báo có thể tùy chỉnh cho từng hoạt động gây ảnh hưởng đến hệ thống sao lưu mà chủ sở hữu hệ thống có thể tiếp nhận và giám sát. Đối với tổ chức lớn có thể là cảnh báo đến Trung tâm điều hành an ninh (SOC) và đối với tổ chức nhỏ hơn có thể là email tự động gửi đến người quản trị. Mặc dù có thể tùy chỉnh hoàn toàn, cảnh báo về những thay đổi quan trọng nên được bật theo mặc định.

- Khi một thay đổi quan trọng được thực hiện (sau khi đã được ủy quyền), hệ thống sẽ tự động kích hoạt các biện pháp giám sát bảo vệ tăng cường. Điều này có thể bao gồm việc tăng tần suất nhật ký, kích hoạt các cảnh báo cụ thể, hoặc áp dụng các quy tắc kiểm soát truy cập nghiêm ngặt hơn trong một khoảng thời gian nhất định.

KẾT LUẬN

Bài báo này đã phân tích các nguyên tắc cốt lõi trong việc sao lưu đám mây. Những nguyên tắc này không chỉ củng cố sự hiểu biết hiện tại của chúng ta về các biện pháp phòng ngừa mã độc tống tiền mà còn cung cấp một lộ trình rõ ràng cho các cá nhân, tổ chức trong việc thiết lập một hệ thống phòng thủ vững chắc. Điều quan trọng là các cá nhân, tổ chức cần nhận thức sâu sắc và triển khai đồng bộ các nguyên tắc này để bảo vệ tài sản thông tin quan trọng và đảm bảo tính liên tục trong hoạt động kinh doanh trước mối đe dọa ngày càng gia tăng từ mã độc tống tiền.

TÀI LIỆU THAM KHẢO

[1]. https://www.ncsc.gov.uk/collection/ransomware-resistantbackups/principles-for-ransomware-resistant-cloud-backups.

[2]. https://www.ncsc.gov.uk/collection/cloud/understandingcloud-services/choosing-and-configuring-a-kms-for-securekey-management-in-the-cloud.
Twitter Zalo Facebook YouTube Copy Link QR Code
MÃ ĐỘC TỐNG TIỀN PHỤC HỒI DỮ LIỆU MÔI TRƯỜNG ĐÁM MÂY BẢO VỆ DỮ LIỆU SAO LƯU ĐÁM MÂY KHÓA MẬT MÃ NGUYÊN TẮC
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết