Tweet
🔥 Vì sao ransomware vẫn tấn công được vào backup?
🛡 Kinh nghiệm thực tế để bảo vệ backup khỏi ransomware
1. Luôn có ít nhất một bản sao lưu thực sự ngoại tuyến
✅ Tóm lại – Backup không còn là vùng an toàn mặc định
Thực chiến cho thấy: ransomware không chừa vùng nào, kể cả vùng bạn tưởng là "bảo hiểm".
Bảo vệ bản sao lưu giống như bạn bảo vệ hệ thống sản xuất – hoặc còn hơn thế nữa. Vì nếu tất cả hỏng, chỉ backup cứu được bạn.
- Backup kết nối online, không tách biệt khỏi mạng sản xuất
- Nếu bạn đang mount thẳng ổ lưu trữ backup vào hệ thống chạy ứng dụng, bạn vừa vô tình mở cửa chính cho mã độc.
- Kẻ tấn công chỉ cần một tài khoản domain admin là có thể nhìn thấy toàn bộ backup server, job config, và các đích lưu trữ.
- Không kiểm soát quyền truy cập lưu trữ
- Nhiều hệ thống lưu trữ SAN/NAS vẫn cấp quyền RW cho cả subnet hoặc user không cần thiết.
- Chưa kể tới việc các hệ thống backup legacy không hỗ trợ xác thực đa yếu tố (MFA).
- Backup đồng bộ hóa liên tục (near-CDP) – tưởng tốt, hóa ra nguy hiểm
- Ransomware có thể được replicate ngay vào bản sao mới nhất nếu không có checkpoint hoặc snapshot riêng biệt.
🛡 Kinh nghiệm thực tế để bảo vệ backup khỏi ransomware
1. Luôn có ít nhất một bản sao lưu thực sự ngoại tuyến
- Đừng tin vào "offline" nếu ổ đĩa vẫn cắm vào server.
- Chúng tôi sử dụng tape (LTO) hoặc ổ rời được tháo rời sau backup.
- Với cloud, chọn dịch vụ có tính năng immutable backups (bản sao không thể chỉnh sửa trong khoảng thời gian định trước).
- Các thiết bị lưu trữ hiện đại (như Dell DataDomain, Cohesity, NetApp, hoặc Veeam Hardened Repositories) có tính năng Write Once Read Many – ransomware không thể ghi đè.
- Snapshot immutable là lớp phòng thủ thứ hai cực kỳ quan trọng.
- VLAN riêng, hoặc lý tưởng nhất là air-gapped.
- Backup server không nên nằm trong cùng domain với hệ thống sản xuất – điều này rất ít người làm nhưng cực kỳ hiệu quả.
- 3 bản sao dữ liệu
- Trên 2 loại phương tiện khác nhau
- 1 bản ngoại tuyến hoặc off-site
- 1 bản immutable
- 0 lỗi khi kiểm tra khôi phục (restore test phải pass!)
- MFA cho mọi admin đăng nhập
- Kiểm soát chặt chẽ ACL, RBAC
- Theo dõi log truy cập và thiết lập cảnh báo bất thường (ví dụ: nhiều truy cập xóa dữ liệu hoặc job thất bại liên tục)
- Lên kế hoạch restore drill hàng quý, không chỉ test file mà test toàn bộ VM hoặc hệ thống database.
- Kẻ tấn công không ngủ, bạn cũng đừng để backup chỉ “đẹp trên giấy”.
✅ Tóm lại – Backup không còn là vùng an toàn mặc định
Thực chiến cho thấy: ransomware không chừa vùng nào, kể cả vùng bạn tưởng là "bảo hiểm".
Bảo vệ bản sao lưu giống như bạn bảo vệ hệ thống sản xuất – hoặc còn hơn thế nữa. Vì nếu tất cả hỏng, chỉ backup cứu được bạn.