Ba kiểm soát cốt lõi về vệ sinh thông tin xác thực giúp tổ chức của bạn giảm thiểu rủi ro.

Tổng Quan

Các tích hợp sao lưu và khôi phục phụ thuộc rất lớn vào thông tin xác thực (credentials) an toàn cho workload. Chỉ cần một thông tin xác thực bị xâm phạm cũng có thể mở ra quyền truy cập vượt xa một hệ thống đơn lẻ, và các tác nhân tấn công đều hiểu rõ điều này.

Thông tin xác thực tĩnh tốt nhất chính là thông tin xác thực… không tồn tại. Khi có thể, tổ chức nên chuyển từ xác thực dựa trên bí mật (secret-based authentication) sang managed identities hoặc các phương pháp “secretless”, nơi thông tin xác thực được cấp phát, bảo vệ và xoay vòng bởi chính nền tảng thay vì được lưu trữ và xử lý thủ công. Tuy nhiên, với một số hệ thống và cấu hình legacy, điều này không phải lúc nào cũng khả thi.

Tin tốt là: ngay cả khi vẫn phải sử dụng các secret có vòng đời dài, việc duy trì vệ sinh thông tin xác thực đúng cách vẫn có thể giúp giảm đáng kể rủi ro và phạm vi ảnh hưởng khi xảy ra sự cố.

Bài viết này trình bày một quy trình thực tiễn giúp doanh nghiệp duy trì khả năng cyber resilience: xoay vòng thông tin xác thực, giới hạn phạm vi quyền, và áp dụng Conditional Access khi có thể.

Nền Tảng: Ba Kiểm Soát Cốt Lõi

Vệ sinh thông tin xác thực hiệu quả dựa trên ba trụ cột chính: rotation, least privilege và Conditional Access. Dù không phải lúc nào cũng có thể áp dụng đầy đủ cả ba cho mọi loại thông tin xác thực, đây vẫn là những điểm khởi đầu đúng đắn cho bất kỳ môi trường nào.

Rotation Và Monitoring

Thực hiện xoay vòng thông tin xác thực định kỳ và thường xuyên rà soát hoạt động xác thực để phát hiện các dấu hiệu bất thường.

Least Privilege

Giới hạn quyền truy cập để thông tin xác thực chỉ có thể thực hiện các tác vụ sao lưu/khôi phục cần thiết. Một số bước thực tiễn bao gồm:

• Tách riêng thông tin xác thực theo từng workload

• Giới hạn quyền ở mức tập dữ liệu/site/mailbox/database tối thiểu cần thiết

• Tránh sử dụng các vai trò admin rộng trừ khi thực sự bắt buộc

Conditional Access

Khi được hỗ trợ, thiết lập chính sách nhằm giới hạn thời điểm và vị trí mà thông tin xác thực có thể được sử dụng, ví dụ:

• Vị trí đáng tin cậy và dải IP

• Các tín hiệu rủi ro

• Kiểm soát thiết bị và phiên làm việc

Khi Conditional Access Không Khả Thi, Rotation Là Biện Pháp Bù Đắp

Không phải loại thông tin xác thực nào cũng đáp ứng được yêu cầu của Conditional Access. Trong những trường hợp này, việc xoay vòng sẽ giới hạn khoảng thời gian mà thông tin xác thực bị đánh cắp còn giá trị sử dụng, trong khi monitoring giúp phát hiện hành vi lạm dụng sớm hơn.

Hướng dẫn của Commvault nhấn mạnh việc xoay vòng mật khẩu, secret và thông tin xác thực thường xuyên trên mọi môi trường. Đối với các Azure app registrations single-tenant dùng để bảo vệ workload M365/D365/Entra ID, Commvault khuyến nghị chu kỳ xoay vòng 90 ngày.

Nhiều framework về bảo mật và tuân thủ phổ biến như PCI DSS, ISO 27001, SOC 2 và NIST cũng yêu cầu quản lý thông tin xác thực chặt chẽ, bao gồm xoay vòng định kỳ và rà soát quyền truy cập.

Tham Vấn Đội Ngũ Bảo Mật

Vệ sinh thông tin xác thực đạt hiệu quả cao nhất khi được áp dụng một cách nhất quán. Do đó, tổ chức nên phối hợp chặt chẽ với đội ngũ bảo mật để thống nhất về:

• Chu kỳ xoay vòng (theo từng loại thông tin xác thực và mức độ rủi ro)

• Thiết kế chính sách Conditional Access (những gì có thể áp dụng mà không làm gián đoạn tự động hóa)

• Quy tắc truy cập đặc quyền, yêu cầu ghi log và chu kỳ rà soát

Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua email: info@unitas.vn hoặc Hotline: (+84) 939 586 168.