Giới thiệu

Trong bối cảnh hầu như mọi hoạt động của tổ chức ngày nay đều phụ thuộc vào hạ tầng CNTT, các cuộc tấn công mạng đã tiến hoá từ mức độ gây gián đoạn sang phá hoại nghiêm trọng. Ở Vương quốc Anh, thiệt hại về doanh thu do các cuộc tấn công mạng được ước tính lên tới £44 tỷ trong năm năm qua, ảnh hưởng đến hơn một nửa số công ty tư nhân* Tintri.

Các vụ tấn công ransomware gần đây nhằm vào Marks & Spencer (M&S) và Co-op là lời nhắc nhở rõ ràng về mức độ dễ tổn thương của các doanh nghiệp lớn, đồng thời cho thấy quá trình phục hồi hậu tấn công là vô cùng thách thức.

Cấu trúc của vụ tấn công

Vào tháng 4 năm 2025, M&S và Co-op bị tổ chức tấn công mạng Scattered Spider tấn công bằng ransomware DragonForce. Kẻ tấn công lợi dụng lỗ hổng đã biết và sử dụng thủ thuật “social engineering” để xâm nhập hệ thống nội bộ:

• M&S buộc phải ngừng nhận đơn hàng trực tuyến, hàng hoá bị thiếu trầm trọng, và ước tính thiệt hại £43 triệu mỗi tuần.

• Co-op gặp gián đoạn trong các hệ thống thanh toán thẻ, hệ thống loyalty và chuỗi cung ứng.

• Cả hai xác nhận thông tin khách hàng như tên, địa chỉ, lịch sử đơn hàng bị đánh cắp Tintri.

Tại sao phục hồi lại khó khăn đến thế?

1. Ransomware làm tiêu hao tài nguyên CNTT

Ransomware không chỉ mã hoá dữ liệu mà còn làm tê liệt toàn bộ môi trường CNTT. Đội ngũ IT phải dồn lực cho việc kiểm soát, phân tích và phục hồi. Ở M&S, các dịch vụ trực tuyến vẫn bị gián đoạn nhiều tuần sau vụ tấn công và họ chưa thể đưa ra mốc thời gian phục hồi hoàn toàn Tintri.

2. Immutable Storage không phải là “chén thánh”

Dù immutable storage — tức lưu trữ không thể bị thay đổi — là một yếu tố phòng vệ quan trọng, nhưng nó vẫn không thể giải quyết triệt để vấn đề. Nếu ransomware đã làm tê liệt đến 90% hệ thống, thì dù backup sạch đến đâu, chỉ còn 10% hạ tầng sẵn sàng để phục hồi — dẫn đến tình trạng gần như không thể bắt đầu quá trình khôi phục. Trong một số trường hợp, tổ chức phải mua thêm phần cứng hoặc tài nguyên cloud chỉ để bắt đầu phục hồi ở quy mô lớn Tintri.

3. Hạ tầng CNTT hiện đại ngày càng phức tạp

Tintri VMstore cung cấp một số khả năng quan trọng để cải thiện tình hình:

• Snapshots ứng dụng: tạo snapshot không thay đổi (immutable) cấp workload, tiết kiệm không gian và không ảnh hưởng hiệu năng, đồng thời cần có sự phê duyệt từ Admin để xoá, tăng khả năng bảo vệ Tintri.

• Phục hồi tức thời (Instant Recovery): cho phép phục hồi ngay lập tức ứng dụng hoặc toàn bộ môi trường mà không cần chuyển dữ liệu lâu, giúp giảm downtime đáng kể Tintri.

• Hiệu quả tài nguyên (Resource Efficiency): kiến trúc lưu trữ thông minh giúp không làm tê liệt hệ thống khi phục hồi, tối ưu hóa I/O và performance Tintri.

• Phân tích dự đoán (Predictive Analytics): nhờ AI và machine learning, VMstore có thể phát hiện bất thường và cảnh báo sớm, giúp IT ứng phó kịp thời Tintri.

• Khả năng mở rộng (Scalability): khi xảy ra tấn công lớn, VMstore có thể Scale Up hoặc Scale Out để nhanh chóng tăng dung lượng phục hồi Tintri.

• Hỗ trợ tự động với Glas-DP: sử dụng Tintri Global Center (TGC)-AI để theo dõi I/O stream và metadata của thiết bị VMstore theo thời gian thực; phát hiện dấu hiệu ransomware, đưa ra cảnh báo, khuyến nghị hoặc tự động khởi động các hành động bảo vệ, đồng thời cung cấp hướng dẫn khắc phục phù hợp, giảm thiểu lỗi và thời gian phản ứng Tintri.
  

Nhờ tích hợp Tintri VMstore và Glas-DP, các tổ chức không chỉ bảo vệ dữ liệu mà còn đảm bảo phục hồi nhanh, hiệu quả và ít gián đoạn, ngay cả trước các cuộc tấn công ransomware quy mô lớn Tintri.

Hướng đi phía trước: Xây dựng Cyber Resilience

Để bảo vệ mình, các tổ chức cần xây dựng lại chiến lược cyber resilience:

• Triển khai Immutable Storage: đảm bảo backup không thể bị giả mạo và được kiểm tra thường xuyên.

• Dự phòng hạ tầng phục hồi (Recovery Infrastructure): lên kế hoạch trước để sẵn sàng mở rộng khi cần.

• Tận dụng giải pháp Smart Data Management: sử dụng Tintri VMstore nhằm phục hồi nhanh và hiệu quả tài nguyên.

• Kiến trúc Zero Trust: giới hạn truy cập, xác thực mọi người dùng và thiết bị.

• Đào tạo nhân viên: phòng chống social engineering — lỗ hổng hàng đầu.

• Lập kế hoạch ứng phó sự cố (Incident Response): diễn tập tấn công và tập luyện quy trình khôi phục.

• Bảo hiểm mạng (Cyber Insurance): đảm bảo chính sách bảo hiểm luôn cập nhật và toàn diện.

Kết luận

Thật không may, trong thế kỷ 21, với hầu hết tổ chức, câu hỏi không còn là Liệu sẽ có tấn công mạng không? mà là Khi nào? Các sự cố với M&S và Co-op không phải hiện tượng riêng lẻ — mà là minh chứng cho xu hướng tấn công mạng ngày càng tinh vi và có chủ đích. Việc phục hồi không còn đơn thuần là khôi phục hệ thống; đó là bảo vệ niềm tin, sự liên tục và uy tín của tổ chức.

Tổ chức cần có chiến lược và bộ công cụ để vừa ngăn chặn tấn công, vừa ứng phó và hồi phục nhanh chóng, hiệu quả.

Thông tin hãng cung cấp giải pháp:

Unitas là nhà phân phối ủy quyền tại Việt Nam của các hãng công nghệ lớn của thế giới: Commvault, ExaGrid, VergeIO, Nexsan, DDN, Tintri, MinIO, LogicMonitor, Netgain, Kela, UltraRed, Sling, Quokka, Safous, Hackuity, Cyabra, Cymetrics, ThreatDown, F-Secure, OutSystems, Micas Networks ….

Liên hệ Unitas ngay hôm nay để được tư vấn chi tiết!