Trong bối cảnh các mối đe dọa an ninh mạng ngày càng gia tăng và phức tạp do sự trợ giúp của AI, việc đánh giá rủi ro một cách chủ động đã trở thành ưu tiên hàng đầu của các lãnh đạo an ninh thông tin (CISO). Trong một bài đăng ngày 29/04/2026, ông Rico Mariani, Phó CISO mảng Sản phẩm Bảo mật, Hạ tầng Nghiên cứu và Hệ thống Kỹ thuật của Microsoft, đã chia sẻ 8 phương pháp thực tiễn để giúp doanh nghiệp củng cố hệ thống phòng thủ.
Theo Microsoft, bối cảnh các mối đe dọa chưa bao giờ đứng yên. AI đã trở thành một công cụ năng suất mạnh mẽ cho tội phạm mạng. Microsoft cho biết đã chặn được các âm mưu lừa đảo trị giá 4 tỷ USD trong khoảng thời gian từ tháng 4/2024 đến tháng 4/2025. Tính đến thời điểm báo cáo Microsoft Digital Defense Report 2025, công ty đang theo dõi 100 nghìn tỷ tín hiệu bảo mật mỗi ngày, tăng 40% so với năm 2023. Đây là lý do tại sao việc đánh giá rủi ro giúp chuyển đổi dữ liệu bảo mật từ thông tin khắc phục sự cố bị động thành những insight quan trọng để xây dựng một lập trường an ninh chủ động.
Ông Rico Mariani chia sẻ 8 lĩnh vực chính cần tập trung khi tiến hành đánh giá rủi ro:
- Tài sản (Assets)
- Ứng dụng (Applications)
- Xác thực (Authentication)
- Phân quyền (Authorization)
- Cô lập mạng (Network isolation)
- Phát hiện (Detections)
- Kiểm toán (Auditing)
- Những điểm không nên bỏ lỡ (Things not to miss)
1. Tài sản (Assets)
Điểm khởi đầu của mọi cuộc đánh giá là xác định các tài sản cần được bảo vệ, qua đó định hình phạm vi của cuộc đánh giá. Các tài sản này có thể là nơi lưu trữ dữ liệu nhạy cảm hoặc các ứng dụng có đặc quyền cao như hệ thống command-and-control. Đây chính là danh sách những thứ mà kẻ tấn công mạng muốn tiếp cận.
2. Ứng dụng (Applications)
Tiếp theo, cần xác định các ứng dụng trong hệ thống. Đây là phần “động”, bao gồm các giao diện hướng tới khách hàng và tập hợp các microservices hỗ trợ. Việc các ứng dụng này cần quyền truy cập vào những tài sản quan trọng nhất là điều bình thường, nhưng chính điều đó cũng biến chúng thành mục tiêu khả thi cho kẻ tấn công. Do đó, đây là lúc cần bắt đầu thảo luận về các biện pháp kiểm soát khả thi.
3. Xác thực chất lượng cao
Cần kiểm tra hình thức xác thực mà hệ thống đang sử dụng. Các hệ thống tốt nhất sử dụng token để xác thực và nhận các token này từ các nhà phát hành tiêu chuẩn như Microsoft Entra. Việc tự xây dựng hệ thống tạo token có thể khả thi nhưng thường có lỗi và lỗ hổng. Các token có thể có vòng đời quá dài, khó phân quyền chi tiết, hoặc không thể luân chuyển ngữ cảnh người dùng đến hệ thống phân quyền.
Để quản lý tốt nhất các đặc quyền, các token phải được giới hạn ở mức tối thiểu. Một token cụ thể chỉ nên cấp quyền cho một khả năng nhất định, cho một khách hàng nhất định, thay mặt một người dùng nhất định, cho một tập dữ liệu nhất định. Điều này tuân theo mô hình Zero Trust, nơi doanh nghiệp luôn hoạt động với giả định đã có sự xâm nhập (assume breach).
4. Phân quyền chất lượng cao
Các token chất lượng cao sẽ trở nên vô ích nếu chúng được thực thi một cách lỏng lẻo hoặc không được thực thi. Các đoạn mã phân quyền tự phát (ad hoc) có thể làm cho nỗ lực xác thực trở nên vô nghĩa. Doanh nghiệp nên ưu tiên sử dụng các mẫu hình khai báo (declarative patterns) để xác minh token đối với các API và dữ liệu mà client đang cố gắng truy cập. Việc phân quyền đơn giản và nhất quán sẽ giúp giảm thiểu lỗi và rủi ro.
5. Cô lập mạng (Network isolation)
Bên cạnh token chất lượng, việc cô lập các thành phần trong môi trường là rất quan trọng. Điều này được thực hiện vì cần giả định rằng kẻ tấn công đã có một chỗ đứng ở đâu đó trong mạng của bạn. Nếu kẻ tấn công có thể tiếp cận bất kỳ phần nào của hệ thống từ bất kỳ phần nào khác, rủi ro sẽ rất lớn. Việc cô lập hợp lý sẽ khiến hầu hết các điểm xâm nhập trở nên vô dụng đối với kẻ tấn công.
Doanh nghiệp có thể sử dụng các service tags để tạo ranh giới xung quanh các tài sản khác nhau. Việc cô lập mạng có thể xảy ra ở nhiều cấp độ, phổ biến là Layer 7 ở vành đai (ví dụ: HTTP proxy) và Layer 3 bên trong mạng để giới hạn lưu lượng IP. Các kỹ thuật như virtual LAN hoặc các cấu trúc tương tự như network security groups (NSGs) trong Microsoft Azure có thể được áp dụng.
6. Phát hiện (Detections)
Việc giám sát không chỉ để đảm bảo độ tin cậy của hệ thống mà còn để phát hiện các mối đe dọa dựa trên mô hình rủi ro của bạn. Doanh nghiệp nên tìm kiếm các yêu cầu có định dạng xấu, các hành vi fuzzing, hoặc bằng chứng về các cuộc tấn công DDoS. Mục tiêu là tạo ra các cảnh báo nếu có bằng chứng về hoạt động của kẻ xấu trong hệ thống của bạn.
7. Kiểm toán (Auditing)
Microsoft phân biệt giữa kiểm toán và phát hiện. Cụ thể, kiểm toán là việc sử dụng dữ liệu sau một vụ xâm nhập để xác định mức độ và những khách hàng bị ảnh hưởng. Trong trường hợp phát hiện một lỗ hổng mà không có bằng chứng bị khai thác, dữ liệu kiểm toán sẽ giúp xác minh điều đó. Một số phần của luồng dữ liệu từ giải pháp EDR (endpoint detection and response) và log ứng dụng sẽ rất hữu ích cho việc kiểm toán.
8. Những điểm không nên bỏ lỡ
Điều quan trọng là phải xem xét tất cả các ứng dụng và dữ liệu. Ví dụ, dữ liệu sao lưu (backup) thường bị bỏ qua. Kẻ tấn công có thể không truy cập được vào hệ thống chính nhưng lại thấy rằng các bản sao lưu hoàn toàn không được bảo vệ.
Tương tự, các hệ thống hỗ trợ và các hệ thống đang trong quá trình phát triển/thử nghiệm cũng là những khu vực có vấn đề. Mã nguồn trong các hệ thống này thường kém tin cậy hơn mã nguồn sản xuất và có thể chứa các lỗi phân quyền, tạo ra lối vào cho kẻ tấn công đến các tài sản quan trọng.
Tóm lại
Nếu doanh nghiệp đã xác định được tất cả tài sản, ứng dụng, và sau đó xem xét các mô hình truy cập và kiểm soát (bao gồm xác thực, phân quyền, cô lập mạng), thì bạn đang ở một vị thế tốt để xây dựng một bản tóm tắt rủi ro có thể định hướng hành động trong nhiều tháng tới. Kết hợp tất cả những điều trên với các hoạt động cơ bản như quản lý lỗ hổng và vòng đời phần mềm, doanh nghiệp sẽ có một kế hoạch quản lý rủi ro vững chắc.
