Commvault: Đã đến lúc tái định nghĩa khả năng phục hồi khi tội phạm AI để nạn nhân trong tình trạng "tối tăm, tê liệt"

Theo Brian Brockway, Giám đốc công nghệ (CTO) của Commvault, tội phạm mạng được hỗ trợ bởi AI hiện đang sở hữu những công cụ tinh vi hơn và gây ra sự tàn phá nặng nề hơn cho nạn nhân. Thay vì chỉ mã hóa một số tệp tin quan trọng, chúng hiện nay chiếm quyền kiểm soát toàn bộ môi trường máy ảo (VM), xóa sổ các máy ảo và hypervisor, khiến hạ tầng công nghệ của doanh nghiệp rơi vào trạng thái "tối tăm và tê liệt" hoàn toàn sau cuộc tấn công.

Brockway chia sẻ với The Register: "Đại đa số các vụ việc mạng mà chúng tôi thấy trong cơ sở khách hàng đã vượt xa việc xâm nhập, mã hóa và làm hỏng một số tệp và thư mục quan trọng. Chúng chuyển sang việc chiếm quyền kiểm soát toàn bộ môi trường máy ảo của bạn, xóa sạch tất cả máy ảo, phá hủy mọi hypervisor, thổi bay trung tâm dữ liệu và để lại bạn trong một trạng thái cơ bản là tối tăm và tê liệt."

AI tiên phong thay đổi bối cảnh đe dọa

Ông Brockway giải thích rằng AI tiên phong (Frontier AI) đang định hình lại bối cảnh đe dọa theo hai hướng chính. Các mô hình nâng cao đang phát hiện ra một lượng lớn lỗ hổng phần mềm, đồng thời những kẻ tấn công đang khai thác các lỗi đã được công bố chỉ trong vài phút thay vì vài tuần như trước đây.

Commvault dẫn lại nghiên cứu của Palo Alto Networks cho thấy các mô hình AI tiên phong như Mythos và GPT-5.5-Cyber đã phát hiện ra nhiều hơn gấp 7 lần số lượng lỗ hổng phần mềm thông thường trong vòng một tháng thử nghiệm.

Tái định nghĩa chiến lược sao lưu và khôi phục

Để đối phó với tình hình này, Commvault khuyến nghị các đội ngũ CNTT và an ninh mạng cần nhìn xa hơn các bản sao lưu truyền thống. Các doanh nghiệp cần tự hỏi liệu mình có thể khôi phục sạch sẽ các hệ thống quan trọng không, môi trường khôi phục có được cô lập khỏi các hệ thống sản xuất đã bị xâm nhập hay không, và kế hoạch khôi phục đã bao gồm các ứng dụng quan trọng nhất cũng như các phụ thuộc của chúng chưa.

Brockway cho rằng việc áp dụng kỹ thuật "air-gapping" (cách ly mạng) là điểm khởi đầu. Các tổ chức nên duy trì các bản sao dữ liệu bất biến (immutable) và cô lập, tách biệt khỏi các mặt phẳng định danh, mạng và quản lý của hệ thống sản xuất. Điều quan trọng là phải kiểm tra áp lực mục tiêu thời gian khôi phục (RTO) và mục tiêu điểm khôi phục (RPO) dựa trên các kịch bản tấn công thực tế.

"Một đội ngũ chỉ cố gắng dọn đống khói để hiểu chuyện gì đã xảy ra, sau đó bạn phải quay lại, tháo dỡ tất cả xuống phần cứng thô (bare metal), và cơ bản là triển khai lại toàn bộ trung tâm dữ liệu từ đầu," Brockway mô tả quá trình phục hồi khó khăn này. "Trong khi quá trình đó đang diễn ra - và đó không phải là một quá trình vài giờ, mà có thể mất vài ngày hoặc lâu hơn để đưa nó trở lại trạng thái ổn định, có thể sử dụng được - thì chúng ta sẽ sử dụng các phiên bản đã được làm sạch nào để xây dựng lại hoặc khởi động lại doanh nghiệp?"

Ưu tiên hệ thống và thử nghiệm liên tục

Các doanh nghiệp cần ưu tiên các hệ thống không thể hoạt động thiếu được như nền tảng định danh, hệ thống thanh toán, cơ sở dữ liệu vận hành và dịch vụ đám mây. Đồng thời, cần xác định thứ tự khôi phục chúng. Khi AI thâm nhập vào hoạt động cốt lõi, các đội ngũ cũng cần tính đến các phụ thuộc mới hơn như đường ống dữ liệu (data pipelines), kho lưu trữ mô hình, cơ sở dữ liệu vector và quy trình làm việc của tác nhân AI.

Trong các khuyến nghị của mình, Commvault nhấn mạnh tầm quan trọng của việc kiểm tra khả năng khôi phục liên tục. Brockway khuyên nên diễn tập các kế hoạch này trong các môi trường "cleanroom" (phòng sạch) cô lập trước khi thảm họa xảy ra.

"Tôi cần một môi trường thử nghiệm có cấu trúc và bản dựng giống hệt những gì chúng ta đang sử dụng, có thể không phải trên tài nguyên sản xuất đầy đủ, nhưng tôi cần có khả năng nói rằng: 'Làm thế nào để đưa ngăn xếp ứng dụng đó vào môi trường trực tiếp để chúng ta có thể quay lại và kiểm tra?'" ông nói. "Đó là những gì chúng tôi muốn nói về khái niệm phòng sạch này, không chỉ là phản ứng với một sự cố mà còn là một môi trường nhanh chóng để bạn quay lại và nhân bản."

Gánh nặng cho đội ngũ kỹ sư

Brockway chỉ ra rằng trạng thái bình thường mới trong kỷ nguyên AI đang gây áp lực lớn lên các kỹ sư xây dựng và duy trì phần mềm doanh nghiệp. Trong khi làn sóng đầu tiên của các công cụ quét AI làm ngập các nhóm bằng các lỗ hổng tiềm năng, thì các mô hình mới hơn đi xa hơn bằng cách tự động xâm nhập vào các môi trường được kiểm soát và cố gắng khai thác lỗi.

Ông cảnh báo về khối lượng công việc khổng lồ: "Một mô hình tiên phong đã gắn cờ khoảng 10.000 lỗ hổng nghiêm trọng trên các hệ điều hành, trình duyệt và cơ sở hạ tầng khác. Đó là 10.000 bản vá phải được đưa ra khỏi hệ thống."

Khối lượng thông tin này buộc các doanh nghiệp phải đưa ra những lựa chọn khó khăn về ưu tiên kỹ thuật. Brockway cho biết công việc khắc phục không dự kiến sẽ kéo nhân sự khỏi các bản phát hành đã lên kế hoạch. Để gánh vác gánh nặng này, ông Brockway điều hành một nhóm chuyên trách chỉ để xử lý các vấn đề này.

"Các lượng thông tin và tín hiệu đang đến quá nhiều. Mọi người trở nên bớt nhạy cảm, và đó là lúc những điều tồi tệ thực sự bắt đầu xảy ra," ông kết luận.