Contact Sales
November 3, 2025

Cách Rubrik biến “backup” thành công cụ Threat Intelligence

Trong kỷ nguyên mà mã độc có thể ẩn náu hàng tháng, thậm chí hàng năm trong hạ tầng doanh nghiệp mà không bị phát hiện, việc chỉ dựa vào các công cụ bảo mật truyền thống như EDR (Endpoint Detection & Response) đã không còn đủ.

Mới đây, Rubrik Zero Labs – bộ phận nghiên cứu an ninh mạng của Rubrik – đã chứng minh một hướng tiếp cận đột phá: sử dụng sao lưu bất biến (immutable backups) như một nguồn Threat Intelligence để phát hiện mã độc dai dẳng (persistent malware).

Phát hiện “BRICKSTORM” – Mã độc từ Trung Quốc trong dữ liệu sao lưu

Rubrik được Google Threat Intelligence và Mandiant cảnh báo về một mã độc backdoor có tên BRICKSTORM, do nhóm tin tặc UNC5221 – được cho là có liên hệ với nhà nước Trung Quốc – phát triển.

BRICKSTORM được thiết kế để ẩn mình trong các thiết bị không thể cài EDR như:

  • VMware vCenter Server Appliance (VCSA)

  • Firewall, VPN appliance

  • Các thiết bị mạng Linux/BSD-based

Thủ thuật của mã độc này là giả dạng các tiến trình hợp pháp (ví dụ: vami-httpd) và chạy từ thư mục tin cậy của hệ thống, khiến EDR – vốn “tin tưởng” các binary hệ thống – không nhận ra sự xâm nhập.

Nó còn sử dụng SOCKS proxy để giấu lưu lượng mạng, tạo ra traffic “tự nhiên” hòa lẫn với hoạt động bình thường của vCenter, cho phép tồn tại trong hệ thống hơn 12 tháng mà không bị phát hiện.

Rubrik biến backup thành “sensor” phát hiện tấn công

Không như các bản sao lưu truyền thống chỉ có nhiệm vụ khôi phục dữ liệu, Rubrik đã nâng cấp kiến trúc Cyber Recovery của mình để quét toàn bộ hơn 2.3 triệu snapshot mỗi ngày, bao gồm cả:

  • Môi trường đang hoạt động

  • Các bản sao lưu bất biến (immutable backups)

Bằng cách cập nhật liên tục cơ sở dữ liệu Indicator of Compromise (IOC), bao gồm file hash, YARA signature, và file path đáng ngờ, Rubrik có thể quét ngược lại lịch sử backup để:

  1. Xác nhận mốc thời gian bị xâm nhập (Threat Confirmation)

  2. Cô lập mã độc nằm trong backup hoặc appliance

  3. Tạo bản khôi phục sạch (Clean Recovery)

  4. Phân tích mô hình tấn công (Contextual Intelligence)

Khi phát hiện BRICKSTORM trong backup của khách hàng, Rubrik cung cấp báo cáo gồm:

  • Thời điểm chính xác của lây nhiễm

  • Hướng di chuyển nội bộ (lateral movement) đến vCenter

  • Khuyến nghị hành động cụ thể để cô lập, diệt trừ và khôi phục an toà

3 bước Rubrik khuyến nghị để phục hồi an toàn

  1. Threat Confirmation

    • Dùng YARA signaturefile hash để quét toàn bộ snapshot lịch sử.

    • Xác định bản sao lưu cuối cùng chưa bị nhiễm.

  2. Clean Recovery

    • Không phục hồi trực tiếp thiết bị đã bị xâm nhập.

    • Cài đặt lại VCSA mới từ nguồn tin cậy.

    • Chỉ phục hồi cấu hình cần thiết từ bản sao lưu sạch.

  3. Proactive Defense

    • Bổ sung MFA, network segmentation và logging chi tiết cho các appliance vốn là “điểm mù” của EDR.

Vì sao “Immutable Backup” là bước tiến bắt buộc trong Cyber Resilience

Các bản sao lưu bất biến không chỉ là “bản lưu trữ dữ liệu không thể chỉnh sửa”. Khi được kết hợp với Threat Intelligence liên tục cập nhật, chúng trở thành nguồn dữ liệu lịch sử giúp truy ngược toàn bộ chuỗi tấn công (Kill Chain).

Điều này mở ra hướng đi mới cho các tổ chức:

  • Không chỉ phục hồi sau tấn công, mà còn chủ động phát hiện và xác thực các mã độc đang ẩn nấp.

  • Biến backup thành một lớp phòng thủ chủ động (Active Defense Layer) trong kiến trúc an ninh tổng thể.

Thực tế đang diễn ra

Theo Bloomberg, nhà cung cấp an ninh mạng F5 của Mỹ cũng vừa bị nhóm hacker Trung Quốc tấn công bằng BRICKSTORM, duy trì xâm nhập hơn 12 thángđánh cắp mã nguồn nội bộ.

Nếu một tập đoàn bảo mật lớn như F5 còn bị xâm nhập trong thời gian dài như vậy, rõ ràng việc giám sát từ backup bất biến là một tuyến phòng thủ mà mọi tổ chức cần cân nhắc triển khai.

Kết luận

Rubrik không chỉ đang bảo vệ dữ liệu – mà đang mở rộng vai trò của backup thành một “mắt thần” phát hiện mối đe dọa an ninh mạng.

Trong bối cảnh các hệ thống ngày càng phức tạp và “điểm mù” của EDR ngày càng lớn, việc kết hợp Threat Intelligence với Immutable Backups không chỉ là một cải tiến kỹ thuật, mà là một triết lý mới của Cyber Resilience:

“Backup không chỉ để khôi phục, mà để bảo vệ.”

Awesome Image Awesome Image

© 2025 CSC-JSC. All Rights Reserved.