Đừng để cánh cửa Microsoft 365 khép hờ: Sử dụng BSM "Góc nhìn của Thượng đế" để xác định chính xác các mối đe dọa an ninh

Trong bối cảnh rủi ro số ngày càng phức tạp, các doanh nghiệp làm thế nào để nhận thức sớm các mối đe dọa an ninh, chuyển từ phòng thủ bị động sang quản lý chủ động? Microsoft đã ra mắt chế độ Bảo mật Cơ bản (Baseline Security Mode, gọi tắt là Microsoft BSM) vào cuối năm 2025, đang trở thành hướng đi quan trọng trong quá trình phát triển kiến trúc an ninh mạng toàn cầu của các doanh nghiệp.

Là đối tác chiến lược của Microsoft, PwC không chỉ tham gia sâu vào giai đoạn triển khai ban đầu của Microsoft BSM mà còn tích lũy nhiều kinh nghiệm ứng dụng tiên tiến qua nhiều kịch bản thực tiễn. Dựa trên thực tiễn bảo mật của chính mình trong kiến trúc phức tạp, PwC giúp tổ chức nhận diện và hội tụ các cấu hình và giao thức có rủi ro cao còn đang sử dụng trong Microsoft 365 (gọi tắt là M365) và Entra ID, thông qua báo cáo ảnh hưởng để đánh giá sự phụ thuộc và tác động đến hoạt động kinh doanh, thúc đẩy tăng cường nền tảng theo nhịp độ kiểm soát, giúp doanh nghiệp giải quyết khó khăn về bảo vệ hệ thống cũ, củng cố nền tảng an ninh, đưa ra các giải pháp khả thi.

Nhằm mục đích này, chúng tôi đặc biệt tổng hợp và ra mắt bài viết này, nhằm chia sẻ những hiểu biết và tổng kết thực tiễn về lĩnh vực Microsoft BSM, giúp các doanh nghiệp đang hoặc dự định sử dụng công nghệ này có thể đi trước trong xây dựng an ninh, chiến thắng trong chiến lược.

1. Tại sao “nền tảng an ninh” ngày nay trở nên cấp bách hơn?

Trong thời đại hiện nay, các mối đe dọa mạng đang bước vào giai đoạn mới “tăng tốc AI”: kẻ tấn công sử dụng các mô hình lớn và công cụ tự động hóa để quét các điểm yếu, xác định các cấu hình dễ bị khai thác, và trong môi trường doanh nghiệp, chúng có thể đạt mục tiêu tấn công với độ linh hoạt cao hơn. Các nhóm tội phạm mạng dễ dàng tìm ra các điểm yếu còn tồn tại trong hệ thống cũ, không chỉ từ các hệ thống cũ truyền thống mà còn trong các cấu hình và giao thức cũ còn được nhiều tổ chức giữ lại trong nền tảng danh tính Entra và Microsoft 365. Khi các cấu hình có rủi ro cao này kết hợp với kiến trúc đa đám mây/hỗn hợp, các biện pháp phòng thủ thường bị chậm lại, trong khi kẻ tấn công ngày càng liều lĩnh hơn.

Để vượt qua các đối thủ này, doanh nghiệp cần xây dựng “toàn cảnh rõ ràng”: bao gồm cả các thuê trên đám mây và phần mềm ứng dụng, cũng như các điểm kiểm soát quan trọng trong chuỗi xác thực và truy cập. Thách thức thực tế là: các cấu hình cũ có tính “ẩn” và “phụ thuộc” rất cao — chúng có thể đã được kế thừa qua nhiều vòng lặp cập nhật, nhưng thiếu cơ chế kiểm tra và hội tụ liên tục; nếu nhịp độ cập nhật và củng cố không theo kịp, kẻ tấn công sẽ lợi dụng để vượt qua các kiểm tra chặt chẽ, mở rộng quyền hạn hoặc thực hiện di chuyển ngang/dọc. Đồng thời, các vấn đề nền tảng như cấu hình đám mây lệch lạc, rủi ro từ tích hợp hệ thống chéo vẫn còn phổ biến, trong khi các đối thủ có công nghệ mới đang nâng cao hơn nữa giới hạn rủi ro của các vấn đề này.

Báo cáo “Thấu hiểu số toàn cầu 2026” của PwC cũng xác nhận xu hướng này qua khảo sát: các mối đe dọa liên quan đến đám mây được xem là mối đe dọa mạng “thiếu chuẩn bị” hàng đầu của doanh nghiệp; các cấu hình cũ và chuỗi cung ứng xếp thứ hai trong các điểm yếu dễ bị khai thác, hơn một nửa số người được khảo sát thừa nhận chỉ có thể đối phó “tối đa là tạm thời” trước các cuộc tấn công này. Do đó, dù các ngành nghề khác nhau có thể quan tâm khác nhau, nhưng để đối phó hiệu quả, cần quay trở lại các thực hành an ninh cơ bản — củng cố nền tảng an ninh, để hệ thống phòng thủ có nền móng vững chắc.

Trong bối cảnh này, khi tổ chức thúc đẩy “cấu hình nền tảng an ninh”, các điểm đau phổ biến thường tập trung vào các khía cạnh sau:

2. Microsoft BSM: khả năng “An ninh theo mặc định” do Microsoft cung cấp

Trong bối cảnh hơn 90% các doanh nghiệp trong danh sách Fortune 500 đã phủ sóng M365 và các công cụ hỗ trợ như Copilot, Microsoft đã ra mắt cuối năm 2025 sản phẩm an ninh mới dựa trên M365 — Microsoft BSM, tích hợp sâu trong trung tâm quản lý M365, là khả năng cấu hình nền tảng an ninh cho doanh nghiệp của hệ sinh thái M365 và Entra ID, tập trung các cài đặt an ninh quan trọng vốn phân tán trong Office, Exchange, Teams, SharePoint/OneDrive thành một giao diện thống nhất, dựa trên phân tích dữ liệu tấn công thực tế của Microsoft, ưu tiên các cấu hình cũ/rủi ro cao thường bị khai thác.

Thông qua Microsoft BSM, quản trị viên có thể nhanh chóng nhìn rõ trạng thái cấu hình và ưu tiên sửa đổi trong một bảng điều khiển duy nhất, kết hợp báo cáo ảnh hưởng/đánh giá mô phỏng (What-if) để xem tác động của thay đổi đối với người dùng và ứng dụng, rồi sau đó sử dụng phương pháp “quản lý bật/tắt” để kích hoạt các cấu hình mặc định an ninh hoặc chặn toàn cục các chức năng có rủi ro cao;

Điểm trọng tâm là loại bỏ các cấu hình cũ còn tồn tại trong M365 và Entra ID, vốn dễ bị khai thác bởi kẻ tấn công, thông qua quản lý tập trung.

Các lĩnh vực dịch vụ cốt lõi của Microsoft BSM hiện nay

Danh tính và quyền truy cập: Giảm khả năng thành công của các cuộc tấn công dựa trên chứng thực và di chuyển ngang

Các giao thức/Token xác thực cũ vẫn là một trong những điểm tấn công phổ biến nhất. Microsoft BSM đề xuất giảm thiểu các điểm tiếp xúc của các giao thức cũ trong Exchange, SharePoint/OneDrive, Teams và các dịch vụ M365, khuyến nghị tắt các cấu hình cũ liên quan để giảm rủi ro bị lừa đảo qua email, tấn công bằng mật khẩu và các hình thức khai thác khác.

Chặn các giao thức xác thực cũ: vô hiệu hóa POP (Post Office Protocol), IMAP (Internet Message Access Protocol), SMTP (Simple Mail Transfer Protocol), EWS (Exchange Web Services) cũ không hỗ trợ MFA (Xác thực đa yếu tố) hoặc truy cập theo điều kiện, cắt đứt các kênh đăng nhập có rủi ro cao.

Chặn cảnh báo xác thực cơ bản: ngăn chặn các hộp thoại “tên người dùng/mật khẩu” truyền thống, giảm khả năng người dùng nhập thông tin trong các cảnh báo không an toàn, từ đó giảm nguy cơ bị đánh cắp hoặc lừa đảo.

Tài liệu và hợp tác: Giảm diện tấn công từ các tài liệu độc hại và các đặc điểm của tài liệu cũ

Các ứng dụng M365 như Word/Excel/PowerPoint giúp nâng cao hiệu quả, nhưng các định dạng tệp cũ (ví dụ như Word .doc) và các điều khiển ActiveX nhúng có thể gây ra rủi ro bảo mật đáng kể. Microsoft BSM đề xuất và có thể thúc đẩy tổ chức dần chuyển sang các định dạng tệp hiện đại, an toàn hơn, hạn chế hoặc loại bỏ các tệp chứa ActiveX có rủi ro cao, giảm thiểu điểm khai thác từ nguồn gốc.

Sau khi có sự đồng ý xem dữ liệu chẩn đoán chi tiết, Microsoft BSM còn cung cấp khả năng hiển thị chi tiết: ví dụ, thống kê số lượng người dùng trong tổ chức còn sử dụng các tài liệu cũ chứa ActiveX trong 28 ngày qua, cùng số lần mở các tệp này, giúp quản trị viên chính xác trong việc đào tạo người dùng và hội tụ chiến lược, thúc đẩy tiêu chuẩn an ninh.

Phòng họp và thiết bị chia sẻ: Giúp “tài sản mù” trở lại kiểm soát

Microsoft BSM tập trung vào hai thực hành tốt nhất trong các kịch bản thiết bị phòng họp, nhằm giảm thiểu rủi ro bị lạm dụng và rò rỉ dữ liệu:

Chặn đăng nhập của các thiết bị và tài khoản tài nguyên chưa được quản lý vào ứng dụng M365: hạn chế các thiết bị không quản lý và tài khoản tài nguyên (ví dụ như tài khoản phòng họp) đăng nhập trực tiếp vào Office, giảm điểm vào bị lợi dụng.

Hạn chế truy cập tài khoản tài nguyên của Teams Rooms vào các tệp M365 trong cuộc họp: cấm hoặc hạn chế các tài khoản tài nguyên trên thiết bị Teams Rooms truy cập các tệp M365 hiển thị trong cuộc họp, tránh rò rỉ nội dung nhạy cảm.

Thực hiện các cấu hình này giúp nâng cao an ninh cho môi trường phòng họp, bảo vệ dữ liệu cuộc họp và thông tin nhạy cảm.

Giới thiệu các chức năng của Microsoft BSM

Kế hoạch phát triển của Microsoft BSM trong tương lai

Phiên bản đầu tiên của Microsoft BSM — Microsoft BSM 2025, đã ra mắt 20 cấu hình nền tảng trong 5 ứng dụng cốt lõi. Microsoft hỗ trợ xác nhận và triển khai các chức năng này trong toàn doanh nghiệp. Các cập nhật tiếp theo đã bắt đầu, quy mô lớn hơn, gồm 46 chức năng, gấp hơn hai lần so với ban đầu. Đội ngũ sản phẩm của Microsoft BSM đang mở rộng phạm vi, tập trung vào: hạn chế giao thức sâu hơn, kiểm soát ứng dụng rộng hơn, và chiến lược xác thực chi tiết hơn.

3. Các điểm đau phổ biến khi triển khai nền tảng an ninh và cách Microsoft BSM ứng phó

Microsoft BSM không thay thế hệ thống an ninh toàn diện (như phát hiện mối đe dọa, phản ứng, quản lý dữ liệu), mà ưu tiên củng cố “nền móng”: sử dụng cấu hình mặc định mạnh hơn để giảm các điểm vào có thể bị khai thác, và dựa trên mô phỏng ảnh hưởng cùng dữ liệu chẩn đoán để hỗ trợ doanh nghiệp thúc đẩy sửa đổi theo nhịp độ phù hợp với hoạt động kinh doanh.

Các điểm đau khi triển khai nền tảng an ninh & khả năng ứng phó của Microsoft BSM

4. Các kịch bản điển hình phù hợp với Microsoft BSM

Kết hợp nhu cầu bảo vệ an ninh trong toàn bộ quy trình số hóa của doanh nghiệp, khả năng của Microsoft BSM có thể chính xác ứng dụng vào nhiều lĩnh vực kinh doanh và hoạt động cốt lõi. Các giải pháp phòng thủ dành cho các rủi ro an ninh thường xuyên trong môi trường làm việc, có thể bảo vệ hiệu quả các điểm quan trọng như tài khoản, xác thực, kịch bản tự động, truyền tải, điều khiển, đăng nhập thiết bị, phù hợp với các điểm đau an ninh hàng ngày của doanh nghiệp.

5. Sự khác biệt giữa Microsoft BSM và các sản phẩm an ninh khác của Microsoft: Tránh các hiểu lầm phổ biến

Nhiều doanh nghiệp đã triển khai Microsoft Secure Score, Entra Access, Defender và các script nền tảng, nên thường hỏi “Microsoft BSM có trùng lặp không”. Chúng tôi khuyên: hiểu rõ vị trí, mục đích của từng sản phẩm để tránh nhầm lẫn chức năng.

Tổng quan so sánh các sản phẩm an ninh của Microsoft

6. Từ “cấu hình” đến “triển khai”: Kinh nghiệm thực tế của PwC

Do quy mô lớn, kiến trúc phức tạp, PwC cũng đối mặt lâu dài với các rủi ro từ các cấu hình cũ, theo thời gian có thể trở thành điểm tấn công mới khi môi trường đe dọa thay đổi. Chính vì vậy, dựa trên mối quan hệ hợp tác chiến lược Inner Circle của PwC và Microsoft, chúng tôi đã trở thành một trong những tổ chức thử nghiệm đầu tiên toàn cầu triển khai Microsoft Baseline Security Mode (BSM), bằng cách “xác nhận trước, tích lũy trước”, để cung cấp phương pháp và lộ trình có thể tái sử dụng cho việc mở rộng quy mô sau này.

Chúng tôi thu được gì từ thử nghiệm?

Trước hết, Microsoft BSM cung cấp một giao diện kiểm soát và quản lý tập trung, dễ thao tác hơn. Các cấu hình tương tự trước đây phân tán trong nhiều bảng điều khiển và vị trí, cần phải kiểm tra và thiết lập từng cái một; còn Microsoft BSM giúp tập trung nhận diện các cấu hình cũ còn đang sử dụng trong tổ chức, và khi cần, có thể nhanh chóng hội tụ và chặn các khả năng có rủi ro cao bằng các chiến lược “bật/tắt” đơn giản, biến rủi ro từ “quản lý điểm” thành “quản lý hệ thống”.

Lưu ý rằng, Microsoft BSM không cung cấp danh sách cấu hình “có thể áp dụng một phím là xong”. Trong quá trình thử nghiệm, chúng tôi nhận thấy một số đề xuất ảnh hưởng lớn đến hoạt động hiện tại: khi kích hoạt, có thể ảnh hưởng đến các phụ thuộc ứng dụng, phương thức xác thực và các giao thức cũ đã quen dùng. Dựa trên đánh giá này, chúng tôi tích hợp các đề xuất vào quy trình quản lý thay đổi và đánh giá rủi ro hiện có, xây dựng lộ trình sửa đổi theo từng giai đoạn: vừa định kỳ xem lại dữ liệu ảnh hưởng do Microsoft BSM cung cấp, vừa phối hợp với các lãnh đạo doanh nghiệp để xác định các phương án thay thế, thời gian chuyển đổi và các chiến lược ngoại lệ phù hợp, đảm bảo các đề xuất có thể được thực hiện theo nhịp độ kiểm soát, nâng cao nền tảng an ninh mà không làm gián đoạn hoạt động kinh doanh.

Giá trị của chúng tôi nằm ở khả năng dựa trên hiểu biết về quy trình và phụ thuộc hệ thống của doanh nghiệp, biến các “đề xuất an ninh” của Microsoft BSM thành các lộ trình sửa đổi khả thi, phù hợp với nhịp độ và trách nhiệm, cuối cùng đạt được mục tiêu nâng cao nền tảng an ninh mà không làm gián đoạn hoạt động.

Chúng tôi vận hành nó như thế nào?

Dù Microsoft BSM có thể trực tiếp tạo ra dữ liệu cần thiết, chúng tôi nhận thức rõ rằng người dùng cần các phương án thực thi rõ ràng, khả thi. Dựa trên kinh nghiệm thực tiễn, chúng tôi đã phát triển nhiều khả năng hỗ trợ:

• Giải pháp tự động hóa: các công cụ và bảng điều khiển tùy chỉnh giúp tổ chức phân tích dữ liệu của Microsoft BSM, xác định thứ tự sửa đổi và theo dõi tiến trình giảm thiểu rủi ro;

• Trung tâm hỗ trợ chu kỳ: thành lập trung tâm hỗ trợ, cung cấp nguồn lực và công nghệ từ lập kế hoạch đến triển khai;

• Sổ tay vận hành tiêu chuẩn: xây dựng quy trình dựa trên thực tiễn để hướng dẫn thực thi hiệu quả các đề xuất của Microsoft BSM.

Dựa trên các giải pháp và kinh nghiệm này, PwC giúp doanh nghiệp chuyển đổi các chức năng an ninh của Microsoft BSM thành kết quả thực tế, từ phân tích dữ liệu đến kiểm soát rủi ro, vòng khép kín trong quản lý.

Toàn cảnh dịch vụ triển khai Microsoft BSM của PwC

Các bộ tăng tốc BSM (Accelerator) do PwC phát triển tập trung thu thập các báo cáo ảnh hưởng phân tán, cần click từng mục để tải xuống, rồi kết hợp với dữ liệu người dùng và ứng dụng của Microsoft Entra, biến các thông tin ảnh hưởng chỉ gồm ID ứng dụng, thiếu trách nhiệm hoặc thuộc về bộ phận nào đó thành một sơ đồ gồm các dòng nghiệp vụ, ứng dụng, người phụ trách, phạm vi ảnh hưởng. Nhờ đó, nhóm an ninh có thể theo dõi ảnh hưởng theo từng bộ phận, ứng dụng, người phụ trách, tránh phải liên tục trao đổi nhiều lần về cùng một điểm ảnh hưởng của một ứng dụng, đồng thời theo dõi biến đổi rủi ro qua trực quan, hỗ trợ báo cáo định kỳ cho quản lý, giúp quá trình triển khai Microsoft BSM trở thành dự án “có thể cộng tác, theo dõi và hoàn thành vòng khép kín”.

7. Kết luận: Dùng Microsoft BSM để biến “An ninh mặc định” thành ngôn ngữ chung của tổ chức

Các doanh nghiệp hiện nay có thể nhanh chóng nhận diện các cấu hình và giao thức cũ, dễ bị khai thác. Ví dụ, Microsoft BSM cung cấp cơ chế chủ động chặn từ nguồn, ngăn chặn sử dụng các thành phần cũ có rủi ro cao. Khi các tổ chức kiểm tra và giám sát ngày càng chặt chẽ hơn, các khoản đầu tư này không chỉ đáp ứng yêu cầu tuân thủ mà còn trở thành lợi thế chiến lược của doanh nghiệp.

Trong môi trường liên kết cao như hiện nay, điểm yếu về an ninh của một doanh nghiệp có thể gây ra rủi ro hệ thống toàn diện. Đầu tư các biện pháp phòng thủ chủ động như Microsoft BSM là điều cực kỳ quan trọng — bảo vệ nền tảng an ninh không còn là việc nội bộ, mà còn là trách nhiệm chung của toàn ngành. Độ an toàn của hệ sinh thái phụ thuộc vào từng khâu, chỉ khi toàn bộ hệ sinh thái cùng tối ưu mới có thể nâng cao nền tảng an ninh chung.

Đội ngũ an ninh mạng của PwC chuyên sâu về an ninh mạng, tuân thủ dữ liệu và tin cậy số, lấy các ý tưởng và thực hành liên quan đến Microsoft BSM làm trung tâm, kết hợp kinh nghiệm toàn cầu và khả năng triển khai trong nước, cung cấp dịch vụ an ninh toàn vòng đời từ chiến lược đến vận hành, giúp doanh nghiệp xây dựng nền tảng an toàn vững chắc trong quá trình chuyển đổi số.