top of page

Bảo mật dữ liệu doanh nghiệp trước "lỗ hổng" Zalo PC và mobile: Khi tường lửa không còn đủ sức

  • 5 ngày trước
  • 5 phút đọc

Đối với các doanh nghiệp vừa và nhỏ (SME), Zalo đã trở thành một công cụ giao tiếp và làm việc không thể thiếu. Sự tiện lợi của ứng dụng này giúp phòng kinh doanh cũng như các bộ phận khác kết nối với khách hàng một cách nhanh chóng.

Tuy nhiên, đây cũng chính là nơi dễ xảy ra tình trạng rò rỉ các tài sản số quan trọng của công ty như hợp đồng, danh sách khách hàng hay báo cáo tài chính. Nhân viên có thể dễ dàng chuyển các dữ liệu này ra ngoài bằng tính năng "Cloud của tôi" trên Zalo PC, sau đó tải về điện thoại cá nhân mà hệ thống không hề hay biết. Nhiều doanh nghiệp đã tìm cách ngăn chặn tình trạng này nhưng thường không mang lại kết quả như kỳ vọng.

Tại sao các phương pháp bảo mật truyền thống chưa hiệu quả?

Nhiều quản trị viên hệ thống (IT) thường nghĩ đến việc sử dụng Tường lửa thế hệ mới (Next-Gen Firewall - NGFW) kết hợp với tính năng kiểm soát ứng dụng (App Control) để quản lý Zalo.

Mở rộng lá chắn bảo mật lên điện thoại di động với Microsoft Intune Bên cạnh việc kiểm soát chặt chẽ trên máy tính (PC), kịch bản rò rỉ dữ liệu khi nhân viên đồng bộ và tải tài liệu về điện thoại di động hay máy tính bảng cá nhân cũng là một bài toán khiến nhiều doanh nghiệp đau đầu. Để giải quyết trọn vẹn lỗ hổng này, doanh nghiệp cần một giải pháp quản trị và bảo vệ toàn diện trên các thiết bị di động. Đó là lúc Microsoft Intune phát huy vai trò như một mảnh ghép bảo mật cốt lõi, giúp quản lý thiết bị và ứng dụng di động một cách an toàn và đồng bộ. Đối với các doanh nghiệp đang tìm kiếm phương án triển khai tối ưu hệ thống này cho môi trường di động, bạn có thể liên hệ với ipsip để được hỗ trợ chuyên sâu về dịch vụ Microsoft Intune. Việc kết hợp chặt chẽ giữa bảo mật máy tính và quản lý thiết bị di động sẽ tạo nên một hệ thống phòng thủ khép kín, bảo vệ tài sản số của công ty mọi lúc, mọi nơi.
Zalo là một trong những công cụ làm việc phổ biến tại Việt Nam

Dù vậy, phương pháp tiếp cận từ góc độ mạng này gặp phải những rào cản rất lớn:

  • Sự hạn chế của Network DLP (Giải pháp chống thất thoát dữ liệu qua mạng): Vì Zalo sử dụng phương thức mã hóa đường truyền dữ liệu (HTTPS/TLS), tường lửa chỉ có thể nhận biết được có người đang truy cập ứng dụng chứ hoàn toàn không thể can thiệp hay đọc được nội dung, tệp tin nào đang được gửi đi.

  • Quá tải khi giải mã SSL (SSL Decryption): Nếu bắt buộc tường lửa phải đứng ra giải mã để kiểm tra sâu vào bên trong gói tin, hệ thống phần cứng sẽ bị đè nặng, tiêu tốn rất nhiều tài nguyên xử lý (CPU) và dễ gây ra các lỗi ngắt kết nối ứng dụng của người dùng.

  • Việc chặn theo IP hoặc Tên miền (Domain) bất khả thi: Hệ thống máy chủ đám mây của Zalo rất lớn và thay đổi địa chỉ IP cũng như tên miền liên tục. Việc chạy đua để chặn các địa chỉ này tầng mạng là điều cực kỳ khó khăn. Hơn nữa, nếu chặn hoàn toàn thì doanh nghiệp cũng sẽ mất luôn kênh liên lạc để làm việc.

Cơ chế bảo vệ từ gốc của Microsoft Purview Endpoint DLP

Thay vì tìm cách chặn phần mềm hay luồng mạng, giải pháp Microsoft Purview Endpoint DLP thay đổi tư duy quản trị: tập trung quản lý vòng đời của chính dữ liệu đó.

Công nghệ này hoạt động bằng cách tích hợp một cảm biến ngầm trực tiếp vào nhân hệ điều hành (OS Kernel) của các máy tính chạy Windows 10 và Windows 11.

Quy trình xử lý diễn ra rất chặt chẽ và thông minh:

  1. Khi làm việc thông thường: Nhân viên vẫn có thể nhắn tin, trao đổi công việc trên Zalo PC một cách hoàn toàn bình thường.

  2. Khi có hành vi gửi file: Nếu nhân viên chọn đính kèm một tệp tin nhạy cảm (ví dụ: Báo cáo tài chính), ứng dụng Zalo sẽ yêu cầu hệ điều hành Windows cấp quyền mở file để chuẩn bị tải lên mạng.

  3. Hệ thống can thiệp tức thì: Ngay lập tức, cảm biến của Purview sẽ quét nội dung tệp tin trong vài phần nghìn giây. Khi phát hiện tệp chứa thông tin bảo mật và nhận diện ứng dụng Zalo nằm trong danh sách hạn chế, hệ thống sẽ tự động khóa quyền đọc (Read-access) của Zalo đối với tệp tin đó.

Kết quả là ứng dụng Zalo không thể lấy được bất kỳ dữ liệu nào để gửi đi. Đồng thời, một thông báo cảnh báo sẽ hiển thị ở góc màn hình của người dùng và mọi thông tin về hành vi vi phạm này sẽ được ghi nhận lại để báo cáo cho ban quản lý. Đây chính là tinh thần của mô hình bảo mật "Không tin cậy khi chưa xác thực" (Zero-Trust): Nhân viên vẫn được dùng ứng dụng phục vụ công việc, nhưng tài sản số của công ty thì được bảo vệ tuyệt đối.

Hướng dẫn các bước cấu hình chi tiết trên giao diện quản trị

Nếu doanh nghiệp đang sở hữu gói bản quyền Microsoft 365 E5, quy trình thiết lập có thể thực hiện hoàn toàn trên giao diện đồ họa (GUI) mà không cần phải viết mã hay cài đặt thêm các phần mềm trung gian (Agent) gây nặng máy.

Bước 1: Khai báo ứng dụng cần quản lý

  • Truy cập vào trang quản trị Microsoft Purview Portal, chọn mục Settings (biểu tượng bánh răng).

  • Tìm đến phần Data Loss Prevention, sau đó chọn Endpoint DLP settings.

  • Tại mục Restricted apps and app groups, nhấn Add restricted app và điền chính xác tên tiến trình là Zalo.exe (bạn cũng có thể chủ động thêm các ứng dụng chat khác như Telegram.exe hay Viber.exe vào danh sách này).

Bước 2: Thiết lập chính sách ngăn chặn (DLP Policy)

  • Quay trở lại không gian làm việc của mục Data Loss Prevention và chọn Policies.

  • Tiến hành chỉnh sửa (Edit) chính sách bảo vệ dữ liệu nhạy cảm sẵn có của doanh nghiệp (như các chính sách bảo vệ thông tin thẻ tín dụng, căn cước công dân hoặc các tài liệu được dán nhãn mật).

  • Di chuyển xuống phần hành động (Actions). Tại mục Audit or restrict activities on Windows devices, tìm đến dòng Access by unallowed apps và chuyển trạng thái sang BLOCK (Chặn). Sau đó lưu lại để hệ thống đồng bộ xuống các thiết bị của nhân viên.

Bước 3: Kiểm tra hoạt động thực tế

Sau khi cấu hình đồng bộ hoàn tất, khi nhân viên cố tình kéo thả các tệp tin thuộc danh mục bảo mật vào khung chat của Zalo PC, hệ điều hành Windows sẽ từ chối quyền truy cập của ứng dụng ngay lập tức, đảm bảo an toàn tuyệt đối cho dữ liệu doanh nghiệp.

Chặn dữ liệu trên Zalo PC
Chặn dữ liệu trên Zalo PC. Nguồn ST

Mở rộng lá chắn bảo mật lên điện thoại di động với Microsoft Intune

Bên cạnh việc kiểm soát chặt chẽ trên máy tính (PC), kịch bản rò rỉ dữ liệu khi nhân viên đồng bộ và tải tài liệu về điện thoại di động hay máy tính bảng cá nhân cũng là một bài toán khiến nhiều doanh nghiệp đau đầu. Để giải quyết trọn vẹn lỗ hổng này, doanh nghiệp cần một giải pháp quản trị và bảo vệ toàn diện trên các thiết bị di động.

Đó là lúc Microsoft Intune phát huy vai trò như một mảnh ghép bảo mật cốt lõi, giúp quản lý thiết bị và ứng dụng di động một cách an toàn và đồng bộ. Đối với các doanh nghiệp đang tìm kiếm phương án triển khai tối ưu hệ thống này cho môi trường di động, bạn có thể liên hệ với IPSIP Việt Nam để được hỗ trợ chuyên sâu về dịch vụ Microsoft Intune.

Liên hệ IPSIP Việt Nam
Liên hệ IPSIP Việt Nam

Việc kết hợp chặt chẽ giữa bảo mật máy tính và quản lý thiết bị di động sẽ tạo nên một hệ thống phòng thủ khép kín, bảo vệ tài sản số của công ty mọi lúc, mọi nơi.

Bảo mật thông tin trong doanh nghiệp không đồng nghĩa với việc cấm đoán cực đoan, mà là tìm ra điểm giao thoa hợp lý giữa tính an toàn và hiệu suất vận hành của kinh doanh. Việc triển khai giải pháp Endpoint DLP một cách hợp lý sẽ giúp bộ phận CNTT bảo vệ hiệu quả chất xám và tài sản số của tổ chức mà không làm gián đoạn dòng chảy công việc hàng ngày của các phòng ban.

-----

Nguồn tham khảo (ST)

Bình luận

conact-ipsip-vietnam
zalo
đặt lịch hẹn
linkedin ipsip vietnam
LOGO IPSIP vietnam 1

CÔNG TY TNHH MTV IPSIP VIỆT NAM (IPSIP VIETNAM OMLLC)

​MST: 0313859600

🏢 Số SH05.01 Đường B4, Khu Saritown, Phường An Khánh, Thành phố Hồ Chí Minh, Việt Nam

​☎  +84 91 885 30 68

  • Linkedin
  • Facebook
  • TikTok
  • Email liên h��ệ
Dịch vụ nổi bật

Giải pháp cho SMEs

SOC 24/7

NOC 24/7

IT Support

An ninh mạng
Cloud

Đăng ký nhận tài liệu, tin tức an ninh mạng chuyên sâu từ IPSIP Việt Nam

bottom of page