Chuyển đổi kỹ thuật số và chuyển đổi sang làm việc hiện đại khuyến khích sự tham gia của nhân viên, cải thiện năng suất và sự cộng tác. Quá trình chuyển đổi này đặt ra những thách thức lớn trong việc bảo vệ thông tin nhạy cảm. Trong môi trường làm việc hiện đại, khoảng cách giữa mạng công ty và đám mây đang mờ dần. Dữ liệu nhạy cảm liên tục di chuyển giữa các vị trí khác nhau và thường được chia sẻ với những người khác – cả bên trong và bên ngoài doanh nghiệp. Điều này làm tăng đáng kể bề mặt tấn công và làm cho việc xác định, bảo vệ và giám sát dữ liệu nhạy cảm trở nên khó khăn hơn.
Ngoài ra, các mối đe dọa đang phát triển và ngày càng trở nên tinh vi và nguy hiểm hơn. Vi phạm dữ liệu đang ở mức cao nhất mọi thời đại về cả số lần vi phạm lẫn mức độ nghiêm trọng tổng thể và tác động kinh doanh. Do đó, các chính phủ và cơ quan quản lý đang đưa ra các quy định chặt chẽ hơn với các khoản tiền phạt chưa từng có vì không bảo vệ và quản lý thông tin nhạy cảm một cách hợp lý.
Các giải pháp truyền thống có thể hiểu là đang đặt các bức tường xung quanh mạng của doanh nghiệp, nhưng như vậy thôi là chưa đủ. Điều này dẫn đến nguy cơ bảo vệ quá mức ở những nơi không cần thiết, làm giảm năng suất của nhân viên an ninh mạng, làm gián đoạn quy trình làm việc của nhân viên trong công ty.
Hãy xem xét các nguyên tắc sau trước khi quyết định chiến lược bảo vệ thông tin của doanh nghiệp:
Khả năng hiển thị (Visibility) – Bạn không thể bảo vệ những gì bạn không nhìn thấy. Cố gắng đạt được khả năng hiển thị đầy đủ đối với dữ liệu nhạy cảm ở bất cứ đâu.
Bảo vệ tập trung vào dữ liệu (Data-centric protection) – Hãy bảo vệ dữ liệu, chứ không phải thiết bị. Áp dụng các khả năng bảo vệ thông tin để cải thiện phạm vi bảo vệ và giảm bớt ảnh hưởng đến người dùng cuối do những gián đoạn không cần thiết. Đảm bảo dữ liệu nhạy cảm vẫn được bảo vệ ở bất kỳ đâu, trên bất kì thiết bị nào; điều này đặc biệt quan trọng trong môi trường làm việc hiện đại, nơi dữ liệu liên tục di chuyển.
Lập kế hoạc vi phạm – hacker ngày càng tinh vi, các mối đe dọa đánh cấp thông tin sẽ tìm cách vượt qua bất kỳ bức tường bảo mật nào. Triển khai các kỹ thuật xử lý sau vi phạm, liên tục giám sát việc sử dụng dữ liệu nhạy cảm trong doanh nghiệp, tương quan dữ liệu với các hành vi đáng ngờ khác, đồng thời phản hồi và giảm thiểu rủi ro nhiều nhất có thể.
Điểm cuối (endpoint) là điểm kiểm soát then chốt khi thực hiện chiến lược bảo vệ thông tin hiệu quả dựa trên 3 nguyên tác kể trên. Điểm cuối thường là lối vào cho các cuộc tấn công tinh vi do hacker bên ngoài hoặc mối đe dọa tìm ẩn bên trong. Hãy kiểm tra các điểm cuối của mình, rất có thể bạn sẽ tìm ra điểm yếu bảo mật nghiêm trọng nhất của doanh nghiệp.
Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP), nền tảng bảo vệ điểm cuối của Microsoft, giải quyết thách thức này bằng cách tích hợp với Azure Information Protection (giải pháp phân loại, gắn nhãn/label và bảo vệ dữ liệu của Microsoft). Sự tích hợp này cho phép Windows hiểu rõ các nhãn được gắn vào thông tin nhạy cảm qua Azure Information Protection cho phép phản hồi hoạt động độc hại sau vi phạm liên quan hoặc ảnh hưởng đến dữ liệu của doanh nghiệp.
Microsoft Defender ATP được tích hợp vào HĐH, loại bỏ nhu cầu triển khai và bảo trì agent, đảm bảo rằng trải nghiệm người dùng cuối không bị ảnh hưởng khi thực hiện các quy trình kinh doanh. Việc tích hợp liền mạch, không yêu cầu cơ sở hạ tầng on-premises hoặc agent điểm cuối, Azure Information Protection đảm bảo rằng quản trị viên dữ liệu có thể dễ dàng sử dụng Azure Information Protection để quản lý các khả năng bảo vệ mới.
Khám phá các tài liệu nhạy cảm trên thiết bị Windows
Các cảm biến tích hợp của Microsoft Defender ATP phát hiện ra dữ liệu được gắn nhãn trên tất cả các thiết bị được dịch vụ Microsoft Defender ATP giám sát. Dữ liệu này sau đó được gắn liền mạch cho một báo cáo trong Azure Information Protection và cả cho dữ liệu trên thiết bị Windows. Điều này cho phép khách hàng đang sở hữu Azure Information Protection có được khả năng hiển thị tức thì vào dữ liệu nhạy cảm trên các thiết bị bằng cách sử dụng cùng một bảng điều khiển và các công cụ phân tích.
Hình 1. Bảo vệ thông tin Azure – Bảng điều khiển khám phá dữ liệu hiển thị dữ liệu được phát hiện bởi cả Microsoft Defender ATP và Azure Information Protection
Là một bộ bảo vệ điểm cuối, Microsoft Defender ATP giám sát và tính toán mức độ rủi ro của thiết bị, một chỉ số tổng hợp các mối đe dọa bảo mật đang hoạt động trên mỗi thiết bị. Dữ liệu này cũng được chia sẻ với các báo cáo Azure Information Protection, cho phép quản trị viên dữ liệu chủ động hiểu liệu dữ liệu nhạy cảm của công ty có nằm trên bất kỳ thiết bị đang bị xâm phạm nào hay không. Để hiểu lý do tại sao thiết bị bị xâm phạm, chỉ cần một cú nhấp chuột trong bảng điều khiển Azure Information Protection để được chuyển hướng đến hồ sơ của thiết bị đó trong Microsoft Defender ATP, nơi quản trị viên có thể điều tra và giảm thiểu các mối đe dọa bảo mật đã phát hiện.
Hình 2. Azure Information Protection – Bảng điều khiển khám phá dữ liệu hiển thị tính toán rủi ro của thiết bị
Việc bật tích hợp này chỉ bằng một lần nhấp chuột trong trang cài đặt các tính năng nâng cao (advanced features settings page) trong Microsoft Defender Security Center. Các điểm cuối của Windows sẽ bắt đầu khám phá các tài liệu được gắn nhãn ngay lập tức.
Hình 3. Microsoft Defender Security Center – Settings page
Phát hiện rò rỉ dữ liệu nhạy cảm từ các thiết bị Windows
Ngoài ra, Microsoft Defender ATP tích hợp sensitive data awareness vào Microsoft Defender Security Center. Mỗi sự cố hoặc cảnh báo được nêu ra trong Microsoft Defender Security Centerr bao gồm một thuộc tính “data sensitivity” hay ‘độ nhạy cảm của dữ liệu’ được tạo ra bằng cách tổng hợp độ nhạy cảm của tất cả các tệp được gắn nhãn trên các thiết bị bị ảnh hưởng bởi sự cố an ninh mạng. Điều này cho phép các nhà phân tích bảo mật ưu tiên phản ứng sự cố dựa trên độ nhạy cảm của dữ liệu.
Hình 4. Microsoft Defender Security Center – Incident queue, được sắp xếp theo độ nhạy cảm của dữ liệu
Kết luận
Bảo vệ dữ liệu nhạy cảm đòi hỏi một cách tiếp cận toàn diện. Dữ liệu nhạy cảm được lưu trữ trên các thiết bị liên tục di chuyển mang đến những thách thức riêng. Microsoft Defender ATP và Azure Information Protection phối hợp với nhau để giảm thiểu khả năng mất dữ liệu nhạy cảm một cách hiệu quả. Cùng với nhau, các giải pháp này cung cấp khả năng khám phá và bảo vệ cần thiết, thực thi tuân thủ dữ liệu và chủ động giảm thiểu rủi ro.
OWASP là viết tắt của Open Web Application Security Project là một tổ chức phi lợi nhuận quốc tế chuyên về bảo mật ứng dụng web. Một trong những nguyên tắc cốt lõi của OWASP là tất cả các tài liệu của tổ chức đều miễn phí và dễ dàng truy cập trên trang web chính thức http://owasp.org, giúp mọi người đặc biệt là ngành an ninh mạng có thể cải thiện tính bảo mật của ứng dụng web. Các tài liệu OWSAP cung cấp bao gồm tài liệu, công cụ, video và diễn đàn. OWASP được biết đến nhiều nhất qua OWASP Top 10.
OWASP Top 10 là gì?
OWASP Top 10 là một báo cáo được cập nhật thường xuyên về các nguy cơ bảo mật đối với bảo mật ứng dụng web, tập trung vào 10 rủi ro/lỗ hổng quan trọng nhất. Báo cáo được tổng hợp bởi một nhóm các chuyên gia bảo mật từ khắp nơi trên thế giới. OWASP đề cập đến Top 10 như một “tài liệu nâng cao nhận thức” và họ khuyến nghị tất cả các công ty nên kết hợp báo cáo này vào các quy trình của họ để giảm thiểu rủi ro bảo mật.
Dưới đây là các rủi ro bảo mật được báo cáo trong OWASP Top 10:
Injection
Injection attack xảy ra khi dữ liệu không đáng tin cậy được gửi đến trình thông dịch mã (code interpreter) thông qua việc điền các form (biểu mẫu) hoặc một số dữ liệu khác gửi đến ứng dụng web. Ví dụ, kẻ tấn công có thể nhập SQL database code vào một biểu mẫu yêu cầu username ở dạng plaintext. Nếu việc điền các biểu mẫu đó không được bảo mật đúng cách, điều này sẽ dẫn đến việc SQL code đó được thực thi. Đây được gọi là một cuộc tấn công SQL injection.
Các cuộc tấn công injection có thể được ngăn chặn bằng cách xác thực và / hoặc “khử trùng” dữ liệu do người dùng gửi. (Xác thực nghĩa là từ chối các dữ liệu đáng ngờ, trong khi “khử trùng” nghĩa là làm sạch các phần dữ liệu có vẻ đáng ngờ.) Ngoài ra, quản trị viên cơ sở dữ liệu có thể thiết lập các biện pháp kiểm soát để giảm thiểu lượng thông tin bị lộ ra qua một cuộc tấn công injection.
Broken Authentication
Các lỗ hổng trong hệ thống xác thực (login) có thể cho phép kẻ tấn công truy cập vào tài khoản người dùng và thậm chí có khả năng xâm nhập toàn bộ hệ thống bằng tài khoản quản trị viên. Ví dụ: kẻ tấn công có thể lấy một danh sách chứa hàng nghìn tổ hợp tên người dùng / mật khẩu đã biết có được trong một lần vi phạm dữ liệu và sử dụng tập lệnh để thử tất cả các tổ hợp đó trên hệ thống đăng nhập để xem có tổ hợp nào hoạt động không.
Một số chiến lược để giảm thiểu lỗ hổng xác thực là sử dụng xác thực 2 yếu tố two-factor authentication (2FA) cũng như hạn chế hoặc trì hoãn các nỗ lực đăng nhập lặp lại bằng cách sử dụng giới hạn về số lần đăng nhập & thời gian giãn cách giữa các lần đăng nhập sai.
Sensitive Data Exposure
Nếu các ứng dụng web không bảo vệ dữ liệu nhạy cảm như thông tin tài chính và mật khẩu, hacker có thể giành quyền truy cập vào dữ liệu đó và sử dụng cho các mục đích bất chính. Một phương pháp phổ biến để lấy cắp thông tin nhạy cảm là sử dụng một cuộc tấn công on-path attack.
Nguy cơ lộ dữ liệu có thể được giảm thiểu bằng cách mã hóa (encypt) tất cả dữ liệu nhạy cảm cũng như vô hiệu *cache của bất kỳ thông tin nhạy cảm nào. Ngoài ra, các nhà phát triển ứng dụng web nên cẩn thận để đảm bảo rằng họ không lưu trữ bất kỳ dữ liệu nhạy cảm nào một cách không cần thiết.
*Cache lưu trữ tạm thời dữ liệu để sử dụng lại. Ví dụ: trình duyệt web thường sẽ lưu vào bộ nhớ cache các trang web để nếu người dùng truy cập lại các trang đó trong một khoảng thời gian cố định, trình duyệt không phải tìm nạp các trang web đó từ đầu.
XML External Entities (XEE)
Đây là một cuộc tấn công ứng dụng web bằng phân tích cú pháp đầu vào XML * (parses XML* input). Input này có thể tham chiếu đến một thực thể bên ngoài (external entity), đang cố gắng khai thác lỗ hổng trong trình phân tích cú pháp (parser). External entity có thể là một đơn vị lưu trữ, chẳng hạn như ổ cứng. XML parser có thể bị lừa để gửi dữ liệu đến một thực thể bên ngoài trái phép và chuyển trực tiếp dữ liệu nhạy cảm cho kẻ tấn công.
Các cách tốt nhất để ngăn chặn các cuộc tấn công XEE là để các ứng dụng web chấp nhận một loại dữ liệu ít phức tạp hơn, chẳng hạn như JSON **, hoặc vô hiệu hóa việc sử dụng các thực thể bên ngoài trong một ứng dụng XML.
*XML hay Extensible Markup Language là một markup language nhằm mục đích cho phép cả người & máy đều có thể đọc hiểu được. Do tính phức tạp và lỗ hổng bảo mật, XML hiện đang bị loại bỏ dần trong nhiều ứng dụng web.
** JavaScript Object Notation (JSON) là một loại ký hiệu đơn giản được sử dụng để truyền dữ liệu qua internet. Mặc dù ban đầu được tạo cho JavaScript, JSON là ngôn ngữ có thể được thông dịch bởi nhiều ngôn ngữ lập trình khác nhau.
Broken Access Control
Access Control hay kiểm soát truy cập đề cập đến một hệ thống kiểm soát quyền truy cập vào thông tin hoặc chức năng. Access Control chứa lỗ hổng cho phép kẻ tấn công bỏ qua ủy quyền (authorization) và thực hiện các tác vụ như thể là người dùng có đặc quyền, chẳng hạn như quản trị viên (admin). Ví dụ: một ứng dụng web có thể cho phép người dùng thay đổi tài khoản mà họ đã đăng nhập chỉ bằng cách thay đổi một phần của url mà không cần bất kỳ xác minh nào khác.
Kiểm soát truy cập có thể được bảo mật bằng cách đảm bảo rằng ứng dụng web sử dụng authorization tokens* và đặt các kiểm soát chặt chẽ đối với các token này.
*Nhiều dịch vụ cho phép sử dụng authorization tokens khi người dùng đăng nhập. Mọi yêu cầu đặc quyền mà người dùng đưa ra sẽ yêu cầu phải có authorization tokens. Đây là một cách an toàn để đảm bảo rằng đúng người dùng với đúng đặc quyền.
Security Misconfiguration
Security misconfiguration hay lỗi cấu hình sai bảo mật là lỗ hổng phổ biến nhất trong danh sách và thường là kết quả của việc sử dụng cấu hình mặc định hoặc thông báo hiển thị lỗi quá nhiều thông tin. Ví dụ: một ứng dụng có thể hiển thị lỗi mô tả quá nhiều thông tin có thể tiết lộ các lỗ hổng trong ứng dụng. Điều này có thể được giảm thiểu bằng cách loại bỏ bất kỳ tính năng không sử dụng nào trong code và đảm bảo rằng các thông báo lỗi sẽ mang tính tổng quát chung chung hơn.
Cross-Site Scripting
Cross-Site Scripting xảy ra khi các ứng dụng web cho phép người dùng thêm code tùy chỉnh vào đường dẫn url hoặc vào một trang web mà những người dùng khác sẽ nhìn thấy. Lỗ hổng này có thể bị khai thác để chạy mã JavaScript độc hại (malicious JavaScript code) trên trình duyệt của nạn nhân. Ví dụ: kẻ tấn công có thể gửi email cho nạn nhân có vẻ là từ một ngân hàng đáng tin cậy, với một liên kết đến trang web của ngân hàng đó. Tuy nhiên, liên kết này có thể có một số mã JavaScript độc hại được gắn thẻ vào cuối url. Nếu trang web của ngân hàng không được bảo vệ thích hợp chống lại Cross-Site Scripting, thì mã độc hại đó sẽ được chạy trong trình duyệt web của nạn nhân khi họ nhấp vào liên kết.
Các chiến lược giảm thiểu tấn công Cross-Site Scripting bao gồm thoát các yêu cầu HTTP không đáng tin cậy cũng như xác thực và / hoặc loại bỏ các nội dung do người dùng thêm vào. Sử dụng các web development frameworks hiện đại như ReactJS và Ruby on Rails cũng cung cấp một số tính năng bảo vệ khỏi các cuộc tấn công Cross-Site Scripting.
Insecure Deserialization
Tấn công này bao gồm Serialization & Deserialization.
Serialization có nghĩa là lấy các đối tượng (object) từ mã ứng dụng (application code) và chuyển đổi chúng thành một định dạng có thể được sử dụng cho mục đích khác, chẳng hạn như lưu trữ dữ liệu vào đĩa hoặc phát trực tuyến dữ liệu đó.
Deserialization thì ngược lại với Serialization.
Serialization giống như đóng gói đồ đạc vào các hộp trước khi chuyển đi, và deserialization giống như mở hộp và lắp ráp đồ đạc sau khi chuyển đi. Một cuộc tấn công deserialization giống như việc xáo trộn nội dung của các hộp trước khi chúng được giải nén trong quá trình di chuyển.
Sử dụng các thành phần có lỗ hổng đã biết
Nhiều nhà phát triển (developer) web hiện nay sử dụng các thành phần như thư viện (libraries) và framework trong các ứng dụng web của họ. Những thành phần này là những phần mềm giúp các nhà phát triển tránh công việc thừa và cung cấp chức năng cần thiết; ví dụ phổ biến bao gồm các framework front-end như React và các thư viện nhỏ hơn được sử dụng để thêm các biểu tượng chia sẻ hoặc a/b testing. Một số kẻ tấn công tìm kiếm các lỗ hổng trong các thành phần này mà sau đó chúng có thể sử dụng để điều phối các cuộc tấn công. Một số thành phần phổ biến hơn được sử dụng trên hàng trăm nghìn trang web; kẻ tấn công tìm thấy lỗ hổng bảo mật trong những thành phần này có thể khiến hàng trăm nghìn trang web bị khai thác.
Các nhà phát triển các thành phần này thường cung cấp các bản vá bảo mật và cập nhật để bổ sung các lỗ hổng đã biết, nhưng các nhà phát triển ứng dụng web không phải lúc nào cũng có các phiên bản được vá hoặc cập nhật mới nhất. Để giảm thiểu rủi ro khi chạy các thành phần có lỗ hổng đã biết, các nhà phát triển nên xóa các thành phần không sử dụng khỏi dự án, cũng như đảm bảo rằng đang nhận các thành phần từ một nguồn đáng tin cậy và đảm bảo chúng được cập nhật.
Kiểm tra log & giám sát không hiệu quả
Nhiều ứng dụng web không thực hiện đủ các bước để phát hiện vi phạm dữ liệu. Thời gian phát hiện trung bình cho một vi phạm là khoảng 200 ngày sau khi đã xảy ra. Điều này cho phép những kẻ tấn công có nhiều thời gian để gây ra thiệt hại trước khi có bất kỳ phản ứng nào. OWASP khuyến nghị rằng các nhà phát triển web nên thực hiện ghi log và giám sát (monitor) cũng như lên các kế hoạch ứng phó sự cố để đảm bảo rằng họ nhận thức được các cuộc tấn công vào các ứng dụng.
Pentest theo chuẩn OWASP mô tả việc đánh giá bảo mật để xác định các lỗ hổng được nêu trong Top 10 lỗ hổng của OWASP. Pentest theo chuẩn OWASP được thiết kế để xác định, khai thác và giúp giải quyết các lỗ hổng để mọi điểm yếu được phát hiện & giải quyết nhanh chóng với mục đích an toàn bảo mật hơn cho doanh nghiệp.
Lợi ích của Pentest theo chuẩn OWASP là gì?
Pentest theo chuẩn OWASP mang lại các lợi ích quan trọng cho doanh nghiệp, đặc biệt là những công ty phát triển ứng dụng web nội bộ và / hoặc sử dụng các ứng dụng chuyên dụng do bên thứ ba phát triển.
pentest giúp các doanh nghiệp:
Xác định và giải quyết các lỗ hổng trước khi hacker có cơ hội khai thác.
Giảm nguy cơ vi phạm dữ liệu cũng như thiệt hại và gián đoạn dịch vụ.
Cung cấp tổng quan, độc lập về hiệu quả của các biện pháp kiểm soát bảo mật và đảm bảo tốt hơn cho việc tuân thủ PCI DSS, ISO 27001 và GDPR.
Giúp cải thiện các hoạt động phát triển phần mềm và đảm bảo chất lượng bằng cách cung cấp thông tin chi tiết về các rủi ro an ninh mạng.
Giúp quyết định sáng suốt hơn về các khoản đầu tư bảo mật trong tương lai.
Khi nào cần pentest theo tiêu chuẩn OWASP?
Các doanh nghiệp phát triển ứng dụng web (web application) nên tiến hành kiểm tra ít nhất mỗi năm một lần. Tuy nhiên, điều này nên được thực hiện thường xuyên hơn khi phát hành các bản cập nhật phần mềm lớn hoặc thực hiện các thay đổi đáng kể đối với cơ sở hạ tầng. Pentest thường xuyên là bắt buộc để tuân thủ các quy định với PCI DSS và ISO 27001, đồng thời cũng được khuyến cáo rõ ràng trong Chỉ thị GDPR và NIS.
Các lỗ hổng nào Pentest theo chuẩn OWASP phát hiện?
Pentest có thể giúp xác định các lỗ hổng bảo mật chính như những lỗ hổng được liệt kê trong Top 10 của OWASP bao gồm:
Các bài kiểm tra pentest theo chuẩn OWASP được thực hiện bởi đội an ninh mạng, hacker nón trắng (white hat) được chứng nhận với kiến thức chuyên môn về các kỹ thuật phát triển ứng dụng web mới nhất và các mối đe dọa bảo mật mới nhất. Các chứng chỉ đánh giá khả năng & kiến thực có thể khác nhau nhưng thường bao gồm: CREST CRT và CCT APP, OCP, CEH và QSTM.
Thời gian pentest mất bao lâu?
Tuỳ thuộc vào phạm vi công việc & yêu cầu cụ thể, thời gian có thể khác nhau, một số yếu tố ảnh hưởng đến thời gian bao gồm:
Loại ứng dụng.
Số lượng vai trò người dùng.
Số ứng dụng sử dụng REST API và số lượng điểm cuối API.
Screenshots.
Kích thước mạng.
External hay Internal.
Thông tin mạng và thông tin đăng nhập của người dùng có được chia sẻ trước khi kiểm tra hay không.
Triển khai pentest theo chuẩn OWASP
Nếu doanh nghiệp của bạn có nhu cầu tư vấn & triển khai OWASP, vui lòng liên hệ VinSEP theo thông tin bên dưới:
Khi nhắc đến phần mềm trong doanh nghiệp, cái tên đầu tiên được nhắc đến chính là Microsoft 365 hay Office 365. Vậy sự khác biệt giữa 2 tên gọi này là gì?
Office 365
Office 365 là bộ năng suất đám mây phổ biến bao gồm các ứng dụng Microsoft Office như Outlook, Word, Excel và PowerPoint. Hầu hết các gói này đều cung cấp hộp thư Microsoft Exchange được lưu trữ cùng với các tiện ích bổ sung khác nhau giúp tăng cường bảo mật và tuân thủ cho các ứng dụng văn phòng độc lập như Project. Bộ Office 365 phổ biến nhất là Office 365 Enterprise, ngoài ra còn 1 gói là Office 365 Business (đã đổi tên).
Office 365 Enterprise
Các gói Office 365 Enterprise bao gồm E1, E3 và E5. Các kế hoạch/plan này cung cấp các tính năng chính hướng tới năng suất của doanh nghiệp. Gói Office 365 E3 là một trong các lựa chọn phổ biến nhất trong doanh nghiệp vì nó bao gồm các ứng dụng năng suất Microsoft Office & Exchange cũng như các tính năng tuân thủ và bảo mật quan trọng cho các ứng dụng này.
Microsoft 365
Microsoft 365 đã được giới thiệu vào cuối năm 2017 dưới dạng gói sản phẩm mới kết hợp các tính năng Office 365 truyền thống với Enterprise Mobility + Security (EMS) và Windows 10. Mặc dù các gói này đắt hơn gói Office 365, nhưng Microsoft 365 cung cấp một giải pháp năng suất đám mây hoàn chỉnh. Sự khác biệt quan trọng nhất là các gói này bao gồm giấy phép Windows 10 Enterprise có thể được sử dụng để cấp phép cho Máy tính ảo trong Microsoft Azure thông qua VDI truyền thống hoặc thông qua Máy tính ảo Windows (WVD – Windows Virtual Desktop). Microsoft 365 được chia thành ba loại: Business, Enterprise & Education.
Kế hoạch này tập trung vào việc triển khai cho SMB (doanh nghiệp vừa & nhỏ). Nó bao gồm Office 365 Business, một số chức năng EMS cơ bản và Intune để quản lý thiết bị. Có thể hiểu đây là bản “nâng cấp” từ các gói Office 365 Business Premium.
Microsoft 365 Enterprise
Các gói Microsoft 365 Enterprise không chỉ phản ánh các gói Office 365 E3 / E5 truyền thống mà còn bổ sung giấy phép Windows 10 Enterprise cùng với các tính năng EMS. Các gói này sẽ là “bản nâng cấp” từ các gói Office 365 E3 / E5 và bao gồm các tính năng bảo mật quan trọng như Azure Information Protection, Office 365 Advanced Threat Protection và Microsoft Intune. Ngoài ra còn có gói F1 mới trong M365 Enterprise được thiết kế cho những người dùng chỉ cần một vài tính năng của M365. Các kế hoạch này cho phép người dùng quản lý đầy đủ cơ sở hạ tầng desktop cả trên on-premises & cloud.
Microsoft 365 Education dành riêng cho các trường học. Các kế hoạch này tập trung vào việc cung cấp các công cụ năng suất cần thiết cho lớp học với mức giá hợp lý. Được chia thành các cấp giấy phép A1, A3 và A5 với A1 là giấy phép một lần cho mỗi thiết bị trong khi giấy phép A3 / A5 là chi phí định kỳ hàng tháng. Ngoài ra, với hầu hết các cấp độ, giá được dựa trên giấy phép giáo viên, với học sinh có thể được thêm vào gói miễn phí.
O365 là một bộ phần mềm dựa trên đám mây tập trung vào năng suất kinh doanh, bao gồm các ứng dụng như Outlook, Word, PowerPoint, v.v.
M365 là một gói dịch vụ bao gồm Office 365 và một số dịch vụ khác.
Tùy thuộc vào gói O365 của bạn, đăng ký cũng bao gồm các ứng dụng và dịch vụ như Skype for Business, SharePoint, OneDrive, Teams, Yammer, Planner, v.v.
Giấy phép M365 cũng bao gồm Windows 10 Enterprise, Enterprise Mobility + Security (EMS) và machine learning.
Giấy phép O365 là đăng ký hàng tháng cho mỗi người dùng. Bạn có thể chọn các gói O365 khác nhau tùy theo nhu cầu kinh doanh cụ thể của mình.
+ Microsoft 365 Business được thiết kế cho các doanh nghiệp vừa và nhỏ có từ 300 người dùng trở xuống.
+ Microsoft 365 Enterprise được tạo ra cho các tổ chức lớn hơn cần chức năng quản lý thiết bị và bảo mật mạnh mẽ hơn.
+ Microsoft 365 Education là một gói cơ bản được thiết kế cho sinh viên và giáo viên để nâng cao việc học trong lớp học
Microsoft Viva là sự thúc đẩy mới của Microsoft trong việc hỗ trợ các doanh nghiệp làm việc từ xa và đặt cược lớn vào cách sống mới đang trở thành chuẩn mực. Viva được thiết kế để hoạt động như một cổng thông tin cho cả nhân viên và doanh nghiệp để điều hướng sự phức tạp của việc làm việc tại nhà. Microsoft đã cho ra mắt Viva và tiếp tục phát hành các phần bổ sung của nền tảng này trong suốt năm 2021.
Chúng tôi đã tham gia vào thử nghiệm làm việc từ xa, quy mô lớn nhất mà thế giới từng chứng kiến, đại dịch đã định hình lại cách mọi người làm việc, học tập và cách sống. Khi thế giới phục hồi, có thể sẽ không trở lại cách làm việc như trước được. Sự linh hoạt trong thời gian, nơi làm việc và cách làm việc chính là chìa khóa.
Giám đốc điều hành Microsoft Satya Nadella cho biết
Microsoft Viva không phải là một ứng dụng hay thậm chí là một dịch vụ mà là một nền tảng để cải thiện công việc từ xa và giúp các doanh nghiệp thích nghi với nó. Trong khi các doanh nghiệp chi hàng tỷ đô la mỗi năm cho phúc lợi của nhân viên, Microsoft cho rằng Viva sẽ giúp ích cho công việc trong kỷ nguyên kỹ thuật số mới này.
Jared Spataro, người đứng đầu Microsoft 365 cho biết: “Chúng ta cần phải dừng suy nghĩ về nơi làm việc và bắt đầu suy nghĩ về cách duy trì văn hóa, kết nối nhân viên và khai thác sự khéo léo của con người trong một thế giới lai, đại dịch sẽ thay đổi mãi mãi cách chúng ta làm việc và học tập, và Microsoft Viva rõ ràng là kết quả của những xu hướng mà Microsoft đã và đang chứng kiến”.
Được thiết kế cho kỷ nguyên làm việc kỹ thuật số và linh hoạt mới này, Viva tích hợp vào Microsoft Teams và hoạt động giống như một intranet bằng cách thu thập các thành phần thiết yếu trong doanh nghiệp vào một vị trí trung tâm. Microsoft đang chia Viva thành bốn mô-đun cụ thể: kết nối (connections), thông tin chi tiết (insights), chủ đề (topics) và học tập (learning).
Kết nối (Connections) bao gồm thông tin liên lạc nội bộ hoặc các tài nguyên như lợi ích và chính sách của công ty, chức năng này được thiết kế để trở thành cổng thông tin nơi mà nhân viên mới sẽ tìm thấy được tất cả các thông tin (portal) cần thiết và thậm chí không cần sự hỗ trợ của đồng nghiệp. Spataro giải thích thểm: “Bạn có thể coi module Connections như một cánh cổng dẫn đến nơi làm việc kỹ thuật số của mình”.
Viva Connections được xây dựng dựa trên công nghệ SharePoint của Microsoft và sẽ bao gồm tin tức công ty, các nhóm và cộng đồng nhân viên. Về cơ bản, module này là một trang tổng quan để kết nối với đồng nghiệp từ xa.
Microsoft cho biết Viva Insights sẽ bao gồm dữ liệu để các nhà quản lý và lãnh đạo theo dõi xu hướng và mô hình công việc, nhưng quyền riêng tư vẫn sẽ được bảo vệ. Spataro cho biết: “Điều này có nghĩa là thông tin chi tiết cá nhân chỉ được hiển thị cho nhân viên, trong khi thông tin chi tiết dành cho người quản lý và lãnh đạo được tổng hợp và không xác định theo mặc định để bảo vệ quyền riêng tư của cá nhân”.
Viva Learning là mô-đun thứ ba của Microsoft trong Viva và giống như tên của nó, module này nói về việc học tập và phát triển của nhân viên. Đây là nơi sẽ chứa tài liệu đào tạo, khóa học và nội dung khác để đào tạo nhân viên trong công ty. Các nội dung học tập này cũng bao gồm từ LinkedIn Learning, Microsoft Learn và thậm chí là nội dung của riêng doanh nghiệp, cùng với tài liệu đào tạo từ các nhà cung cấp bên thứ ba.
Mô-đun cuối cùng bên trong Viva là Topics. Spataro giải thích: “Hãy coi Viva Topics như một Wikipedia cho công ty của bạn. Topics sử dụng AI để sắp xếp nội dung và tự động hiển thị thẻ chủ đề với tài liệu, video và những người có liên quan. Viva Topics sẽ tạo thẻ chủ đề từ các ứng dụng như Office, Teams và SharePoint.
Viva Topics hiện có sẵn cho khách hàng Microsoft 365 và bản xem trước công khai của Viva Insights cũng đã được phát hành. Microsoft cũng đang tung ra bản xem trước của Viva Learning và có kế hoạch công bố nhiều bổ sung hơn cho Microsoft Viva trong suốt năm 2021.
Microsoft cho biết họ chỉ mới bắt đầu với Microsoft Viva và định hướng phần mềm này để trở thành một “nền tảng mở và có thể mở rộng” cho các đối tác. Viva cũng thúc đẩy tham vọng của Microsoft trong việc đặt Microsoft Teams làm trung tâm trong chiến lược công việc và hoạt động như một trung tâm trong mọi việc mà công ty thực hiện.
Chúng tôi sử dụng lưu bộ nhớ tạm cookie cho thiết bị của bạn, để ghi nhớ các nội dung bạn đã xem. Đồng ý với điều này sẽ cho phép duyệt web thuận lợi hơn. Không đồng ý hoặc rút lại sự đồng ý, có thể gây chậm cho trải nghiệm khi xem bài viết.
Functional
Always active
The technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user, or for the sole purpose of carrying out the transmission of a communication over an electronic communications network.
Preferences
The technical storage or access is necessary for the legitimate purpose of storing preferences that are not requested by the subscriber or user.
Statistics
The technical storage or access that is used exclusively for statistical purposes.The technical storage or access that is used exclusively for anonymous statistical purposes. Without a subpoena, voluntary compliance on the part of your Internet Service Provider, or additional records from a third party, information stored or retrieved for this purpose alone cannot usually be used to identify you.
Marketing
The technical storage or access is required to create user profiles to send advertising, or to track the user on a website or across several websites for similar marketing purposes.
