Đây là cách Microsoft theo dõi "nhất cử nhất động" của các hacker trên toàn cầu

Năm ngoái, Lầu Năm Góc đã chọn Microsoft là đối tác cho dự án chuyển đổi và lưu trữ các hệ thống điện toán đám mây của quân đội Mỹ. Dự án này mang về cho Microsoft tới 10 tỷ USD và cũng đặt ra nhiều thách thức cho gã khổng lồ phần mềm. Liệu Microsoft có đủ khả năng để đảm bảo an toàn cho các hệ thống của Lầu Năm Góc tước sự tấn công liên tục của các hacker trên thế giới?

Câu trả lời là có và công việc ấy được đảm nhiệm bởi "biệt đội" Microsoft Threat Intelligence Center (MSTIC). Bên trong MSTIC được chia thành các nhóm nhỏ, mỗi nhóm chịu trách nhiệm theo dõi "nhất cử nhất động" của các hacker và nhóm hacker trên toàn thế giới.

Tấn công và phòng thủ

John Lambert làm việc tại Microsoft từ năm 2000 khi xuất hiện mối đe dọa an ninh mạng đầu tiên trên thế giới. Lúc đó, Microsoft vẫn là một hãng chuyên về phần mềm và mới bắt đầu nhận ra tầm quan trọng của internet.

John Lambert,
John Lambert, sáng lập kiêm trưởng nhóm MSTIC tại Microsoft

Thời điểm ấy, Windows XP thành công vang dội nhưng lại tồn tại một loạt lỗ hổng bảo mật. Điều này ảnh hưởng đến rất nhiều khách hàng quan trọng của Microsoft như chính phủ, các doanh nghiệp và gây nguy hiểm cho mảng kinh doanh cốt lõi của công ty. 

Năm 2002, đích thân Bill Gates phải ra lệnh cho nhân viên của mình chú trọng vào sự đáng tin cậy của Windows. Từ đó trở đi, Microsoft mới đánh giá cao tầm quan trọng của an ninh mạng.

Đó cũng là lúc Lambert cảm thấy say mê với khía cạnh tấn công trên "chiến trường" an ninh mạng.

"Cần có sự pha trộn hoàn hảo giữa kiến thức tấn công và phòng thủ", Lambert nói. "Để phòng thủ tốt bạn phải hiểu về cách tấn công và để tấn công tốt bạn cũng nên biết về cách phòng thủ. Nếu không tư duy theo cách nghĩ của kẻ tấn công bạn sẽ không thể phòng thủ hiệu quả".

Lambert đã đưa tư duy của mình vào Microsoft để thay đổi hoàn toàn cách tiếp cận vấn đề bảo mật của hãng. Trước đó, Microsoft không hề nắm được hacker đang làm gì nhưng sau này với tư duy của Lambert Microsoft có thể thấy hầu hết mọi thứ.

Lambert nhận ra rằng sức mạnh siêu việt của Microsoft nằm ở chỗ hệ điều hành Windows và các phần mềm khác của họ có mặt ở hầu hết mọi nơi. Điều này giúp Microsoft có những công cụ để cảm nhận những gì đang xảy ra trên mạng internet khổng lồ. Trong lĩnh vực bảo mật, đây là một lợi thế vô cùng to lớn.

Bên cạnh báo lỗi Windows và các phần mềm khác, Lambert đã biến Telemetry thành một công cụ bảo mật mạnh mẽ.

Trước đây, nhóm bảo mật của Microsoft thường phải bay đi khắp các nước trên thế giới để tìm các máy tính bị tấn công để sao chép ổ cứng và từ từ tìm hiểu điều gì đang xảy ra.

Nhưng với Telemetry, hầu như mọi thiết bị chạy Windows đều giao tiếp, trao đổi dữ liệu trực tiếp với Microsoft. Hầu hết các sự cố và hành vi đáng ngờ đều sẽ được báo cáo cho Microsoft và nhờ vậy Microsoft sẽ là hãng đầu tiên tìm ra virus, mã độc hay các chiến dịch tấn công.

Ảnh chụp màn hình thông báo của ransomware Bad Rabbit
Ảnh chụp màn hình thông báo của ransomware Bad Rabbit

Năm 2017, ransomware Bad Rabbit xuất hiện, nó giả vờ là một bản cập nhật Adobe Flash nhưng khi được kích hoạt sẽ mã hóa toàn bộ ổ cứng của nạn nhân. Chỉ trong vòng 14 phút kể từ khi Bad Rabbit được trình làng, các thuật toán machine-learning của Microsoft đã phân tích được những dữ liệu và bước đầu nắm được mối đe dọa của ransomware này.

"Microsoft có thể tìm thấy những thứ mà không ai tìm ra", Williams, sáng lập hãng an ninh mạng Randition Infosec chia sẻ.

Kết hợp các manh mối

Cho tới nay, MSTIC đã được thành lập 6 năm. Không chỉ có các chuyên gia về an ninh mạng, nhóm này còn quy tụ những cựu điệp viên và những người từng điều hành của các cơ quan tình báo chính phủ.

"Nhóm của chúng tôi sử dụng dữ liệu, kết hợp các manh mối, các dấu hiệu để theo dõi những đối tượng và hành vi của họ", Jerremy Dallman, giám đốc các chương trình chiến lược và quan hệ đối tác của MSTIC chia sẻ. "Chúng tôi săn lùng các hacker, nắm thông tin di chuyển của họ, dự định tiếp theo của họ, mục tiêu mà họ đang nhắm tới để có những biện pháp đón đầu".

Microsoft, cũng giống như Facebook và Google, thường xuyên thông báo cho các doanh nghiệp, tổ chức hoặc cá nhân về việc họ đang bị hacker nhắm vào. Tính tới năm 2018, Microsoft đã thông báo cho khoảng 10.000 đối tượng đang bị đe dọa bởi hacker.

Những thách thức phía trước

Sau hai thập kỷ làm việc tại Microsoft, Lambert nhận ra cuộc chiến an ninh mạng đang diễn ra ở nhiều mặt trận hơn, hàng chục quốc gia được liệt kê trong danh sách tài trợ cho hacker. Thêm vào đó, hàng trăm nhóm hacker nguy hiểm xuất hiện và ngành công nghiệp buôn bán lỗ hổng, dữ liệu rò rỉ đang ngày càng phát triển mạnh.

Một góc làm việc tại MSTIC
Một góc làm việc tại MSTIC

"Số đơn vị, tổ chức và cá nhân có thể trở thành nạn nhân ngày càng nhiều", Lambert nói. "Ngày càng có nhiều đối tượng nguy hiểm cần theo dõi".

Nhưng với lợi thế có tai mắt ở khắp mọi nơi, Microsoft đang sở hữu siêu năng lực mà không hãng nào có được. Điều này sẽ giúp họ tiếp tục duy trì khả năng bảo vệ mạng internet của mình trước các thế lực hacker trên toàn cầu.

Thứ Sáu, 18/09/2020 16:54
53 👨 4.593
0 Bình luận
Sắp xếp theo