Trong khuôn khổ sự kiện Tháng nâng cao nhận thức về an ninh mạng quốc gia (National Cyber Security Awareness Month - NCSAM) đang diễn ra tại Hoa Kỳ trong tháng 10 này, Microsoft chính là một trong những đơn vị đi tiên phong trong việc đưa ra sáng kiến mới để giúp thúc đẩy nhận thức thức chung của người dân về thực trạng vấn đề bảo mật - an ninh mạng.
Hồi đầu tháng, công ty Redmond cùng các “đồng minh” đã triệt phá thành công cơ sở hạ tầng của botnet Trickbot khét tiếng, và giờ đây họ tiếp tục đưa ra tuyên bố cho biết đã phát triển thành công một thuật toán mới dựa trên máy học có thể nhận diện cũng như phát hiện từ sớm các cuộc tấn công mật khẩu Password Spray, với hiệu suất vượt trội hơn so với bất cứ giải pháp nào từng được triển khai trước đây.
Password Spray là một hình thức tấn công mạng lâu đời, tương đối thô sơ và phổ biến, nhưng chưa bao giờ tỏ ra kém hiệu quả. Nếu trong một cuộc tấn công (hack) mật khẩu bình thường, kẻ gian sẽ cố gắng thử nhiều mật khẩu khác nhau trên một vài tài khoản để dò ra mật khẩu trùng khớp, thì Password Spray thực hiện điều ngược lại. Nó xảy ra khi một hacker có quyền truy cập vào rất nhiều tên tài khoản khác nhau và cố gắng xâm nhập chúng bằng cách chỉ sử dụng một vài mật khẩu nhất định - thông qua hàng nghìn IP - và bằng cách sử dụng botnet trong hầu hết các trường hợp.
Điều này là do tin tặc không thể thực hiện phương pháp hack mật khẩu bình thường, nếu việc bảo mật cho tài khoản được thắt chặt. Một hệ thống bảo mật sẽ nhận thấy ai đó liên tục cố gắng truy cập vào tài khoản và sẽ khóa tài khoản đó để bảo vệ quyền riêng tư của đối tượng liên quan. Nhưng ngược lại, nếu tin tặc chỉ sử dụng một số lượng nhỏ mật khẩu cho mỗi cuộc tấn công (thường là các cách đặt mật khẩu được dùng phổ biến nhất trên Internet), chúng có thể tối đa hóa được cơ hội xâm nhập thành công vào tài khoản mục tiêu. Mặc dù điều này chỉ ra rằng tỷ lệ thành công trên mỗi tài khoản là khá nhỏ, nhưng điều đó cũng có nghĩa là cuộc tấn công sẽ trở nên khó phát hiện hơn rất nhiều.
Để chống lại các cuộc tấn công Spray Attack, Microsoft trước đây đã xây dựng một cơ chế Heuristic với khả năng giám sát lưu lượng truy cập trên quy mô lớn, và thông báo cho các tổ chức, đối tác có nguy cơ bị tấn công. Tuy nhiên, thực tế cho thấy cơ chế này hoạt động không thực sự hiệu quả, và để cải thiện, Microsoft đã đào tạo một thuật toán học máy được giám sát mới sử dụng các tính năng như IP reputation, phát hiện thuộc tính đăng nhập bất thường, hay nhận diện các sai lệch liên quan đến thông tin tài khoản để đưa ra cảnh báo đối với các cuộc tấn công Password Spray tiềm tàng.
Microsoft tuyên bố mô hình học máy mới của họ có khả năng phát hiện gấp đôi số lượng tài khoản bị xâm nhập so với cơ chế Heuristic trước đây. Hơn nữa, nó cũng có độ chính xác lên tới 98%, nghĩa là nếu một tài khoản bận được cảnh báo, tài khoản đó gần như đang chắc chắn nằm trong nhóm sẽ bị tấn công.
Mô hình mới sẽ sớm được Microsoft triển khai cho các khách hàng đã đăng ký dịch vụ Azure AD Identity Protection, để nâng cao khả năng bảo mật tài khoản người dùng.