Như thông tin chi tiết từ Báo cáo Phòng vệ số Microsoft 2023 cho thấy thì các mối đe dọa trên mạng vẫn tiếp tục gia tăng về mức độ phức tạp, tốc độ và quy mô, gây tổn hại tới ngày càng nhiều dịch vụ, thiết bị và người dùng. Trong khi chúng ta phải đối mặt với những thách thức này và chuẩn bị cho tương lai với AI là yếu tố giúp tạo nên sân chơi bình đẳng thì chúng ta buộc phải hành động dứt khoát trên từng mục trong số 10 thông tin chuyên sâu này.
Đăng ký ngay để xem hội thảo trực tuyến theo yêu cầu có thông tin chuyên sâu về Báo cáo Phòng vệ số Microsoft năm 2024.
10 thông tin chuyên sâu thiết yếu từ Báo cáo Phòng vệ số Microsoft 2023
Là một công ty cam kết biến thế giới thành một nơi an toàn hơn, Microsoft đã đầu tư rất nhiều vào nghiên cứu bảo mật, đổi mới và cộng đồng bảo mật toàn cầu. Chúng tôi có quyền truy nhập vào nhiều loại dữ liệu bảo mật, điều giúp chúng tôi có được vị thế đặc biệt để hiểu được tình trạng an ninh mạng và xác định các chỉ số có thể giúp dự đoán động thái tiếp theo của kẻ tấn công.
Như một phần trong cam kết lâu dài của chúng tôi nhằm tạo ra một thế giới an toàn hơn, các khoản đầu tư của Microsoft vào các hoạt động nghiên cứu bảo mật, đổi mới và cộng đồng bảo mật toàn cầu bao gồm:
Tìm hiểu thêm về hình ảnh này trên trang 6 trong báo cáo đầy đủ
Việc triển khai một số biện pháp bảo vệ bảo mật cơ bản có thể cảnh báo phần lớn các cuộc tấn công mạng thành công. Việc sử dụng đám mây siêu quy mô giúp dễ dàng triển khai các biện pháp bảo vệ bảo mật hơn nhờ bật chúng theo mặc định hoặc rút ra nhu cầu để khách hàng triển khai chúng.
Đường cong hình chuông về an toàn mạng lấy từ Báo cáo Phòng vệ số Microsoft (MDDR) năm 2023. Tìm hiểu thêm về hình ảnh này trên trang 7 trong báo cáo đầy đủ
Các nguyên tắc cơ bản về an toàn mạng
Bật MFA: Điều này giúp bảo vệ trước tình trạng mật khẩu người dùng bị xâm phạm và giúp mang tới khả năng phục hồi tốt hơn cho danh tính.
Áp dụng nguyên tắc Zero Trust: Nền tảng của mọi kế hoạch phục hồi là nhằm hạn chế tác động của cuộc tấn công. Những nguyên tắc này gồm: (1) Xác minh rõ ràng. Đảm bảo người dùng và thiết bị đều ở trạng thái tốt trước khi cho phép truy nhập vào tài nguyên. (2) Sử dụng quyền truy nhập đặc quyền tối thiểu. Chỉ cấp đặc quyền cần thiết để truy nhập vào tài nguyên, không hơn. (3) Giả định vi phạm. Giả định hệ thống phòng thủ đã bị vi phạm và các hệ thống có thể bị xâm phạm. Tức là liên tục giám sát môi trường để phát hiện các cuộc tấn công có thể xảy ra.
Sử dụng tính năng phát hiện và phản hồi mở rộng (XDR) và phần mềm chống phần mềm xấu: Triển khai phần mềm để phát hiện và tự động chặn các cuộc tấn công, đồng thời cung cấp thông tin chuyên sâu cho các phần mềm về hoạt động bảo mật. Việc giám sát thông tin chuyên sâu từ hệ thống phát hiện mối đe dọa là việc thiết yếu để có thể nhanh chóng ứng phó trước các mối đe dọa trên mạng.
Luôn cập nhật: Kẻ tấn công lợi dụng các hệ thống chưa được vá và đã lỗi thời. Đảm bảo mọi hệ thống luôn cập nhật, trong đó có vi chương trình, hệ điều hành và ứng dụng.
Bảo vệ dữ liệu: Để triển khai biện pháp bảo vệ thích hợp, bạn cần nắm rõ về dữ liệu quan trọng của mình, vị trí của dữ liệu và liệu các biện pháp phòng thủ phù hợp đã được triển khai hay chưa.
Dữ liệu đo từ xa của Microsoft cho thấy tỷ lệ cuộc tấn công bằng mã độc tống tiền gia tăng so với năm ngoái, với lượng cuộc tấn công dùng mã độc tống tiền do con người thực hiện tăng gấp 3 lần kể từ tháng 9 năm 2022. Trong tương lai, chúng tôi dự liệu rằng những kẻ khai thác mã độc tống tiền sẽ tìm cách tận dụng hệ thống tự động hóa, AI và đám mây siêu quy mô để mở rộng quy mô và tối đa hóa hiệu quả của các cuộc tấn công.
Bối cảnh mã độc tống tiền
Tìm hiểu thêm về hình ảnh này trên trang 2 trong báo cáo đầy đủ
Loại bỏ mã độc tống tiền và 5 nguyên tắc cơ bản
Chúng tôi đã xác định 5 nguyên tắc cơ bản mà chúng tôi cho rằng mọi doanh nghiệp nên thực hiện để bảo vệ trước mã độc tống tiền trên phạm vi danh tính, dữ liệu và điểm cuối.
- Xác thực hiện đại với thông tin xác thực chống lừa đảo
- Áp dụng quyền truy nhập đặc quyền thấp nhất cho toàn bộ nền tảng công nghệ
- Môi trường không có mối đe dọa và rủi ro
- Quản lý vị thế tuân thủ cùng tình trạng của thiết bị, dịch vụ và tài sản
- Tự động sao lưu lên đám mây và đồng bộ tệp đối với dữ liệu quan trọng của người dùng và doanh nghiệp
Dữ liệu của Microsoft Entra cho thấy rằng số cuộc tấn công cố ý vào mật khẩu đã tăng gấp 10 lần so với cùng kỳ năm ngoái. Một cách để ngăn chặn những kẻ tấn công sau này là sử dụng thông tin xác thực không thể lừa đảo như khóa Windows Hello cho Doanh nghiệp hoặc khóa FIDO.
Biểu đồ hiển thị số cuộc tấn công vào mật khẩu so với cùng kỳ năm ngoái. Tìm hiểu thêm về hình ảnh này trên trang 16 trong báo cáo đầy đủ
Bạn có biết?
Một trong những lý do chính mà các cuộc tấn công vào mật khẩu trở nên phổ biến là do vị thế bảo mật kém. Nhiều tổ chức chưa bật MFA cho người dùng, khiến họ dễ gặp các cuộc tấn công lừa đảo qua mạng, tấn công nhồi thông tin xác thực và tấn công brute-force.
Các tác nhân đe dọa đang điều chỉnh kỹ thuật lừa đảo phi kỹ thuật và sử dụng công nghệ để thực hiện các cuộc tấn công BEC phức tạp và tốn kém hơn. Đơn vị chuyên về Tội phạm số của Microsoft cho rằng việc chia sẻ thông tin giữa các khu vực công và tư sẽ cho phép ứng phó nhanh hơn và hiệu quả hơn đối với BEC.
Số cuộc tấn công BED hàng ngày được quan sát từ tháng 4 năm 2022 đến tháng 4 năm 2023. Tìm hiểu thêm về hình ảnh này trên trang 33 trong báo cáo đầy đủ
Bạn có biết?
Bộ phận Chống tội phạm ảo của Microsoft thể hiện lập trường chủ động qua việc tích cực theo dõi và giám sát 14 site DDoS cho thuê, trong đó có một site nằm trong web tối, như một phần trong cam kết xác định các mối đe dọa trên mạng tiềm ẩn và luôn chủ động trước kẻ phạm tội trên mạng.
Các tác nhân do nhà nước hậu thuẫn đã gia tăng quy mô hoạt động mạng trên toàn cầu như một phần trong việc thu thập thông tin. Những tổ chức liên quan đến hạ tầng, giáo dục và hoạch định chính sách quan trọng đều nằm trong số các mục tiêu được nhắm tới nhiều nhất, phù hợp với các mục tiêu địa chính trị và hoạt động gián điệp của nhiều nhóm. Các bước để phát hiện vi phạm có thể xảy ra liên quan đến gián điệp bao gồm việc giám sát các thay đổi đối với hộp thư và quyền.
Những quốc gia bị nhắm mục tiêu nhiều nhất theo khu vực* là:
Có thể xem báo cáo hiện trạng về tác nhân đe dọa toàn cầu do nhà nước hậu thuẫn và bản phân tích dữ liệu đầy đủ hơn trong báo cáo. Tìm hiểu thêm về hình ảnh này trên trang 12 trong báo cáo đầy đủ
Bạn có biết?
Năm nay, Microsoft đã ra mắt một nguyên tắc phân loại tên tác nhân đe dọa mới. Nguyên tắc phân loại mới sẽ tăng tính rõ ràng qua một hệ thống tham chiếu tác nhân đe dọa được sắp xếp khoa học hơn và dễ sử dụng cho khách hàng và nhà nghiên cứu bảo mật.
Các tác nhân do nhà nước hậu thuẫn thường xuyên sử dụng các hoạt động gây ảnh hưởng cùng hoạt động mạng để truyền bá các câu chuyện tuyên truyền được ưa chuộng, gây ra căng thẳng xã hội và gia tăng sự nghi ngờ cũng như nhầm lẫn. Những hoạt động này thường được thực hiện trong bối cảnh xung đột vũ trang và các cuộc bầu cử quốc gia.
Danh mục tác nhân Blizzard
Tác nhân do Nga hậu thuẫn đã mở rộng phạm vi hoạt động ra ngoài Ukraina để nhắm vào các đồng minh của Kyiv, chủ yếu là các thành viên NATO.
Danh mục tác nhân Typhoon
Các hoạt động mở rộng và tinh vi của Trung Quốc phản ánh mục tiêu theo đuổi kép về tác động toàn cầu và thu thập thông tin. Mục tiêu bao gồm hạ tầng quốc phòng và quan trọng của Hoa Kỳ, các quốc gia Biển Đông và đối tác Sáng kiến Vành đai và Con đường.
Danh mục tác nhân Sandstorm
Iran đã mở rộng các hoạt động mạng sang châu Phi, châu Mỹ La-tinh và châu Á. Chủ yếu dựa vào các hoạt động gây ảnh hưởng, Iran đã thúc đẩy các câu chuyện tìm cách kích động tình trạng bất ổn của Hồi giáo Shia tại các quốc gia Ả Rập vùng Vịnh và việc bình thường hóa quan hệ Ả Rập – Israel.
Danh mục tác nhân Sleet
Triều Tiên đã tăng mức độ phức tạp của các hoạt động mạng vào năm ngoái, đặc biệt trong các vụ trộm tiền mã hóa và các cuộc tấn công vào chuỗi cung ứng.
Bạn có biết?
Mặc dù ảnh hồ sơ do AI tạo từ lâu đã là một tính năng nằm trong các hoạt động gây ảnh hưởng được nhà nước bảo trợ nhưng việc sử dụng các công cụ AI phức tạp hơn để tạo nội dung đa phương tiện nổi bật là xu hướng mà chúng tôi dự liệu sẽ tiếp tục tồn tại với tính khả dụng rộng rãi hơn của các công nghệ này.
Kẻ tấn công đã gia tăng việc nhắm mục tiêu vào lỗ hổng lớn của công nghệ thông tin và công nghệ vận hành (IT-OT), vốn rất khó bảo vệ. Ví dụ: Trong số 78% thiết bị vật dụng kết nối internet (IoT) có lỗ hổng đã biết trên mạng khách hàng, 46% trong số đó không thể vá được. Do vậy, hệ thống quản lý bản vá OT mạnh mẽ là một thành phần thiết yếu của chiến lược an ninh mạng, trong khi việc giám sát mạng trong môi trường OT có thể giúp phát hiện hoạt động độc hại.
Tìm hiểu thêm về hình ảnh này trên trang 61 trong báo cáo đầy đủ
Bạn có biết?
25% thiết bị OT trên mạng khách hàng sử dụng hệ điều hành không được hỗ trợ, khiến chúng dễ bị tấn công qua mạng hơn do thiếu bản cập nhật thiết yếu và khả năng bảo vệ trước các mối đe dọa trên mạng ngày càng gia tăng.
AI có thể tăng cường an ninh mạng bằng cách tự động hóa và tăng cường các nhiệm vụ an ninh mạng, giúp bộ bảo vệ phát hiện ra các mô hình và hành vi tiềm ẩn. LLM có thể đóng góp vào thông tin về mối đe dọa, ứng phó sự cố và phục hồi; giám sát và phát hiện; kiểm tra và xác thực; giáo dục; bảo mật, quản trị, rủi ro và tuân thủ.
Các nhà nghiên cứu của Microsoft và nhà khoa học ứng dụng đang khám phá nhiều kịch bản cho ứng dụng LLM trong phòng vệ mạng, như:
Tìm hiểu thêm về hình ảnh này trên trang 98 trong báo cáo đầy đủ
Bạn có biết?
AI Red Team của Microsoft gồm các chuyên gia liên ngành đang giúp xây dựng tương lai AI an toàn hơn. AI Red Team của chúng tôi mô phỏng các chiến thuật, kỹ thuật và quy trình (TTP) của đối thủ trong thế giới thực nhằm xác định rủi ro, phát hiện điểm mù, xác thực các giả định và cải thiện vị thế bảo mật chung cho hệ thống AI. Tìm hiểu thêm về hành trình xây dựng AI của Microsoft AI Red Team tại Hành trình xây dựng tương lai AI an toàn hơn của Microsoft AI Red Team | Blog về Microsoft Security.
Khi mối đe dọa trên mạng gia tăng, việc cộng tác giữa khu vực công và tư sẽ đóng vai trò quan trọng trong việc cải thiện kiến thức tập thể, thúc đẩy khả năng phục hồi và cung cấp thông tin về hướng dẫn giảm thiểu trên hệ sinh thái bảo mật. Ví dụ: Năm nay, Microsoft, Fortra LLC và Health-ISAC đã cộng tác với nhau nhằm giảm bớt hạ tầng của kẻ phạm tội trên mạng để sử dụng trái phép Cobalt Strike. Điều này đã giúp giảm 50% hạ tầng này tại Hoa Kỳ.
Biểu đồ thể hiện việc giảm 50% máy chủ Cobalt Strike bị bẻ khóa tại Hoa Kỳ. Tìm hiểu thêm về hình ảnh này trên trang 115 trong báo cáo đầy đủ
Bạn có biết?
Bản đồ tội phạm mạng toàn cầu kết hợp cộng đồng đa dạng gồm hơn 40 thành viên khu vực công và tư để tập trung chia sẻ kiến thức, cộng tác và nghiên cứu về tội phạm mạng. Mục tiêu là ngăn chặn kẻ phạm tội trên mạng bằng cách cung cấp thông tin tạo điều kiện thuận lợi cho các hành động của cơ quan hành pháp và khu vực tư để bắt giữ và phá dỡ hạ tầng của tội phạm.
Sự thiếu hụt chuyên gia AI và an ninh mạng trên toàn cầu chỉ giải quyết được thông qua quan hệ đối tác chiến lược giữa các tổ chức giáo dục, tổ chức phi lợi nhuận, chính phủ và doanh nghiệp. Vì AI có thể giúp giảm bớt phần nào gánh nặng này nên việc phát triển các kỹ năng AI là ưu tiên hàng đầu trong các chiến lược đào tạo của công ty.
Nhu cầu về chuyên gia an ninh mạng đã gia tăng 35% trong năm qua. Tìm hiểu thêm về hình ảnh này trên trang 120 trong báo cáo đầy đủ
Bạn có biết?
Sáng kiến về kỹ năng AI của Microsoft bao gồm các khóa học mới, miễn phí được phát triển với sự cộng tác của LinkedIn. Điều đó giúp nhân viên tìm hiểu các khái niệm AI cơ bản, trong đó có các khuôn khổ AI có trách nhiệm, và nhận chứng chỉ Kiến thức thiết yếu về sự nghiệp sau khi hoàn thành.
Theo dõi Microsoft Security