Trong vài tuần qua, Microsoft đã thúc đẩy các nỗ lực bảo mật kỹ thuật số như một phần của việc tuân thủ Tháng nâng cao nhận thức về an ninh mạng quốc gia (NCSAM – National Cyber Security Awareness Month) vào tháng 10. Nó đã công bố các sáng kiến mới để thúc đẩy nhận thức về an ninh mạng; công bố Trung tâm triển khai Zero Trust, phát hành Adversarial ML Threat Matrix; và phát động một cuộc tấn công khá thành công chống lại botnet Trickbot độc hại. Và gần đây, họ phát triển mô hình AI để phát hiện các cuộc tấn công Password Spray với hiệu suất được cải thiện đáng kể so với cơ chế trước đây của nó.
Tìm hiểu về Password Spray
A password spray là một trong những cuộc tấn công phổ biến nhất, chiếm hơn một phần ba vụ xâm nhập tài khoản trong các tổ chức. Trong các cuộc tấn công này, những kẻ xấu sẽ thử một vài mật khẩu phổ biến đối với nhiều tài khoản từ các tổ chức khác nhau. Thay vì thử nhiều mật khẩu chống lại một người dùng, họ cố gắng đánh bại việc khóa và phát hiện bằng cách thử nhiều người dùng với một mật khẩu.
Các hình thức hiệu quả của cuộc tấn công này là “thấp và chậm”; trong đó kẻ xấu sử dụng hàng nghìn địa chỉ IP (chẳng hạn như từ một mạng botnet); để tấn công nhiều người dùng bằng một vài mật khẩu chung. Từ bất kỳ chế độ xem nào của người dùng; có rất ít lần đăng nhập với tính nhất quán kém đến mức không thể phát hiện được cuộc tấn công. Khách hàng có thể chỉ thấy một hoặc hai lần đăng nhập không thành công xảy ra; từ các loại tấn công này một lần mỗi ngày. Do đó, các cuộc tấn công bỏ qua bảo vệ truyền thống; như mật khẩu khóa và chặn IP độc hại. Các cuộc tấn công bằng password spray có tỷ lệ thành công là 1% cho các tài khoản.
Mặc dù điều này chỉ ra rằng tỷ lệ thành công trên mỗi tài khoản là khá nhỏ; nhưng điều đó cũng có nghĩa là cuộc tấn công rất khó phát hiện; vì nó được lan truyền với tính nhất quán không đồng đều đến mức người thuê có thể loại bỏ một vài lần đăng nhập không thành công trên mỗi tài khoản như một phần của mẫu đăng nhập thông thường. Vì vậy, cuộc tấn công này chỉ có thể được phát hiện trên nhiều người dùng nếu bạn nhận thấy một lần băm duy nhất bị lỗi trên nhiều tài khoản.
Biểu đồ sau đây cho thấy một cuộc tấn công rải mật khẩu với mức độ như sau:
Mỗi màu theo dõi một băm mật khẩu khác nhau cho các lần đăng nhập bằng mật khẩu không chính xác trong Azure Active Directory (Azure AD). Nhìn qua hàng triệu người dùng; chúng ta có thể thấy mô hình của một cuộc tấn công bằng mật khẩu.
Thông thường, biểu đồ sẽ phẳng và phân tán đều; như bạn thấy ở bên trái. Việc một hàm băm không thành công trên nhiều tài khoản; cho thấy một mật khẩu duy nhất đang được cố gắng chống lại hàng trăm nghìn tên người dùng từ nhiều người dùng; một cuộc tấn công password spray đang diễn ra. Ống kính này mở rộng khả năng phát hiện ngoài lưu lượng truy cập từ một tập hợp địa chỉ IP (một vài trong số các cuộc tấn công này bắt nguồn từ hàng triệu địa chỉ IP); và thay vào đó, nó tương quan với các mẫu xác thực mà những kẻ xấu đang cố gắng.
Sự phát triển của tính năng dò mật khẩu
Để chống lại các cuộc tấn công rải mật khẩu; Microsoft trước đây đã xây dựng một cơ chế heuristic. Trong đó công ty quan sát thấy “lỗi cốt lõi trong hệ thống trong lưu lượng truy cập trên toàn thế giới”; và thông báo cho các tổ chức có nguy cơ. Giờ đây, công ty đã cải thiện cơ chế này bằng cách đào tạo một thuật toán Machine Learning được giám sát; sử dụng các tính năng như danh tiếng IP; thuộc tính đăng nhập không quen thuộc và các sai lệch tài khoản khác; để phát hiện khi người thuê bị tấn công từ mật khẩu.
Các nhà khoa học dữ liệu của Microsoft bắt đầu nghiên cứu việc sử dụng các mẫu này và dữ liệu bổ sung; để đào tạo một hệ thống học máy được giám sát mới kết hợp danh tiếng IP; thuộc tính đăng nhập không quen thuộc; và các sai lệch khác trong hành vi tài khoản. Kết quả của nghiên cứu này đã dẫn đến việc phát hành tính năng phát hiện rủi ro bằng mật khẩu mới.
Việc phát hiện học máy mới này mang lại khả năng thu hồi tăng 100% so với thuật toán heuristic được mô tả ở trên.
Nó phát hiện gấp đôi số lượng tài khoản bị xâm phạm của thuật toán trước đó. Nó thực hiện điều này trong khi vẫn duy trì độ chính xác 98% đáng kinh ngạc của thuật toán trước đó; nghĩa là nếu thuật toán này cho biết một tài khoản rơi vào tình trạng password spray; thì điều này gần như chắc chắn đúng trong tất cả các trường hợp như vậy. Mô hình mới sẽ sớm có sẵn cho khách hàng của Azure AD Identity Protection; người dùng sẽ có thể sử dụng nó trong cổng thông tin và các API để bảo vệ danh tính.
Tính năng phát hiện mật khẩu mới này là một ví dụ tuyệt vời về cách Microsoft sử dụng AI trên các hệ thống nhận dạng của Microsoft; để liên tục mở rộng và cải thiện các biện pháp bảo vệ. Người dùng có thể sử dụng để tự động hóa các quy trình trong Azure AD Conditional Access; trong Azure Sentinel hoặc thông qua API để bảo vệ danh tính của mình.
Xem thêm: Tổng quan về công nghệ Cluster. Máy chủ Cluster Microsoft