Điều tra an toàn mạng 2013 của Microsoft

09:17 | 21/03/2014

Microsoft phát hành định kỳ các Báo cáo Điều tra an toàn mạng (SIR) với mục đích khuyến nghị các tổ chức/doanh nghiệp và người dùng về vấn đề an ninh, an toàn thông tin (ATTT) trong thế giới mạng. SIR được tổng hợp từ kết quả nghiên cứu trên toàn cầu của Microsoft (trọng tâm ở 106 quốc gia), phân tích về các hiểm họa, mã độc, những lỗ hổng và cách khai thác dựa trên hơn 1 tỉ máy tính toàn cầu, trong đó có hơn 400 triệu các tài khoản Outlook.com đang hoạt động, được hệ thống Bing theo dõi hàng ngày. Bài báo này sẽ giới thiệu một số nội dung chính của báo cáo điều tra năm 2013 của Microsoft (phiên bản 15).

Xu hướng lỗ hổng an toàn mạng
Các báo cáo tiết lộ về lỗ hổng an ninh mạng (LHANM) của các hãng hàng đầu, trong 6 tháng đầu năm 2013 đã giảm 1,3% so với nửa cuối năm 2012 và 10,1% so với cùng kỳ năm 2012. Nhưng đi ngược với xu thế này, các báo cáo tiết lộ LHANM của Microsoft đưa ra có xu hướng nhiều hơn so với nửa cuối năm 2012 và mức gần bằng so với năm 2010. Theo mức độ nghiêm trọng thang bảng 10, các LHANM ở mức cao (7-10) có xu hướng tăng, hơn 12,9% so với nửa cuối năm 2012, chiếm 36,7% (con số kỳ trước là 31,6%) trong toàn bộ báo cáo. Trong khi đó, ở mức trung bình (4-6,9) và mức thấp (0-3,9) lại có xu hướng giảm, giảm sâu là các LHANM mức dễ tổn thương trung bình. Theo mức độ phức tạp khó khăn cho việc khai thác lỗ hổng, các LHANM có độ phức tạp trung bình (rủi ro trung bình) có xu hướng giảm, trong khi các LHANM có độ phức tạp thấp (rủi ro cao nhất) và có độ phức tạp cao nhất (rủi ro thấp nhất) lại có xu hướng tăng. Đáng chú ý là các LHANM có độ phức tạp cao tăng 5,5% so với nửa cuối năm 2012. Các LHANM đối với các hệ điều hành có xu hướng tăng mạnh trở lại sau thời gian dài (từ nửa đầu năm 2010 đến cuối năm 2012) giảm, tăng 39,3% so với nửa cuối năm 2012, đi ngược với xu thế giảm của các lỗ hổng ứng dụng và lỗ hổng trình duyệt.

Tỷ lệ phát hiện và lây nhiễm mã độc
Theo số liệu báo cáo từ các công cụ ghi nhận của Microsoft, tính trung bình, khoảng 17% số máy tính trên thế giới phát hiện có phần mềm độc hại vào mỗi quý trong nửa đầu năm 2012, trong đó tỷ lệ bị lây nhiễm cao và nghiêm trọng vào khoảng 0,6%. Xu hướng chung toàn thế giới, tỷ lệ lây nhiễm và phát hiện mã độc có giảm nhưng không đáng kể trong nửa đầu năm 2013; đi ngược lại xu thế này là ở khu vực Pakistan – có tới 42,5% máy tính báo nhiễm mã độc. Nhóm các mối đe dọa an ninh mạng  tại Pháp là Win32/Sirefef, Win32/Zbot, Win32/Brontok, Win32/Alureon, Win32/Vobfus, số máy tính nhiễm mã độc Win32/Zbot tăng đáng kể trong 2 quý đầu năm 2013, lên đến mức gần 0,1%.
Xu hướng khai thác đánh cắp thông tin
Các loại mã độc tấn công trên nền web (như HTML/JavaScript) tiếp tục là mối đe dọa thường gặp nhất vào quý 2 năm 2013; tiếp theo là các mã độc tấn công Java và hệ điều hành. Ngày nay, các mã độc thường tấn công vào các nền tảng công nghệ như: HTML/JavaScript (khai thác các lỗ hổng HTML/IframeRef), Java (các lỗ hổng CVE-2012-1723, CVE-2012-0507, CVE-2013-0422, CVE-2013-0431, CVE-2010-0840), các hệ điều hành (CVE-2010-2568 (MS10-046), CVE-2011-3402 (MS12-034))....
Phần mềm độc hại
Xu hướng tăng/giảm tỷ lệ phát hiện các phần mềm độc hại

Nhóm nước/khu vực có tỷ lệ máy tính nhiễm mã độc cao là: I-Rắc, Pakistan, Palestine, Hồng Kông (Trung Quốc), Hàn Quốc; tỷ lệ này thấp ở các quốc gia: Đan Mạch, Thụy Điển, Na Uy, Nhật Bản, Phần Lan. Nhóm nước có tỷ lệ máy tính được phát hiện nhiễm độc cao gồm: Thổ Nhĩ Kỳ, Pakistan, Georgia, Việt Nam, Ai Cập; tỷ lệ này thấp ở các nước: Đan Mạch, Thụy Điển, Na Uy, Nhật Bản, Phần Lan.
Các phần mềm độc hại chiếm tỷ lệ cao
Trong đó, mã độc INF/Autorun chiếm vị trí số 1 từ quý 3/2012 đến quý 1/2013 (chiếm 1,70%) là trojan hỗn hợp, chúng lây nhiễm vào máy tính, các ổ đĩa rời… khi tính năng Autorun được kích hoạt. Cùng chủng loại đó, Win32/Obfuscator  là loại mã độc ngụy trang có khả năng cản trở sự phân tích và phát hiện của các công cụ bảo mật đã tăng liên tục và chiếm vị trí đầu bảng vào quý 2/2013 (chiếm 1,89%). Tiếp theo, đứng ở vị trí thứ 3 là mã độc HTML/IframeRef (chiếm 1,67% trong QII/2013), loại mã tạo ra các thẻ IFrame để dẫn đến một website có chứa các mã độc nhằm khai thác một lỗ hổng của công nghệ web. Trojan JS/Seedabutor có thể dẫn người dùng tới trang web xấu thông qua trình duyệt bị nhiễm độc hại, xuất hiện vào đầu năm 2013 đã giảm từ 1,76% (QI/2013) còn 0,69% trong quý 2/2013. Chiếm tỷ lệ khá ổn định trong 4 quý liền là sâu mạng Win32/Dorkbot (chiếm 0,95% trong QII/2013) dựa trên nền kiến trúc IRC, được phát tán qua các thanh nhớ USB, các chương trình chat và mạng xã hội. Các sâu Win32/Dorkbot này có thể ăn cắp mật khẩu nhờ do thám các trang mạng của người sử dụng và khóa các cập nhật an ninh của họ. Họ sâu này cũng có thể thực hiện chức năng hỗ trợ các tấn công từ chối dịch vụ DDoS.
Phần mềm không mong muốn
Nhóm nước có tỷ lệ máy tính được phát hiện nhiễm các phần mềm độc này ở mức cao gồm: Việt Nam, Ai Cập,   Pakistan, Brazil, Tuy-ni-di; tỷ lệ này thấp ở các nước/khu vực: Hồng Kông (Trung Quốc),  Na Uy, Phần Lan, Nhật Bản.
Xu hướng tăng/giảm tỷ lệ phát hiện các phần mềm không mong muốn
Nguy cơ từ các thư rác
Dung lượng các thư rác điện tử bị các công cụ của Microsoft phong tỏa trong nửa đầu năm 2013 tăng nhẹ so với cuối năm 2012. Sự suy giảm lượng thư rác trong thế giới mạng trong thời gian qua nhờ vào sự triệt hạ thành công mạng botnet trong đó phải kể đến botnet Cutwail và Rustock.
10 vị trí có botnet gửi thư rác nhiều nhất.
Các trang Web độc hại
Các mã độc xâm nhập vào máy tính của người dùng từ các trang web độc hại thường là do: Người dùng không có chương trình bảo vệ máy tính đã thực hiện các truy cập vào các trang web chứa mã độc; IFrame được bí mật nhúng vào trang web của người dùng để tải một trang khác chứa mã độc; Trang web của người dùng được chuyển hướng đến một trang web chứa mã độc; Mã độc sau khi nhiễm vào máy tính người dùng đã tải web chứa mã độc từ máy chủ điều khiển từ xa.
Chương trình Smart Screen của Microsoft đã loại được các nguy cơ phong tỏa sau:

Tại Việt Nam
Báo cáo SIR cho biết, ba nhóm nguy cơ đối với an toàn mạng Việt Nam đến từ mã độc trong quý II năm 2013 là Trojan hỗn hợp, sâu mạng và virus. Trojan hỗn hợp có tỷ lệ phát hiện là 21,2% trong số máy tính được báo cáo, đã giảm hơn so với quý I/2013 (tỷ lệ phát hiện là 21,4% trong số máy tính được báo cáo). Con số tương đương đối với virus mạng là 12,8% (QII/2013) và 12,9% (QI/2013). Trong khi đó, nguy cơ từ sâu mạng đã giảm đáng kể, từ 19,7% (QI/2013) giảm còn  15,3% (QII/2013).
Trong quý 2/2013, vị trí thứ nhất về nguy cơ lây nhiễm thuộc về Win32/Ramnit (tỷ lệ nhiễm độc là 9,6% trong số máy tính được báo cáo, là một nhóm mã độc đa thành tố lây nhiễm các tệp thực thi, tệp tin của Microsoft Office và HTML. Các trojan này được phát tán thông qua các loại thiết bị lưu trữ dữ liệu di động như USB… nhằm đánh cắp các thông tin nhạy cảm như các thông tin truy cập của người dùng qua giao thức FPT và các cookie của các trình duyệt. Chúng có thể được thiết kế cửa hậu (backdoor) để chờ chỉ thị của kẻ tấn công. Vị trí thứ hai là họ sâu mạng Win32/Gamarue (tỷ lệ nhiễm độc là 9,1% trong số máy tính được báo cáo QII/2013) thường được phát tán thông qua các bộ công cụ tấn công và cách thức lừa đảo dựa trên kỹ nghệ xã hội. Chúng ăn cắp thông tin từ máy tính người dùng, cung cấp và thực thi theo lệnh của các máy chủ điều khiển từ xa (C&C) do kẻ tấn công quản lý. Các shortcut độc hại Win32/CplLnk đứng ở vị trí thứ 3 (tỷ lệ nhiễm độc là 9,1% trong số máy tính được báo cáo QII/2013) được tạo bằng phương pháp thủ công đặc biệt nhằm khai thác các lỗ hổng được mô tả bởi CVE-2010-2568. Vị trí thứ tư thuộc về INF/Autorun với tỷ lệ nhiễm độc là 7,3% trong số máy tính được báo cáo QII/2013.
Những khuyến nghị của Microsoft
Trong báo cáo SIR phiên bản 15, Microsoft đã nêu ra xu hướng lỗ hổng an ninh mạnh và gợi ý những giải pháp để phát hiện những rủi ro từ phần mềm độc hại, các mối đe dọa bảo mật khác và phòng ngừa, ngăn chặn để giảm thiểu thiệt hại. Các biện pháp chính là: Luôn cập nhật tất các các phần mềm trên hệ thống CNTT; Chạy các phần mềm diệt virus tin cậy; Cẩn thận khi nhấp chuột vào các đường liên kết tới các trang web; Kiểm tra kỹ thông tin về các tệp tin được đính kèm các thư; Không nên tải các phần mềm miễn phí và cảnh giác phòng, chống các cuộc tấn công sử dụng kỹ nghệ xã hội.

 Về Báo cáo an toàn mạng của Microsoft - SIR
SIR được tổng hợp từ kết quả nghiên cứu trên toàn cầu, có trọng tâm ở 106 quốc gia, phân tích về các hiểm họa, mã độc, những lỗ hổng và cách khai thác dựa trên hơn 1 tỉ máy tính, trong đó có hơn 400 triệu tài khoản Outlook.com đang hoạt động, được hệ thống Bing theo dõi hàng ngày. Các dịch vụ và sản phẩm của Microsoft thu thập số liệu và  phục vụ cho công tác nghiên cứu bao gồm: Bing, Outlook.com, Microsoft Exchange online Protection, Windows Defender cho Windows 8, công cụ tháo dỡ mã độc MSRT, giải pháp Systems Center Endpoint Protection, Microsoft Security Essentials, bộ lọc Smartscreen Filter, Microsoft Safety Scanner và bộ Windows Defender Offline. 
Những công cụ này được Microsoft phân phối qua Trung tâm tải ứng dụng WU/AU, Trung tâm tải về cho Windows Vista/Window 7, Window 8, Điện toán đám mây, hoặc các kênh cấp phép trực tiếp và có chính sách miễn phí tùy theo đối tượng khách hàng. Các công cụ này cũng cung cấp cho khách hàng các dịch vụ quét/loại bỏ phần mềm độc hại, phần mềm gián điệp và các phần mềm không mong muốn; thực hiện bảo vệ theo thời gian thực tùy theo đối tượng khách hàng.