Microsoft và giải pháp chống botnet thời gian thực

Microsoft đang có kế hoạch thực hiện các dữ liệu mà mình thu thập được như là một phần của các hoạt động gỡ bỏ botnet có sẵn như là một nguồn cấp dữ liệu tình báo mối đe dọa thời gian thực.

Hai thành viên của Microsoft Digital Crimes Unit (Ban tội phạm kỹ thuật số Microsoft) đã nói với những người tham dự tại Hội nghị quốc tế về an ninh mạng tại Đại học Fordham vào ngày 11/1 rằng công ty sẽ phân phối dữ liệu về mối đe dọa thu được từ mạng máy tính ma bị bắt và các nguồn khác đến các chính phủ nước ngoài, thực thi pháp luật, Computer Emergency Response Teams (Đội phản ứng khẩn cấp máy tính) và các tập đoàn tư nhân.

Các đối tác sẽ có thể truy cập thông tin bằng cách sử dụng giao diện chương trình ứng dụng (API) sẽ được cung cấp miễn phí bởi Microsoft.

Khi dịch vụ dữ liệu tình báo mối đe dọa thời gian được thực hiện, Microsoft có kế hoạch cung cấp ba nguồn dữ liệu khác nhau. Các đối tác có thể tìm kiếm các phần mềm độc hại thường là một phần của hoạt động mạng botnet, hoặc tương quan dữ liệu máy chủ với thông tin về những trò gian lận Internet khác nhau, theo TJ Campana, một nhà quản lý chương trình cao cấp trong Digital Crimes Unit của Microsoft. Microsoft từ chối cho biết thời điểm nguồn cấp dữ liệu thời gian thực đi vào hoạt động.

Chia sẻ dữ liệu tình báo mối đe dọa là một chủ đề định kỳ tại ICCS. Vì yêu cầu phải có sự phối hợp và chia sẻ thông tin tốt hơn giữa thực thi pháp luật nên các nhà nghiên cứu bảo mật và các tổ chức tư nhân có vai trò rất quan trọng trong cuộc chiến chống lại bọn tội phạm mạng, Barry Green, Chủ tịch của Internet Systems Consortium, nói với những người tham dự vào ngày đầu tiên của hội nghị. Mặc dù các mối quan hệ cộng tác công-tư là rất cần thiết, những cũng cần phải có mối quan hệ chia sẻ dữ liệu và sự hợp tác giữa cá nhân với cá nhân trong ngành công nghiệp, theo Green. RSA Netwitness đã cung cấp một nguồn cấp dữ liệu thời gian thực của dữ liệu tình báo mối đe dọa mạng được thu thập từ nhiều nguồn.

Campana cho biết: "Chúng tôi đã thu thập được một lượng lớn dữ liệu từ các nguồn trên toàn cầu của chúng tôi."

Microsoft đang thực hiện thu thập các dữ liệu botnet từ một số nguồn. Cơ sở hạ tầng Internet rộng lớn của công ty, trong đó bao gồm một cân bằng tải toàn cầu và mạng80G bps, có thể quét toàn bộ mạng máy tính ma và chỉ ra các máy chủ bị nhiễm phần mềm độc hại mà Microsoft kiểm soát, theo Campana. Bằng cách này, Microsoft có thể nắm bắt các hoạt động botnet nhằm mục đích thu thập dữ liệu của mình, trong khi có thể ngăn chặn lưu lượng truy cập độc hại một cách hiệu quả.

Các dữ liệu thu thập được trong các hoạt động gần đây (hoạt động giúp gỡ bỏ các mạng bonet Kelihos, Rustock và Waldec tại Mỹ) cũng sẽ được bao gồm trong dịch vụ. Các hoạt động gỡ bỏ, chẳng hạn như hoạt động cho Rustock vào tháng 3/2011 và chiến dịch Waldec trong năm 2010, là một nguồn quan trọng của dữ liệu, theo Richard Domingues Boscovich, một luật sư cao cấp tại DCU Microsoft. Microsoft đã thu thập dữ liệu trong ba năm, bằng cách sử dụng một quá trình hướng dẫn sử dụng và làm việc với các đối tác khác nhau như CERT, theo Boscovich.

Các đối tác của Microsoft muốn có thể truy cập vào dữ liệu botnet mà Microsoft đã thu thập được một cách nhanh hơn và hiệu quả hơn, cung cấp động lực cho các dịch vụ dữ liệu. Khi được đưa vào hoạt động, dịch vụ này sẽ phân đoạn dữ liệu, và chỉ có các phần dữ liệu có liên quan mới được chia sẻ với đối tác. Các dịch vụ cũng sẽ cung cấp cho các tổ chức nhỏ những thông tin tình báo an ninh cần thiết để chiến đấu với các mạng botnet lớn toàn cầu mà không phải đầu tư vào những phân tích phức tạp hoặc bổ sung thêm các chuyên gia có khả năng sử dụng những công cụ này.

Microsoft đã tiến hành thử nghiệm hệ thống trong nội bộ, theo Campana. Hệ thống này có vẻ như là một cụm 70 nút chạy khung phần mềm Hadoop của Apache trên đầu Windows Server, Campana cho biết.

Thùy Linh