Cơ quan An ninh Quốc gia (NSA), cùng với Cơ quan An ninh Hạ tầng và An ninh Mạng (CISA), FBI và nhiều đối tác quốc tế, đã phát hành một tài liệu thông tin an ninh mạng toàn diện mang tên “Bulletproof Defense: Mitigating Risks From Bulletproof Hosting Providers”. Hướng dẫn này, được công bố vào ngày 19 tháng 11 năm 2025, nhắm đến các nhà cung cấp dịch vụ Internet (ISP) và các nhà phòng thủ mạng, đưa ra các khuyến nghị chiến lược để phá vỡ cơ sở hạ tầng hỗ trợ tội phạm mạng toàn cầu, đặc biệt là các hoạt động liên quan đến Bulletproof Hosting.

Tổng quan về Mối đe dọa từ Bulletproof Hosting

Tài liệu khuyến cáo này, được phát triển bởi Lực lượng Đặc nhiệm Ransomware Chung (JRTF), giải quyết mối đe dọa mạng ngày càng tăng từ các dịch vụ Bulletproof Hosting (BPH). Các dịch vụ này được biết là cố ý hỗ trợ các nhóm ransomware, các chiến dịch lừa đảo (phishing) và các hoạt động độc hại khác.

Bản chất của Bulletproof Hosting

Các nhà cung cấp Bulletproof Hosting khác biệt với các dịch vụ hạ tầng hợp pháp bởi việc cố tình phớt lờ các khiếu nại lạm dụng và các quy trình pháp lý như lệnh tòa hoặc trát đòi hầu. Những đơn vị này tiếp thị dịch vụ của họ cho tội phạm mạng với sự đảm bảo về khả năng miễn truy cứu trách nhiệm, thường cho phép nội dung bất hợp pháp tồn tại trực tuyến dù có bằng chứng về hoạt động tội phạm.

Tài liệu hướng dẫn chung nhấn mạnh rằng các nhà cung cấp BPH thường xuyên bán lại hạ tầng được thuê hoặc đánh cắp từ các trung tâm dữ liệu và nhà cung cấp dịch vụ đám mây hợp pháp, từ đó che giấu hiệu quả lưu lượng truy cập độc hại trong các mạng hợp lệ. Sự hiện diện của Bulletproof Hosting làm phức tạp hóa nỗ lực bảo mật và truy vết nguồn gốc tấn công.

Kỹ thuật che giấu và né tránh

Để trốn tránh sự phát hiện, các tác nhân đứng sau Bulletproof Hosting sử dụng các kỹ thuật tinh vi. Một trong số đó là “fast flux”, nơi họ nhanh chóng luân chuyển địa chỉ IP và tên miền. Họ cũng thường xuyên di chuyển giữa các Số Hệ thống Độc lập (ASN) để vượt qua các danh sách chặn tĩnh (static blocklists) và làm gián đoạn các nỗ lực theo dõi.

Chiến lược Phòng thủ và Giảm thiểu Rủi ro đối với Bulletproof Hosting

Các cơ quan ủy quyền nhấn mạnh rằng việc giảm thiểu rủi ro từ BPH đòi hỏi một cách tiếp cận tinh tế để tránh làm gián đoạn lưu lượng truy cập Internet hợp pháp. Các nhà phòng thủ mạng được khuyến khích xây dựng các danh sách tài nguyên Internet độc hại có độ tin cậy cao bằng cách tận dụng các nguồn dữ liệu tình báo mối đe dọa (threat intelligence) thương mại và mã nguồn mở.

Thay vì chỉ dựa vào các biện pháp chặn rộng rãi, các nhà phòng thủ nên triển khai lọc chi tiết (granular filtering) tại biên mạng. Việc này bao gồm nhắm mục tiêu vào các dải IP hoặc ASN cụ thể đã được xác định là độc hại.

Phát hiện và Giám sát Mạng

Hướng dẫn cũng nêu bật tầm quan trọng của việc phân tích lưu lượng truy cập để thiết lập hành vi mạng cơ sở (baseline network behavior). Điều này cho phép các nhóm an ninh mạng xác định các hoạt động bất thường có thể chỉ ra kết nối với cơ sở hạ tầng BPH. Các hệ thống ghi nhật ký sự kiện tập trung (centralized event logging systems) cần được cấu hình để cảnh báo về lưu lượng truy cập từ các nguồn độc hại đã biết, đảm bảo việc xác định nhanh chóng các trường hợp xâm nhập tiềm ẩn. Để tham khảo thêm về hướng dẫn gốc, bạn có thể xem tại media.defense.gov.

Vai trò then chốt của các Nhà cung cấp Dịch vụ Internet (ISP)

Các ISP đóng một vai trò quan trọng trong chiến lược phòng thủ được đề xuất nhằm chống lại Bulletproof Hosting. Họ được khuyến khích áp dụng các giao thức “Know Your Customer” (KYC) nghiêm ngặt hơn để ngăn chặn các nhà cung cấp Bulletproof Hosting dễ dàng có được cơ sở hạ tầng.

Tài liệu khuyến cáo đề xuất rằng các ISP yêu cầu thông tin nhận dạng và chi tiết ngân hàng có thể kiểm chứng từ khách hàng tiềm năng để xác thực tính hợp pháp của họ. Hơn nữa, hướng dẫn đề xuất thiết lập các quy tắc ứng xử trên toàn ngành, chẳng hạn như đồng ý chặn các dải IP độc hại trong tối đa 90 ngày để làm gián đoạn các hoạt động tội phạm, góp phần tăng cường an ninh mạng toàn diện.

Các ISP cũng được khuyên nên thông báo cho khách hàng khi lưu lượng truy cập bị chặn do liên quan đến hoạt động độc hại và cung cấp dịch vụ lọc tùy chọn (opt-out filtering services). Các dịch vụ này cung cấp khả năng bảo vệ nâng cao cho các tổ chức có mức chấp nhận rủi ro thấp hơn.

Bằng cách thắt chặt các biện pháp kiểm soát này, liên minh quốc tế nhằm mục đích đẩy tội phạm mạng ra khỏi các nơi trú ẩn Bulletproof Hosting và đưa chúng lên các nền tảng hợp pháp, nơi các cơ quan thực thi pháp luật có thể can thiệp hiệu quả hơn.