Microsoft đã công bố một khả năng bảo mật mới dựa trên trí tuệ nhân tạo (AI), nhằm giải quyết một trong những lỗ hổng dai dẳng nhất của an ninh mạng: thông tin xác thực plaintext được lưu trữ trong hệ thống Active Directory. Tính năng được cải tiến này trong Microsoft Defender sử dụng AI tinh vi để phát hiện thông tin xác thực bị lộ với độ chính xác chưa từng có, giúp các tổ chức loại bỏ một vector tấn công quan trọng đã gây ra nhiều vấn đề cho môi trường doanh nghiệp, góp phần tăng cường **an toàn thông tin** tổng thể.

Vấn đề bảo mật này tương tự như việc để chìa khóa nhà dưới thảm chùi chân – một thực hành rõ ràng là rủi ro nhưng vẫn phổ biến đáng ngạc nhiên trong các môi trường IT doanh nghiệp. Nghiên cứu và thử nghiệm ban đầu đã tiết lộ hơn 40.000 thông tin xác thực bị lộ trên 2.500 tenant, cho thấy mức độ nghiêm trọng của lỗ hổng này. Thông tin chi tiết có thể được tìm thấy tại nguồn đáng tin cậy: Microsoft TechCommunity Blog.

Thông Tin Xác Thực Mã Hóa Rõ Ràng: Rủi Ro Trong Môi Trường Doanh Nghiệp

Các thông tin xác thực nhạy cảm thường được lưu trữ trong các trường văn bản tự do (free text fields) trong hệ thống Active Directory và Microsoft Entra ID. Các quản trị viên thường sử dụng các thuộc tính tùy chỉnh này để linh hoạt trong hoạt động.

Các trường văn bản tự do phục vụ các mục đích hợp pháp, hỗ trợ tích hợp với hệ thống nhân sự (HR), công cụ tạo chữ ký email và giải pháp Quản lý Truy cập Đặc quyền (Privileged Access Management – PAM). Tuy nhiên, bản chất không có cấu trúc và thiếu ràng buộc chặt chẽ về lược đồ của chúng tạo ra rủi ro bảo mật đáng kể khi thông tin nhạy cảm như thông tin xác thực hoặc định danh cá nhân được lưu trữ mà không có các biện pháp kiểm soát phù hợp.

Mục Tiêu Giá Trị Cao: Danh Tính Phi Con Người (NHI)

Các danh tính phi con người (Non-Human Identities – NHI) bị ảnh hưởng không cân xứng bởi lỗ hổng này. Các tài khoản dịch vụ này chiếm số lượng lớn hơn đáng kể so với tài khoản người dùng và không thể sử dụng các phương pháp xác thực truyền thống như xác thực đa yếu tố (MFA).

Do áp lực phải duy trì thời gian hoạt động của hệ thống và đảm bảo tự động hóa liền mạch, các quản trị viên thường lưu trữ thông tin xác thực NHI ở dạng văn bản rõ ràng để đơn giản hóa việc khắc phục sự cố và tích hợp. Thực tế này tạo ra các mục tiêu có giá trị cao cho kẻ tấn công, vì các tài khoản NHI thường hoạt động với các đặc quyền nâng cao và thường bị bỏ qua trong các mô hình bảo mật truyền thống, đe dọa nghiêm trọng đến **an toàn thông tin** của tổ chức.

Vector Tấn Công Phổ Biến và Mối Đe Dọa Mạng Tiềm Ẩn

Tình hình trở nên nghiêm trọng hơn khi các tác nhân độc hại và nhóm Red Team ngày càng nhắm mục tiêu vào các trường này để giành quyền truy cập ban đầu và thực hiện di chuyển ngang (lateral movement). Các công cụ liệt kê (enumeration tools) được hỗ trợ bởi AI rút ngắn thời gian khai thác từ hàng giờ xuống chỉ còn vài giây.

Khả năng **phát hiện xâm nhập** sớm trở nên cấp thiết hơn bao giờ hết. Sự gia tăng của các công cụ tự động hóa tấn công khiến việc tìm kiếm và khai thác các thông tin xác thực này trở nên nhanh chóng, tăng cường **mối đe dọa mạng** và đặt ra thách thức lớn cho các đội ngũ bảo mật.

Giải Pháp AI Đột Phá Từ Microsoft Defender

Giải pháp của Microsoft sử dụng mô hình phát hiện hai giai đoạn tinh vi, tận dụng trí tuệ nhân tạo để xác định các thông tin xác thực bị lộ đồng thời giảm thiểu tối đa các cảnh báo sai (false positives). Phương pháp này mang lại hiệu quả cao trong việc bảo vệ **an toàn thông tin** hệ thống.

Giai Đoạn 1: Quét Chi Tiết Thư Mục Định Danh

Giai đoạn đầu tiên tiến hành quét chi tiết các thư mục định danh, gắn cờ các khả năng thông tin xác thực bị lộ tiềm tàng. Điều này bao gồm việc phát hiện các bí mật được mã hóa Base64 và các chuỗi khớp với cấu trúc mật khẩu đã biết. Mục tiêu là thu thập một tập hợp các ứng cử viên tiềm năng để kiểm tra sâu hơn.

Giai Đoạn 2: Phân Tích Ngữ Cảnh Nâng Cao Bằng AI

Một mô hình AI tiên tiến hơn sau đó sẽ phân tích các yếu tố ngữ cảnh, bao gồm loại định danh liên quan, liệu giá trị có tĩnh hay đã thay đổi gần đây, và các tham chiếu trong các script tự động hóa hoặc nhật ký. Giai đoạn này giúp lọc bỏ các cảnh báo nhiễu và tập trung vào các rủi ro thực sự.

Cách tiếp cận phân lớp này đảm bảo rằng các cảnh báo đều có độ tin cậy cao và có thể hành động được, giảm đáng kể lượng thông tin nhiễu thường làm quá tải các nhóm bảo mật. Điều này cho phép đội ngũ bảo mật tập trung vào các sự kiện quan trọng nhất, nâng cao khả năng phản ứng và bảo vệ **an toàn thông tin**.

Nâng Cao An Toàn Thông Tin và Khả Năng Phòng Thủ Tổng Thể

Bằng cách tích hợp AI trực tiếp vào các khả năng quản lý trạng thái bảo mật (posture management), Microsoft cung cấp cho các nhóm bảo mật những lợi thế về tốc độ và quy mô tương tự mà kẻ tấn công đã khai thác. Cách tiếp cận chủ động này cho phép các tổ chức xác định và khắc phục các cấu hình định danh sai (identity misconfigurations) trước khi chúng có thể bị khai thác trong các cuộc tấn công thực tế, từ đó cải thiện đáng kể **an toàn thông tin**.

Khả năng phát hiện mới này thể hiện một phần trong sáng kiến rộng lớn hơn của Microsoft nhằm giúp các tổ chức tăng cường tư thế bảo mật định danh thông qua việc tự động khám phá và khắc phục các điểm yếu cấu hình có thể dẫn đến sự xâm phạm. Điều này củng cố khả năng phòng thủ của doanh nghiệp trước các **mối đe dọa mạng** ngày càng phức tạp.

Việc liên tục cải tiến các giải pháp bảo mật tự động hóa là yếu tố then chốt trong việc duy trì **an toàn thông tin** trong một môi trường công nghệ luôn biến đổi. Khả năng mới của Microsoft Defender giúp giảm thiểu rủi ro từ các thông tin xác thực bị lộ, bảo vệ tài sản quan trọng và duy trì tính toàn vẹn của hệ thống.