Microsoft đã tăng cường khả năng của Microsoft Defender for Office 365 bằng việc giới thiệu các tính năng phân tích chi tiết cho thư rác và tấn công lừa đảo (phishing), nhằm mục đích cải thiện hiệu quả phát hiện và phản hồi các mối đe dọa qua email.
Cải tiến Chức năng Phát hiện Bombing Email
Một trong những cải tiến nổi bật được giới thiệu là khả năng Phát hiện Bombing Email (Mail Bombing Detection). Tính năng này được thiết kế để tự động nhận diện và chặn các cuộc tấn công Mail Bombing, trong đó kẻ tấn công gửi một lượng lớn email đến các hộp thư của người dùng trong một khoảng thời gian ngắn. Mục tiêu của các cuộc tấn công như vậy thường là làm gián đoạn hoạt động kinh doanh, làm quá tải hệ thống email, hoặc che giấu các mối đe dọa nghiêm trọng hơn như email lừa đảo (phishing) hoặc phát tán mã độc giữa hàng ngàn thông báo không mong muốn. Các cuộc tấn công này có thể gây ra hiện tượng từ chối dịch vụ (DoS) cấp độ ứng dụng, làm ảnh hưởng đến khả năng xử lý email hợp pháp và gây ra sự gián đoạn trong hoạt động liên lạc nội bộ và bên ngoài của tổ chức.
Tính năng Phát hiện Bombing Email được triển khai với triết lý “được bật theo mặc định”, nghĩa là các tổ chức sử dụng Microsoft Defender for Office 365 sẽ không cần thực hiện bất kỳ cấu hình thủ công nào để kích hoạt nó. Điều này giúp giảm gánh nặng quản lý cho các nhóm bảo mật và đảm bảo rằng lớp phòng thủ quan trọng này được áp dụng ngay lập tức sau khi tính năng được triển khai hoàn chỉnh. Khi một chiến dịch bombing email được phát hiện, các tin nhắn được xác định là một phần của chiến dịch đó sẽ tự động được chuyển hướng đến thư mục Thư rác (Junk folder) của người nhận. Điều quan trọng là, cơ chế này vẫn tôn trọng các cài đặt Người gửi An toàn (Safe Senders) của người dùng. Điều này đảm bảo rằng các liên lạc hợp pháp từ các địa chỉ đáng tin cậy đã được người dùng chỉ định sẽ không bị chặn nhầm hoặc chuyển vào thư mục rác, ngay cả khi chúng vô tình bị nhầm lẫn trong một đợt email có lưu lượng lớn. Cơ chế này giúp duy trì trải nghiệm người dùng tích cực trong khi vẫn cung cấp khả năng bảo vệ mạnh mẽ.
Tăng cường Khả năng Hiển thị và Phản hồi
Kết quả từ tính năng Phát hiện Bombing Email được tích hợp sâu rộng vào nhiều công cụ bảo mật trong hệ sinh thái Microsoft Defender for Office 365, cung cấp cho các nhà phân tích bảo mật khả năng hiển thị toàn diện và các tùy chọn phản hồi linh hoạt. Khả năng hiển thị này là yếu tố then chốt cho các đội ngũ vận hành trung tâm an ninh (SOC) để nhanh chóng phát hiện, điều tra và ứng phó với các cuộc tấn công. Các công cụ này bao gồm:
- Threat Explorer (Trình khám phá mối đe dọa): Cung cấp một cái nhìn tổng quan chi tiết và khả năng săn lùng chủ động các mối đe dọa. Các nhà phân tích có thể sử dụng Threat Explorer để nhanh chóng xác định các chiến dịch mail bombing, xem xét các email liên quan, và phân tích các mẫu tấn công. Đây là công cụ lý tưởng để phát hiện các bất thường, xác định nguồn gốc của các cuộc tấn công, và điều tra các sự kiện an ninh trên quy mô lớn.
- Email Entity View (Chế độ xem thực thể email): Cho phép đi sâu vào chi tiết của từng email cụ thể. Công cụ này cung cấp thông tin toàn diện về nguồn gốc, nội dung, các header email, và kết quả phân tích của Defender, bao gồm cả việc email đó có được đánh dấu là một phần của cuộc tấn công mail bombing hay không. Điều này hỗ trợ việc điều tra chuyên sâu, xác minh các cảnh báo, và hiểu rõ hơn về cách thức một email cụ thể đã được xử lý bởi hệ thống bảo mật.
- Email Summary Panel (Bảng tóm tắt email): Cung cấp một bản tóm tắt nhanh chóng và tiện lợi về các đặc điểm chính của email. Bảng này giúp người dùng hoặc quản trị viên có được cái nhìn tổng quan mà không cần đào sâu quá nhiều, giúp tiết kiệm thời gian trong quá trình sàng lọc các cảnh báo hoặc kiểm tra trạng thái của các email đáng ngờ.
- Advanced Hunting (Săn lùng nâng cao): Đây là một công cụ mạnh mẽ dành cho các nhà phân tích SOC và thợ săn mối đe dọa, cho phép họ sử dụng ngôn ngữ truy vấn Kusto (KQL) để xây dựng các truy vấn tùy chỉnh. Thông qua Advanced Hunting, các nhà phân tích có thể khám phá dữ liệu telemetry thô từ email và các nguồn khác, xác định các mô hình tấn công phức tạp và tạo ra các quy tắc phát hiện tùy chỉnh. Khả năng tích hợp kết quả phát hiện mail bombing vào Advanced Hunting mở ra cánh cửa cho việc tạo ra các cảnh báo tùy chỉnh, tự động hóa phản hồi, và tương quan dữ liệu từ email với các sự kiện từ các nguồn khác trong hệ sinh thái Microsoft Defender XDR. Điều này đặc biệt có giá trị trong việc xây dựng các quy trình phát hiện và ứng phó toàn diện, cũng như chủ động săn lùng các mối đe dọa mới hoặc biến thể.
Lộ trình Triển khai
Microsoft đã bắt đầu triển khai tính năng Phát hiện Bombing Email trên toàn cầu vào cuối tháng 6 năm 2025. Dự kiến, tính năng này sẽ khả dụng hoàn toàn cho tất cả khách hàng vào cuối tháng 7 năm 2025. Lộ trình triển khai theo từng giai đoạn này giúp Microsoft đảm bảo sự ổn định và hiệu suất tối ưu khi tính năng mới được tích hợp vào môi trường sản xuất rộng lớn, đồng thời cho phép thu thập phản hồi và điều chỉnh nếu cần trước khi triển khai rộng rãi.
Các Biện pháp Bảo mật Email Nền tảng
Mặc dù các tính năng nâng cao trong Microsoft Defender for Office 365 cung cấp lớp bảo vệ mạnh mẽ, Microsoft vẫn khuyến nghị mạnh mẽ các tổ chức nên triển khai và duy trì các giao thức xác thực email cốt lõi như SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail), và DMARC (Domain-based Message Authentication, Reporting & Conformance). Đây là các biện pháp cơ bản nhưng cực kỳ quan trọng để chống giả mạo (spoofing) email và xác minh tính hợp lệ của người gửi trước khi cấu hình các cài đặt cụ thể của Defender. Việc triển khai đúng cách các giao thức này giúp giảm đáng kể lượng email độc hại đến hộp thư đến của người dùng, làm nền tảng vững chắc cho các lớp bảo vệ nâng cao:
- SPF: Giúp ngăn chặn kẻ gửi email giả mạo miền của bạn bằng cách cho phép bạn xác định các máy chủ email được ủy quyền để gửi thư từ miền của mình. Các máy chủ nhận email có thể kiểm tra bản ghi SPF của miền để xác minh rằng email đến từ một nguồn đáng tin cậy.
- DKIM: Cung cấp một chữ ký số cho các email được gửi từ miền của bạn. Chữ ký này cho phép máy chủ nhận email xác minh rằng email thực sự được gửi bởi miền tuyên bố và không bị thay đổi trên đường đi, đảm bảo tính toàn vẹn của tin nhắn.
- DMARC: Xây dựng dựa trên SPF và DKIM, cung cấp cho các chủ sở hữu miền khả năng ra lệnh cho các máy chủ nhận email phải làm gì với các email không vượt qua kiểm tra xác thực (ví dụ: từ chối, cách ly). DMARC cũng cung cấp các báo cáo chi tiết về hoạt động email giả mạo liên quan đến miền của họ, giúp các quản trị viên có cái nhìn sâu sắc về các nỗ lực lạm dụng miền của họ.
Việc kết hợp các giao thức xác thực email nền tảng này với các khả năng phát hiện mối đe dọa nâng cao của Defender for Office 365 tạo nên một chiến lược phòng thủ nhiều lớp, giúp bảo vệ toàn diện hơn chống lại một loạt các cuộc tấn công dựa trên email, từ các chiến dịch lừa đảo tinh vi cho đến các cuộc tấn công mail bombing quy mô lớn. Các giải pháp này bổ trợ lẫn nhau, tạo ra một hàng rào bảo mật mạnh mẽ hơn và giảm thiểu rủi ro từ các mối đe dọa qua email.
Đây là một bước tiến quan trọng trong việc tăng cường khả năng bảo vệ email của Microsoft, cung cấp cho các tổ chức công cụ hiệu quả hơn để chống lại các mối đe dọa email ngày càng tinh vi. Các thông tin kỹ thuật được cung cấp trong bản cập nhật này tập trung vào việc giới thiệu các cải tiến tính năng mới và khả năng hiển thị mà chúng mang lại. Tại thời điểm này, không có thông tin về các lỗ hổng bảo mật cụ thể (CVE), mã khai thác (exploit), hay các chỉ số tấn công (IOCs) như hash tệp hoặc URL độc hại được đề cập trực tiếp trong ngữ cảnh của bản cập nhật tính năng này, vì trọng tâm là mở rộng năng lực phát hiện mối đe dọa chứ không phải vá lỗi bảo mật cụ thể.
Các nhóm SOC, TIP và SIEM có thể tích hợp thông tin về khả năng phát hiện mối đe dọa email nâng cao này vào quy trình làm việc của họ, đặc biệt là thông qua các tính năng Advanced Hunting trong Microsoft Defender XDR, để tăng cường khả năng giám sát và ứng phó với các cuộc tấn công email một cách chủ động và hiệu quả hơn.
