-
09/04/2020
-
99
-
815 bài viết
Microsoft Smart App Control - Tốt thật hay chỉ là chiêu trò marketing???
Microsoft bị nhiều ý kiến cho rằng đã quảng cáo “quá đà” về tính năng Smart App Control (SAC) của hãng là “hàng đầu hiện nay”. SAC được giới thiệu là một lớp bảo mật chủ động. Thay vì chờ phát hiện rồi mới diệt như các phần mềm diệt virus (AV) truyền thống (theo cách mô tả của Microsoft), SAC sẽ dùng AI để dự đoán và chặn ứng dụng đáng ngờ trước khi chúng kịp gây hại. Microsoft cũng tuyên bố SAC “nhẹ” hơn, ít ảnh hưởng hiệu suất hơn do không phải quét nền liên tục. Vậy thực tế thì như nào?
Dưới góc nhìn kỹ thuật, SAC đã được các chuyên gia bảo mật cho rằng đây không phải một công nghệ bảo mật hoàn toàn mới, mà là bản nâng cấp của các cơ chế kiểm soát ứng dụng đã tồn tại như WDAC và AppLocker - được gói lại dưới lớp vỏ AI nhằm phù hợp xu hướng hiện nay (bình mới rượu cũ).
Thực tế, SAC là tính năng bảo mật dựa trên danh tiếng (reputation-based security), sử dụng các dịch vụ trí tuệ ứng dụng của Microsoft để dự đoán tính an toàn và các tính năng toàn vẹn mã của Windows để xác định, chặn các tệp nhị phân và ứng dụng không tin cậy (chưa được ký) hoặc tiềm ẩn nguy hiểm. Điều đáng lưu ý là SAC chỉ kích hoạt nếu bạn cài mới hoàn toàn Windows 11 và có thể chặn nhầm ứng dụng hợp pháp, gây gián đoạn với người dùng doanh nghiệp hoặc kỹ thuật.
Các chuyên gia cho rằng, cách tiếp cận chủ động dựa trên hành vi hay quy tắc không hề mới. Nó đã tồn tại từ thời Windows XP với các hệ thống phát hiện xâm nhập (HIDS), thậm chí từ thời DOS. Việc Microsoft mô tả AV hiện đại chỉ biết quét tệp tin là "sai sự thật", bởi nhiều giải pháp ngày nay cũng rất chủ động và tinh vi.
Việc gắn mác AI cho SAC bị xem là một nỗ lực “bắt trend” hơn là một đột phá công nghệ thực sự. Các mô hình học máy, về bản chất, cũng là một dạng heuristic tiên tiến. Hơn nữa, lời hứa về hiệu suất cũng không chắc chắn. Đã có những báo cáo, như từ Broadcom, cho thấy SAC có thể gây ra lỗi và làm chậm hệ thống nghiêm trọng hơn cả AV truyền thống.
Tuy nhiên, SAC là một công cụ bảo mật bổ sung vẫn rất có ích cho người dùng. Bảo mật thì cần nhiều lớp chứ không chỉ một lớp. Người dùng cần tập trung vào chiến lược phòng thủ chiều sâu và đa lớp chứ không chỉ sử dụng 1 công cụ thay thế cho tất cả.
Người dùng cần lưu ý điều gì?
Dưới góc nhìn kỹ thuật, SAC đã được các chuyên gia bảo mật cho rằng đây không phải một công nghệ bảo mật hoàn toàn mới, mà là bản nâng cấp của các cơ chế kiểm soát ứng dụng đã tồn tại như WDAC và AppLocker - được gói lại dưới lớp vỏ AI nhằm phù hợp xu hướng hiện nay (bình mới rượu cũ).
Thực tế, SAC là tính năng bảo mật dựa trên danh tiếng (reputation-based security), sử dụng các dịch vụ trí tuệ ứng dụng của Microsoft để dự đoán tính an toàn và các tính năng toàn vẹn mã của Windows để xác định, chặn các tệp nhị phân và ứng dụng không tin cậy (chưa được ký) hoặc tiềm ẩn nguy hiểm. Điều đáng lưu ý là SAC chỉ kích hoạt nếu bạn cài mới hoàn toàn Windows 11 và có thể chặn nhầm ứng dụng hợp pháp, gây gián đoạn với người dùng doanh nghiệp hoặc kỹ thuật.
Các chuyên gia cho rằng, cách tiếp cận chủ động dựa trên hành vi hay quy tắc không hề mới. Nó đã tồn tại từ thời Windows XP với các hệ thống phát hiện xâm nhập (HIDS), thậm chí từ thời DOS. Việc Microsoft mô tả AV hiện đại chỉ biết quét tệp tin là "sai sự thật", bởi nhiều giải pháp ngày nay cũng rất chủ động và tinh vi.
Việc gắn mác AI cho SAC bị xem là một nỗ lực “bắt trend” hơn là một đột phá công nghệ thực sự. Các mô hình học máy, về bản chất, cũng là một dạng heuristic tiên tiến. Hơn nữa, lời hứa về hiệu suất cũng không chắc chắn. Đã có những báo cáo, như từ Broadcom, cho thấy SAC có thể gây ra lỗi và làm chậm hệ thống nghiêm trọng hơn cả AV truyền thống.
Tuy nhiên, SAC là một công cụ bảo mật bổ sung vẫn rất có ích cho người dùng. Bảo mật thì cần nhiều lớp chứ không chỉ một lớp. Người dùng cần tập trung vào chiến lược phòng thủ chiều sâu và đa lớp chứ không chỉ sử dụng 1 công cụ thay thế cho tất cả.
Người dùng cần lưu ý điều gì?
- Đừng nhầm SAC là giải pháp thay thế phần mềm diệt virus: Nó chỉ là lớp lọc bổ sung, không thể phát hiện mã độc dạng fileless, tấn công hành vi hay malware zero-day.
- Cần kết hợp thêm các giải pháp AV/EDR/XDR chuyên sâu - SAC không thể thay thế chúng.
- Người dùng phổ thông cần lưu ý không nên hiểu sai và ỷ lại tính năng bảo mật: Cảm giác an toàn giả là mối nguy lớn hơn cả mã độc.
- Phối hợp SAC với Defender for Endpoint và chính sách bảo mật lớp ứng dụng (App Control) nếu muốn tận dụng tính năng này hiệu quả.