Google bổ sung tính năng chống ransomware bằng AI vào Drive cho Desktop

Không ngành nào nằm ngoài tầm ngắm của ransomware (mã độc tống tiền): từ y tế, bán lẻ, giáo dục, sản xuất cho đến dịch vụ công. Thống kê năm 2024 của Mandiant (thuộc Google Cloud) chỉ rõ ransomware chiếm tới 21% tổng số sự cố xâm nhập mà hãng điều tra, với chi phí trung bình cho mỗi vụ tấn công hơn 5 triệu USD, Tech Wire Asia đưa tin.

Đáng chú ý, đa số tổ chức tại Nhật Bản và khu vực châu Á - Thái Bình Dương chỉ phát hiện ransomware khi có cảnh báo từ bên ngoài. Trong 89% vụ việc, tín hiệu đầu tiên không phải từ hệ thống nội bộ mà từ chính kẻ tấn công hoặc cơ quan thực thi pháp luật. Điều này cho thấy nhiều đơn vị vẫn thiếu khả năng phát hiện sớm, chỉ biết công ty bị xâm nhập khi hậu quả đã rõ ràng.

Hầu hết định dạng gốc của Google Workspace như Google Docs, Sheets không bị ảnh hưởng bởi ransomware, và ChromeOS đến nay chưa từng ghi nhận trường hợp tấn công nào. Nhưng một số tệp phổ biến khác như PDF hay Microsoft Office vẫn nằm trong vùng rủi ro, đặc biệt trên hệ điều hành máy tính để bàn như Windows.

Để bảo vệ người dùng, Google Cloud đang nỗ lực bổ sung tính năng phát hiện và khôi phục ransomware dựa trên AI cho ứng dụng Drive cho Desktop. Mục tiêu nhằm tự động ngăn chặn hoạt động tấn công và cho phép người dùng khôi phục tệp nhanh chóng, ít phiền toái nhất.

PHƯƠNG PHÁP PHÒNG THỦ TRUYỀN THỐNG LÀ KHÔNG ĐỦ

Nhiều năm qua, biện pháp chủ đạo chống ransomware là phần mềm diệt virus, hoạt động theo cơ chế phát hiện mã độc sớm và chặn lại trước khi lây lan. Cách này vẫn phổ biến, nhưng không còn đủ. Ransomware hiện có thể vượt qua lớp phòng thủ truyền thống, khiến người dùng mất toàn bộ dữ liệu. Thiệt hại không chỉ dừng ở hệ thống CNTT – mã độc có thể làm tê liệt nhà máy, bệnh viện, dịch vụ bán lẻ hay hoạt động chính phủ.

Ông Hana Raja, Giám đốc quốc gia Google Cloud tại Malaysia, cho biết tính năng mới của Google đóng vai trò như tuyến phòng thủ bổ sung. Nếu phần mềm diệt virus chặn mã độc từ bên ngoài, thì hệ thống này can thiệp khi kẻ tấn công đã “vượt rào”.

“Công nghệ phát hiện và can thiệp bằng AI trên Google Drive for Desktop nhận diện dấu hiệu cốt lõi của vụ tấn công ransomware, nỗ lực mã hóa hàng loạt tệp và lập tức tạo ‘lớp bảo vệ’ quanh dữ liệu người dùng trước khi lan rộng”, ông Raja giải thích. Khi thấy hoạt động bất thường, Drive sẽ tạm dừng đồng bộ lên đám mây để hạn chế thiệt hại.

Ngoài ra, Drive vốn đã có lớp bảo vệ chống mã độc, ngăn ransomware lây sang thiết bị khác hoặc di chuyển trong mạng. Sự kết hợp này giúp giảm nguy cơ xâm nhập diện rộng như trường hợp từng xảy ra với nhiều doanh nghiệp, trường học, bệnh viện hay cơ quan nhà nước.

AI GIÚP PHÁT HIỆN SỚM VÀ KHÔI PHỤC NHANH

Google Drive for Desktop (hỗ trợ trên cả hai hệ điều hành Windows và macOS) vốn được dùng để đồng bộ dữ liệu, nay lại trở thành công cụ bảo mật chất lượng cao. Ông Luke Camery, Giám đốc Sản phẩm bảo mật và tuân thủ tại Google Workspace, cho biết tất cả tệp tải lên Drive đều được quét mã độc. “Việc này diễn ra từ nhiều năm trước và chúng tôi liên tục cải thiện khả năng phát hiện”, ông Camery nói.

Dựa trên nền tảng đó, Google Cloud huấn luyện mô hình AI tùy chỉnh bằng hàng triệu mẫu ransomware thu thập từ nhiều nguồn, gồm dữ liệu Drive người dùng, Mandiant và VirusTotal. Mô hình được thiết kế để xử lý đa dạng định dạng tệp, từ PDF, Office cho đến CAD và nhiều loại khác, ngoại trừ tệp nhị phân. Hệ thống liên tục học từ dữ liệu mới, nên có thể thích ứng với biến thể ransomware mà không cần cập nhật thủ công.

Khi Drive phát hiện hành vi đáng ngờ, hệ thống lập tức dừng đồng bộ tệp bị ảnh hưởng để ngăn lan rộng. Theo ông Camery, mô hình thường nhận diện sau khi có khoảng 3–4 tệp bị thay đổi. “Chúng tôi cần nhận biết ít nhất một thay đổi độc hại. Với độ chính xác hiện tại, thiệt hại thường không quá 5 tệp”, vị Giám đốc khẳng định. Sau đó, việc đồng bộ bị khóa cho tới khi người dùng hoặc quản trị viên xác nhận thiết bị đã an toàn. Tệp có thể được khôi phục về trạng thái trước khi bị tấn công.

Về khâu phục hồi, người dùng nhận cảnh báo trên desktop và email, có thể tự khôi phục qua giao diện web đơn giản. Thay vì phải cài lại máy hay mua công cụ ngoài, khách hàng chỉ cần vài cú nhấp chuột, tiết kiệm thời gian cũng như giảm gián đoạn công việc.

Đối với quản trị viên CNTT, cảnh báo cũng hiển thị trong bảng điều khiển, kèm nhật ký hoạt động chi tiết. Tính năng mặc định bật sẵn cho khách hàng Google Workspace, nhưng có thể tắt nếu muốn. Google khuyến nghị dùng xác thực đa yếu tố (MFA) để tăng cường bảo mật tổng thể.

TƯƠNG LAI CỦA BẢO MẬT TRÊN GOOGLE DRIVE

Tính năng khôi phục mới cũng ảnh hưởng tới cách doanh nghiệp sao lưu dữ liệu. Nhiều đơn vị vẫn dùng giải pháp bên thứ ba cho mục đích tuân thủ hoặc dự phòng thảm họa, nhưng Google kỳ vọng sẽ giúp giảm sự phụ thuộc. Drive vốn đã trang bị tính năng lịch sử phiên bản và bảo vệ tích hợp, đủ để xử lý hầu hết tình huống ransomware mà không phát sinh chi phí lưu trữ thêm.

Hiện Google đã thử nghiệm tính năng với nhóm khách hàng lớn và kỳ vọng sớm triển khai rộng rãi. Ông Camery thừa nhận không hệ thống nào hoàn hảo – vẫn có thể xảy ra phát hiện nhầm, thường do hoạt động thử nghiệm mô phỏng mã hóa tệp. Nhưng mục tiêu là chặn hành vi gây hại càng sớm càng tốt. “Nếu có bất kỳ thứ gì – dù là bot AI, ransomware hay người dùng – đang xóa hàng loạt tệp PDF, Drive sẽ lập tức ngắt kết nối”, nhà lãnh đạo nhấn mạnh.

Trong tương lai gần, Google chưa có kế hoạch đưa tính năng này lên Google Cloud Storage, nhưng đây là điểm “đáng lưu tâm”. Google cũng chưa hợp tác trực tiếp với Microsoft hay Apple về công nghệ, song nhờ tích hợp ở mức hệ thống, Drive có thể phát hiện thay đổi tệp nhanh chóng trên cả hai nền tảng.

Tính năng phát hiện và khôi phục ransomware bằng AI hiện đã bắt đầu mở bản thử nghiệm công khai. Công nghệ được cung cấp miễn phí cho hầu hết gói Google Workspace thương mại, kể cả người dùng cá nhân cũng có thể tận dụng tính năng khôi phục mà không mất thêm chi phí.