Microsoft đưa phần mềm diệt virus ra khỏi nhân Windows, nỗ lực ngăn thảm họa kiểu CrowdStrike tái diễn

Trọng tâm của kế hoạch là tách phần mềm chống virus và hệ thống bảo vệ đầu cuối ra khỏi nhân hệ điều hành Windows, vốn là khu vực có quyền truy cập sâu nhất vào phần cứng và bộ nhớ máy tính.

Trong suốt hàng chục năm qua, các giải pháp bảo mật luôn được thiết kế để cắm sâu vào nhân hệ điều hành nhằm đạt hiệu quả phát hiện và xử lý mối đe dọa cao nhất. Tuy nhiên, sự cố CrowdStrike năm 2024 cho thấy cách tiếp cận này tiềm ẩn rủi ro lớn khi chỉ một lỗi cập nhật cũng đủ gây sập hàng triệu máy, ảnh hưởng đến bệnh viện, sân bay, hệ thống chính phủ và doanh nghiệp toàn cầu.

Hợp tác xây dựng nền tảng bảo mật mới không phụ thuộc vào kernel

Microsoft tuyên bố sẽ không đơn phương áp đặt thay đổi mà thay vào đó cùng phối hợp với các hãng bảo mật hàng đầu như CrowdStrike, Bitdefender, ESET và Trend Micro để phát triển một nền tảng mới. Cấu trúc bảo mật này sẽ loại bỏ dần sự phụ thuộc vào driver kernel, giảm thiểu nguy cơ gián đoạn hệ thống nếu xảy ra lỗi phần mềm.

Theo ông David Weston, Phó Chủ tịch phụ trách bảo mật Windows, mục tiêu của sáng kiến lần này là tạo ra một tiêu chuẩn bảo mật hiện đại, an toàn hơn, đồng thời giữ nguyên khả năng phòng thủ trước các mối đe dọa tinh vi. Ông khẳng định Microsoft không áp lệnh mà đang xây dựng tiêu chuẩn cùng với cộng đồng đối tác.

Để đảm bảo nền tảng mới đáp ứng đầy đủ yêu cầu kỹ thuật và tính tương thích, Microsoft sẽ phát hành bản preview riêng tư dành riêng cho các hãng bảo mật. Qua đó, các đối tác có thể thử nghiệm, đề xuất thay đổi kiến trúc hoặc cải tiến API trước khi phiên bản chính thức được phát hành.

Quá trình loại bỏ phần mềm hoạt động ở cấp độ kernel sẽ được thực hiện theo từng giai đoạn, bắt đầu với hai thành phần quan trọng là phần mềm chống virus (AV) và hệ thống phát hiện mối đe dọa đầu cuối (EDR). Microsoft cho biết đây là bước đầu trong hành trình dài nhằm tái định hình toàn bộ nền tảng bảo mật Windows trong tương lai.

Một lĩnh vực chịu ảnh hưởng mạnh mẽ từ thay đổi này là ngành công nghiệp game, nơi nhiều engine chống gian lận hiện đang vận hành ở cấp độ kernel để phát hiện và ngăn chặn hành vi gian lận phức tạp. Việc loại bỏ quyền truy cập sâu vào hệ điều hành đồng nghĩa với việc các công cụ này sẽ cần được thiết kế lại.

Microsoft đang phối hợp chặt chẽ với các hãng game lớn, trong đó có Riot Games để tìm ra giải pháp thay thế an toàn và hiệu quả. Riot cũng xác nhận họ sẵn sàng từ bỏ mã kernel nếu có một giải pháp thay thế đảm bảo hiệu suất và bảo mật. Đại diện Microsoft cho biết nhiều nhà phát triển game không còn muốn duy trì mã kernel và đang kỳ vọng vào giải pháp mới mang tính nền tảng.

Song song với cải tổ bảo mật, Microsoft cũng công bố hai thay đổi quan trọng khác trong bản cập nhật Windows sắp tới. Đầu tiên là tính năng Quick Machine Recovery, cho phép hệ thống tự động chuyển vào môi trường khôi phục nếu gặp sự cố khởi động và gửi chẩn đoán về Microsoft. Đây được xem là tính năng “ước gì đã có” vào thời điểm sự cố CrowdStrike diễn ra.

Bên cạnh đó, một thay đổi mang tính biểu tượng khác cũng sẽ xuất hiện đó là màn hình lỗi Blue Screen of Death (màn hình xanh chết chóc), hay còn gọi là BSOD, sẽ chuyển sang màu đen. Dù không ảnh hưởng trực tiếp đến chức năng, thay đổi này đánh dấu một giai đoạn mới trong cách Microsoft tái cấu trúc hệ điều hành và nhận diện các sự cố hệ thống.

Dự án tách phần mềm bảo mật ra khỏi nhân hệ điều hành đánh dấu một trong những thay đổi kiến trúc quan trọng nhất của Windows trong nhiều năm qua. Trong bối cảnh hệ điều hành này vẫn đang thống trị thị trường doanh nghiệp và cá nhân toàn cầu, việc giảm thiểu nguy cơ từ các lỗi hệ thống cấp kernel là điều tối cần thiết.

Với sự hợp tác rộng rãi cùng cộng đồng bảo mật và ngành công nghiệp phần mềm, Microsoft không chỉ đang phản ứng với khủng hoảng đã qua, mà còn đặt nền móng cho một thế hệ Windows mới, nơi khả năng phòng thủ và tính ổn định có thể cùng tồn tại mà không đánh đổi sự an toàn của hàng triệu thiết bị trên toàn cầu.

Nguồn: The Verge