Tác giả: Bởi Leon Goldberg, CTO của Sola Security
ngày 30 tháng 12, 2024
Ngành an ninh mạng luôn phải đối mặt với những thách thức lớn, và hiện nay, những thách thức này càng trở nên phức tạp và lan rộng hơn bao giờ hết.
Mặc dù các tổ chức ngày càng áp dụng nhiều công cụ số hóa hơn để tối ưu hóa hoạt động và tăng hiệu quả, họ cũng đồng thời mở rộng bề mặt tấn công – tức là phạm vi các điểm xâm nhập dễ bị hacker lợi dụng – khiến họ dễ bị tổn thương hơn trước các mối đe dọa mạng đang gia tăng, ngay cả khi các biện pháp phòng thủ được cải thiện. Tệ hơn nữa, các tổ chức phải đối mặt với sự gia tăng nhanh chóng của các mối đe dọa này trong bối cảnh thiếu hụt nguồn nhân lực an ninh mạng có tay nghề.
May mắn thay, những đổi mới trong trí tuệ nhân tạo, đặc biệt là Trí tuệ nhân tạo Tạo sinh (GenAI), đang cung cấp giải pháp cho một số vấn đề phức tạp nhất của ngành an ninh mạng. Tuy nhiên, chúng ta mới chỉ khám phá phần nổi của tảng băng – vai trò của GenAI trong an ninh mạng được kỳ vọng sẽ tăng trưởng theo cấp số nhân trong những năm tới, và vẫn còn nhiều cơ hội chưa được khai thác nơi công nghệ này có thể thúc đẩy sự tiến bộ hơn nữa.
Ứng Dụng và Lợi Ích Hiện Tại của GenAI trong An Ninh Mạng
Một trong những tác động đáng kể nhất của GenAI đối với ngành an ninh mạng nằm ở khả năng cung cấp các phân tích tự động mà trước đây không thể đạt được.
Giai đoạn ban đầu của việc xử lý dữ liệu, lọc và gắn nhãn vẫn thường được thực hiện bởi các thế hệ máy học cũ hơn. Những công nghệ này rất xuất sắc trong việc xử lý và phân tích lượng lớn dữ liệu, chẳng hạn như rà soát các bộ cảnh báo lỗ hổng khổng lồ và xác định các điểm bất thường tiềm tàng. Tuy nhiên, lợi thế thực sự của GenAI nằm ở giai đoạn tiếp theo.
Sau khi dữ liệu đã được xử lý sơ bộ và định phạm vi, GenAI có thể đảm nhiệm các khả năng suy luận nâng cao vượt xa những gì AI thế hệ trước có thể làm được. Các công cụ GenAI mang lại sự ngữ cảnh hóa sâu sắc hơn, dự đoán chính xác hơn và các phân tích chi tiết mà các công nghệ cũ không thể đạt tới.
Ví dụ, sau khi một tập dữ liệu lớn – chẳng hạn hàng triệu tài liệu – được xử lý, lọc và gắn nhãn qua các phương pháp khác, GenAI bổ sung thêm một lớp phân tích, xác thực và ngữ cảnh trên dữ liệu đã chọn lọc, xác định mức độ liên quan, tính cấp bách, và nguy cơ an ninh tiềm ẩn của chúng. Nó thậm chí có thể lặp lại quá trình hiểu biết bằng cách xem xét các nguồn dữ liệu khác, tinh chỉnh khả năng ra quyết định theo thời gian. Cách tiếp cận phân lớp này không chỉ dừng lại ở việc xử lý dữ liệu mà còn chuyển trọng tâm sang suy luận nâng cao và phân tích thích ứng.
Thách Thức và Hạn Chế
Mặc dù đã có nhiều cải tiến gần đây, việc tích hợp GenAI vào các giải pháp an ninh mạng hiện tại vẫn gặp phải không ít thách thức.
Trước hết, khả năng của AI thường được kỳ vọng một cách không thực tế, dẫn đến nguy cơ phụ thuộc quá mức và thiết kế kém hiệu quả. AI không phải là một phép thuật và cũng không hoàn hảo. Ai cũng biết rằng GenAI thường tạo ra các kết quả không chính xác do dữ liệu đầu vào có thiên lệch hoặc kết quả đầu ra sai lệch, còn gọi là hiện tượng “ảo giác” (hallucinations).
Những hệ thống này đòi hỏi kỹ thuật nghiêm ngặt để đảm bảo tính chính xác và hiệu quả, đồng thời cần được xem như một yếu tố trong khuôn khổ an ninh mạng tổng thể, thay vì một sự thay thế hoàn toàn. Trong các tình huống sử dụng thông thường hoặc phi chuyên nghiệp, các “ảo giác” của GenAI có thể không gây hậu quả nghiêm trọng, thậm chí mang tính hài hước. Tuy nhiên, trong lĩnh vực an ninh mạng, những “ảo giác” và kết quả thiên lệch có thể gây hậu quả thảm khốc, dẫn đến lộ thông tin quan trọng, các cuộc tấn công mạng, và tổn thất nghiêm trọng cả về uy tín lẫn tài chính.
Cơ Hội Chưa Được Khai Thác: AI Với Khả Năng Hành Động
Những thách thức không nên cản trở các tổ chức chấp nhận các giải pháp AI. Công nghệ vẫn đang tiếp tục phát triển, và cơ hội để AI nâng cao an ninh mạng sẽ không ngừng gia tăng.
Khả năng suy luận và rút ra các thông tin chi tiết từ dữ liệu của GenAI sẽ ngày càng tiên tiến trong những năm tới, bao gồm cả việc nhận diện các xu hướng và gợi ý các hành động. Hiện nay, chúng ta đã thấy tác động của AI tiên tiến trong việc đơn giản hóa và đẩy nhanh các quy trình bằng cách chủ động đề xuất hành động và các bước đi chiến lược tiếp theo, cho phép các nhóm tập trung ít hơn vào việc lập kế hoạch và nhiều hơn vào năng suất. Khi khả năng suy luận của GenAI tiếp tục được cải thiện và ngày càng mô phỏng tốt hơn quy trình suy nghĩ của các nhà phân tích bảo mật, nó sẽ hoạt động như một phần mở rộng của chuyên môn con người, giúp công tác an ninh mạng phức tạp trở nên hiệu quả hơn.
Trong việc đánh giá thế đứng an ninh, một tác nhân AI (AI agent) có thể hoạt động với khả năng tự chủ thực sự, đưa ra các quyết định theo ngữ cảnh khi khám phá các hệ thống liên kết như Okta, GitHub, Jenkins và AWS. Thay vì dựa vào các quy tắc tĩnh, tác nhân AI tự động khám phá hệ sinh thái, nhận diện các mẫu, điều chỉnh ưu tiên, và tập trung vào các khu vực có nguy cơ an ninh cao. Ví dụ, tác nhân có thể nhận ra một chuỗi nơi quyền truy cập rộng rãi trong Okta cho phép các nhà phát triển tiếp cận GitHub, rồi đến Jenkins, và cuối cùng là AWS. Xác định con đường này là một rủi ro tiềm tàng cho mã nguồn không an toàn đi vào môi trường sản xuất, tác nhân có thể tự động quyết định điều tra sâu hơn, tập trung vào các quyền truy cập, quy trình làm việc, và kiểm soát an ninh cụ thể có thể là điểm yếu.
Bằng cách kết hợp retrieval-augmented generation (RAG), tác nhân AI tận dụng cả các nguồn dữ liệu bên ngoài và nội bộ – rút ra từ các báo cáo lỗ hổng gần đây, các thực hành tốt nhất, và thậm chí cả cấu hình cụ thể của tổ chức để định hình cách nó khám phá. Khi RAG phát hiện ra các thông tin chi tiết về những lỗ hổng an ninh phổ biến trong các pipeline CI/CD, tác nhân AI có thể tích hợp thông tin này vào phân tích của mình, điều chỉnh các quyết định trong thời gian thực để nhấn mạnh các khu vực nơi các yếu tố rủi ro hội tụ.
Ngoài ra, việc fine-tuning có thể nâng cao tính tự chủ của tác nhân AI bằng cách điều chỉnh quy trình ra quyết định theo môi trường cụ thể mà nó hoạt động. Fine-tuning thường được thực hiện bằng cách sử dụng dữ liệu chuyên biệt áp dụng trên nhiều trường hợp khác nhau, thay vì chỉ dữ liệu từ một khách hàng cụ thể. Tuy nhiên, trong các trường hợp đặc biệt như các sản phẩm dành riêng cho một thuê bao (single tenant products), fine-tuning có thể được áp dụng cho dữ liệu cụ thể của khách hàng để giúp tác nhân nội bộ hóa những sắc thái an ninh cụ thể, khiến các lựa chọn của nó ngày càng chính xác và tinh vi theo thời gian.
Cách tiếp cận này cho phép tác nhân học hỏi từ các đánh giá an ninh trước đây, tinh chỉnh cách nó ưu tiên các vector cụ thể, chẳng hạn như các kết nối trực tiếp từ môi trường phát triển đến môi trường sản xuất.
Với sự kết hợp của khả năng tự chủ, RAG, và fine-tuning, tác nhân AI vượt xa việc phát hiện truyền thống để chuyển sang phân tích mang tính chủ động và thích nghi, phản ánh các quy trình ra quyết định của các nhà phân tích con người tài năng. Điều này tạo ra một cách tiếp cận an ninh tinh vi và nhạy bén hơn, nơi AI không chỉ phản ứng mà còn dự đoán rủi ro và điều chỉnh phù hợp, giống như cách một chuyên gia con người có thể làm.
Ưu Tiên Cảnh Báo Dựa Trên AI
Một lĩnh vực khác mà các phương pháp dựa trên AI có thể tạo ra tác động đáng kể là giảm mệt mỏi từ việc xử lý quá nhiều cảnh báo (alert fatigue). AI có thể giúp giảm gánh nặng này bằng cách lọc và ưu tiên các cảnh báo dựa trên cấu trúc cụ thể và rủi ro của tổ chức. Thay vì áp dụng một cách tiếp cận đồng nhất cho tất cả các sự kiện an ninh, các tác nhân AI phân tích từng hoạt động trong bối cảnh rộng hơn và giao tiếp với nhau để đưa ra các cảnh báo thực sự liên quan đến những mối lo ngại về bảo mật.
Ví dụ, thay vì kích hoạt cảnh báo cho tất cả các thay đổi về quyền truy cập, một tác nhân có thể xác định khu vực nhạy cảm bị ảnh hưởng bởi một thay đổi, trong khi một tác nhân khác đánh giá lịch sử các thay đổi tương tự để đo lường mức độ rủi ro. Cùng nhau, các tác nhân này tập trung vào các cấu hình hoặc hoạt động thực sự làm tăng rủi ro bảo mật, giúp đội ngũ an ninh tránh được nhiễu loạn từ các sự kiện ưu tiên thấp hơn.
Bằng cách học liên tục từ cả thông tin mối đe dọa bên ngoài và các mẫu hành vi nội bộ, hệ thống tác nhân này thích nghi với các rủi ro và xu hướng mới nổi trong tổ chức. Với sự hiểu biết chia sẻ về các yếu tố ngữ cảnh, các tác nhân có thể điều chỉnh cảnh báo theo thời gian thực, chuyển từ việc tạo ra hàng loạt thông báo sang cung cấp một luồng thông tin mạch lạc, tập trung vào các nội dung quan trọng.
Cách tiếp cận hợp tác và nhạy bén theo ngữ cảnh này cho phép các nhóm bảo mật tập trung vào các vấn đề ưu tiên cao, giảm tải nhận thức từ việc quản lý cảnh báo và nâng cao hiệu quả hoạt động. Bằng cách áp dụng một mạng lưới các tác nhân AI có khả năng giao tiếp và thích ứng dựa trên các yếu tố ngữ cảnh tinh vi theo thời gian thực, các tổ chức có thể đạt được những bước tiến đáng kể trong việc giảm mệt mỏi vì cảnh báo, từ đó nâng cao hiệu quả của hoạt động an ninh mạng.
Tương Lai của An Ninh Mạng
Khi bối cảnh kỹ thuật số ngày càng mở rộng, sự tinh vi và tần suất của các mối đe dọa mạng cũng gia tăng. Việc tích hợp Generative AI (GenAI) vào các chiến lược an ninh mạng đã và đang chứng tỏ khả năng biến đổi mạnh mẽ trong việc đối phó với những mối đe dọa mới này.
Tuy nhiên, các công cụ này không phải là giải pháp vạn năng cho tất cả các thách thức của ngành an ninh mạng. Các tổ chức cần nhận thức được những hạn chế của GenAI và áp dụng một cách tiếp cận nơi AI bổ sung cho chuyên môn của con người, thay vì thay thế nó. Những tổ chức tiếp nhận các công cụ an ninh mạng dựa trên AI với tư duy cởi mở và chiến lược sẽ đóng góp vào việc định hình tương lai của ngành, tạo ra một hệ thống hiệu quả và an toàn hơn bao giờ hết.
