Tác giả: Anand Naik, Đồng Sáng Lập và Giám Đốc Điều Hành tại SEQURETEK Cập nhật vào ngày 13 tháng 6 năm 2024
Trong thập kỷ qua, cùng với sự bùng nổ của công nghệ thông tin, thực tế đen tối của các mối đe dọa an ninh mạng cũng đã phát triển mạnh mẽ. Các cuộc tấn công mạng, vốn chủ yếu do những hacker tinh quái thực hiện nhằm tìm kiếm danh tiếng hoặc lợi nhuận tài chính, nay đã trở nên phức tạp và có mục tiêu rõ ràng hơn. Từ hoạt động gián điệp do nhà nước tài trợ đến đánh cắp danh tính và tài sản của doanh nghiệp, động cơ phía sau tội phạm mạng ngày càng trở nên ác hiểm và nguy hiểm hơn. Mặc dù lợi nhuận tài chính vẫn là một lý do quan trọng cho tội phạm mạng, nhưng nó đã bị lu mờ bởi những mục đích xấu xa hơn như đánh cắp dữ liệu và tài sản quan trọng. Các kẻ tấn công mạng tận dụng rộng rãi các công nghệ tiên tiến, bao gồm trí tuệ nhân tạo, để xâm nhập hệ thống và thực hiện các hoạt động độc hại. Ở Mỹ, Cục Điều tra Liên bang (FBI) đã báo cáo hơn 800.000 đơn khiếu nại liên quan đến tội phạm mạng vào năm 2022, với tổng thiệt hại vượt quá 10 tỷ đô la, phá kỷ lục của năm 2021 là 6,9 tỷ đô la, theo Trung tâm Khiếu nại Tội phạm Internet của cơ quan này.
Với bối cảnh mối đe dọa đang thay đổi nhanh chóng, đã đến lúc các tổ chức áp dụng một cách tiếp cận đa hướng đối với an ninh mạng. Cách tiếp cận này nên tập trung vào việc giải quyết cách mà kẻ tấn công xâm nhập; ngăn chặn sự xâm nhập ban đầu; phát hiện kịp thời các vụ xâm nhập; và cho phép phản ứng và khắc phục nhanh chóng. Bảo vệ tài sản số đòi hỏi phải tận dụng sức mạnh của trí tuệ nhân tạo và tự động hóa, đồng thời đảm bảo rằng các nhà phân tích con người có kỹ năng vẫn là một phần không thể thiếu trong tư thế an ninh.
Bảo vệ một tổ chức đòi hỏi một chiến lược nhiều lớp, tính đến các điểm xâm nhập và các hình thức tấn công đa dạng mà đối thủ sử dụng. Nói chung, chúng thuộc bốn danh mục chính: 1) Tấn công web và mạng; 2) Tấn công dựa trên hành vi người dùng và danh tính; 3) Tấn công vào các thực thể nhằm vào môi trường đám mây và lai; và 4) Phần mềm độc hại, bao gồm ransomware, các mối đe dọa liên tục nâng cao, và các mã độc khác.
Tận Dụng AI và Tự Động Hóa
Việc triển khai các mô hình trí tuệ nhân tạo (AI) và học máy (ML) được thiết kế riêng cho từng loại tấn công này là rất quan trọng để phát hiện và ngăn chặn mối đe dọa một cách chủ động. Đối với các cuộc tấn công web và mạng, các mô hình cần xác định các mối đe dọa như lừa đảo (phishing), khai thác trình duyệt và tấn công từ chối dịch vụ phân tán (DDoS) trong thời gian thực. Phân tích hành vi người dùng và thực thể dựa trên AI có thể phát hiện các hoạt động bất thường chỉ ra sự xâm phạm tài khoản hoặc sử dụng sai tài nguyên và dữ liệu hệ thống. Cuối cùng, phân tích phần mềm độc hại được dẫn dắt bởi AI có thể nhanh chóng đánh giá các chủng phần mềm độc hại mới, xác định hành vi nguy hiểm và giảm thiểu tác động của các mối đe dọa dựa trên tệp. Bằng cách triển khai các mô hình AI và ML trên khắp các bề mặt tấn công này, các tổ chức có thể tăng cường đáng kể khả năng tự động nhận dạng các cuộc tấn công ở giai đoạn sớm nhất trước khi chúng phát triển thành các sự cố nghiêm trọng.
Khi các mô hình AI/ML đã xác định được các hoạt động đe dọa tiềm năng trên nhiều vector tấn công khác nhau, các tổ chức đối mặt với một thách thức quan trọng khác—hiểu và xử lý hàng loạt cảnh báo để phân loại các sự cố nghiêm trọng từ những thông báo không cần thiết. Với nhiều điểm dữ liệu và phát hiện được tạo ra, việc áp dụng thêm một lớp AI/ML để liên kết và ưu tiên các cảnh báo nghiêm trọng nhất cần được điều tra và phản ứng trở nên quan trọng. Sự mệt mỏi vì cảnh báo là một vấn đề ngày càng nghiêm trọng cần được giải quyết.
AI có thể đóng vai trò quan trọng trong quy trình phân loại cảnh báo này bằng cách tiếp nhận và phân tích khối lượng lớn thông tin an ninh, kết hợp các hiểu biết từ nhiều nguồn phát hiện bao gồm cả thông tin tình báo về mối đe dọa, và chỉ đưa ra những sự cố có độ chính xác cao nhất để phản ứng. Điều này giảm bớt gánh nặng cho các nhà phân tích con người, những người có thể bị quá tải bởi các thông báo sai và cảnh báo có độ tin cậy thấp không đủ ngữ cảnh để xác định mức độ nghiêm trọng và bước tiếp theo.
Mặc dù những kẻ tấn công đã tích cực triển khai AI để thực hiện các cuộc tấn công như DDoS, lừa đảo nhắm mục tiêu và ransomware, nhưng phía phòng thủ lại chậm chạp trong việc áp dụng AI. Tuy nhiên, điều này đang thay đổi nhanh chóng khi các nhà cung cấp bảo mật đang chạy đua để phát triển các mô hình AI/ML tiên tiến có khả năng phát hiện và ngăn chặn các mối đe dọa được hỗ trợ bởi AI.
Tương lai của AI phòng thủ nằm ở việc triển khai các mô hình ngôn ngữ nhỏ chuyên dụng phù hợp với các loại tấn công cụ thể và trường hợp sử dụng thay vì chỉ dựa vào các mô hình AI tạo lập lớn. Ngược lại, các mô hình ngôn ngữ lớn có tiềm năng hơn cho các hoạt động an ninh mạng như tự động hóa các chức năng trợ giúp, truy xuất các quy trình vận hành tiêu chuẩn và hỗ trợ các nhà phân tích con người. Việc phát hiện và ngăn chặn mối đe dọa một cách chính xác sẽ được thực hiện tốt nhất bởi các mô hình AI/ML nhỏ và chuyên dụng.
Vai Trò của Chuyên Môn Con Người
Việc sử dụng AI/ML cùng với tự động hóa quy trình là rất quan trọng để khắc phục và kiềm chế nhanh chóng các mối đe dọa đã được xác minh. Tại giai đoạn này, khi được cung cấp các sự cố có độ tin cậy cao, các hệ thống AI có thể khởi động các phản ứng tự động theo các kịch bản đã được thiết kế riêng cho từng loại tấn công cụ thể—chẳng hạn như chặn các địa chỉ IP độc hại, cách ly các máy chủ bị xâm nhập, thực hiện các chính sách thích ứng và nhiều hơn nữa. Tuy nhiên, chuyên môn con người vẫn là một phần không thể thiếu, xác minh đầu ra của AI, áp dụng suy nghĩ phản biện và giám sát các hành động phản ứng tự động để đảm bảo bảo vệ mà không gây gián đoạn hoạt động kinh doanh.
Hiểu biết tinh tế là điều mà con người mang đến. Việc phân tích các mối đe dọa phần mềm độc hại mới và phức tạp yêu cầu sự sáng tạo và kỹ năng giải quyết vấn đề mà có thể nằm ngoài tầm với của máy móc.
Chuyên môn con người cần thiết ở một số lĩnh vực chính:
- Xác thực và Bối cảnh hóa: Các hệ thống AI, mặc dù rất tinh vi, đôi khi có thể tạo ra các báo động sai hoặc hiểu sai dữ liệu. Các nhà phân tích con người cần phải xác thực đầu ra của AI và cung cấp bối cảnh cần thiết mà AI có thể bỏ qua. Điều này đảm bảo các phản ứng được thực hiện một cách phù hợp và tỷ lệ với mức độ đe dọa thực sự.
- Điều tra Mối đe dọa phức tạp: Một số mối đe dọa quá phức tạp để AI có thể xử lý một mình. Các chuyên gia con người có thể đào sâu hơn vào các sự cố này, sử dụng kinh nghiệm và trực giác để khám phá các khía cạnh ẩn của mối đe dọa mà AI có thể bỏ qua. Thông tin sáng suốt của con người này rất quan trọng để hiểu rõ phạm vi toàn diện của các cuộc tấn công phức tạp và đề xuất các biện pháp phòng ngừa hiệu quả.
- Ra quyết định chiến lược: Trong khi AI có thể xử lý các nhiệm vụ hàng ngày và xử lý dữ liệu, những quyết định chiến lược về tổng thể về tư thế bảo mật và chiến lược phòng thủ dài hạn yêu cầu sự đánh giá của con người. Các chuyên gia có thể giải thích các hiểu biết được tạo ra bởi AI để ra quyết định thông minh về phân bổ tài nguyên, thay đổi chính sách và các sáng kiến chiến lược.
- Cải tiến liên tục: Các nhà phân tích con người đóng góp vào việc cải tiến liên tục của các hệ thống AI bằng cách cung cấp phản hồi và dữ liệu huấn luyện. Các hiểu biết của họ giúp làm rõ các thuật toán AI, làm cho chúng trở nên chính xác và hiệu quả hơn theo thời gian. Mối quan hệ tương tác giữa chuyên môn con người và AI đảm bảo rằng cả hai đều tiến bộ cùng nhau để đối phó với các mối đe dọa mới nổi lên.
Tăng Cường Mô Hình Đối Tác Con Người-Máy Móc Tối Ưu
Ở nền tảng của sự chuyển đổi này là nhu cầu về các hệ thống AI có thể học từ dữ liệu lịch sử (học có giám sát) và liên tục thích nghi để phát hiện các cuộc tấn công mới lạ thông qua các phương pháp học không giám sát / củng cố. Kết hợp những phương pháp này sẽ là yếu tố then chốt để vượt qua khả năng tiến hóa của các kẻ tấn công sử dụng AI.
Nhìn chung, AI sẽ rất quan trọng để các nhà phòng thủ mở rộng khả năng phát hiện và phản ứng của họ. Chuyên môn con người phải tiếp tục được tích hợp chặt chẽ để điều tra các mối đe dọa phức tạp, kiểm tra đầu ra của hệ thống AI và chỉ đạo chiến lược phòng thủ chiến lược. Một mô hình đối tác con người-máy móc tối ưu là lý tưởng cho tương lai.
Khi lượng dữ liệu bảo mật khổng lồ tích lũy theo thời gian, các tổ chức có thể áp dụng phân tích AI vào kho dữ liệu này để rút ra những hiểu biết cho việc săn mối đe dọa chủ động và củng cố các phòng thủ. Việc học từ những sự cố trước đó cho phép mô hình hình thành dự đoán về các mẫu tấn công mới. Khi khả năng của AI tiến bộ, vai trò của các mô hình ngôn ngữ nhỏ và chuyên dụng được điều chỉnh cho từng trường hợp sử dụng an ninh cụ thể sẽ ngày càng phát triển. Những mô hình này có thể giúp giảm thiểu ‘mệt mỏi vì cảnh báo’ bằng cách phân loại chính xác những cảnh báo quan trọng nhất để phân tích bởi con người. Phản ứng tự động, được nâng cấp bởi AI, cũng có thể mở rộng để xử lý nhiều nhiệm vụ an ninh Tier 1 hơn.
Tuy nhiên, sự đánh giá của con người và suy nghĩ phản biện vẫn sẽ là không thể thiếu, đặc biệt là đối với các sự cố nghiêm trọng. Không thể phủ nhận rằng tương lai là một tương tác tối ưu giữa con người và máy móc, nơi mà AI xử lý việc xử lý dữ liệu lớn và các nhiệm vụ hàng ngày, cho phép các chuyên gia con người tập trung vào điều tra các mối đe dọa phức tạp và chiến lược bảo mật cấp cao.
