Connect with us

Phỏng vấn

Mark Nicholson, Lãnh đạo Hiện đại hóa An ninh mạng tại Deloitte Hoa Kỳ – Loạt Phỏng vấn: Một Cuộc Trò chuyện Trở lại

mm
Published
Updated

Mark Nicholson, Lãnh đạo Hiện đại hóa An ninh mạng tại Deloitte Hoa Kỳ, là một Đối tác tại Deloitte với hơn hai thập kỷ kinh nghiệm tại giao điểm của an ninh mạng, trí tuệ nhân tạo và rủi ro doanh nghiệp. Ông dẫn dắt các sáng kiến Cyber AI và chiến lược thương mại cho hoạt động an ninh mạng của Deloitte, giúp các tổ chức lớn hiện đại hóa khuôn khổ bảo mật và điều chỉnh các khoản đầu tư an ninh mạng với bối cảnh rủi ro đang phát triển. Trước khi đến với Deloitte, ông đồng sáng lập và giữ chức vụ COO của Vigilant, Inc., một công ty tư vấn an ninh thông tin tập trung vào tình báo mối đe dọa và giám sát sự kiện độc hại. Sự nghiệp trước đó của ông trong các vai trò bán hàng và phát triển kinh doanh tại nhiều công ty công nghệ đã cung cấp nền tảng vững chắc về cả khía cạnh kỹ thuật và thương mại của an ninh mạng.

Deloitte là một trong những công ty dịch vụ chuyên nghiệp lớn nhất thế giới, cung cấp dịch vụ kiểm toán, tư vấn, thuế và cố vấn cho các tổ chức thuộc hầu hết mọi ngành công nghiệp. Hoạt động an ninh mạng của công ty tập trung vào việc giúp các doanh nghiệp điều hướng môi trường mối đe dọa ngày càng phức tạp đồng thời cho phép chuyển đổi số thông qua các công nghệ như trí tuệ nhân tạo. Công ty cung cấp các dịch vụ trải dài từ chiến lược an ninh mạng, khả năng phục hồi, quản lý rủi ro đến bảo mật doanh nghiệp, định vị an ninh mạng vừa là một chức năng bảo vệ vừa là một yếu tố chiến lược thúc đẩy đổi mới và tăng trưởng.

Điều này tiếp nối một cuộc phỏng vấn trước đó đã được xuất bản vào năm 2025.

Ông đã tham gia vào lĩnh vực an ninh mạng từ những ngày đầu của việc giám sát mối đe dọa hiện đại, bao gồm việc đồng sáng lập Vigilant và giúp đưa các khả năng Quản lý Thông tin và Sự kiện Bảo mật (SIEM) và tình báo mối đe dọa sớm ra thị trường. Sự phát triển từ những hệ thống giám sát ban đầu đó đến các nền tảng phòng thủ mạng dựa trên AI ngày nay đã thay đổi cách các tổ chức phát hiện và phản ứng với các mối đe dọa như thế nào?

Khi chúng tôi lần đầu tiên bắt đầu xây dựng các nền tảng giám sát trong những ngày đầu của SIEM, thách thức cốt lõi là tập hợp dữ liệu vào một nơi và hiểu được nó. Tôi nhớ khi các nhà phân tích in nhật ký tường lửa ra mỗi sáng và xem xét chúng thủ công để cố gắng tìm ra các điểm bất thường. Ngay cả khi SIEM phát triển, vẫn có một vấn đề về quy mô. Tốc độ của con người không thể đối chọi với số lượng sự kiện được phát hiện khổng lồ. Bất chấp việc sử dụng tự động hóa, những người bảo vệ mạng vẫn gặp vấn đề về tương quan và phân tích dữ liệu, liên tục lao động để soạn thảo các quy tắc mới, thường là để phản ứng với các lỗi giám sát.

Một trong những hy vọng là AI sẽ thay đổi động thái đó một cách cơ bản. Ngoài việc triển khai các khả năng tác nhân để tự động hóa hoạt động bảo mật cấp độ 1, AI hứa hẹn sẽ giúp chuyển việc phát hiện và phản hồi từ “sau khi sự việc xảy ra” sang gần hơn nhiều với “khi nó đang xảy ra” bằng cách tận dụng việc điều chỉnh máy động cho các thuật toán giám sát. Trong một số trường hợp, các tổ chức an ninh mạng cũng sẽ cảm thấy thoải mái khi để AI khởi tạo các hành động khắc phục.

Nhưng phần khó khăn không biến mất, nó chuyển dịch. Khi các hệ thống trở nên tự chủ và phức tạp hơn, sự tin tưởng và khả năng quan sát trở thành một chiến trường: Hệ thống đang làm gì, tại sao nó làm điều đó và làm thế nào chúng ta biết nó không bị thao túng? Cơ hội với AI là rất lớn, nhưng nó cũng làm tăng thêm cổ phần khi môi trường hoạt động ở tốc độ máy.

Ông đã lưu ý rằng AI đang cho phép các đối thủ tự động hóa việc trinh sát, tạo ra các khai thác và đẩy nhanh chu kỳ tấn công. Về mặt thực tế, AI đã rút ngắn thời gian giữa việc phát hiện lỗ hổng và khai thác bao nhiêu?

Trong lịch sử, thường có một khoảng thời gian giữa việc phát hiện lỗ hổng và khai thác. Chắc chắn có sự khẩn cấp, nhưng nhìn chung, trừ khi bạn bị tấn công bởi một lỗ hổng zero day, đã có thời gian để hiểu mối đe dọa, vá lỗi và giảm thiểu trước khi kẻ tấn công có thể triển khai các khai thác trên quy mô lớn. AI gần như đã loại bỏ khoảng thời gian đó.

Kẻ thù có thể tự động hóa việc trinh sát, liên tục quét để tìm sự phơi nhiễm và sử dụng công cụ hỗ trợ AI để tăng tốc các phần của quá trình phát triển và nhắm mục tiêu khai thác. Trong nhiều trường hợp, những gì từng diễn ra trong nhiều tuần giờ đây có thể được nén lại trong vài giờ, và trong các kịch bản tự động hóa cao, nó có thể nhanh hơn hầu hết các chương trình bảo mật được xây dựng để xử lý.

Điều rút ra rất đơn giản: Các nhóm bảo mật cần tự động hóa và AI ở phía phòng thủ, kết hợp với các biện pháp kiểm soát mạnh mẽ, nếu họ muốn theo kịp.

Các nhóm bảo mật ngày càng chuyển từ mô hình giám sát “con người trong vòng lặp” sang “con người trên vòng lặp”. Sự thay đổi đó trông như thế nào về mặt hoạt động bên trong một Trung tâm Điều hành An ninh (SOC) hiện đại, và các tổ chức nên suy nghĩ lại về vai trò của nhà phân tích như thế nào khi AI đảm nhận nhiều nhiệm vụ tự chủ hơn?

Trong một SOC truyền thống, các nhà phân tích ngồi ở trung tâm của mọi điểm quyết định. Cảnh báo đến, các nhà phân tích phân loại chúng, điều tra chúng và xác định hành động nào nên được thực hiện. Cách tiếp cận đó hoạt động khi khối lượng cảnh báo và tốc độ tấn công có thể quản lý được. Nhưng trong môi trường ngày nay, quy mô hoạt động đơn giản là quá lớn để con người có thể đóng vai trò người gác cổng cho mọi quyết định.

Sự chuyển đổi sang con người trên vòng lặp có nghĩa là các hệ thống AI có thể thực hiện nhiều nhiệm vụ thường xuyên mà trước đây các nhà phân tích xử lý, chẳng hạn như phân loại cảnh báo, thu thập ngữ cảnh, tương quan dữ liệu và thực hiện một số hành động khắc phục nhất định. Vai trò của con người trở thành vai trò giám sát và xác thực thay vì thực thi thủ công.

Về mặt hoạt động, điều đó chuyển thời gian của nhà phân tích khỏi việc “xử lý cảnh báo” và hướng tới công việc có giá trị cao hơn như săn tìm mối đe dọa, kỹ thuật phát hiện, mô phỏng đối thủ và cải thiện kiến trúc phòng thủ. Con người vẫn cần thiết, nhưng vai trò của họ phát triển hướng tới giám sát, phán đoán và chiến lược thay vì đóng vai trò là bộ xử lý chính của dữ liệu bảo mật.

Chúng tôi đang nghe rất nhiều về “AI An toàn Theo Thiết kế”. Theo quan điểm của ông, tại sao khái niệm đó cần mở rộng ra ngoài sự an toàn của mô hình để đi vào các hệ thống danh tính, kiến trúc quyền hạn và các lớp điều phối?

Nhiều cuộc thảo luận về AI an toàn tập trung nhiều vào chính mô hình, chẳng hạn như bảo vệ dữ liệu đào tạo, ngăn chặn nhiễm độc mô hình hoặc phòng thủ chống lại các cuộc tấn công tiêm prompt. Đó là những vấn đề thực sự, nhưng chúng chỉ là một phần của rủi ro.

Trong thực tế, các hệ thống AI hoạt động như một phần của hệ sinh thái kỹ thuật số lớn hơn nhiều. Chúng truy cập dữ liệu, tương tác với API, kích hoạt quy trình làm việc và ngày càng hoạt động thông qua các tác nhân có thể hành động với một mức độ tự chủ.

Khi điều đó xảy ra, danh tính và quyền hạn trở thành mặt phẳng điều khiển. Các tác nhân AI về cơ bản là các danh tính kỹ thuật số mới bên trong doanh nghiệp. Nếu những danh tính đó không được quản trị đúng cách, chúng có thể tạo ra rủi ro đáng kể.

Do đó, AI an toàn theo thiết kế cần mở rộng sang quản trị danh tính, kiểm soát truy cập, các lớp điều phối và hệ thống giám sát theo dõi những gì các tác nhân đó đang làm. Các tổ chức cần đối xử với các tác nhân AI giống như người dùng con người, với các quyền hạn xác định, kiểm tra và giám sát, nếu không bề mặt tấn công sẽ mở rộng nhanh chóng.

Nhiều doanh nghiệp đang xếp lớp các công cụ AI lên trên các quy trình bảo mật kế thừa được thiết kế cho tốc độ của con người. Những thay đổi kiến trúc lớn nhất mà các tổ chức cần thực hiện để thực sự tận dụng AI trong phòng thủ mạng là gì?

Một mẫu hình phổ biến là gắn AI vào các quy trình và quy trình làm việc kế thừa được thiết kế cho hoạt động do con người điều khiển. Đó không phải là cách tiếp cận đầu tiên tồi, đặc biệt là khi thị giác máy tính đã trở thành hiện thực. Ví dụ, Deloitte đã tạo ra một tác nhân có thể được đào tạo để thay thế con người trong quy trình quản trị và quản lý danh tính mà không cần loại bỏ các giải pháp phần mềm chuyên dụng hiện có vốn sẽ khó ngừng hoạt động. Điều này có thể thúc đẩy tiết kiệm chi phí đáng kể.

Tuy nhiên, lợi ích trong tương lai là các doanh nghiệp có thể sẽ bắt đầu suy nghĩ lại về các quy trình bảo mật từ đầu đến cuối: hiện đại hóa nền tảng dữ liệu để các công cụ bảo mật có thể truy cập đáng tin cậy vào dữ liệu viễn thông chất lượng cao, được cấu trúc tốt; xây dựng sự điều phối để các chức năng phát hiện, phản hồi và danh tính hoạt động như một hệ thống phối hợp, không phải là các công cụ riêng lẻ.

Danh tính vẫn tồn tại như một trong những biện pháp kiểm soát quan trọng nhất. Khi ngày càng nhiều tự động hóa và tác nhân AI được giới thiệu, số lượng danh tính phi con người tăng lên đáng kể. Quản lý hiệu quả những danh tính đó trở nên cần thiết để duy trì kiểm soát.

Bảo mật bản địa AI cuối cùng là sự kết hợp của dữ liệu tốt hơn, điều phối tốt hơn và quản trị tính đến cả tác nhân con người và máy móc.

Khi các hệ thống AI trở nên tự chủ hơn, bề mặt tấn công mở rộng sang các lĩnh vực như điều phối tác nhân, chuỗi API và đường ống quyết định tự động. Bề mặt mới nổi nào trong số này khiến ông lo lắng nhất?

Nếu tôi phải chọn một lĩnh vực xứng đáng được quan tâm ngay lập tức, đó là danh tính và quyền truy cập dữ liệu bên trong các hệ thống điều khiển bằng tác nhân.

Khi các tổ chức giới thiệu nhiều AI tác nhân hơn, họ đang tạo ra một quần thể ngày càng tăng các tác nhân tự chủ hoạt động bên trong doanh nghiệp. Những tác nhân đó có thể có quyền truy cập vào dữ liệu, API và quy trình làm việc cực kỳ mạnh mẽ và điều đó biến chúng thành một con đường hấp dẫn cho kẻ tấn công nếu quyền hạn không được thiết kế, giám sát và kiểm tra nghiêm ngặt

Related Topics:
mm

//www.futurist.ai">nhà tương lai học, ông tận tâm khám phá cách những đổi mới này sẽ định hình thế giới của chúng ta. Ngoài ra, ông là người sáng lập Securities.io, một nền tảng tập trung vào đầu tư vào các công nghệ tiên phong đang định nghĩa lại tương lai và định hình lại toàn bộ các lĩnh vực.