Connect with us

Mark Nicholson, Lãnh đạo Hiện đại hóa An ninh mạng của Deloitte tại Mỹ – Loạt phỏng vấn: Một cuộc trò chuyện trở lại

Phỏng vấn

Mark Nicholson, Lãnh đạo Hiện đại hóa An ninh mạng của Deloitte tại Mỹ – Loạt phỏng vấn: Một cuộc trò chuyện trở lại

mm
Published
Updated

Mark Nicholson, Lãnh đạo Hiện đại hóa An ninh mạng của Deloitte tại Mỹ, là một thành viên cấp cao của Deloitte với hơn hai thập kỷ kinh nghiệm tại giao điểm của an ninh mạng, trí tuệ nhân tạo và quản lý rủi ro doanh nghiệp. Ông lãnh đạo các sáng kiến An ninh mạng AI và chiến lược thương mại cho thực hành an ninh mạng của Deloitte, giúp các tổ chức lớn hiện đại hóa các khuôn khổ an ninh của họ và sắp xếp các khoản đầu tư an ninh với các phong cảnh rủi ro đang thay đổi. Trước khi gia nhập Deloitte, ông đã đồng sáng lập và từng là Giám đốc vận hành của Vigilant, Inc., một công ty tư vấn an ninh thông tin tập trung vào tình báo mối đe dọa và giám sát sự kiện độc hại. Sự nghiệp trước đây của ông trong các vai trò bán hàng và phát triển kinh doanh trên nhiều công ty công nghệ đã cung cấp một nền tảng vững chắc về cả khía cạnh kỹ thuật và thương mại của an ninh mạng.

Deloitte là một trong những công ty dịch vụ chuyên nghiệp lớn nhất thế giới, cung cấp dịch vụ kiểm toán, tư vấn, thuế và tư vấn cho các tổ chức trên gần mọi ngành công nghiệp. Thực hành an ninh mạng của công ty tập trung vào việc giúp các doanh nghiệp điều hướng các môi trường mối đe dọa ngày càng phức tạp trong khi cho phép chuyển đổi số thông qua các công nghệ như trí tuệ nhân tạo. Công ty cung cấp các dịch vụ bao gồm chiến lược an ninh mạng, khả năng chống chịu, quản lý rủi ro và an ninh doanh nghiệp, định vị an ninh mạng như một chức năng bảo vệ và một yếu tố chiến lược cho sự đổi mới và tăng trưởng.

Điều này tiếp theo một phỏng vấn trước đã được xuất bản vào năm 2025.

Bạn đã tham gia vào an ninh mạng từ những ngày đầu của giám sát mối đe dọa hiện đại, bao gồm cả việc đồng sáng lập Vigilant và giúp đưa các khả năng quản lý thông tin và sự kiện an ninh (SIEM) và tình báo mối đe dọa đầu tiên ra thị trường. Làm thế nào sự tiến hóa từ những hệ thống giám sát ban đầu đến các nền tảng phòng thủ mạng được thúc đẩy bởi AI ngày nay đã thay đổi cách các tổ chức phát hiện và phản ứng với các mối đe dọa?

Khi chúng tôi bắt đầu xây dựng các nền tảng giám sát vào những ngày đầu của SIEM, thách thức cốt lõi là đưa dữ liệu vào một nơi và tạo ra ý nghĩa cho nó. Tôi nhớ khi các nhà phân tích sẽ in ra các nhật ký tường lửa mỗi sáng và xem xét chúng thủ công để tìm ra các bất thường. Ngay cả khi SIEM trưởng thành, vẫn còn vấn đề về quy mô. Tốc độ con người không thể sánh với số lượng lớn các sự kiện được phát hiện. Mặc dù sử dụng tự động hóa, những người bảo vệ mạng vẫn phải đối mặt với vấn đề tương quan dữ liệu và phân tích, liên tục lao động để soạn thảo các quy tắc mới, thường là để đáp ứng với các thất bại trong giám sát.

Một trong những hy vọng là AI sẽ thay đổi động lực đó một cách cơ bản. Ngoài việc triển khai các khả năng tự động để tự động hóa các hoạt động an ninh mạng cấp 1, AI hứa hẹn sẽ giúp di chuyển việc phát hiện và phản ứng từ “sau khi sự việc xảy ra” đến “trong khi nó đang xảy ra” bằng cách tận dụng việc điều chỉnh động các thuật toán giám sát. Trong một số trường hợp, các tổ chức an ninh mạng sẽ cảm thấy thoải mái khi để AI khởi xướng các hành động khắc phục.

Tuy nhiên, phần khó không biến mất, nó thay đổi. Khi các hệ thống trở nên tự chủ và phức tạp hơn, sự tin cậy và khả năng quan sát trở thành một lĩnh vực tranh chấp: Hệ thống đang làm gì, tại sao nó lại làm như vậy, và làm thế nào chúng ta biết nó không bị thao túng? Cơ hội với AI là vô cùng lớn, nhưng nó cũng làm tăng ставки khi môi trường hoạt động với tốc độ máy.

Bạn đã lưu ý rằng AI đang cho phép các đối thủ tự động hóa việc trinh sát, tạo ra các cuộc tấn công và tăng tốc chu kỳ tấn công. Về mặt thực tế, AI đã nén thời gian giữa việc phát hiện lỗ hổng và khai thác lỗ hổng đó đến mức nào?

Trong lịch sử, thường có một khoảng thời gian giữa việc phát hiện lỗ hổng và khai thác lỗ hổng. Có sự cấp bách, nhưng nói chung, trừ khi bạn bị tấn công bởi một lỗ hổng zero-day, vẫn có thời gian để hiểu mối đe dọa, vá lỗ hổng và giảm thiểu trước khi kẻ tấn công có thể triển khai các cuộc tấn công trên quy mô lớn. AI đã gần như loại bỏ khoảng thời gian đó.

Đối thủ có thể tự động hóa việc trinh sát, quét liên tục để tìm kiếm sự lộ lọt và sử dụng các công cụ được kích hoạt bởi AI để tăng tốc các phần của quá trình phát triển và nhắm mục tiêu khai thác. Trong nhiều trường hợp, những gì trước đây diễn ra trong vài tuần có thể现在 được nén thành vài giờ, và trong các kịch bản tự động hóa cao, nó có thể nhanh hơn so với hầu hết các chương trình an ninh mạng được thiết kế để xử lý.

Kết luận đơn giản là: Các đội an ninh mạng cần tự động hóa và AI ở phía phòng thủ, kết hợp với các biện pháp kiểm soát mạnh, nếu họ muốn theo kịp.

Các đội an ninh mạng đang ngày càng chuyển từ mô hình “con người trong vòng lặp” sang mô hình “con người trên vòng lặp” về giám sát. Sự thay đổi này trông như thế nào về mặt hoạt động trong một Trung tâm Vận hành An ninh Mạng (SOC) hiện đại, và các tổ chức nên suy nghĩ lại về vai trò của các nhà phân tích khi AI đảm nhận nhiều nhiệm vụ tự chủ hơn?

Trong một SOC truyền thống, các nhà phân tích ngồi ở trung tâm của mọi điểm quyết định. Các cảnh báo đến, các nhà phân tích phân loại chúng, điều tra chúng và quyết định những hành động nào nên được thực hiện. Cách tiếp cận đó đã hoạt động khi khối lượng cảnh báo và tốc độ của các cuộc tấn công là có thể quản lý được. Nhưng trong môi trường ngày nay, quy mô của hoạt động đơn giản là quá lớn để con người có thể đóng vai trò là người gác cổng cho mọi quyết định.

Sự chuyển đổi sang mô hình con người trên vòng lặp có nghĩa là các hệ thống AI có thể thực hiện nhiều nhiệm vụ thường xuyên mà trước đây các nhà phân tích đã xử lý, chẳng hạn như phân loại cảnh báo, thu thập ngữ cảnh, tương quan dữ liệu và thực hiện một số hành động khắc phục. Vai trò của con người trở thành vai trò giám sát và xác nhận chứ không phải thực hiện thủ công.

Về mặt hoạt động, điều đó chuyển thời gian của nhà phân tích khỏi “nghiền cảnh báo” và hướng tới công việc có giá trị cao hơn như săn lùng mối đe dọa, kỹ thuật phát hiện, mô phỏng đối thủ và cải thiện kiến trúc phòng thủ. Con người vẫn là thiết yếu, nhưng vai trò của họ tiến hóa hướng tới giám sát, phán quyết và chiến lược chứ không phải hành động như bộ xử lý chính của dữ liệu an ninh.

Chúng tôi đang nghe rất nhiều về “An ninh AI được thiết kế”. Từ quan điểm của bạn, tại sao khái niệm này cần phải mở rộng ra ngoài sự an toàn của mô hình vào các hệ thống nhận dạng, kiến trúc quyền và các lớp điều phối?

Nhiều cuộc thảo luận về an ninh AI tập trung mạnh vào mô hình chính nó, chẳng hạn như bảo vệ dữ liệu đào tạo, ngăn chặn việc đầu độc mô hình hoặc bảo vệ chống lại các cuộc tấn công tiêm lệnh. Những vấn đề đó là thực sự, nhưng chúng chỉ là một phần của rủi ro.

Trong thực tế, các hệ thống AI hoạt động như một phần của các hệ sinh thái kỹ thuật số lớn hơn. Chúng truy cập dữ liệu, tương tác với các API, kích hoạt các công việc và ngày càng hoạt động thông qua các đại lý có thể hành động với một mức độ tự chủ.

Khi điều đó xảy ra, nhận dạng và quyền trở thành mặt điều khiển. Các đại lý AI hiệu quả là các bản sắc kỹ thuật số mới trong doanh nghiệp. Nếu những bản sắc đó không được quản lý đúng cách, chúng có thể giới thiệu các rủi ro đáng kể.

An ninh AI được thiết kế do đó cần phải mở rộng vào quản lý nhận dạng, kiểm soát truy cập, các lớp điều phối và các hệ thống giám sát theo dõi những gì các đại lý đó đang làm. Các tổ chức cần đối xử với các đại lý AI giống như người dùng con người, với các quyền được xác định, kiểm toán và giám sát, nếu không bề mặt tấn công sẽ mở rộng nhanh chóng.

Nhiều doanh nghiệp đang xếp lớp các công cụ AI lên trên các quy trình an ninh mạng cũ mà được thiết kế cho tốc độ con người. Những thay đổi kiến trúc lớn nhất mà các tổ chức cần thực hiện để tận dụng AI trong phòng thủ mạng là gì?

Một mẫu phổ biến là gắn AI vào các quy trình và công việc cũ được thiết kế cho các hoạt động do con người điều khiển. Đó không phải là một cách tiếp cận tồi, đặc biệt là khi tầm nhìn máy tính đã trở thành hiện thực. Ví dụ, Deloitte đã tạo ra một đại lý có thể được đào tạo để thay thế con người trong quy trình quản lý và quản trị nhận dạng mà không loại bỏ các giải pháp phần mềm được thiết kế riêng hiện có mà sẽ khó khăn để loại bỏ. Điều này có thể mang lại tiết kiệm chi phí đáng kể.

Lợi ích trong tương lai là các doanh nghiệp sẽ có khả năng suy nghĩ lại các quy trình an ninh mạng từ đầu đến cuối: hiện đại hóa nền tảng dữ liệu để các công cụ an ninh mạng có thể truy cập đáng tin cậy vào các telemetry chất lượng cao, được cấu trúc tốt; xây dựng điều phối để các chức năng phát hiện, phản ứng và nhận dạng hoạt động như một hệ thống phối hợp, không phải là các công cụ bị ngắt kết nối.

Nhận dạng vẫn là một trong những biện pháp kiểm soát quan trọng nhất. Khi nhiều tự động hóa và các đại lý AI được giới thiệu, số lượng bản sắc không phải của con người tăng đáng kể. Quản lý những bản sắc đó một cách hiệu quả trở nên thiết yếu để duy trì kiểm soát.

An ninh bản địa AI cuối cùng là sự kết hợp của dữ liệu tốt hơn, điều phối và quản trị tốt hơn, tính đến cả các tác nhân con người và máy.

Khi các hệ thống AI trở nên tự chủ hơn, bề mặt tấn công mở rộng vào các khu vực như điều phối đại lý, chuỗi API và đường ống quyết định tự động. Trong số các bề mặt mới nổi này, bề mặt nào khiến bạn lo lắng nhất?

Nếu tôi phải chọn một khu vực xứng đáng được chú ý ngay lập tức, đó là nhận dạng và quyền truy cập dữ liệu bên trong các hệ thống được điều khiển bởi đại lý.

Khi các tổ chức giới thiệu nhiều đại lý AI hơn, họ đang tạo ra một dân số ngày càng tăng của các tác nhân tự chủ hoạt động bên trong doanh nghiệp. Những đại lý đó có thể có quyền truy cập vào dữ liệu, API và công việc mà cực kỳ mạnh mẽ và điều đó làm cho chúng trở thành một con đường hấp dẫn cho một kẻ tấn công nếu các quyền không được thiết kế, theo dõi và kiểm toán một cách nghiêm ngặt. Điều quan trọng là phải đối xử với mọi đại lý như một nhân viên mới: đặt tên cho nó, xác định phạm vi của nó, theo dõi nó và cho phép nó bị ngắt kết nối nhanh chóng nếu cần.

Các chuỗi API và đường ống quyết định tự động cũng giới thiệu rủi ro, nhưng quản lý nhận dạng thường là biện pháp kiểm soát cơ bản. Nếu bạn không thể trả lời rõ ràng ai là đại lý, nó có thể chạm vào gì và nó đã làm gì, bạn không thực sự kiểm soát nó.

Từ góc độ phòng họp, các giám đốc điều hành và giám đốc đang suy nghĩ về rủi ro mạng được thúc đẩy bởi AI như thế nào, và bạn thấy khoảng cách lớn nhất giữa thực tế kỹ thuật và sự hiểu biết của hội đồng quản trị là gì?

Các hội đồng quản trị ngày càng nhận thức được rằng trong khi AI mang lại cơ hội khổng lồ, nó cũng có thể mang lại rủi ro có ý nghĩa. Hầu hết các giám đốc hiểu rằng AI sẽ định hình sự chuyển đổi kinh doanh, và họ đang bắt đầu đặt câu hỏi về quản trị, an ninh và khả năng chống chịu.

Điểm mà khoảng cách xuất hiện thường là tốc độ và sự phức tạp. Nhiều cuộc thảo luận của hội đồng quản trị vẫn mặc định vào các khuôn khổ an ninh mạng truyền thống – điều vẫn rất quan trọng – nhưng chúng không luôn phản ánh cách nhanh chóng các mối đe dọa được thúc đẩy bởi AI có thể phát triển và mở rộng quy mô.

Sự ngắt kết nối khác là “Liệu AI của chúng tôi có an toàn không?” âm thanh như một câu hỏi đơn giản, nhưng câu trả lời sống trên quản trị dữ liệu, tính toàn vẹn của mô hình, quản lý nhận dạng và điều phối trên nhiều hệ thống. Các hội đồng quản trị đang đóng khoảng cách là những người đang thúc đẩy báo cáo dựa trên kiểm soát giúp làm cho các bộ phận chuyển động đó trở nên rõ ràng và có thể kiểm tra, và đầu tư thời gian để xây dựng sự thông thạo của giám đốc, để giám sát vẫn theo kịp công nghệ.

AI đang ngày càng được sử dụng trên cả hai phía của chiến trường. Chúng tôi có đang bước vào một cuộc đua vũ trang an ninh mạng vĩnh viễn giữa AI và AI không, và nếu vậy, những lợi thế nào mà các đội phòng thủ có mà các kẻ tấn công có thể gặp khó khăn trong việc sao chép?

Chúng tôi rõ ràng đang trong một kỷ nguyên mà AI đang được sử dụng bởi cả kẻ tấn công và người phòng thủ. Đối thủ đang áp dụng AI để tăng tốc trinh sát, xác định lỗ hổng và tự động hóa các phần của chu kỳ tấn công. Nhưng người phòng thủ vẫn có những lợi thế thực sự nếu họ chọn sử dụng chúng.

Người phòng thủ có tầm nhìn vào môi trường của riêng họ, truy cập vào telemetry nội bộ và khả năng xây dựng kiến trúc phân lớp mà kẻ tấn công phải điều hướng. AI có thể giúp người phòng thủ phân tích các khối lượng dữ liệu khổng lồ trên mạng, điểm cuối và nhận dạng, đưa cho họ tiềm năng phát hiện hành vi bất thường sớm hơn.

Lưu ý là sự áp dụng. Nếu người phòng thủ vẫn bị kẹt trong các quy trình thủ công trong khi kẻ tấn công tự động hóa, sự bất đối xứng trở nên tàn bạo. Cuộc đua vũ trang là thực sự, và những người chiến thắng sẽ là những người triển khai AI với quản trị mạnh, không phải những người chỉ chạy thử nghiệm.

Trong công việc tư vấn của bạn cho các doanh nghiệp lớn, những sai lầm phổ biến nhất mà các tổ chức mắc phải khi cố gắng tích hợp AI vào chiến lược an ninh mạng của họ là gì?

Một trong những sai lầm phổ biến nhất chúng tôi thấy là việc đối xử với AI như một công cụ độc lập thay vì một sự thay đổi kiến trúc. Các đội chạy các thí nghiệm bị cô lập mà không nâng cấp nền tảng dữ liệu, mô hình quản trị hoặc các quy trình hoạt động cần thiết để duy trì tác động, dẫn đến một sự đạt đỉnh trong kết quả.

Sai lầm khác là triển khai các khả năng AI mà không tính đầy đủ đến các rủi ro mới: các bản sắc mới, luồng dữ liệu mới và các đường dẫn quyết định tự động mở rộng bề mặt tấn công. Nếu những điều đó được gắn mà không có các biện pháp kiểm soát phù hợp, AI có thể thêm sự mong manh thay vì sự mạnh mẽ.

Cuối cùng, nhiều tổ chức đánh giá thấp tầm quan trọng của việc tham gia lực lượng lao động. Những người thực hành chạy các hoạt động an ninh mạng mỗi ngày biết nơi ma sát là gì và “tốt” trông như thế nào. Những biến đổi mạnh mẽ nhất mang những đội đó vào sớm để công nghệ khuếch đại phán quyết của họ thay vì làm gián đoạn nó.

Nhìn về tương lai ba đến năm năm, Trung tâm Vận hành An ninh Mạng bản địa AI sẽ trông như thế nào so với môi trường SOC ngày nay?

Nó có khả năng sẽ trông rất khác, theo nhiều cách tôi không thể dự đoán. Có khả năng SOC trong tương lai sẽ hoạt động như một lực lượng lao động hỗn hợp giữa con người và kỹ thuật số. Các hệ thống AI sẽ xử lý nhiều việc xử lý dữ liệu, tương quan và phản ứng ban đầu. Các hệ thống đại lý sẽ giúp tự động hóa các công việc trên quản lý lỗ hổng, quản lý nhận dạng, phản ứng sự cố và giám sát kiểm soát liên tục.

Các nhà phân tích con người vẫn là thiết yếu, nhưng trọng tâm chuyển đổi: giám sát các hệ thống AI, xác nhận các trường hợp sử dụng phát hiện (thay vì viết chúng), điều tra các mối đe dọa phức tạp và cải thiện kiến trúc phòng thủ.
Mục tiêu không phải là loại bỏ con người mà là nâng cao vai trò của họ. Thay vì dành thời gian để phân loại cảnh báo và tự động thu thập dữ liệu, các nhà phân tích sẽ tập trung vào các khía cạnh chiến lược của an ninh mạng. Câu hỏi sẽ là, “Làm thế nào chúng ta sẽ đào tạo thế hệ tiếp theo của các chuyên gia an ninh mạng khi cấp 1 và cấp 2 được tự động hóa hoàn toàn?” Có thể câu trả lời nằm ở sự cải thiện đáng kể về công nghệ mô phỏng và đào tạo mà AI có thể giúp chúng ta phát triển.

Các tổ chức thành công xây dựng một lực lượng lao động hỗn hợp thành công, kết hợp chuyên môn của con người với tự động hóa được thúc đẩy bởi AI, sẽ có khả năng được đặt ở vị trí tốt nhất để hoạt động với tốc độ yêu cầu trong môi trường mối đe dọa hiện đại.

Cảm ơn bạn vì cuộc phỏng vấn tuyệt vời, độc giả muốn tìm hiểu thêm nên truy cập Deloitte hoặc đọc phỏng vấn trước của chúng tôi.

mm

Antoine là một nhà lãnh đạo có tầm nhìn và là đối tác sáng lập của Unite.AI, được thúc đẩy bởi một niềm đam mê không ngừng nghỉ để định hình và thúc đẩy tương lai của AI và robot. Là một doanh nhân liên tục, ông tin rằng AI sẽ gây ra sự gián đoạn cho xã hội giống như điện, và thường bị bắt gặp nói về tiềm năng của các công nghệ gây gián đoạn và AGI.
Như một futurist, ông dành để khám phá cách những đổi mới này sẽ định hình thế giới của chúng ta. Ngoài ra, ông là người sáng lập của Securities.io, một nền tảng tập trung vào đầu tư vào các công nghệ tiên tiến đang định nghĩa lại tương lai và thay đổi toàn bộ lĩnh vực.