Tương lai của an ninh mạng: AI, tự động hóa và yếu tố con người

Trong thập kỷ qua, cùng với sự phát triển bùng nổ của công nghệ thông tin, thực tế đen tối của các mối đe dọa an ninh mạng cũng đã phát triển đáng kể. Các cuộc tấn công mạng, trước đây chủ yếu do tin tặc tinh quái tìm kiếm sự nổi tiếng hoặc lợi ích tài chính thúc đẩy, đã trở nên tinh vi và có mục tiêu hơn nhiều. Từ hoạt động gián điệp do nhà nước tài trợ đến trộm cắp danh tính và doanh nghiệp, động cơ đằng sau tội phạm mạng ngày càng nham hiểm và nguy hiểm. Mặc dù lợi ích tiền tệ vẫn là lý do quan trọng đối với tội phạm mạng, nhưng nó đã bị lu mờ bởi mục đích đen tối hơn là đánh cắp dữ liệu và tài sản quan trọng. Những kẻ tấn công mạng tận dụng rộng rãi các công nghệ tiên tiến, bao gồm trí tuệ nhân tạo, để xâm nhập vào hệ thống và thực hiện các hoạt động độc hại. Tại Hoa Kỳ, Cục Điều tra Liên bang (FBI) đã báo cáo hơn 800,000 khiếu nại liên quan đến tội phạm mạng được đệ trình vào năm 2022, với tổng thiệt hại vượt quá 10 tỷ đô la, phá vỡ tổng số 2021 tỷ đô la của năm 6.9, theo Trung tâm Khiếu nại Tội phạm Internet của cục.

Với bối cảnh mối đe dọa đang phát triển nhanh chóng, đã đến lúc các tổ chức áp dụng cách tiếp cận đa hướng đối với an ninh mạng. Cách tiếp cận nên giải quyết cách kẻ tấn công xâm nhập; ngăn chặn sự thỏa hiệp ban đầu; nhanh chóng phát hiện các cuộc xâm nhập; và cho phép phản ứng và khắc phục nhanh chóng. Bảo vệ tài sản kỹ thuật số đòi hỏi phải khai thác sức mạnh của AI và tự động hóa đồng thời đảm bảo các nhà phân tích con người có tay nghề cao vẫn không thể thiếu trong tình hình bảo mật.

Việc bảo vệ một tổ chức đòi hỏi một chiến lược nhiều lớp, có tính đến các điểm xâm nhập và vectơ tấn công đa dạng mà đối thủ sử dụng. Nói chung, đây là bốn loại chính: 1) Các cuộc tấn công mạng và web; 2) Hành vi của người dùng và các cuộc tấn công dựa trên danh tính; 3) Các cuộc tấn công thực thể nhắm vào môi trường đám mây và môi trường lai; và 4) Phần mềm độc hại, bao gồm phần mềm tống tiền, các mối đe dọa liên tục nâng cao và mã độc hại khác.

Tận dụng AI và Tự động hóa

Việc triển khai các mô hình AI và máy học (ML) phù hợp với từng lớp tấn công này là rất quan trọng để chủ động phát hiện và ngăn chặn mối đe dọa. Đối với các cuộc tấn công mạng và web, các mô hình phải xác định các mối đe dọa như lừa đảo, khai thác trình duyệt và các cuộc tấn công từ chối dịch vụ phân tán (DDoS) trong thời gian thực. Phân tích hành vi của người dùng và thực thể tận dụng AI có thể phát hiện các hoạt động bất thường cho thấy tài khoản bị xâm phạm hoặc lạm dụng tài nguyên và dữ liệu hệ thống. Cuối cùng, phân tích phần mềm độc hại do AI điều khiển có thể nhanh chóng phân loại các chủng mới, xác định chính xác hành vi độc hại và giảm thiểu tác động của các mối đe dọa dựa trên tệp. Bằng cách triển khai các mô hình AI và ML trên phạm vi bề mặt tấn công này, các tổ chức có thể nâng cao đáng kể khả năng tự động xác định các cuộc tấn công ở giai đoạn sớm nhất trước khi chúng leo thang thành các sự cố toàn diện.

Sau khi các mô hình AI/ML đã xác định được hoạt động đe dọa tiềm ẩn trên nhiều hướng tấn công khác nhau, các tổ chức sẽ phải đối mặt với một thách thức quan trọng khác—tìm hiểu các cảnh báo thường xuyên và tách các sự cố nghiêm trọng khỏi tiếng ồn. Với rất nhiều điểm dữ liệu và kết quả phát hiện được tạo ra, việc áp dụng một lớp AI/ML khác để tương quan và ưu tiên các cảnh báo nghiêm trọng nhất cần được điều tra và phản hồi thêm trở nên quan trọng. Cảnh báo mệt mỏi là một vấn đề ngày càng nghiêm trọng cần được giải quyết.

AI có thể đóng một vai trò quan trọng trong quá trình phân loại cảnh báo này bằng cách thu thập và phân tích khối lượng lớn dữ liệu đo từ xa về bảo mật, tổng hợp thông tin chi tiết từ nhiều nguồn phát hiện, bao gồm cả thông tin về mối đe dọa và chỉ phát hiện các sự cố có độ chính xác cao nhất để ứng phó. Điều này giúp giảm bớt gánh nặng cho các nhà phân tích con người, những người nếu không sẽ tràn ngập các cảnh báo sai lệch phổ biến và các cảnh báo có độ chính xác thấp thiếu bối cảnh đầy đủ để xác định mức độ nghiêm trọng và các bước tiếp theo.

Mặc dù các tác nhân đe dọa đã tích cực triển khai AI để tăng sức mạnh cho các cuộc tấn công như DDoS, lừa đảo có chủ đích và ransomware, nhưng phe phòng thủ lại tụt hậu trong việc áp dụng AI. Tuy nhiên, điều này đang thay đổi nhanh chóng khi các nhà cung cấp bảo mật chạy đua phát triển các mô hình AI/ML tiên tiến có khả năng phát hiện và ngăn chặn các mối đe dọa do AI cung cấp này.

Tương lai của AI phòng thủ nằm ở việc triển khai các mô hình ngôn ngữ nhỏ chuyên biệt phù hợp với các kiểu tấn công và trường hợp sử dụng cụ thể thay vì chỉ dựa vào các mô hình AI tổng quát, lớn. Ngược lại, các mô hình ngôn ngữ lớn cho thấy nhiều hứa hẹn hơn đối với các hoạt động an ninh mạng như tự động hóa các chức năng của bộ phận trợ giúp, truy xuất quy trình vận hành tiêu chuẩn và hỗ trợ các nhà phân tích con người. Công việc nặng nhọc trong việc phát hiện và ngăn chặn mối đe dọa chính xác sẽ được xử lý tốt nhất nhờ các mô hình AI/ML nhỏ chuyên dụng cao.

Vai trò của chuyên môn con người

Điều quan trọng là phải sử dụng AI/ML cùng với tự động hóa quy trình để cho phép khắc phục và ngăn chặn nhanh chóng các mối đe dọa đã được xác minh. Ở giai đoạn này, khi được cung cấp các sự cố có độ tin cậy cao, hệ thống AI có thể khởi động các phản hồi cẩm nang tự động phù hợp với từng loại tấn công cụ thể—chặn IP độc hại [giao thức internet], cách ly các máy chủ bị xâm nhập, thực thi các chính sách thích ứng, v.v. Tuy nhiên, chuyên môn của con người vẫn không thể thiếu, xác thực các kết quả đầu ra của AI, áp dụng tư duy phê phán và giám sát các hành động phản ứng tự chủ để đảm bảo bảo vệ mà không bị gián đoạn kinh doanh.

Sự hiểu biết sắc thái là những gì con người mang lại. Ngoài ra, việc phân tích các mối đe dọa phần mềm độc hại mới và phức tạp đòi hỏi khả năng sáng tạo và kỹ năng giải quyết vấn đề có thể nằm ngoài tầm với của máy móc.

Chuyên môn của con người là cần thiết trong một số lĩnh vực chính:

• Xác thực và bối cảnh hóa: Các hệ thống AI, mặc dù tinh vi nhưng đôi khi có thể tạo ra kết quả dương tính giả hoặc hiểu sai dữ liệu. Cần có các nhà phân tích con người để xác thực kết quả đầu ra của AI và cung cấp bối cảnh cần thiết mà AI có thể bỏ qua. Điều này đảm bảo rằng các phản ứng là phù hợp và cân xứng với mối đe dọa thực tế.
• Điều tra mối đe dọa phức tạp: Một số mối đe dọa quá phức tạp để AI có thể xử lý một mình. Các chuyên gia về con người có thể nghiên cứu sâu hơn về những sự cố này, sử dụng kinh nghiệm và trực giác của họ để khám phá những khía cạnh tiềm ẩn của mối đe dọa mà AI có thể bỏ sót. Cái nhìn sâu sắc của con người này rất quan trọng để hiểu được phạm vi đầy đủ của các cuộc tấn công tinh vi và đưa ra các biện pháp đối phó hiệu quả.
• Ra quyết định chiến lược: Trong khi AI có thể xử lý các nhiệm vụ thông thường và xử lý dữ liệu, các quyết định chiến lược về tình hình an ninh tổng thể và chiến lược phòng thủ dài hạn lại đòi hỏi sự phán đoán của con người. Các chuyên gia có thể diễn giải những hiểu biết sâu sắc do AI tạo ra để đưa ra quyết định sáng suốt về phân bổ nguồn lực, thay đổi chính sách và các sáng kiến ​​chiến lược.
• Cải tiến liên tục: Các nhà phân tích con người góp phần cải tiến liên tục hệ thống AI bằng cách cung cấp phản hồi và dữ liệu đào tạo. Những hiểu biết sâu sắc của họ giúp tinh chỉnh các thuật toán AI, khiến chúng chính xác và hiệu quả hơn theo thời gian. Mối quan hệ cộng sinh giữa chuyên môn của con người và AI đảm bảo rằng cả hai cùng phát triển để giải quyết các mối đe dọa mới nổi.

Tối ưu hóa việc hợp tác giữa con người và máy móc

Cơ sở của quá trình chuyển đổi này là nhu cầu về các hệ thống AI có thể học hỏi từ dữ liệu lịch sử (học có giám sát) và liên tục thích ứng để phát hiện các cuộc tấn công mới thông qua các phương pháp học tập không giám sát/tăng cường. Việc kết hợp các phương pháp này sẽ là chìa khóa để đón đầu khả năng AI ngày càng phát triển của kẻ tấn công.

Nhìn chung, AI sẽ rất quan trọng để những người bảo vệ mở rộng khả năng phát hiện và phản ứng của họ. Chuyên môn của con người phải được tích hợp chặt chẽ để điều tra các mối đe dọa phức tạp, kiểm tra kết quả đầu ra của hệ thống AI và hướng dẫn các chiến lược phòng thủ chiến lược. Một mô hình hợp tác giữa người và máy được tối ưu hóa là lý tưởng cho tương lai.

Khi khối lượng lớn dữ liệu bảo mật tích lũy theo thời gian, các tổ chức có thể áp dụng phân tích AI cho kho dữ liệu đo từ xa này để rút ra những hiểu biết sâu sắc nhằm chủ động săn lùng mối đe dọa và tăng cường phòng thủ. Việc liên tục học hỏi từ các sự cố trước đó cho phép lập mô hình dự đoán các kiểu tấn công mới. Khi khả năng AI ngày càng phát triển, vai trò của các mô hình ngôn ngữ nhỏ và chuyên biệt phù hợp với các trường hợp sử dụng bảo mật cụ thể sẽ tăng lên. Những mô hình này có thể giúp giảm hơn nữa 'sự mệt mỏi khi cảnh báo' bằng cách phân loại chính xác các cảnh báo cần thiết nhất để phân tích con người. Phản hồi tự động, được hỗ trợ bởi AI, cũng có thể mở rộng để xử lý nhiều nhiệm vụ bảo mật Cấp 1 hơn.

Tuy nhiên, khả năng phán đoán và tư duy phê phán của con người sẽ vẫn không thể thiếu, đặc biệt đối với những sự cố có mức độ nghiêm trọng cao. Không còn nghi ngờ gì nữa, tương lai là một trong những tương lai của sự hợp tác giữa con người và máy móc được tối ưu hóa, trong đó AI xử lý khối lượng dữ liệu khổng lồ và các tác vụ thông thường, cho phép các chuyên gia con người tập trung vào việc điều tra các mối đe dọa phức tạp và chiến lược bảo mật cấp cao.