Tương lai của An ninh mạng: Trí tuệ nhân tạo, Tự động hóa và Yếu tố Con người

Trong thập kỷ qua, cùng với sự tăng trưởng mạnh mẽ của công nghệ thông tin, thực tế đen tối của các mối đe dọa an ninh mạng cũng đã phát triển đáng kể. Các cuộc tấn công mạng, từng được thúc đẩy chủ yếu bởi các hacker tinh nghịch tìm kiếm danh tiếng hoặc lợi ích tài chính, đã trở nên tinh vi và nhắm mục tiêu hơn. Từ gián điệp do nhà nước tài trợ đến đánh cắp danh tính và tài sản công ty, các động cơ đằng sau tội phạm mạng ngày càng trở nên độc ác và nguy hiểm. Ngay cả khi lợi ích tài chính vẫn là một lý do quan trọng cho tội phạm mạng, nó đã bị lu mờ bởi những mục đích độc ác hơn của việc đánh cắp dữ liệu và tài sản quan trọng. Những kẻ tấn công mạng tận dụng rộng rãi các công nghệ tiên tiến, bao gồm trí tuệ nhân tạo, để xâm nhập vào hệ thống và thực hiện các hoạt động độc hại. Tại Mỹ, Cục Điều tra Liên bang (FBI) đã báo cáo hơn 800.000 khiếu nại liên quan đến tội phạm mạng được nộp vào năm 2022, với tổng thiệt hại vượt quá 10 tỷ đô la, phá vỡ tổng số 6,9 tỷ đô la của năm 2021, theo Trung tâm Khiếu nại Tội phạm Internet của cục.

Với cảnh quan mối đe dọa đang phát triển nhanh chóng, đã đến lúc các tổ chức phải áp dụng một cách tiếp cận đa diện đối với an ninh mạng. Cách tiếp cận này nên giải quyết cách những kẻ tấn công xâm nhập; ngăn chặn sự thỏa hiệp ban đầu; nhanh chóng phát hiện xâm nhập; và cho phép phản ứng và khắc phục nhanh chóng. Bảo vệ tài sản kỹ thuật số đòi hỏi phải tận dụng sức mạnh của trí tuệ nhân tạo và tự động hóa đồng thời đảm bảo các nhà phân tích con người có kỹ năng vẫn là một phần quan trọng của tư thế an ninh.

Bảo vệ một tổ chức đòi hỏi một chiến lược đa lớp, tính đến các điểm nhập và vector tấn công đa dạng được sử dụng bởi các đối thủ. Broadly, những điều này thuộc bốn loại chính: 1) Tấn công web và mạng; 2) Tấn công dựa trên hành vi và danh tính của người dùng; 3) Tấn công thực thể nhắm vào môi trường đám mây và lai; và 4) Phần mềm độc hại, bao gồm cả ransomware, các mối đe dọa dai dẳng tiên tiến và các mã độc khác.

Sử dụng Trí tuệ nhân tạo và Tự động hóa

Triển khai các mô hình trí tuệ nhân tạo và học máy (ML) được tùy chỉnh cho từng loại tấn công này là quan trọng để phát hiện và ngăn chặn mối đe dọa một cách chủ động. Đối với các cuộc tấn công mạng và web, các mô hình phải xác định các mối đe dọa như lừa đảo, khai thác trình duyệt và các cuộc tấn công Từ chối Dịch vụ (DDoS) theo thời gian thực. Phân tích hành vi và thực thể của người dùng tận dụng trí tuệ nhân tạo có thể phát hiện các hoạt động bất thường cho thấy sự thỏa hiệp tài khoản hoặc lạm dụng tài nguyên và dữ liệu của hệ thống. Cuối cùng, phân tích phần mềm độc hại dựa trên trí tuệ nhân tạo có thể nhanh chóng phân loại các chủng mới, xác định hành vi độc hại và giảm thiểu tác động của các mối đe dọa dựa trên tệp. Bằng cách triển khai các mô hình trí tuệ nhân tạo và học máy trên toàn bộ phổ tấn công, các tổ chức có thể tăng cường đáng kể khả năng tự động xác định các cuộc tấn công ở giai đoạn đầu trước khi chúng trở thành các sự cố đầy đủ.

Khi các mô hình trí tuệ nhân tạo/học máy đã xác định hoạt động đe dọa tiềm năng trên các vector tấn công khác nhau, các tổ chức phải đối mặt với một thách thức quan trọng khác – làm cho ý nghĩa của các cảnh báo thường xuyên và tách biệt các sự cố quan trọng từ tiếng ồn. Với nhiều điểm dữ liệu và phát hiện được tạo, việc áp dụng một lớp trí tuệ nhân tạo/học máy khác để tương quan và ưu tiên các cảnh báo nghiêm trọng nhất đáng để điều tra và phản ứng trở nên quan trọng. Cảnh báo mệt mỏi là một vấn đề quan trọng ngày càng cần được giải quyết.

Trí tuệ nhân tạo có thể đóng một vai trò quan trọng trong quá trình phân loại cảnh báo này bằng cách tiêu thụ và phân tích các lượng lớn dữ liệu an ninh, kết hợp thông tin từ nhiều nguồn phát hiện bao gồm thông tin về mối đe dọa, và chỉ hiển thị các sự cố có độ tin cậy cao nhất cho phản ứng. Điều này giảm bớt gánh nặng cho các nhà phân tích con người, những người khác sẽ bị ngập trong các cảnh báo sai và cảnh báo có độ tin cậy thấp thiếu ngữ cảnh đầy đủ để xác định mức độ nghiêm trọng và các bước tiếp theo.

Mặc dù các tác nhân đe dọa đã tích cực triển khai trí tuệ nhân tạo để cung cấp năng lượng cho các cuộc tấn công như DDoS, lừa đảo có mục tiêu và ransomware, nhưng phía phòng thủ đã chậm trong việc áp dụng trí tuệ nhân tạo. Tuy nhiên, điều này đang thay đổi nhanh chóng khi các nhà cung cấp an ninh mạng chạy đua để phát triển các mô hình trí tuệ nhân tạo/học máy tiên tiến có khả năng phát hiện và chặn các mối đe dọa được hỗ trợ bởi trí tuệ nhân tạo.

Tương lai của trí tuệ nhân tạo phòng thủ nằm ở việc triển khai các mô hình ngôn ngữ nhỏ chuyên dụng được thiết kế cho các loại tấn công và trường hợp sử dụng cụ thể thay vì chỉ dựa vào các mô hình trí tuệ nhân tạo lớn, sinh. Các mô hình ngôn ngữ lớn, ngược lại, cho thấy nhiều hứa hẹn hơn cho các hoạt động an ninh mạng như tự động hóa các chức năng của bàn hỗ trợ, thu thập các thủ tục hoạt động tiêu chuẩn và hỗ trợ các nhà phân tích con người. Việc nâng cao của việc phát hiện và ngăn chặn mối đe dọa chính xác sẽ được xử lý tốt nhất bởi các mô hình trí tuệ nhân tạo/học máy nhỏ chuyên dụng.

Vai trò của Chuyên môn Con người

Điều quan trọng là phải sử dụng trí tuệ nhân tạo/học máy cùng với tự động hóa quy trình để cho phép khắc phục và chứa các mối đe dọa đã được xác minh một cách nhanh chóng. Tại giai đoạn này, được cung cấp với các sự cố có độ tin cậy cao, các hệ thống trí tuệ nhân tạo có thể khởi động các phản ứng tự động được tùy chỉnh cho từng loại tấn công cụ thể – chặn các IP độc hại, cách ly các máy chủ bị xâm phạm, thực thi các chính sách thích ứng và hơn thế nữa. Tuy nhiên, chuyên môn con người vẫn còn quan trọng, xác thực đầu ra trí tuệ nhân tạo, áp dụng tư duy phản biện và giám sát các hành động phản ứng tự động để đảm bảo bảo vệ mà không gián đoạn kinh doanh.

Sự hiểu biết tinh vi là những gì con người mang đến. Ngoài ra, phân tích các mối đe dọa phần mềm độc hại mới và phức tạp đòi hỏi sự sáng tạo và kỹ năng giải quyết vấn đề có thể nằm ngoài tầm với của máy móc.

Chuyên môn con người là cần thiết trong một số lĩnh vực chính:

• Xác thực và Cung cấp ngữ cảnh: Các hệ thống trí tuệ nhân tạo, mặc dù sự tinh vi của chúng, đôi khi có thể tạo ra các cảnh báo sai hoặc hiểu lầm dữ liệu. Các nhà phân tích con người cần thiết để xác thực đầu ra trí tuệ nhân tạo và cung cấp ngữ cảnh cần thiết mà trí tuệ nhân tạo có thể bỏ qua. Điều này đảm bảo rằng các phản ứng là phù hợp và tương xứng với mối đe dọa thực sự.
• Điều tra Mối đe dọa Phức tạp: Một số mối đe dọa quá phức tạp để trí tuệ nhân tạo xử lý một mình. Các chuyên gia con người có thể đi sâu vào các sự cố này, sử dụng kinh nghiệm và trực giác của họ để khám phá các khía cạnh ẩn của mối đe dọa mà trí tuệ nhân tạo có thể bỏ lỡ. Sự hiểu biết của con người này là quan trọng để hiểu đầy đủ phạm vi của các cuộc tấn công tinh vi và xây dựng các biện pháp đối phó hiệu quả.
• Quyết định Chiến lược: Mặc dù trí tuệ nhân tạo có thể xử lý các nhiệm vụ thường xuyên và xử lý dữ liệu, nhưng các quyết định chiến lược về tư thế an ninh tổng thể và các chiến lược phòng thủ lâu dài đòi hỏi sự phán quyết của con người. Các chuyên gia có thể giải thích các thông tin do trí tuệ nhân tạo tạo ra để đưa ra các quyết định sáng suốt về phân bổ tài nguyên, thay đổi chính sách và các sáng kiến chiến lược.
• Cải thiện Liên tục: Các nhà phân tích con người đóng góp vào việc cải thiện liên tục của các hệ thống trí tuệ nhân tạo bằng cách cung cấp phản hồi và dữ liệu đào tạo. Sự hiểu biết của họ giúp tinh chỉnh các thuật toán trí tuệ nhân tạo, làm cho chúng trở nên chính xác và hiệu quả hơn theo thời gian. Mối quan hệ tương hỗ này giữa chuyên môn con người và trí tuệ nhân tạo đảm bảo rằng cả hai đều tiến hóa cùng nhau để giải quyết các mối đe dọa mới xuất hiện.

Tối ưu hóa Sự kết hợp giữa Con người và Máy

Dưới đây là sự cần thiết cho các hệ thống trí tuệ nhân tạo có thể học hỏi từ dữ liệu lịch sử (học có giám sát) và liên tục thích nghi để phát hiện các cuộc tấn công mới thông qua các phương pháp học không giám sát/tăng cường. Kết hợp các phương pháp này sẽ là chìa khóa để vượt trước các khả năng trí tuệ nhân tạo đang phát triển của các kẻ tấn công.

Tổng thể, trí tuệ nhân tạo sẽ rất quan trọng để các bên phòng thủ mở rộng khả năng phát hiện và phản ứng của họ. Chuyên môn con người phải vẫn được tích hợp chặt chẽ để điều tra các mối đe dọa phức tạp, kiểm tra đầu ra của hệ thống trí tuệ nhân tạo và hướng dẫn các chiến lược phòng thủ chiến lược. Một mô hình kết hợp giữa con người và máy tối ưu là lý tưởng cho tương lai.

Khi các lượng lớn dữ liệu an ninh mạng tích lũy theo thời gian, các tổ chức có thể áp dụng phân tích trí tuệ nhân tạo vào kho tàng dữ liệu này để suy ra các thông tin cho việc săn lùng mối đe dọa chủ động và củng cố các biện pháp phòng thủ. Việc học hỏi liên tục từ các sự kiện trước cho phép xây dựng mô hình dự đoán các mẫu tấn công mới. Khi các khả năng trí tuệ nhân tạo tiến bộ, vai trò của các mô hình ngôn ngữ nhỏ và chuyên dụng được thiết kế cho các trường hợp sử dụng an ninh mạng cụ thể sẽ tăng lên. Những mô hình này có thể giúp giảm thêm ‘cảnh báo mệt mỏi’ bằng cách phân loại chính xác các cảnh báo quan trọng nhất cho phân tích của con người. Phản ứng tự động, được hỗ trợ bởi trí tuệ nhân tạo, cũng có thể mở rộng để xử lý nhiều nhiệm vụ an ninh cấp 1.

Tuy nhiên, sự phán quyết và tư duy phản biện của con người sẽ vẫn là điều không thể thiếu, đặc biệt là đối với các sự cố nghiêm trọng. Không nghi ngờ gì, tương lai là một sự kết hợp tối ưu giữa con người và máy, nơi trí tuệ nhân tạo xử lý việc xử lý dữ liệu lớn và các nhiệm vụ thường xuyên, cho phép các chuyên gia con người tập trung vào việc điều tra các mối đe dọa phức tạp và chiến lược an ninh cấp cao.