Khi Các Cuộc Tấn Công Phát Triển Vượt Xa Hàng Phòng Thủ Cũ: Tại Sao Đã Đến Lúc Cần An Ninh AI Chủ Động

Nếu bạn đang làm việc trong lĩnh vực an ninh, có lẽ bạn cảm thấy mình luôn chạy theo sau. Tin tức lại có một vụ vi phạm mới, một câu chuyện ransomware mới, và một thủ thuật tinh vi khác mà những người phòng thủ không lường trước. Đồng thời, rất nhiều biện pháp bảo vệ vẫn dựa trên những ý tưởng từ thời internet cũ, khi mạng lưới có ranh giới rõ ràng và kẻ tấn công di chuyển chậm hơn.

Những con số cho thấy đây không chỉ là cảm giác. Báo cáo Chi phí Vi phạm Dữ liệu của IBM mới nhất đưa ra mức trung bình toàn cầu cho một vụ vi phạm là 4,88 triệu USD vào năm 2024, tăng từ 4,45 triệu USD của năm trước. Mức tăng 10% này là đợt tăng đột biến lớn nhất kể từ những năm đại dịch, và nó xảy ra ngay cả khi các đội an ninh đầu tư nhiều hơn vào công cụ và nhân sự.

Báo cáo Điều tra Vi phạm Dữ liệu của Verizon cho năm 2024 xem xét hơn 30.000 sự cố và hơn 10.000 vụ vi phạm được xác nhận. Nó nêu bật cách kẻ tấn công dựa vào thông tin đăng nhập bị đánh cắp, khai thác ứng dụng web và các hành động xã hội như giả mạo, và lưu ý rằng các tổ chức mất trung bình khoảng 55 ngày để khắc phục chỉ một nửa số lỗ hổng nghiêm trọng của họ sau khi bản vá được phát hành. 55 ngày đó là một khoảng thời gian rất thoải mái cho một kẻ tấn công đang quét liên tục.

Tại châu Âu, báo cáo Bối cảnh Đe dọa của ENISA cho năm 2023 cũng chỉ ra sự pha trộn nặng nề giữa ransomware, từ chối dịch vụ, tấn công chuỗi cung ứng và kỹ thuật xã hội. Một nghiên cứu khác của ENISA tập trung vào sự cố chuỗi cung ứng ước tính rằng có khả năng số lượng các cuộc tấn công như vậy vào năm 2021 gấp bốn lần so với năm 2020, và xu hướng này đã tiếp tục tăng lên. 

Vì vậy, bức tranh thật đơn giản nhưng khó chịu. Các vụ vi phạm đang trở nên phổ biến hơn, tốn kém hơn và phức tạp hơn, ngay cả khi các công cụ được cải thiện. Có điều gì đó về cấu trúc không ổn trong cách nhiều tổ chức vẫn tự bảo vệ mình.

Tại sao mô hình an ninh cổ điển đang tụt hậu

Trong một thời gian dài, hình ảnh tinh thần về phòng thủ mạng rất đơn giản. Bạn có một bên trong và bên ngoài rõ ràng. Bạn sẽ xây dựng một chu vi mạnh mẽ với tường lửa và bộ lọc. Bạn sẽ triển khai phần mềm chống vi-rút trên các điểm cuối và tìm kiếm các chữ ký độc hại đã biết. Bạn sẽ điều chỉnh quy tắc, theo dõi cảnh báo và phản ứng khi có điều gì đó rõ ràng xảy ra.

Mô hình đó có ba vấn đề lớn trong thế giới hiện tại.

Thứ nhất, chu vi hầu như không còn. Mọi người làm việc từ khắp nơi trên nhiều thiết bị được quản lý và không được quản lý. Dữ liệu nằm trong các nền tảng đám mây công cộng và công cụ phần mềm dưới dạng dịch vụ. Đối tác và nhà cung cấp kết nối trực tiếp vào hệ thống nội bộ. Các báo cáo như nghiên cứu về chuỗi cung ứng của ENISA cho thấy tần suất xâm nhập hiện nay bắt đầu thông qua một đối tác hoặc bản cập nhật phần mềm đáng tin cậy thay vì một cuộc tấn công trực diện vào máy chủ trung tâm.

Thứ hai, việc tập trung vào các chữ ký đã biết để lại một điểm mù lớn. Những kẻ tấn công hiện đại trộn lẫn phần mềm độc hại tùy chỉnh với những gì người phòng thủ gọi là “sống nhờ vào đất”. Họ dựa vào các công cụ kịch bản tích hợp sẵn, tác nhân quản lý từ xa và các hành động quản trị hàng ngày. Mỗi bước xem xét riêng lẻ có thể trông vô hại. Một cách tiếp cận dựa trên chữ ký đơn giản không nhìn thấy bức tranh lớn hơn, đặc biệt là khi kẻ tấn công thay đổi các chi tiết nhỏ trong mỗi chiến dịch.

Thứ ba, con người bị quá tải. Báo cáo của Verizon cho thấy việc khai thác lỗ hổng hiện là một cách chính để xâm nhập mạng và nhiều tổ chức đang vật lộn để áp dụng các bản vá đủ nhanh. Nghiên cứu của IBM bổ sung rằng thời gian phát hiện và ngăn chặn lâu là lý do chính khiến chi phí vi phạm tiếp tục leo thang. Các nhà phân tích ngồi dưới một núi cảnh báo, nhật ký và phân loại thủ công, trong khi kẻ tấn công tự động hóa nhiều nhất có thể.

Vì vậy, bạn có những kẻ tấn công nhanh hơn và tự động hóa hơn, và những người phòng thủ vẫn dựa nhiều vào điều tra thủ công và các mẫu cũ. Vào khoảng trống đó xuất hiện trí tuệ nhân tạo.

Kẻ tấn công đã coi AI như một đồng đội

Khi mọi người nói về AI trong an ninh, họ thường hình dung ra các công cụ phòng thủ giúp bắt những kẻ xấu. Thực tế là những kẻ tấn công cũng háo hức sử dụng AI để làm cho công việc của chúng dễ dàng hơn.

Báo cáo Phòng thủ Kỹ thuật số của Microsoft 2025 mô tả cách các nhóm được nhà nước hậu thuẫn sử dụng AI để tạo phương tiện tổng hợp, tự động hóa một phần các chiến dịch xâm nhập và mở rộng quy mô hoạt động gây ảnh hưởng. Một bản tóm tắt riêng của Associated Press về tình báo mối đe dọa của Microsoft báo cáo rằng, từ giữa năm 2024 đến giữa năm 2025, các sự cố liên quan đến nội dung giả do AI tạo ra đã tăng lên hơn 200, gấp hơn hai lần so với năm trước và gấp khoảng 10 lần số lượng được ghi nhận vào năm 2023.

Trong thực tế, điều này trông giống như các tin nhắn lừa đảo đọc như thể một người bản ngữ viết ra, bằng bất kỳ ngôn ngữ nào bạn thích. Nó trông giống như âm thanh và video deepfake giúp kẻ tấn công giả vờ là lãnh đạo cấp cao hoặc đối tác đáng tin cậy. Nó trông giống như các hệ thống AI đang sàng lọc qua khối lượng lớn dữ liệu bị đánh cắp để tìm ra những chi tiết có giá trị nhất về môi trường, nhân viên và bên thứ ba của bạn.

Một bài viết gần đây của Financial Times về AI tác nhân trong các cuộc tấn công mạng thậm chí mô tả một hoạt động gián điệp phần lớn tự trị, trong đó một tác nhân mã hóa AI xử lý hầu hết các bước từ trinh sát đến việc lấy cắp dữ liệu với sự đầu vào hạn chế của con người. Dù bạn cảm thấy thế nào về trường hợp cụ thể đó, hướng đi là rõ ràng. Những kẻ tấn công rất vui khi để AI xử lý những phần công việc nhàm chán.

Nếu kẻ tấn công đang sử dụng AI để di chuyển nhanh hơn, hòa nhập tốt hơn và nhắm vào nhiều mục tiêu hơn, thì những người phòng thủ không thể mong đợi các công cụ chu vi truyền thống và phân loại cảnh báo thủ công là đủ. Bạn hoặc là đưa trí thông minh tương tự vào hệ thống phòng thủ của mình, hoặc là khoảng cách tiếp tục mở rộng.

Từ phòng thủ phản ứng sang tư duy an ninh chủ động

Sự thay đổi thực sự đầu tiên không phải là kỹ thuật; mà là tinh thần.

Tư thế phản ứng được xây dựng xung quanh ý tưởng rằng bạn có thể chờ đợi các dấu hiệu rõ ràng của rắc rối, sau đó phản ứng. Một tệp nhị phân mới được phát hiện. Một cảnh báo kích hoạt vì lưu lượng truy cập khớp với một mẫu đã biết. Một tài khoản thể hiện dấu hiệu bị xâm phạm rõ ràng. Đội ngũ nhảy vào, điều tra, dọn dẹp và có thể cập nhật một quy tắc để ngăn chặn chính xác mẫu đó hoạt động lại.

Trong một thế giới với các cuộc tấn công chậm và hiếm, điều này có thể ổn. Trong một thế giới với các cuộc thăm dò liên tục, khai thác di chuyển nhanh và các chiến dịch được AI hỗ trợ, thì đã quá muộn. Đến khi một quy tắc đơn giản kích hoạt, kẻ tấn công thường đã khám phá mạng của bạn, chạm vào dữ liệu nhạy cảm và chuẩn bị các đường dự phòng.

Một tư thế chủ động bắt đầu từ một nơi khác. Nó giả định rằng bạn luôn bị lưu lượng truy cập thù địch chạm vào. Nó giả định rằng một số biện pháp kiểm soát sẽ thất bại. Nó quan tâm đến việc bạn phát hiện hành vi bất thường nhanh như thế nào, bạn có thể ngăn chặn nó nhanh ra sao và bạn học hỏi từ nó một cách nhất quán như thế nào. Trong khuôn khổ đó, những câu hỏi cốt lõi trở nên rất thực tế.

<ul