Connect with us

Khi Các Cuộc Tấn Công Tiến Hóa Đánh Bại Các Phòng Thủ Cũ: Tại Sao Đã Đến Lúc Để Bảo Mật AI Chủ Động

Lãnh đạo tư tưởng

Khi Các Cuộc Tấn Công Tiến Hóa Đánh Bại Các Phòng Thủ Cũ: Tại Sao Đã Đến Lúc Để Bảo Mật AI Chủ Động

mm
Published
Updated

Nếu bạn làm việc gần với bảo mật ngay bây giờ, bạn có thể cảm thấy như bạn luôn phải đuổi theo. Có một sự vi phạm mới trong tin tức, một câu chuyện ransomware mới, và một thủ thuật thông minh khác mà những người phòng thủ không thấy đến. Đồng thời, nhiều biện pháp bảo vệ vẫn dựa trên các ý tưởng từ internet cũ nơi các mạng có biên giới rõ ràng và các kẻ tấn công di chuyển chậm hơn.

Các số liệu cho bạn biết rằng đây không chỉ là một cảm giác. Báo cáo Chi Phí Vi Phạm Dữ Liệu Mới Nhất của IBM đặt mức trung bình toàn cầu cho việc vi phạm dữ liệu tại 4,88 triệu đô la vào năm 2024, tăng từ 4,45 triệu đô la vào năm trước. Sự tăng 10% này là mức tăng lớn nhất kể từ những năm đại dịch, và nó xảy ra ngay cả khi các đội bảo mật đầu tư nhiều hơn vào công cụ và nhân sự.

Báo cáo Verizon Data Breach Investigations cho năm 2024 xem xét hơn 30.000 sự cố và hơn 10.000 vi phạm dữ liệu được xác nhận. Nó nhấn mạnh cách các kẻ tấn công dựa vào thông tin đăng nhập bị đánh cắp, khai thác ứng dụng web, và hành động xã hội như pretexting, và nó lưu ý rằng các tổ chức mất khoảng 55 ngày trung bình để sửa chỉ nửa số lỗ hổng quan trọng của họ sau khi bản vá được phát hành. Những 55 ngày đó là một khoảng thời gian rất thoải mái cho một kẻ tấn công đang quét liên tục.

Tại châu Âu, báo cáo ENISA Threat Landscape cho năm 2023 cũng chỉ ra một hỗn hợp nặng của ransomware, từ chối dịch vụ, tấn công chuỗi cung ứng, và kỹ thuật xã hội. Một nghiên cứu khác của ENISA tập trung vào các sự cố chuỗi cung ứng ước tính rằng có thể có bốn lần số lượng tấn công như vậy vào năm 2021 so với năm 2020, và rằng xu hướng này đã tiếp tục tăng lên. 

Vậy bức tranh là đơn giản nhưng không thoải mái. Các vi phạm đang trở nên phổ biến hơn, tốn kém hơn, và phức tạp hơn, ngay cả khi các công cụ được cải thiện. Có điều gì đó cấu trúc không ổn trong cách nhiều tổ chức vẫn tự bảo vệ mình.

Tại Sao Mô Hình Bảo Mật Cổ Điển Đang Bị Lạc Hậu

Trong một thời gian dài, hình ảnh tâm lý của phòng thủ mạng là đơn giản. Bạn có một bên trong và bên ngoài rõ ràng. Bạn sẽ xây dựng một biên giới mạnh với tường lửa và bộ lọc. Bạn sẽ triển khai phần mềm chống vi-rút trên các điểm cuối và tìm kiếm các chữ ký xấu đã biết. Bạn sẽ điều chỉnh các quy tắc, theo dõi các cảnh báo, và phản ứng khi có điều gì đó rõ ràng xảy ra.

Mô hình này có ba vấn đề lớn trong thế giới hiện tại.

Thứ nhất, biên giới hầu như đã biến mất. Người dùng làm việc từ mọi nơi trên một hỗn hợp của các thiết bị được quản lý và không được quản lý. Dữ liệu nằm trong các nền tảng đám mây công cộng và các công cụ phần mềm như một dịch vụ. Các đối tác và nhà cung cấp kết nối trực tiếp vào các hệ thống nội bộ. Các báo cáo như nghiên cứu chuỗi cung ứng của ENISA cho thấy bao nhiêu lần xâm nhập bây giờ bắt đầu thông qua một đối tác được tin cậy hoặc bản cập nhật phần mềm chứ không phải một cuộc tấn công trực diện vào máy chủ trung tâm.

Thứ hai, sự tập trung vào các chữ ký đã biết để lại một điểm mù lớn. Các kẻ tấn công hiện đại trộn malware tùy chỉnh với những gì các nhà phòng thủ gọi là “sống trên đất”. Họ dựa vào các công cụ kịch bản tích hợp, các tác nhân quản lý từ xa, và các hành động quản trị hàng ngày. Mỗi bước xem riêng có thể trông vô hại. Một cách tiếp cận dựa trên chữ ký đơn giản không nhìn thấy mẫu lớn hơn, đặc biệt khi các kẻ tấn công thay đổi các chi tiết nhỏ trong mỗi chiến dịch.

Thứ ba, con người bị quá tải. Báo cáo Verizon cho thấy rằng khai thác lỗ hổng là một cách chính để vào mạng và nhiều tổ chức gặp khó khăn trong việc áp dụng các bản vá đủ nhanh. Nghiên cứu của IBM thêm rằng thời gian phát hiện và chứa đựng dài là một lý do chính khiến chi phí vi phạm tiếp tục tăng. Các nhà phân tích ngồi dưới một ngọn núi các cảnh báo, nhật ký, và phân tích thủ công, trong khi các kẻ tấn công tự động hóa càng nhiều càng tốt.

Vậy bạn có các kẻ tấn công nhanh hơn và tự động hóa hơn, và các nhà phòng thủ vẫn dựa nặng vào điều tra thủ công và các mẫu cũ. Vào khoảng trống đó, trí tuệ nhân tạo xuất hiện.

Các Kẻ Tấn Công Đã Đang Xử Lý AI Như Một Đồng Đội

Khi mọi người nói về AI trong bảo mật, họ thường hình dung ra các công cụ phòng thủ giúp bắt các kẻ tấn công. Thực tế là các kẻ tấn công cũng rất muốn sử dụng AI để làm cho công việc của họ dễ dàng hơn.

Báo cáo Microsoft Digital Defense Report 2025 mô tả cách các nhóm được hỗ trợ bởi nhà nước sử dụng AI để tạo ra truyền thông tổng hợp, tự động hóa các phần của các chiến dịch xâm nhập, và mở rộng các hoạt động ảnh hưởng. Một tóm tắt riêng của Associated Press về thông tin tình báo đe dọa của Microsoft báo cáo rằng, từ giữa năm 2024 đến giữa năm 2025, các sự kiện liên quan đến nội dung giả mạo được tạo ra bởi AI đã tăng lên hơn 200, nhiều hơn gấp đôi so với năm trước và khoảng 10 lần số lượng được thấy vào năm 2023.

Trong thực tế, điều này trông giống như các thông điệp lừa đảo đọc như thể một người bản địa đã viết chúng, trong bất kỳ ngôn ngữ nào bạn muốn. Nó trông giống như âm thanh và video giả mạo giúp các kẻ tấn công giả vờ là các nhà lãnh đạo cấp cao hoặc các đối tác được tin cậy. Nó trông giống như các hệ thống AI đang lọc qua các lượng lớn dữ liệu bị đánh cắp để tìm ra các chi tiết quý giá nhất về môi trường của bạn, nhân viên của bạn, và các bên thứ ba của bạn.

Một bài viết gần đây của Financial Times về AI điều khiển trong các cuộc tấn công mạng thậm chí mô tả một hoạt động gián điệp tự động hóa cao nơi một tác nhân mã hóa AI xử lý hầu hết các bước từ trinh sát đến trích xuất dữ liệu với đầu vào hạn chế của con người. Tuy nhiên bạn cảm thấy về trường hợp cụ thể đó, hướng đi là rõ ràng. Các kẻ tấn công rất vui khi để AI xử lý các phần nhàm chán của công việc.

Nếu các kẻ tấn công đang sử dụng AI để di chuyển nhanh hơn, hòa nhập tốt hơn, và tấn công nhiều mục tiêu hơn, thì các nhà phòng thủ không thể mong đợi rằng các công cụ biên giới truyền thống và phân tích cảnh báo thủ công sẽ đủ. Bạn либо đưa trí tuệ tương tự vào phòng thủ của mình, hoặc khoảng trống sẽ tiếp tục mở rộng.

Từ Phòng Thủ Phản Ứng Đến Tư Duy Bảo Mật Chủ Động

Sự thay đổi đầu tiên thực sự không phải là kỹ thuật; nó là tâm lý.

Một tư thế phản ứng được xây dựng xung quanh ý tưởng rằng bạn có thể chờ đợi các dấu hiệu rõ ràng của rắc rối, sau đó phản ứng. Một tệp nhị phân mới được phát hiện. Một cảnh báo được kích hoạt vì lưu lượng truy cập khớp với một mẫu đã biết. Một tài khoản hiển thị một dấu hiệu rõ ràng của sự thỏa hiệp. Đội ngũ nhảy vào, điều tra, dọn dẹp, và có thể cập nhật một quy tắc để ngăn chặn chính xác mẫu đó hoạt động lại.

Trong một thế giới với các cuộc tấn công chậm và hiếm, điều này có thể ổn. Trong một thế giới với các cuộc thăm dò liên tục, khai thác nhanh, và các chiến dịch được hỗ trợ bởi AI, điều này quá muộn. Bằng thời gian một quy tắc đơn giản được kích hoạt, các kẻ tấn công đã khám phá mạng của bạn, chạm vào dữ liệu nhạy cảm, và chuẩn bị các đường dẫn dự phòng.

Một tư thế chủ động bắt đầu từ một nơi khác. Nó giả định rằng bạn luôn bị chạm bởi lưu lượng truy cập thù địch. Nó giả định rằng một số biện pháp kiểm soát sẽ thất bại. Nó quan tâm đến việc bạn nhanh chóng phát hiện ra hành vi bất thường, nhanh chóng chứa đựng nó, và nhất quán học hỏi từ nó. Trong khuôn khổ đó, các câu hỏi cốt lõi trở nên rất thực tế.

  • Bạn có tầm nhìn liên tục vào các hệ thống, danh tính và kho dữ liệu chính của mình không?

  • Bạn có thể nhận thấy các sai lệch nhỏ khỏi hành vi bình thường, không chỉ các chữ ký xấu đã biết?

  • Bạn có thể gắn kết sự hiểu biết đó với hành động nhanh chóng và lặp lại mà không làm kiệt quệ đội ngũ của bạn?

AI không phải là giải pháp bằng chính nó, nhưng nó là một cách mạnh mẽ để trả lời những câu hỏi đó ở quy mô mà các môi trường hiện đại yêu cầu.

Bảo Mật Chủ Động Driven Bởi AI Trông Như Thế Nào

AI giúp bạn chuyển từ một tầm nhìn đơn giản có hoặc không về các mối đe dọa đến một bức tranh phong phú hơn, dựa trên hành vi. Về phía phát hiện, các mô hình có thể theo dõi hoạt động danh tính, telemetry điểm cuối, và luồng mạng và học hỏi những gì trông bình thường cho môi trường của bạn. Thay vì chỉ chặn một tệp độc hại đã biết, chúng có thể nâng cao lá cờ khi một tài khoản đăng nhập từ một vị trí không bình thường vào một thời điểm không bình thường, chuyển sang một hệ thống nó chưa từng chạm vào trước đó, và sau đó bắt đầu di chuyển các lượng lớn dữ liệu. Mỗi sự kiện riêng có thể dễ dàng bỏ qua. Mẫu kết hợp là thú vị.

Về phía phơi bày, các công cụ được hỗ trợ bởi AI có thể lập bản đồ bề mặt tấn công thực sự của bạn. Chúng có thể quét các tài khoản đám mây công cộng, dịch vụ đối mặt với internet, và mạng nội bộ để tìm các hệ thống thử nghiệm bị lãng quên, lưu trữ bị cấu hình sai, và các bảng điều khiển admin bị lộ. Chúng có thể nhóm các phát hiện này vào các câu chuyện rủi ro thực tế thay vì danh sách thô. Điều này đặc biệt quan trọng khi AI bóng tối phát triển trong các tổ chức, với các đội tự quay các mô hình và công cụ của riêng họ mà không có sự giám sát trung tâm, một xu hướng mà IBM chỉ ra trong công việc Cost of a Data Breach gần đây hơn như một khu vực rủi ro nghiêm trọng.

Về phía phản ứng, AI có thể giúp bạn hành động nhanh hơn và nhất quán hơn. Một số trung tâm vận hành bảo mật đã sử dụng các hệ thống được hỗ trợ bởi AI để đề xuất các bước chứa đựng theo thời gian thực và tóm tắt các dòng thời gian điều tra dài cho các nhà phân tích con người. Cơ quan An ninh Mạng và Hạ tầng Hoa Kỳ mô tả một số sử dụng như vậy trong tài nguyên trí tuệ nhân tạo, cho thấy cách AI có thể giúp phát hiện hoạt động mạng bất thường và phân tích các dòng dữ liệu đe dọa lớn trên các hệ thống liên bang.

Không có gì trong số này loại bỏ nhu cầu về phán quyết của con người. Thay vào đó, AI trở thành một nhân tố tăng cường. Nó tiếp quản việc giám sát liên tục, việc phát hiện mẫu, và một phần của việc phân tích sơ bộ, để các nhà phòng thủ con người có thể dành nhiều thời gian hơn cho việc điều tra sâu và các câu hỏi thiết kế khó, như chiến lược danh tính và phân đoạn.

Làm Thế Nào Để Bắt Đầu Di Chuyển Theo Hướng Này

Nếu bạn chịu trách nhiệm về bảo mật, tất cả những điều này có thể nghe có vẻ lớn và trừu tượng. Tin tốt là sự chuyển đổi từ phản ứng sang chủ động thường bắt đầu với một số bước cơ bản chứ không phải một sự biến đổi khổng lồ.

Bước đầu tiên là sắp xếp các luồng dữ liệu của bạn. AI chỉ hữu ích như các tín hiệu nó có thể nhìn thấy. Nếu nhà cung cấp danh tính, công cụ điểm cuối, kiểm soát mạng, và nền tảng đám mây của bạn tất cả gửi nhật ký vào các silo riêng biệt, mỗi mô hình sẽ có điểm mù và các kẻ tấn công sẽ có nơi ẩn náu. Đầu tư vào một tầm nhìn trung tâm về telemetry quan trọng nhất của bạn là hiếm khi hấp dẫn, nhưng nó là nền tảng làm cho hỗ trợ AI có ý nghĩa trở nên khả thi.

Bước thứ hai là chọn các trường hợp sử dụng cụ thể thay vì cố gắng rắc AI mọi nơi. Nhiều đội bắt đầu với phân tích hành vi cho tài khoản người dùng, phát hiện bất thường trong môi trường đám mây, hoặc phát hiện email và lừa đảo thông minh hơn. Mục tiêu là chọn các khu vực mà bạn đã biết có rủi ro và nơi nhận dạng mẫu trên các tập dữ liệu lớn có thể rõ ràng giúp đỡ.

Bước thứ ba là kết hợp mỗi công cụ được hỗ trợ bởi AI với một tập hợp rõ ràng các rào chắn. Điều đó bao gồm định nghĩa những gì mô hình được phép làm một mình, những gì luôn phải liên quan đến con người, và cách bạn sẽ đo lường xem hệ thống có trung thực và hữu ích theo thời gian hay không. Ở đây, tư duy trong khung AI của NIST và hướng dẫn từ các cơ quan như CISA có thể giúp bạn tiết kiệm việc phải phát minh lại mọi thứ.

Tại Sao Bảo Mật AI Chủ Động Không Thể Chờ Đợi

Các cuộc tấn công mạng đang trở thành một điều kiện nền tảng liên tục hơn là một trường hợp khẩn cấp hiếm, và các kẻ tấn công rất vui khi để trí tuệ nhân tạo xử lý nhiều công việc nặng nhọc cho họ. Chi phí đang tăng, các điểm vào đang nhân lên, và công cụ trên phía kẻ tấn công đang trở nên thông minh hơn mỗi năm. Một mô hình phản ứng chờ đợi các cảnh báo rõ ràng và sau đó vội vàng là đơn giản không được thiết kế cho thế giới đó.

Một tư thế chủ động được hỗ trợ bởi AI ít hơn về việc theo đuổi một xu hướng hấp dẫn và nhiều hơn về việc làm việc im lặng, không hấp dẫn của việc sắp xếp dữ liệu của bạn, thêm sự hiểu biết dựa trên hành vi, và đặt các rào chắn rõ ràng xung quanh các hệ thống AI mới để chúng giúp các nhà phòng thủ của bạn thay vì làm cho họ ngạc nhiên. Khoảng trống giữa các kẻ tấn công và các nhà phòng thủ là thực, nhưng nó không cố định, và các lựa chọn bạn đưa ra bây giờ về cách bạn sử dụng AI trong ngăn xếp bảo mật của mình sẽ quyết định bên nào di chuyển nhanh hơn trong vài năm tới.

mm

Mirgen Hoxha là CEO của Motomtech nơi ông lãnh đạo các đội thiết kế và xây dựng các sản phẩm phần mềm được thúc đẩy bởi AI cho khách hàng ở Bắc Mỹ và Châu Âu. Ông làm việc tại điểm giao nhau của chiến lược sản phẩm và học máy ứng dụng, giúp các tổ chức biến các vấn đề thế giới thực thành các giải pháp AI thực tế.