Vai trò của AI trong việc phát hiện mối đe dọa mạng

1. Giới thiệu#

Bối cảnh mối đe dọa mạng toàn cầu đang trải qua một sự tiến hóa kép: Các mối đe dọa không chỉ diễn ra thường xuyên hơn mà còn phức tạp hơn đáng kể so với trước đây. Để chứng minh: Quý 2 năm 2024 đánh dấu sự gia tăng đáng kinh ngạc 30% trong các cuộc tấn công mạng trên toàn thế giới, với trung bình 1.636 cuộc tấn công nhắm vào một tổ chức mỗi tuần. Hơn thế nữa, theo Báo cáo Mối đe dọa Webroot năm 2020, 93,6% các cuộc tấn công bằng phần mềm độc hại trong năm 2019 có tính chất đa hình, tức là chúng chứa các mã tự điều chỉnh để tránh bị phát hiện. Khi những thách thức này leo thang, vai trò của Trí tuệ nhân tạo (AI) trở nên không thể thiếu đối với thông tin tình báo về mối đe dọa.

2. Sự xuất hiện của AI trong An ninh mạng#

Trí tuệ nhân tạo, về cốt lõi, cho phép máy móc bắt chước trí thông minh của con người (khả năng suy luận, quyết định và nhận diện các mẫu của chúng ta). Trong an ninh mạng, điều này có nghĩa là AI không chỉ có thể sao chép các chức năng nhận thức của các nhà phân tích con người mà còn vượt qua những hạn chế của con người về khả năng tính toán và tốc độ. Một tập con của AI làm cho điều này trở nên hiệu quả hơn là Học máy (Machine Learning - ML). ML cho phép máy móc (trong trường hợp này là các hệ thống an ninh mạng được hỗ trợ bởi AI) học hỏi và tiến hóa một cách linh hoạt mà không cần con người lập trình liên tục. Các hệ thống được cung cấp một lượng lớn dữ liệu để học cách phát hiện các mẫu, dự đoán hành vi và hiểu được những sai lệch. Học máy có thể được phân thành ba loại:

1. Học có giám sát (Supervised Learning): Hệ thống được huấn luyện bằng cách sử dụng dữ liệu có nhãn. Điều này yêu cầu sự hỗ trợ của con người và tốt nhất là để làm cho các thuật toán hiểu được mối quan hệ giữa đầu vào và đầu ra.
2. Học không giám sát (Unsupervised Learning): Hệ thống được huấn luyện bằng cách sử dụng dữ liệu không có nhãn. Quá trình này không được con người giám sát và giúp xác định các mẫu chưa từng được khám phá. Phù hợp nhất để phát hiện các rủi ro mới.
3. Học tăng cường (Reinforcement Learning): Trong loại hình học tập này, thuật toán được huấn luyện bằng phương pháp thử và sai, trong đó nó nhận được phần thưởng cho các hành động đúng, trong khi một hình phạt được áp dụng cho những hành động sai.

3. Ưu điểm của việc sử dụng AI để phát hiện mối đe dọa mạng#

Dưới đây là bốn lợi ích hàng đầu của việc áp dụng trí tuệ nhân tạo để phát hiện mối đe dọa mạng:

1. Nâng cao độ chính xác trong việc xác định các mối đe dọa với tỷ lệ dương tính giả giảm đi. AI tối đa hóa năng suất của các đội ngũ an ninh bằng cách tích hợp ngay lập tức nhiều nguồn dữ liệu để hiểu bối cảnh đằng sau một cảnh báo. Điều này làm giảm các cảnh báo không cần thiết và giúp tập trung vào các mối đe dọa thực sự có khả năng gây thiệt hại cho tổ chức. Ví dụ: AI có thể nhanh chóng phân biệt giữa một nỗ lực đăng nhập hợp pháp và một nỗ lực đáng ngờ bằng cách phân tích hành vi trong quá khứ và vị trí của người dùng.

2. Tốc độ và hiệu quả trong việc xử lý và phân tích khối lượng dữ liệu lớn. So với việc phát hiện mối đe dọa truyền thống, nơi các nhà phân tích con người dành rất nhiều thời gian để thu thập và diễn giải dữ liệu, AI cách mạng hóa an ninh mạng. Nó có thể thu thập dữ liệu bảo mật từ nhiều nguồn khác nhau, làm sạch và chuẩn hóa dữ liệu đó, đồng thời phân tích cả dữ liệu định lượng và định tính với tốc độ không tưởng. Sự hiệu quả siêu phàm này trang bị cho các đội ngũ an ninh những hiểu biết sâu sắc về tình trạng hiện tại của hệ thống mà không gặp bất kỳ rắc rối nào.

3. Phát hiện mối đe dọa chủ động thông qua phân tích dự đoán. Phân tích dự đoán, một bộ công nghệ sử dụng dữ liệu hiện tại và dữ liệu lịch sử để dự đoán hiệu suất trong tương lai, là một yếu tố thay đổi cuộc chơi trong việc phát hiện mối đe dọa mạng. Giờ đây, các tổ chức có thể đánh giá lỗ hổng nào có khả năng bị nhắm mục tiêu nhất, xác định phần mềm độc hại mới nổi bằng cách phân tích các chủng loại hiện có, cũng như phát hiện chính xác các điểm bất thường để đánh dấu hoạt động đáng ngờ hoặc độc hại.

4. Khả năng mở rộng để thích ứng với các mối đe dọa mạng đang tiến hóa. Các hệ thống phát hiện mối đe dọa mạng sử dụng các mô hình học máy có thể tự tiến hóa một cách hiệu quả trong quá trình hoạt động khi chúng đối phó với nhiều mối đe dọa hơn và nhận được nhiều dữ liệu hơn để học hỏi. Cách tiếp cận năng động này cho phép các hệ thống tự động tinh chỉnh khả năng phát hiện của chúng và thích ứng với bối cảnh mối đe dọa mạng đang thay đổi và ngày càng tinh vi hơn.

4. Các ứng dụng của AI trong việc phát hiện mối đe dọa mạng#

Hãy cùng tìm hiểu vai trò của AI trong việc phát hiện các mối đe dọa mạng ở mức độ thực tế hơn:

4.1 Bảo mật mạng#

AI cải thiện bảo mật mạng chủ yếu bằng cách xác định các điểm bất thường trong lưu lượng mạng và tạo ra các phân đoạn vĩ mô để giảm bề mặt tấn công, đồng thời tự động hóa mạng và giám sát cơ sở hạ tầng. Hãy chia nhỏ vấn đề này.

• Phát hiện điểm bất thường: AI thu thập dữ liệu về lưu lượng mạng, nhật ký hệ thống và tương tác của người dùng để thiết lập đường cơ sở (baseline) cho hoạt động mạng điển hình. Bất kỳ sự sai lệch nào so với tiêu chuẩn này đều có nghĩa là những mối đe dọa tiềm ẩn và các vấn đề bảo mật.

• Vi phân đoạn mạng (Network Microsegmentation): Các đề xuất dựa trên danh tính tự động, phân nhóm người dùng và bảo mật zero-trust là một số cách để chia nhỏ các mạng lớn thành các phân đoạn dễ quản lý và giảm bề mặt tấn công tổng thể.
• Giám sát & Quản lý bảo mật mạng tự động: Các tổ chức có thể triển khai các trình phát hiện mối đe dọa do AI điều khiển nhằm tự động giám sát bảo mật mạng theo thời gian thực, phát hiện các sự cố, theo dõi sự không tuân thủ và thậm chí phản ứng lại một số mối đe dọa nhất định.

4.2 Bảo mật điểm cuối#

Sự gia tăng của các mô hình làm việc từ xa/kết hợp và các chính sách Mang thiết bị cá nhân (BYOD) đòi hỏi phải thắt chặt bảo mật điểm cuối. Đây là lúc Phần mềm diệt virus thế hệ tiếp theo (NGAV) nổi lên như một giải pháp thực sự tiên tiến để bảo vệ các điểm cuối trong một mạng lưới. Việc kết hợp AI, ML và phân tích hành vi với các công cụ bảo mật điểm cuối khác, chẳng hạn như MacKeeper, giúp ngăn chặn cả các mối đe dọa hiện có và mới trong thiết bị của người dùng. Quan trọng nhất, NGAV có kiến trúc dựa trên đám mây, không chỉ cho phép các tổ chức triển khai nó gần như tức thì và từ xa mà còn cung cấp thông tin tình báo về mối đe dọa theo thời gian thực. Để có cái nhìn sâu sắc về một trong những giải pháp NGAV hàng đầu, hãy xem qua đánh giá Bitdefender của Cybernews để tìm hiểu cách nó cung cấp khả năng bảo vệ điểm cuối mạnh mẽ. Bên cạnh NGAV, Phát hiện và Phản hồi Điểm cuối (EDR) cũng có thể được tích hợp với AI để đánh dấu và giảm thiểu các mối đe dọa tại các điểm cuối của mạng bằng cách sử dụng một trung tâm quản lý tập trung.

4.3 Phát hiện gian lận#

Học máy đã trở thành một công cụ mạnh mẽ trong việc phát hiện và ngăn chặn gian lận. Nó hoạt động bằng cách phân tích khối lượng lớn dữ liệu giao dịch và dữ liệu hành vi trên nhiều điểm tiếp xúc của khách hàng—chẳng hạn như các mẫu đăng nhập, hành vi mua sắm và các phương thức thanh toán. Theo thời gian, các mô hình ML học được giao dịch "bình thường" trông như thế nào đối với một người dùng hoặc hệ thống nhất định.
Một khi các mẫu này được thiết lập, các mô hình có thể nhanh chóng đánh dấu những hoạt động bất thường—như thay đổi vị trí đột ngột, mức chi tiêu tăng đột biến hoặc các nỗ lực đăng nhập bất thường—là có khả năng gian lận. Một mối đe dọa mới nổi trong không gian này là việc giả mạo giọng nói do AI cung cấp, trong đó những kẻ tấn công sử dụng giọng nói tổng hợp để mạo danh người thật. Để giải quyết vấn đề này, các mô hình ML có thể được huấn luyện bằng cách sử dụng nhiều mẫu giọng nói khác nhau để phát hiện âm thanh giả mạo. Các công cụ như trình tạo giọng nói AI miễn phí có thể cung cấp các ví dụ chân thực giúp mô hình tìm hiểu những khác biệt tinh tế giữa giọng nói gốc và giọng nói tổng hợp. Lớp xác minh giọng nói bổ sung này ngày càng quan trọng đối với việc bảo mật các giao dịch dựa trên giọng nói và các quy trình kiểm tra danh tính.

4.4 Phân tích hành vi (BA)#

AI đóng vai trò xác định trong phân tích hành vi—cho dù đó là của một người dùng, một thực thể hay một hệ thống. Dựa trên đối tượng phân tích, BA có thể được chia thành ba loại sau:

• Phân tích hành vi của người dùng & thực thể (UEBA): Các tổ chức tận dụng UEBA có thể giám sát và phân tích hành vi của một người dùng hoặc một thực thể (thiết bị, ứng dụng) để tìm kiếm các hoạt động độc hại. Ví dụ: UEBA có thể giúp phân biệt giữa một lần đăng nhập bất thường và một nỗ lực đăng nhập đáng ngờ. Điều này đặc biệt diễn ra trong quá trình phát triển ứng dụng vì nó là một phần quan trọng của bảo mật.

Nếu bạn đang thắc mắc một nhà phát triển web làm gì trong bối cảnh này—thì nó bao gồm việc tích hợp các công cụ phân tích hành vi và đảm bảo ứng dụng có khả năng chống lại các mối đe dọa như chiếm quyền điều khiển phiên (session hijacking) hoặc truy cập trái phép.

• Phân tích hành vi mạng: Bằng cách phân tích lưu lượng mạng, AI có thể đánh dấu các mẫu mạng có sự sai lệch so với tiêu chuẩn. Ví dụ: nó có thể cảnh báo cho các đội ngũ an ninh khi có ai đó cố gắng xuất một lượng dữ liệu lớn bất hợp lý (chẳng hạn như hình ảnh) đến một người nhận không được xác định bởi mạng.

• Phân tích hành vi của mối đe dọa nội bộ: Còn được gọi là ITBA, nó hỗ trợ các tổ chức trong việc xác định những người dùng có thể lạm dụng quyền lợi của họ, báo hiệu các mối đe dọa nội bộ tiềm ẩn. Do đó, bạn có thể phát hiện nếu ai đó đang truy cập bất hợp pháp vào thông tin nhạy cảm, rò rỉ dữ liệu, cài đặt phần mềm không xác định, xóa sổ các tập tin hệ thống quan trọng, v.v.

5. Thách thức và Hạn chế#

Tuy nhiên, thông tin tình báo về mối đe dọa mạng do AI điều khiển cũng có những giới hạn của nó. Dưới đây là bốn thách thức lớn khi sử dụng AI để phát hiện các mối đe dọa mạng:

5.1 Chất lượng và Độ lệch của dữ liệu#

Bài toán rất đơn giản: Nếu các mô hình ML được huấn luyện dựa trên dữ liệu mang định kiến để phát hiện các mối đe dọa mạng, hệ thống sẽ chỉ củng cố định kiến đó trong quá trình hoạt động. Ví dụ: nếu hệ thống được huấn luyện dựa trên các mẫu lưu lượng mạng trong quá khứ khi 99% người dùng hoạt động trên Windows, nó sẽ vô tình đánh dấu một nỗ lực đăng nhập từ một thiết bị dựa trên Linux là một mối đe dọa tiềm tàng.

5.2 Các cuộc tấn công đối kháng#

Một thách thức đáng kể khác đối với việc đưa AI vào quy trình phát hiện mối đe dọa mạng là khối lượng ngày càng tăng của các cuộc tấn công đối kháng. Các tác nhân đe dọa sử dụng các cuộc tấn công này để phá vỡ dữ liệu đầu vào mà các thuật toán ML sử dụng để huấn luyện, sao cho đầu ra (các quyết định hoặc dự đoán do AI thực hiện) cũng không chính xác.

5.3 Khả năng diễn giải#

Thường được biết đến với tên gọi "vấn đề hộp đen", các thuật toán học máy phức tạp thiếu đi tính minh bạch. Điều này có nghĩa là chúng ta không thể hiểu được cách mô hình đã đưa ra một quyết định cụ thể, và do đó, việc sửa chữa các hệ thống như vậy khi chúng sai lệch so với hoạt động dự kiến là một việc khó khăn. Kết quả là, các nhà phân tích có thể cảm thấy khó khăn trong việc hiểu và phản hồi lại các mối đe dọa được đánh dấu nếu lý do đằng sau việc phát hiện chúng không rõ ràng.

5.4 Những lo ngại về đạo đức và quyền riêng tư#

Việc giám sát và phát hiện mối đe dọa mạng dựa trên AI liên quan đến việc thu thập dữ liệu, điều này có thể vô tình mở đường cho nhiều mối lo ngại về đạo đức và quyền riêng tư. Những mối lo ngại này bao gồm sự giám sát quá mức đối với các cá nhân và thông tin cá nhân của họ, việc thu thập lượng dữ liệu lớn hơn mức cần thiết cho mục đích phân tích và việc thu thập dữ liệu người dùng mà không có sự đồng ý của họ.

6. Kết luận#

Với các giải pháp an ninh mạng như phân tích dự đoán, phân tích hành vi và phát hiện điểm bất thường theo thời gian thực, trí tuệ nhân tạo tiếp tục tái định nghĩa thông tin tình báo về mối đe dọa mạng. Tuy nhiên, sự thích ứng chủ động và sự đổi mới trong các hệ thống an ninh mạng dựa trên AI là điều cần thiết để thực sự chống lại bối cảnh mối đe dọa đang thay đổi không ngừng. Đồng thời, các tổ chức phải học cách cân bằng giữa sự tiến bộ về công nghệ và trách nhiệm đạo đức nhằm xây dựng một thế giới số an toàn hơn.

Về tác giả:
Prateek Arora là một chuyên gia tiếp thị nội dung tại thestartupinc.com, nơi anh chuyên sâu vào các chủ đề B2B và SaaS nhằm biến khách truy cập trang web thành khách hàng trả phí. Với niềm đam mê khám phá các chiến lược tiếp thị sáng tạo, Prateek rất thích nghiên cứu và tạo ra nội dung cộng hưởng với các đối tượng mục tiêu. Trong thời gian rảnh rỗi, anh thích lái xe vòng quanh thành phố và đi chơi với bạn bè, tìm kiếm nguồn cảm hứng trong khung cảnh đô thị sôi động.

Về Corbado

Corbado là Passkey Intelligence Platform dành cho các đội CIAM vận hành xác thực consumer ở quy mô lớn. Chúng tôi giúp bạn nhìn thấy điều mà log IDP và các công cụ analytics thông thường không thấy: những thiết bị, phiên bản OS, trình duyệt và trình quản lý credential nào hỗ trợ passkey, tại sao quá trình đăng ký không chuyển thành đăng nhập, luồng WebAuthn fail ở đâu, và khi nào một bản cập nhật OS hay trình duyệt làm hỏng đăng nhập một cách âm thầm — tất cả mà không cần thay thế Okta, Auth0, Ping, Cognito hay IDP nội bộ của bạn. Hai sản phẩm: Corbado Observe bổ sung observability cho passkey và mọi phương thức đăng nhập khác. Corbado Connect mang đến managed passkey với analytics tích hợp (song hành cùng IDP của bạn). VicRoads vận hành passkey cho hơn 5M người dùng với Corbado (kích hoạt passkey +80%). Trao đổi với chuyên gia Passkey →

Các câu hỏi thường gặp#

Làm thế nào AI giảm thiểu kết quả dương tính giả trong phát hiện mối đe dọa mạng?#

AI giảm thiểu kết quả dương tính giả bằng cách tích hợp nhiều nguồn dữ liệu để hiểu ngữ cảnh phía sau mỗi cảnh báo. Ví dụ, nó phân biệt một lần đăng nhập hợp lệ với một lần đăng nhập đáng ngờ bằng cách phân tích hành vi trong quá khứ và vị trí của người dùng, giúp đội ngũ an ninh tập trung sự chú ý vào các mối đe dọa thực sự thay vì những tín hiệu nhiễu.

Sự khác biệt giữa UEBA và ITBA trong phân tích hành vi bằng AI là gì?#

Phân tích hành vi của người dùng và thực thể (UEBA) giám sát cả người dùng và các thiết bị như ứng dụng để phát hiện hoạt động độc hại, bao gồm các nỗ lực đăng nhập đáng ngờ. Phân tích hành vi của mối đe dọa nội bộ (ITBA) đặc biệt xác định những người dùng lạm dụng quyền hạn của họ, đánh dấu các hoạt động truy cập dữ liệu trái phép, rò rỉ dữ liệu hoặc cài đặt phần mềm không xác định.

Làm thế nào các cuộc tấn công đối kháng làm suy yếu hệ thống phát hiện mối đe dọa mạng dựa trên AI?#

Các cuộc tấn công đối kháng (adversarial attacks) cố ý thao túng dữ liệu đầu vào mà các thuật toán ML dùng để huấn luyện, khiến các dự đoán và quyết định của mô hình trở nên không chính xác. Các tác nhân đe dọa khai thác điều này để che mắt các hệ thống phát hiện, làm cho hoạt động độc hại có vẻ hợp lệ và vượt qua các kiểm soát bảo mật do AI điều khiển.

Điều gì khiến Phần mềm diệt virus thế hệ tiếp theo tốt hơn phần mềm diệt virus truyền thống trong bảo mật điểm cuối?#

Phần mềm diệt virus thế hệ tiếp theo (NGAV) kết hợp AI, học máy và phân tích hành vi với kiến trúc dựa trên đám mây cho phép triển khai từ xa gần như tức thì và nhận thông tin tình báo về mối đe dọa theo thời gian thực. Không giống như phần mềm diệt virus truyền thống, NGAV ngăn chặn cả các mối đe dọa đã biết và mới trên thiết bị của người dùng, làm cho nó đặc biệt hiệu quả trong môi trường làm việc từ xa và BYOD.