Viết bởi: Sridhar Muppidi, Thành viên IBM và Giám đốc Công nghệ, Bảo mật IBM
Nguồn: MIT
Chúng ta đã tranh luận về lợi ích của trí tuệ nhân tạo (AI) đối với xã hội trong nhiều năm, nhưng chỉ đến bây giờ mọi người mới nhìn thấy tác động hàng ngày của nó. Nhưng tại sao bây giờ? Điều gì sẽ khiến AI vào năm 2023 trở nên có tác động hơn bao giờ hết?
Đầu tiên, việc người tiêu dùng tiếp xúc với những đổi mới AI mới nổi sẽ làm tăng sự chấp nhận. Từ việc sáng tác nhạc và tổng hợp hình ảnh mà trước đây chỉ có thể tưởng tượng được, cho đến viết luận văn cấp đại học, AI sáng tạo đã đi vào cuộc sống hàng ngày của chúng ta. Thứ hai, chúng ta cũng đã đạt đến điểm uốn trên đường cong trưởng thành đổi mới AI của doanh nghiệp—và trong ngành an ninh mạng, tiến trình này có thể diễn ra nhanh hơn nhiều.
Việc tiêu dùng hóa AI và ứng dụng của nó trong bảo mật đang tạo ra mức độ tin cậy và hiệu quả cần thiết để có tác động thực sự trong các trung tâm điều hành bảo mật (SOC). Để làm sáng tỏ hơn về quá trình phát triển này, chúng ta hãy xem xét kỹ hơn cách các công nghệ do AI điều khiển đang tìm đường đến tay các nhà phân tích an ninh mạng.
Nâng cao tốc độ và độ chính xác trong an ninh mạng thông qua trí tuệ nhân tạo
Sau nhiều năm thử nghiệm và tinh chỉnh với người dùng trong thế giới thực, cùng với những cải tiến liên tục trong chính các mô hình AI, các khả năng an ninh mạng do AI điều khiển không còn chỉ là những từ thông dụng ban đầu hay các mẫu đơn giản và khả năng dựa trên quy tắc. Dữ liệu đã bùng nổ, kéo theo đó là các tín hiệu và thông tin chi tiết độc đáo. Các thuật toán đã hoàn thiện và có khả năng bối cảnh hóa tốt hơn tất cả thông tin được nhập -- từ các trường hợp sử dụng khác nhau đến dữ liệu thô không thiên vị. Trong nhiều năm, chúng tôi đã chờ đợi lời hứa về trí tuệ nhân tạo sẽ đến.
Đối với các nhóm an ninh mạng, điều này có nghĩa là khả năng thúc đẩy tốc độ thay đổi cục diện và độ chính xác trong hệ thống phòng thủ của họ—và cuối cùng có lẽ là đạt được lợi thế trong cuộc chiến chống lại tội phạm mạng. An ninh mạng là một ngành vốn dựa vào tốc độ và độ chính xác, cả hai đều là đặc điểm vốn có của trí tuệ nhân tạo. Các nhóm bảo mật cần biết chính xác nơi cần tìm và những gì cần tìm. Chúng phụ thuộc vào khả năng di chuyển nhanh chóng. Tuy nhiên, trong thế giới an ninh mạng, tốc độ và độ chính xác không được đảm bảo, chủ yếu do hai thách thức trong ngành: thiếu kỹ năng và bùng nổ dữ liệu do sự phức tạp của cơ sở hạ tầng.
Thực tế là số lượng hữu hạn những người làm việc trong lĩnh vực an ninh mạng ngày nay mang theo vô số mối đe dọa trên mạng. Theo một nghiên cứu của IBM, những người bảo vệ nhiều hơn hẳn những người ứng phó với các sự cố an ninh mạng—68% những người ứng cứu sự cố an ninh mạng cho biết việc ứng phó với nhiều sự cố cùng một lúc là điều bình thường. Ngoài ra, có nhiều dữ liệu chảy qua doanh nghiệp hơn bao giờ hết và các doanh nghiệp đang trở nên phức tạp hơn. Điện toán biên, IoT và các yêu cầu từ xa đang thay đổi kiến trúc kinh doanh hiện đại, tạo ra một mê cung các điểm mù đáng kể cho các nhóm bảo mật. Nếu các nhóm này không thể "nhìn thấy", thì hoạt động bảo mật của họ không thể chính xác.
Trí tuệ nhân tạo tinh vi ngày nay có thể giúp giải quyết những rào cản này. Nhưng để có hiệu quả, AI phải có được sự tin tưởng—vì vậy chúng ta phải đặt các hàng rào bảo vệ xung quanh nó để đảm bảo kết quả an toàn đáng tin cậy. Ví dụ, khi bạn đi quá nhanh vì tốc độ, kết quả là bạn chạy quá tốc độ dẫn đến hỗn loạn. Nhưng khi AI được tin cậy (tức là dữ liệu mà chúng tôi huấn luyện các mô hình của mình dựa trên đó là không thiên vị, các mô hình AI minh bạch, không rẻ và có thể giải thích được), thì nó có thể thúc đẩy tốc độ đáng tin cậy. Khi được kết hợp với tự động hóa, nó có thể cải thiện đáng kể tư thế phòng thủ của chúng ta -- tự động thực hiện hành động trong suốt vòng đời phát hiện, điều tra và ứng phó sự cố mà không cần dựa vào sự can thiệp của con người.
"Cánh tay phải" của đội an ninh mạng
Một trường hợp sử dụng phổ biến và đã được thiết lập tốt trong an ninh mạng ngày nay là phát hiện mối đe dọa, trong đó AI mang đến bối cảnh bổ sung từ các tập dữ liệu lớn và đa dạng hoặc phát hiện sự bất thường trong các mẫu hành vi của người dùng. Hãy xem xét một ví dụ:
Hãy tưởng tượng một nhân viên nhấp nhầm vào một email lừa đảo, kích hoạt quá trình tải xuống độc hại vào hệ thống của họ, cho phép tác nhân đe dọa di chuyển ngang và hoạt động lén lút trong môi trường nạn nhân. Tác nhân đe dọa này cố gắng bỏ qua tất cả các công cụ bảo mật hiện có trong môi trường trong khi tìm kiếm các điểm yếu có thể kiếm tiền. Ví dụ: họ có thể đang tìm kiếm các mật mã bị hỏng hoặc các giao thức mở để khai thác và triển khai phần mềm tống tiền, cho phép họ chiếm đoạt các hệ thống quan trọng làm đòn bẩy chống lại doanh nghiệp.
Bây giờ, hãy đặt AI lên hàng đầu trong kịch bản chung này: AI sẽ nhận thấy rằng người dùng đã nhấp vào email đó hiện đang cư xử khác đi. Ví dụ: nó phát hiện các thay đổi trong luồng người dùng và các tương tác của nó với các hệ thống mà nó thường không tương tác. Nhìn vào các quy trình, tín hiệu và tương tác khác nhau diễn ra, AI sẽ phân tích hành vi này và đưa nó vào ngữ cảnh, điều mà các chức năng bảo mật tĩnh không thể làm được.
Bởi vì các tác nhân đe dọa không thể bắt chước hành vi kỹ thuật số dễ dàng như chúng có thể bắt chước các đặc điểm tĩnh, chẳng hạn như thông tin đăng nhập của ai đó, nên các lợi thế về hành vi mà AI và tự động hóa mang lại cho các nhà bảo vệ khiến các khả năng bảo mật này thậm chí còn mạnh mẽ hơn.
Bây giờ, hãy tưởng tượng ví dụ đó được nhân với một trăm, một nghìn, hoặc hàng chục nghìn và hàng trăm nghìn, bởi vì đó gần như là số lượng các mối đe dọa tiềm ẩn mà một doanh nghiệp cụ thể phải đối mặt trong một ngày nhất định. Khi bạn so sánh những con số này với nhóm SOC trung bình ngày nay từ 3 đến 5 người, những kẻ tấn công đương nhiên có lợi thế hơn. Nhưng với việc AI hỗ trợ các nhóm SOC với mức độ ưu tiên dựa trên rủi ro, các nhóm đó giờ đây có thể tập trung vào các mối đe dọa thực sự trong bối cảnh ồn ào. Ngoài ra, AI có thể giúp họ đẩy nhanh quá trình điều tra và phản hồi -- ví dụ: tự động khai thác dữ liệu trên các hệ thống để có thêm bằng chứng liên quan đến sự cố hoặc cung cấp quy trình làm việc tự động cho các hành động phản hồi.
IBM đang đưa các khả năng AI như thế này vào công nghệ phát hiện và phản hồi mối đe dọa của mình thông qua bộ ứng dụng QRadar. Một yếu tố thay đổi cuộc chơi là các khả năng AI chính này hiện được kết hợp với nhau bằng một trải nghiệm phân tích hợp nhất, bao trùm tất cả các công nghệ SOC cốt lõi, giúp chúng dễ sử dụng hơn trong toàn bộ vòng đời của sự kiện. Ngoài ra, các khả năng AI này đã được tinh chỉnh đến mức có thể tin cậy và hoạt động tự động với các phản ứng phối hợp mà không cần sự can thiệp của con người. Ví dụ: nhóm Dịch vụ bảo mật được quản lý của IBM đã sử dụng các khả năng AI này để tự động đóng 70% cảnh báo trong năm đầu tiên sử dụng và tăng tốc thời gian quản lý mối đe dọa của họ lên hơn 50%.
Sự kết hợp giữa trí tuệ nhân tạo và tự động hóa mang lại những lợi ích hữu hình về tốc độ và hiệu quả mà các SOC ngày nay rất cần. Sau nhiều năm thử nghiệm và khi hoàn thiện, những đổi mới của AI có thể tối ưu hóa việc sử dụng thời gian của các hậu vệ thông qua các hành động chính xác và nhanh chóng. Càng nhiều AI được tận dụng trong bối cảnh bảo mật, nó sẽ càng sớm thúc đẩy khả năng thực thi của các nhóm bảo mật và ngành an ninh mạng trở nên kiên cường và sẵn sàng thích ứng với bất kỳ điều gì trong tương lai.
Xem bản gốc
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
IBM丨AI trong an ninh mạng: Lời hứa năm xưa nay đã thành hiện thực
Viết bởi: Sridhar Muppidi, Thành viên IBM và Giám đốc Công nghệ, Bảo mật IBM
Nguồn: MIT
Chúng ta đã tranh luận về lợi ích của trí tuệ nhân tạo (AI) đối với xã hội trong nhiều năm, nhưng chỉ đến bây giờ mọi người mới nhìn thấy tác động hàng ngày của nó. Nhưng tại sao bây giờ? Điều gì sẽ khiến AI vào năm 2023 trở nên có tác động hơn bao giờ hết?
Đầu tiên, việc người tiêu dùng tiếp xúc với những đổi mới AI mới nổi sẽ làm tăng sự chấp nhận. Từ việc sáng tác nhạc và tổng hợp hình ảnh mà trước đây chỉ có thể tưởng tượng được, cho đến viết luận văn cấp đại học, AI sáng tạo đã đi vào cuộc sống hàng ngày của chúng ta. Thứ hai, chúng ta cũng đã đạt đến điểm uốn trên đường cong trưởng thành đổi mới AI của doanh nghiệp—và trong ngành an ninh mạng, tiến trình này có thể diễn ra nhanh hơn nhiều.
Nâng cao tốc độ và độ chính xác trong an ninh mạng thông qua trí tuệ nhân tạo
Sau nhiều năm thử nghiệm và tinh chỉnh với người dùng trong thế giới thực, cùng với những cải tiến liên tục trong chính các mô hình AI, các khả năng an ninh mạng do AI điều khiển không còn chỉ là những từ thông dụng ban đầu hay các mẫu đơn giản và khả năng dựa trên quy tắc. Dữ liệu đã bùng nổ, kéo theo đó là các tín hiệu và thông tin chi tiết độc đáo. Các thuật toán đã hoàn thiện và có khả năng bối cảnh hóa tốt hơn tất cả thông tin được nhập -- từ các trường hợp sử dụng khác nhau đến dữ liệu thô không thiên vị. Trong nhiều năm, chúng tôi đã chờ đợi lời hứa về trí tuệ nhân tạo sẽ đến.
Đối với các nhóm an ninh mạng, điều này có nghĩa là khả năng thúc đẩy tốc độ thay đổi cục diện và độ chính xác trong hệ thống phòng thủ của họ—và cuối cùng có lẽ là đạt được lợi thế trong cuộc chiến chống lại tội phạm mạng. An ninh mạng là một ngành vốn dựa vào tốc độ và độ chính xác, cả hai đều là đặc điểm vốn có của trí tuệ nhân tạo. Các nhóm bảo mật cần biết chính xác nơi cần tìm và những gì cần tìm. Chúng phụ thuộc vào khả năng di chuyển nhanh chóng. Tuy nhiên, trong thế giới an ninh mạng, tốc độ và độ chính xác không được đảm bảo, chủ yếu do hai thách thức trong ngành: thiếu kỹ năng và bùng nổ dữ liệu do sự phức tạp của cơ sở hạ tầng.
Thực tế là số lượng hữu hạn những người làm việc trong lĩnh vực an ninh mạng ngày nay mang theo vô số mối đe dọa trên mạng. Theo một nghiên cứu của IBM, những người bảo vệ nhiều hơn hẳn những người ứng phó với các sự cố an ninh mạng—68% những người ứng cứu sự cố an ninh mạng cho biết việc ứng phó với nhiều sự cố cùng một lúc là điều bình thường. Ngoài ra, có nhiều dữ liệu chảy qua doanh nghiệp hơn bao giờ hết và các doanh nghiệp đang trở nên phức tạp hơn. Điện toán biên, IoT và các yêu cầu từ xa đang thay đổi kiến trúc kinh doanh hiện đại, tạo ra một mê cung các điểm mù đáng kể cho các nhóm bảo mật. Nếu các nhóm này không thể "nhìn thấy", thì hoạt động bảo mật của họ không thể chính xác.
Trí tuệ nhân tạo tinh vi ngày nay có thể giúp giải quyết những rào cản này. Nhưng để có hiệu quả, AI phải có được sự tin tưởng—vì vậy chúng ta phải đặt các hàng rào bảo vệ xung quanh nó để đảm bảo kết quả an toàn đáng tin cậy. Ví dụ, khi bạn đi quá nhanh vì tốc độ, kết quả là bạn chạy quá tốc độ dẫn đến hỗn loạn. Nhưng khi AI được tin cậy (tức là dữ liệu mà chúng tôi huấn luyện các mô hình của mình dựa trên đó là không thiên vị, các mô hình AI minh bạch, không rẻ và có thể giải thích được), thì nó có thể thúc đẩy tốc độ đáng tin cậy. Khi được kết hợp với tự động hóa, nó có thể cải thiện đáng kể tư thế phòng thủ của chúng ta -- tự động thực hiện hành động trong suốt vòng đời phát hiện, điều tra và ứng phó sự cố mà không cần dựa vào sự can thiệp của con người.
"Cánh tay phải" của đội an ninh mạng
Một trường hợp sử dụng phổ biến và đã được thiết lập tốt trong an ninh mạng ngày nay là phát hiện mối đe dọa, trong đó AI mang đến bối cảnh bổ sung từ các tập dữ liệu lớn và đa dạng hoặc phát hiện sự bất thường trong các mẫu hành vi của người dùng. Hãy xem xét một ví dụ:
Hãy tưởng tượng một nhân viên nhấp nhầm vào một email lừa đảo, kích hoạt quá trình tải xuống độc hại vào hệ thống của họ, cho phép tác nhân đe dọa di chuyển ngang và hoạt động lén lút trong môi trường nạn nhân. Tác nhân đe dọa này cố gắng bỏ qua tất cả các công cụ bảo mật hiện có trong môi trường trong khi tìm kiếm các điểm yếu có thể kiếm tiền. Ví dụ: họ có thể đang tìm kiếm các mật mã bị hỏng hoặc các giao thức mở để khai thác và triển khai phần mềm tống tiền, cho phép họ chiếm đoạt các hệ thống quan trọng làm đòn bẩy chống lại doanh nghiệp.
Bây giờ, hãy đặt AI lên hàng đầu trong kịch bản chung này: AI sẽ nhận thấy rằng người dùng đã nhấp vào email đó hiện đang cư xử khác đi. Ví dụ: nó phát hiện các thay đổi trong luồng người dùng và các tương tác của nó với các hệ thống mà nó thường không tương tác. Nhìn vào các quy trình, tín hiệu và tương tác khác nhau diễn ra, AI sẽ phân tích hành vi này và đưa nó vào ngữ cảnh, điều mà các chức năng bảo mật tĩnh không thể làm được.
Bởi vì các tác nhân đe dọa không thể bắt chước hành vi kỹ thuật số dễ dàng như chúng có thể bắt chước các đặc điểm tĩnh, chẳng hạn như thông tin đăng nhập của ai đó, nên các lợi thế về hành vi mà AI và tự động hóa mang lại cho các nhà bảo vệ khiến các khả năng bảo mật này thậm chí còn mạnh mẽ hơn.
Bây giờ, hãy tưởng tượng ví dụ đó được nhân với một trăm, một nghìn, hoặc hàng chục nghìn và hàng trăm nghìn, bởi vì đó gần như là số lượng các mối đe dọa tiềm ẩn mà một doanh nghiệp cụ thể phải đối mặt trong một ngày nhất định. Khi bạn so sánh những con số này với nhóm SOC trung bình ngày nay từ 3 đến 5 người, những kẻ tấn công đương nhiên có lợi thế hơn. Nhưng với việc AI hỗ trợ các nhóm SOC với mức độ ưu tiên dựa trên rủi ro, các nhóm đó giờ đây có thể tập trung vào các mối đe dọa thực sự trong bối cảnh ồn ào. Ngoài ra, AI có thể giúp họ đẩy nhanh quá trình điều tra và phản hồi -- ví dụ: tự động khai thác dữ liệu trên các hệ thống để có thêm bằng chứng liên quan đến sự cố hoặc cung cấp quy trình làm việc tự động cho các hành động phản hồi.
IBM đang đưa các khả năng AI như thế này vào công nghệ phát hiện và phản hồi mối đe dọa của mình thông qua bộ ứng dụng QRadar. Một yếu tố thay đổi cuộc chơi là các khả năng AI chính này hiện được kết hợp với nhau bằng một trải nghiệm phân tích hợp nhất, bao trùm tất cả các công nghệ SOC cốt lõi, giúp chúng dễ sử dụng hơn trong toàn bộ vòng đời của sự kiện. Ngoài ra, các khả năng AI này đã được tinh chỉnh đến mức có thể tin cậy và hoạt động tự động với các phản ứng phối hợp mà không cần sự can thiệp của con người. Ví dụ: nhóm Dịch vụ bảo mật được quản lý của IBM đã sử dụng các khả năng AI này để tự động đóng 70% cảnh báo trong năm đầu tiên sử dụng và tăng tốc thời gian quản lý mối đe dọa của họ lên hơn 50%.
Sự kết hợp giữa trí tuệ nhân tạo và tự động hóa mang lại những lợi ích hữu hình về tốc độ và hiệu quả mà các SOC ngày nay rất cần. Sau nhiều năm thử nghiệm và khi hoàn thiện, những đổi mới của AI có thể tối ưu hóa việc sử dụng thời gian của các hậu vệ thông qua các hành động chính xác và nhanh chóng. Càng nhiều AI được tận dụng trong bối cảnh bảo mật, nó sẽ càng sớm thúc đẩy khả năng thực thi của các nhóm bảo mật và ngành an ninh mạng trở nên kiên cường và sẵn sàng thích ứng với bất kỳ điều gì trong tương lai.