Trí tuệ nhân tạo có thể được sử dụng như thế nào trong an ninh mạng?

Giới thiệu

Trí tuệ nhân tạo (AI) tạo sinh – hệ thống trí tuệ nhân tạo có khả năng tạo ra nội dung hoặc dự đoán mới – đang nổi lên như một lực lượng chuyển đổi trong an ninh mạng. Các công cụ như GPT-4 của OpenAI đã chứng minh khả năng phân tích dữ liệu phức tạp và tạo văn bản giống con người, cho phép các phương pháp tiếp cận mới để phòng thủ chống lại các mối đe dọa mạng. Các chuyên gia an ninh mạng và những người ra quyết định kinh doanh trên khắp các ngành đang khám phá cách AI tạo sinh có thể tăng cường khả năng phòng thủ chống lại các cuộc tấn công đang phát triển. Từ tài chính và chăm sóc sức khỏe đến bán lẻ và chính phủ, các tổ chức trong mọi lĩnh vực đều phải đối mặt với các nỗ lực lừa đảo tinh vi, phần mềm độc hại và các mối đe dọa khác mà AI tạo sinh có thể giúp chống lại. Trong sách trắng này, chúng tôi xem xét cách AI tạo sinh có thể được sử dụng trong an ninh mạng , làm nổi bật các ứng dụng trong thế giới thực, khả năng trong tương lai và những cân nhắc quan trọng để áp dụng.

nhân tạo (AI) tạo sinh (Generative AI) khác với trí tuệ nhân tạo phân tích truyền thống ở chỗ không chỉ phát hiện các mẫu hình mà còn tạo ra nội dung – dù là mô phỏng các cuộc tấn công để huấn luyện phòng thủ hay đưa ra các giải thích bằng ngôn ngữ tự nhiên cho dữ liệu bảo mật phức tạp. Khả năng kép này biến nó thành một con dao hai lưỡi: nó cung cấp các công cụ phòng thủ mới mạnh mẽ, nhưng các tác nhân đe dọa cũng có thể khai thác nó. Các phần sau đây sẽ khám phá một loạt các trường hợp sử dụng AI tạo sinh trong an ninh mạng, từ tự động phát hiện lừa đảo đến nâng cao khả năng ứng phó sự cố. Chúng tôi cũng thảo luận về những lợi ích mà những đổi mới AI này hứa hẹn, cùng với những rủi ro (như "ảo giác" AI hoặc việc sử dụng sai mục đích của đối thủ) mà các tổ chức phải quản lý. Cuối cùng, chúng tôi cung cấp những bài học thực tế để giúp các doanh nghiệp đánh giá và tích hợp AI tạo sinh một cách có trách nhiệm vào các chiến lược an ninh mạng của họ.

Trí tuệ nhân tạo trong an ninh mạng: Tổng quan

Trí tuệ nhân tạo (AI) trong an ninh mạng đề cập đến các mô hình AI – thường là các mô hình ngôn ngữ lớn hoặc các mạng nơ-ron khác – có thể tạo ra thông tin chi tiết, khuyến nghị, mã hoặc thậm chí dữ liệu tổng hợp để hỗ trợ các nhiệm vụ bảo mật. Không giống như các mô hình dự đoán thuần túy, AI tạo ra có thể mô phỏng các tình huống và tạo ra các đầu ra dễ đọc (ví dụ: báo cáo, cảnh báo hoặc thậm chí là các mẫu mã độc hại) dựa trên dữ liệu đào tạo của nó. Khả năng này đang được tận dụng để dự đoán, phát hiện và ứng phó với các mối đe dọa theo những cách linh hoạt hơn trước đây ( AI tạo ra trong an ninh mạng là gì? - Palo Alto Networks ). Ví dụ: các mô hình tạo ra có thể phân tích các bản ghi khổng lồ hoặc kho lưu trữ thông tin tình báo về mối đe dọa và tạo ra một bản tóm tắt ngắn gọn hoặc hành động được đề xuất, hoạt động gần giống như một "trợ lý" AI cho các nhóm bảo mật.

Các triển khai ban đầu của AI tạo sinh cho phòng thủ mạng đã cho thấy sự hứa hẹn. Vào năm 2023, Microsoft đã giới thiệu Security Copilot , một trợ lý hỗ trợ GPT-4 dành cho các nhà phân tích bảo mật, để giúp xác định các vi phạm và sàng lọc qua 65 nghìn tỷ tín hiệu mà Microsoft xử lý hàng ngày ( Microsoft Security Copilot là trợ lý AI GPT-4 mới dành cho an ninh mạng | The Verge ). Các nhà phân tích có thể nhắc hệ thống này bằng ngôn ngữ tự nhiên (ví dụ: "Tóm tắt tất cả các sự cố bảo mật trong 24 giờ qua" ) và copilot sẽ tạo ra một bản tóm tắt tường thuật hữu ích. Tương tự như vậy, AI Threat Intelligence sử dụng một mô hình tạo sinh có tên là Gemini để cho phép tìm kiếm hội thoại thông qua cơ sở dữ liệu tình báo mối đe dọa khổng lồ của Google, nhanh chóng phân tích mã đáng ngờ và tóm tắt các phát hiện để hỗ trợ những người săn phần mềm độc hại ( AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế ). Những ví dụ này minh họa cho tiềm năng: AI tạo sinh có thể xử lý dữ liệu an ninh mạng phức tạp, quy mô lớn và trình bày thông tin chi tiết ở dạng dễ tiếp cận, giúp đẩy nhanh quá trình ra quyết định.

Đồng thời, AI tạo sinh có thể tạo ra nội dung giả mạo cực kỳ chân thực, một lợi thế cho việc mô phỏng và đào tạo (và, thật không may, cho cả những kẻ tấn công sử dụng kỹ thuật xã hội). Khi đi sâu vào các trường hợp sử dụng cụ thể, chúng ta sẽ thấy khả năng tổng hợp và phân tích thông tin của AI tạo sinh là nền tảng cho nhiều ứng dụng an ninh mạng của nó. Dưới đây, chúng ta sẽ đi sâu vào các trường hợp sử dụng chính, bao gồm mọi thứ, từ phòng chống lừa đảo đến phát triển phần mềm bảo mật, với các ví dụ về cách từng trường hợp được áp dụng trong nhiều ngành.

Các ứng dụng chính của AI tạo sinh trong an ninh mạng

Hình: Các trường hợp sử dụng chính của AI tạo sinh trong an ninh mạng bao gồm AI hỗ trợ cho nhóm an ninh, phân tích lỗ hổng mã, phát hiện mối đe dọa thích ứng, mô phỏng tấn công zero-day, bảo mật sinh trắc học nâng cao và phát hiện lừa đảo ( 6 trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ).

Phát hiện và ngăn chặn lừa đảo

Lừa đảo trực tuyến vẫn là một trong những mối đe dọa mạng phổ biến nhất, lừa người dùng nhấp vào các liên kết độc hại hoặc tiết lộ thông tin đăng nhập. Trí tuệ nhân tạo (AI) tạo sinh đang được triển khai để phát hiện các nỗ lực lừa đảo và tăng cường đào tạo người dùng để ngăn chặn các cuộc tấn công thành công. Về mặt phòng thủ, các mô hình AI có thể phân tích nội dung email và hành vi của người gửi để phát hiện các dấu hiệu lừa đảo tinh vi mà các bộ lọc dựa trên quy tắc có thể bỏ sót. Bằng cách học hỏi từ các tập dữ liệu lớn về email hợp pháp so với email lừa đảo, một mô hình AI tạo sinh có thể đánh dấu các điểm bất thường về giọng điệu, cách diễn đạt hoặc ngữ cảnh cho thấy đây là một vụ lừa đảo - ngay cả khi ngữ pháp và chính tả không còn tiết lộ điều đó. Trên thực tế, các nhà nghiên cứu của Palo Alto Networks lưu ý rằng AI tạo sinh có thể xác định "các dấu hiệu tinh vi của email lừa đảo mà nếu không có AI tạo sinh, chúng có thể không bị phát hiện", giúp các tổ chức luôn đi trước những kẻ lừa đảo một bước ( AI tạo sinh trong an ninh mạng là gì? - Palo Alto Networks ).

Các nhóm bảo mật cũng đang sử dụng AI tạo sinh để mô phỏng các cuộc tấn công lừa đảo nhằm mục đích đào tạo và phân tích. Ví dụ: Ironscales đã giới thiệu một công cụ mô phỏng lừa đảo được hỗ trợ bởi GPT, tự động tạo ra các email lừa đảo giả mạo được thiết kế riêng cho nhân viên của một tổ chức ( AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế ). Những email được tạo bằng AI này phản ánh các chiến thuật tấn công mới nhất, giúp nhân viên thực hành thực tế trong việc phát hiện nội dung lừa đảo. Việc đào tạo được cá nhân hóa như vậy rất quan trọng vì chính những kẻ tấn công cũng áp dụng AI để tạo ra những mồi nhử thuyết phục hơn. Đáng chú ý là, trong khi AI tạo sinh có thể tạo ra các tin nhắn lừa đảo rất trau chuốt (đã qua rồi cái thời tiếng Anh dễ bị phát hiện sai), những người bảo vệ đã phát hiện ra rằng AI không phải là không thể đánh bại. Vào năm 2024, các nhà nghiên cứu bảo mật của IBM đã tiến hành một thí nghiệm so sánh các email lừa đảo do con người viết với các email do AI tạo ra và "đáng ngạc nhiên là các email do AI tạo ra vẫn dễ bị phát hiện mặc dù ngữ pháp của chúng đúng" ( 6 trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ ví dụ] ). Điều này cho thấy trực giác của con người kết hợp với khả năng phát hiện được hỗ trợ bởi AI vẫn có thể nhận ra những điểm bất nhất tinh vi hoặc tín hiệu siêu dữ liệu trong các vụ lừa đảo do AI viết.

Trí tuệ nhân tạo tạo ra cũng hỗ trợ phòng chống lừa đảo theo những cách khác. Các mô hình có thể được sử dụng để tạo ra các phản hồi tự động hoặc bộ lọc kiểm tra các email đáng ngờ. Ví dụ: hệ thống AI có thể trả lời email bằng các truy vấn nhất định để xác minh tính hợp pháp của người gửi hoặc sử dụng LLM để phân tích các liên kết và tệp đính kèm của email trong hộp cát, sau đó tóm tắt bất kỳ ý định độc hại nào. Nền tảng bảo mật Morpheus chứng minh sức mạnh của AI trong lĩnh vực này - nó sử dụng các mô hình NLP tạo ra để nhanh chóng phân tích và phân loại email và được phát hiện là cải thiện khả năng phát hiện email lừa đảo lên 21% so với các công cụ bảo mật truyền thống ( 6 Trường hợp sử dụng Trí tuệ nhân tạo tạo ra trong An ninh mạng [+ Ví dụ] ). Morpheus thậm chí còn lập hồ sơ các mẫu giao tiếp của người dùng để phát hiện hành vi bất thường (như người dùng đột nhiên gửi email đến nhiều địa chỉ bên ngoài), điều này có thể chỉ ra một tài khoản bị xâm phạm đang gửi email lừa đảo.

Trên thực tế, các công ty trong nhiều ngành đang bắt đầu tin tưởng AI trong việc lọc email và lưu lượng truy cập web để ngăn chặn các cuộc tấn công kỹ thuật xã hội. Ví dụ, các công ty tài chính sử dụng AI tạo sinh để quét thông tin liên lạc nhằm phát hiện các nỗ lực mạo danh có thể dẫn đến gian lận điện tử, trong khi các nhà cung cấp dịch vụ chăm sóc sức khỏe triển khai AI để bảo vệ dữ liệu bệnh nhân khỏi các vi phạm liên quan đến lừa đảo. Bằng cách tạo ra các kịch bản lừa đảo thực tế và xác định dấu hiệu của các tin nhắn độc hại, AI tạo sinh bổ sung một lớp bảo vệ mạnh mẽ cho các chiến lược phòng chống lừa đảo. Bài học rút ra: AI có thể giúp phát hiện và vô hiệu hóa các cuộc tấn công lừa đảo nhanh hơn và chính xác hơn, ngay cả khi kẻ tấn công sử dụng cùng một công nghệ để nâng cao khả năng tấn công.

Phát hiện phần mềm độc hại và phân tích mối đe dọa

Phần mềm độc hại hiện đại không ngừng phát triển – kẻ tấn công tạo ra các biến thể mới hoặc làm rối mã để vượt qua chữ ký phần mềm diệt vi-rút. Trí tuệ nhân tạo (AI) tạo ra cung cấp các kỹ thuật mới để phát hiện phần mềm độc hại và hiểu hành vi của chúng. Một cách tiếp cận là sử dụng AI để tạo ra "bản sao độc hại" của phần mềm độc hại : các nhà nghiên cứu bảo mật có thể đưa một mẫu phần mềm độc hại đã biết vào một mô hình tạo ra để tạo ra nhiều biến thể đột biến của phần mềm độc hại đó. Bằng cách đó, họ có thể dự đoán hiệu quả những thay đổi mà kẻ tấn công có thể thực hiện. Những biến thể do AI tạo ra này sau đó có thể được sử dụng để huấn luyện các hệ thống phát hiện xâm nhập và chống vi-rút, do đó, ngay cả các phiên bản đã sửa đổi của phần mềm độc hại cũng có thể được nhận dạng trong thực tế ( 6 Trường hợp sử dụng AI tạo ra trong An ninh mạng [+ Ví dụ] ). Chiến lược chủ động này giúp phá vỡ vòng luẩn quẩn mà tin tặc thay đổi một chút phần mềm độc hại của chúng để tránh bị phát hiện và các bên bảo vệ phải vật lộn để viết chữ ký mới mỗi lần. Như đã lưu ý trong một podcast chuyên ngành, các chuyên gia bảo mật hiện sử dụng AI tạo ra để "mô phỏng lưu lượng mạng và tạo ra các tải trọng độc hại mô phỏng các cuộc tấn công tinh vi", kiểm tra khả năng phòng thủ của họ trước toàn bộ các mối đe dọa thay vì một trường hợp duy nhất. Tính năng phát hiện mối đe dọa thích ứng này có nghĩa là các công cụ bảo mật sẽ trở nên kiên cường hơn trước các loại phần mềm độc hại đa hình có thể lọt qua.

Ngoài khả năng phát hiện, AI tạo sinh hỗ trợ phân tích phần mềm độc hại và kỹ thuật đảo ngược , vốn là những nhiệm vụ đòi hỏi nhiều công sức đối với các nhà phân tích mối đe dọa. Các mô hình ngôn ngữ lớn có thể được giao nhiệm vụ kiểm tra mã hoặc tập lệnh đáng ngờ và giải thích bằng ngôn ngữ đơn giản mục đích của mã đó. Một ví dụ thực tế là VirusTotal Code Insight , một tính năng của VirusTotal thuộc Google, tận dụng mô hình AI tạo sinh (Sec-PaLM của Google) để tạo ra các bản tóm tắt bằng ngôn ngữ tự nhiên về mã có khả năng độc hại ( AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế ). Về cơ bản, đây là "một loại ChatGPT chuyên về mã hóa bảo mật", hoạt động như một nhà phân tích phần mềm độc hại AI làm việc 24/7 để giúp các nhà phân tích con người hiểu các mối đe dọa ( 6 trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ). Thay vì nghiên cứu kỹ tập lệnh hoặc mã nhị phân không quen thuộc, thành viên nhóm bảo mật có thể nhận được lời giải thích ngay lập tức từ AI - ví dụ: "Tập lệnh này cố gắng tải xuống tệp từ máy chủ XYZ ​​rồi sửa đổi cài đặt hệ thống, đây là dấu hiệu của hành vi phần mềm độc hại". Điều này giúp tăng tốc đáng kể tốc độ phản hồi sự cố, vì các nhà phân tích có thể phân loại và hiểu phần mềm độc hại mới nhanh hơn bao giờ hết.

Trí tuệ nhân tạo sinh ra cũng được sử dụng để xác định phần mềm độc hại trong các tập dữ liệu khổng lồ . Các công cụ chống vi-rút truyền thống quét các tệp để tìm các chữ ký đã biết, nhưng một mô hình sinh ra có thể đánh giá các đặc điểm của tệp và thậm chí dự đoán xem tệp đó có độc hại hay không dựa trên các mẫu đã học. Bằng cách phân tích các thuộc tính của hàng tỷ tệp (độc hại và lành tính), AI có thể phát hiện ra ý định độc hại khi không có chữ ký rõ ràng. Ví dụ: một mô hình sinh ra có thể đánh dấu một tệp thực thi là đáng ngờ vì hồ sơ hành vi của nó "trông" giống như một biến thể nhỏ của phần mềm tống tiền mà nó thấy trong quá trình đào tạo, mặc dù tệp nhị phân là mới. Phát hiện dựa trên hành vi này giúp chống lại phần mềm độc hại mới hoặc phần mềm độc hại zero-day. Trí tuệ nhân tạo Threat Intelligence của Google (một phần của Chronicle/Mandiant) được cho là sử dụng mô hình sinh ra của mình để phân tích mã độc tiềm ẩn và "hỗ trợ các chuyên gia bảo mật hiệu quả hơn trong việc chống lại phần mềm độc hại và các loại mối đe dọa khác". ( Trí tuệ nhân tạo sinh ra có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế ).

Mặt khác, chúng ta phải thừa nhận rằng những kẻ tấn công cũng có thể sử dụng AI tạo sinh ở đây - để tự động tạo phần mềm độc hại có khả năng thích ứng. Trên thực tế, các chuyên gia bảo mật cảnh báo rằng AI tạo sinh có thể giúp tội phạm mạng phát triển phần mềm độc hại khó phát hiện hơn ( AI tạo sinh trong an ninh mạng là gì? - Palo Alto Networks ). Một mô hình AI có thể được hướng dẫn để biến đổi một phần mềm độc hại nhiều lần (thay đổi cấu trúc tệp, phương pháp mã hóa, v.v.) cho đến khi nó tránh được tất cả các lần kiểm tra phần mềm diệt vi-rút đã biết. Việc sử dụng đối kháng này đang là mối lo ngại ngày càng tăng (đôi khi được gọi là "phần mềm độc hại hỗ trợ AI" hoặc phần mềm độc hại đa hình dưới dạng dịch vụ). Chúng ta sẽ thảo luận về những rủi ro như vậy sau, nhưng nó nhấn mạnh rằng AI tạo sinh là một công cụ trong trò chơi mèo vờn chuột này được cả bên phòng thủ và bên tấn công sử dụng.

Nhìn chung, AI tổng hợp tăng cường khả năng phòng thủ chống phần mềm độc hại bằng cách cho phép các nhóm bảo mật tư duy như một kẻ tấn công – tạo ra các mối đe dọa và giải pháp mới ngay tại chỗ. Cho dù đó là tạo ra phần mềm độc hại tổng hợp để cải thiện tỷ lệ phát hiện hay sử dụng AI để giải thích và ngăn chặn phần mềm độc hại thực sự được tìm thấy trong mạng, những kỹ thuật này đều áp dụng cho mọi ngành. Một ngân hàng có thể sử dụng phân tích phần mềm độc hại dựa trên AI để nhanh chóng phân tích một macro đáng ngờ trong bảng tính, trong khi một công ty sản xuất có thể dựa vào AI để phát hiện phần mềm độc hại nhắm mục tiêu vào các hệ thống điều khiển công nghiệp. Bằng cách bổ sung phân tích phần mềm độc hại truyền thống với AI tổng hợp, các tổ chức có thể phản ứng với các chiến dịch phần mềm độc hại nhanh hơn và chủ động hơn trước.

Tình báo mối đe dọa và phân tích tự động

Mỗi ngày, các tổ chức bị tấn công dồn dập bởi dữ liệu tình báo về mối đe dọa - từ nguồn cấp dữ liệu về các chỉ số xâm phạm (IOC) mới được phát hiện đến các báo cáo phân tích về các chiến thuật mới nổi của tin tặc. Thách thức đối với các đội ngũ bảo mật là sàng lọc thông tin này và rút ra những hiểu biết hữu ích. Trí tuệ nhân tạo (AI) đang chứng tỏ giá trị vô cùng to lớn trong việc tự động hóa việc phân tích và sử dụng thông tin tình báo về mối đe dọa . Thay vì phải đọc thủ công hàng chục báo cáo hoặc mục nhập cơ sở dữ liệu, các nhà phân tích có thể sử dụng AI để tóm tắt và ngữ cảnh hóa thông tin tình báo về mối đe dọa với tốc độ máy tính.

Threat Intelligence của Google , tích hợp AI tạo sinh (mô hình Gemini) với kho dữ liệu về mối đe dọa của Google từ Mandiant và VirusTotal. AI này cung cấp "tìm kiếm hội thoại trên kho lưu trữ thông tin tình báo về mối đe dọa khổng lồ của Google" , cho phép người dùng đặt câu hỏi tự nhiên về các mối đe dọa và nhận được câu trả lời cô đọng ( AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế ). Ví dụ: một nhà phân tích có thể hỏi: "Chúng ta đã thấy bất kỳ phần mềm độc hại nào liên quan đến Nhóm đe dọa X nhắm vào ngành của chúng ta chưa?" và AI sẽ đưa ra thông tin tình báo có liên quan, có thể ghi chú "Có, Nhóm đe dọa X đã được liên kết với một chiến dịch lừa đảo vào tháng trước bằng cách sử dụng phần mềm độc hại Y" , cùng với bản tóm tắt về hành vi của phần mềm độc hại đó. Điều này làm giảm đáng kể thời gian thu thập thông tin chi tiết mà nếu không sẽ yêu cầu truy vấn nhiều công cụ hoặc đọc các báo cáo dài.

Trí tuệ nhân tạo tạo sinh cũng có thể liên hệ và tóm tắt các xu hướng đe dọa . Nó có thể sàng lọc hàng nghìn bài đăng trên blog về bảo mật, tin tức về vi phạm và các cuộc trò chuyện trên dark web rồi tạo ra bản tóm tắt điều hành về "các mối đe dọa mạng hàng đầu trong tuần này" để báo cáo với CISO. Theo truyền thống, mức độ phân tích và báo cáo này đòi hỏi nhiều nỗ lực của con người; giờ đây, một mô hình được điều chỉnh tốt có thể soạn thảo nó trong vài giây, với con người chỉ tinh chỉnh đầu ra. Các công ty như ZeroFox đã phát triển FoxGPT , một công cụ AI tạo sinh được thiết kế đặc biệt để "tăng tốc quá trình phân tích và tóm tắt thông tin tình báo trên các tập dữ liệu lớn", bao gồm nội dung độc hại và dữ liệu lừa đảo ( AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế ). Bằng cách tự động hóa việc đọc và tham chiếu chéo dữ liệu, AI cho phép các nhóm tình báo về mối đe dọa tập trung vào việc ra quyết định và ứng phó.

Một trường hợp sử dụng khác là săn tìm mối đe dọa bằng đàm thoại . Hãy tưởng tượng một nhà phân tích bảo mật tương tác với trợ lý AI: "Cho tôi biết bất kỳ dấu hiệu rò rỉ dữ liệu nào trong 48 giờ qua" hoặc "Những lỗ hổng mới hàng đầu mà kẻ tấn công đang khai thác trong tuần này là gì?" AI có thể diễn giải truy vấn, tìm kiếm nhật ký nội bộ hoặc nguồn thông tin tình báo bên ngoài và trả lời bằng một câu trả lời rõ ràng hoặc thậm chí là một danh sách các sự cố có liên quan. Điều này không phải là xa vời - các hệ thống quản lý sự kiện và thông tin bảo mật (SIEM) hiện đại đang bắt đầu kết hợp truy vấn ngôn ngữ tự nhiên. Ví dụ, bộ bảo mật QRadar của IBM sẽ bổ sung các tính năng AI tạo sinh vào năm 2024 để cho phép các nhà phân tích "hỏi [...] các câu hỏi cụ thể về đường dẫn tấn công được tóm tắt" của một sự cố và nhận được câu trả lời chi tiết. Nó cũng có thể "diễn giải và tóm tắt thông tin tình báo về mối đe dọa có liên quan cao" ( AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế ). Về cơ bản, AI tạo sinh biến hàng núi dữ liệu kỹ thuật thành những hiểu biết có kích thước trò chuyện theo yêu cầu.

Điều này có ý nghĩa to lớn đối với nhiều ngành nghề. Nhà cung cấp dịch vụ chăm sóc sức khỏe có thể sử dụng AI để cập nhật thông tin về các nhóm ransomware mới nhất nhắm vào bệnh viện mà không cần phải phân tích viên toàn thời gian. SOC của một công ty bán lẻ có thể nhanh chóng tóm tắt các chiến thuật tấn công phần mềm độc hại POS mới khi hướng dẫn nhân viên CNTT cửa hàng. Và trong chính phủ, nơi dữ liệu về mối đe dọa từ nhiều cơ quan khác nhau phải được tổng hợp, AI có thể tạo ra các báo cáo thống nhất, làm nổi bật các cảnh báo quan trọng. Bằng cách tự động hóa việc thu thập và diễn giải thông tin tình báo về mối đe dọa , AI tổng hợp giúp các tổ chức phản ứng nhanh hơn với các mối đe dọa mới nổi và giảm nguy cơ bỏ lỡ các cảnh báo quan trọng ẩn sau các thông tin nhiễu.

Tối ưu hóa Trung tâm điều hành bảo mật (SOC)

Các Trung tâm Điều hành An ninh (SOC) nổi tiếng với tình trạng quá tải cảnh báo và khối lượng dữ liệu khổng lồ. Một chuyên viên phân tích SOC điển hình có thể phải xử lý hàng nghìn cảnh báo và sự kiện mỗi ngày để điều tra các sự cố tiềm ẩn. Trí tuệ nhân tạo (AI) đang đóng vai trò như một nhân tố tăng cường hiệu quả hoạt động trong SOC bằng cách tự động hóa các công việc thường lệ, cung cấp các bản tóm tắt thông minh, và thậm chí là điều phối một số phản ứng. Mục tiêu là tối ưu hóa quy trình làm việc của SOC để các chuyên viên phân tích có thể tập trung vào những vấn đề quan trọng nhất trong khi AI xử lý phần còn lại.

Một ứng dụng chính là sử dụng AI tạo sinh như một "Người đồng hành của nhà phân tích" . Microsoft's Security Copilot, đã đề cập trước đó, minh họa điều này: nó "được thiết kế để hỗ trợ công việc của nhà phân tích bảo mật hơn là thay thế nó", giúp điều tra và báo cáo sự cố ( Microsoft Security Copilot là trợ lý AI GPT-4 mới dành cho an ninh mạng | The Verge ). Trên thực tế, điều này có nghĩa là nhà phân tích có thể nhập dữ liệu thô - nhật ký tường lửa, dòng thời gian sự kiện hoặc mô tả sự cố - và yêu cầu AI phân tích hoặc tóm tắt dữ liệu đó. Người đồng hành có thể đưa ra một câu chuyện như, "Có vẻ như lúc 2:35 sáng, một lần đăng nhập đáng ngờ từ IP X đã thành công trên Máy chủ Y, tiếp theo là các lần chuyển dữ liệu bất thường, cho thấy khả năng vi phạm máy chủ đó". Loại ngữ cảnh hóa ngay lập tức này vô cùng quý giá khi thời gian là yếu tố cốt yếu.

Trợ lý AI cũng giúp giảm gánh nặng phân loại cấp độ 1. Theo dữ liệu của ngành, một nhóm bảo mật có thể mất 15 giờ một tuần chỉ để phân loại khoảng 22.000 cảnh báo và cảnh báo dương tính giả ( 6 Trường hợp sử dụng AI tạo sinh trong An ninh mạng [+ Ví dụ] ). Với AI tạo sinh, nhiều cảnh báo trong số này có thể được phân loại tự động - AI có thể loại bỏ những cảnh báo rõ ràng là vô hại (với lý do đưa ra) và làm nổi bật những cảnh báo thực sự cần chú ý, đôi khi thậm chí còn đề xuất mức độ ưu tiên. Trên thực tế, sức mạnh của AI tạo sinh trong việc hiểu ngữ cảnh có nghĩa là nó có thể liên hệ chéo các cảnh báo có vẻ vô hại khi đứng riêng lẻ nhưng khi kết hợp lại thì chỉ ra một cuộc tấn công nhiều giai đoạn. Điều này làm giảm khả năng bỏ lỡ một cuộc tấn công do "mệt mỏi cảnh báo".

Các nhà phân tích SOC cũng đang sử dụng ngôn ngữ tự nhiên với AI để tăng tốc quá trình tìm kiếm và điều tra. Purple AI kết hợp giao diện dựa trên LLM với dữ liệu bảo mật thời gian thực, cho phép các nhà phân tích "đặt những câu hỏi săn tìm mối đe dọa phức tạp bằng tiếng Anh đơn giản và nhận được câu trả lời nhanh chóng, chính xác" ( AI tạo sinh có thể được sử dụng trong an ninh mạng như thế nào? 10 ví dụ thực tế ). Một nhà phân tích có thể nhập, "Có bất kỳ điểm cuối nào đã giao tiếp với tên miền badguy123[.]com trong tháng qua không?" và Purple AI sẽ tìm kiếm qua nhật ký để phản hồi. Điều này giúp nhà phân tích không phải viết các truy vấn hoặc tập lệnh cơ sở dữ liệu - AI sẽ thực hiện việc đó một cách ẩn. Điều này cũng có nghĩa là các nhà phân tích mới vào nghề có thể xử lý các nhiệm vụ trước đây yêu cầu một kỹ sư dày dặn kinh nghiệm có kỹ năng về ngôn ngữ truy vấn, nâng cao hiệu quả kỹ năng của nhóm thông qua sự hỗ trợ của AI . Thật vậy, các nhà phân tích báo cáo rằng hướng dẫn AI tạo ra “nâng cao kỹ năng và trình độ của họ” , vì nhân viên cấp dưới hiện có thể nhận được hỗ trợ mã hóa theo yêu cầu hoặc các mẹo phân tích từ AI, giảm sự phụ thuộc vào việc luôn phải nhờ đến sự trợ giúp của các thành viên nhóm cấp cao ( 6 Trường hợp sử dụng AI tạo ra trong An ninh mạng [+ Ví dụ] ).

Một tối ưu hóa SOC khác là tóm tắt và ghi chép sự cố tự động . Sau khi sự cố được xử lý, ai đó phải viết báo cáo - một nhiệm vụ mà nhiều người thấy tẻ nhạt. Trí tuệ nhân tạo tạo ra có thể lấy dữ liệu pháp y (nhật ký hệ thống, phân tích phần mềm độc hại, dòng thời gian hành động) và tạo báo cáo sự cố bản nháp đầu tiên. IBM đang tích hợp khả năng này vào QRadar để chỉ với "một cú nhấp chuột", bản tóm tắt sự cố có thể được tạo cho các bên liên quan khác nhau (giám đốc điều hành, nhóm CNTT, v.v.) ( AI tạo ra có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế ). Điều này không chỉ tiết kiệm thời gian mà còn đảm bảo không có thông tin nào bị bỏ sót trong báo cáo, vì AI có thể bao gồm tất cả các chi tiết có liên quan một cách nhất quán. Tương tự như vậy, để tuân thủ và kiểm toán, AI có thể điền vào các biểu mẫu hoặc bảng bằng chứng dựa trên dữ liệu sự cố.

Kết quả thực tế rất thuyết phục. Những người áp dụng sớm SOAR (điều phối bảo mật, tự động hóa và phản hồi) do AI điều khiển của Swimlane báo cáo mức tăng năng suất khổng lồ – Ví dụ, Global Data Systems đã chứng kiến ​​nhóm SecOps của họ quản lý khối lượng công việc lớn hơn nhiều; một giám đốc cho biết "những gì tôi làm ngày nay với 7 nhà phân tích có lẽ sẽ cần 20 nhân viên mà không có" tính năng tự động hóa hỗ trợ bởi AI ( Làm thế nào để sử dụng AI tạo sinh trong an ninh mạng ). Nói cách khác, AI trong SOC có thể nhân lên năng lực . Trong các ngành, cho dù đó là một công ty công nghệ xử lý cảnh báo bảo mật đám mây hay một nhà máy sản xuất giám sát hệ thống OT, các nhóm SOC có thể phát hiện và phản hồi nhanh hơn, ít sự cố bị bỏ sót hơn và hoạt động hiệu quả hơn bằng cách áp dụng trợ lý AI tạo sinh. Đó là làm việc thông minh hơn – cho phép máy móc xử lý các nhiệm vụ lặp đi lặp lại và nhiều dữ liệu để con người có thể áp dụng trực giác và chuyên môn của mình vào nơi quan trọng nhất.

Quản lý lỗ hổng và mô phỏng mối đe dọa

Xác định và quản lý lỗ hổng bảo mật - điểm yếu trong phần mềm hoặc hệ thống mà kẻ tấn công có thể khai thác - là một chức năng cốt lõi của an ninh mạng. Trí tuệ nhân tạo (AI) đang tăng cường quản lý lỗ hổng bảo mật bằng cách đẩy nhanh quá trình phát hiện, hỗ trợ ưu tiên bản vá, và thậm chí mô phỏng các cuộc tấn công vào những lỗ hổng đó để nâng cao khả năng phòng vệ. Về bản chất, AI đang giúp các tổ chức tìm và khắc phục các lỗ hổng bảo mật nhanh hơn, đồng thời chủ động kiểm tra hệ thống phòng thủ trước khi kẻ tấn công thực sự làm điều đó.

Một ứng dụng quan trọng là sử dụng AI tạo sinh để tự động đánh giá mã và phát hiện lỗ hổng . Các cơ sở mã lớn (đặc biệt là các hệ thống cũ) thường ẩn chứa các lỗ hổng bảo mật không được chú ý. Các mô hình AI tạo sinh có thể được đào tạo về các phương pháp mã hóa an toàn và các mẫu lỗi phổ biến, sau đó được triển khai trên mã nguồn hoặc các tệp nhị phân đã biên dịch để tìm các lỗ hổng tiềm ẩn. Ví dụ: các nhà nghiên cứu của NVIDIA đã phát triển một quy trình AI tạo sinh có thể phân tích các thùng chứa phần mềm cũ và xác định các lỗ hổng "với độ chính xác cao — nhanh hơn tới 4 lần so với các chuyên gia con người". ( 6 Trường hợp sử dụng AI tạo sinh trong An ninh mạng [+ Ví dụ] ). Về cơ bản, AI đã học được mã không an toàn trông như thế nào và có thể quét qua phần mềm đã cũ hàng thập kỷ để đánh dấu các hàm và thư viện rủi ro, giúp tăng tốc đáng kể quá trình kiểm tra mã thủ công vốn chậm chạp. Loại công cụ này có thể là một bước ngoặt đối với các ngành như tài chính hoặc chính phủ dựa vào các cơ sở mã lớn, cũ hơn - AI giúp hiện đại hóa bảo mật bằng cách đào sâu tìm ra các vấn đề mà nhân viên có thể mất hàng tháng hoặc hàng năm để tìm ra (nếu có).

Trí tuệ nhân tạo tạo sinh cũng hỗ trợ quy trình quản lý lỗ hổng bằng cách xử lý kết quả quét lỗ hổng và ưu tiên chúng. Các công cụ như ExposureAI sử dụng AI tạo sinh để cho phép các nhà phân tích truy vấn dữ liệu lỗ hổng bằng ngôn ngữ đơn giản và nhận được câu trả lời ngay lập tức ( AI tạo sinh có thể được sử dụng như thế nào trong An ninh mạng? 10 ví dụ thực tế ). ExposureAI có thể "tóm tắt toàn bộ đường dẫn tấn công trong một tường thuật" cho một lỗ hổng nghiêm trọng nhất định, giải thích cách kẻ tấn công có thể kết hợp nó với các điểm yếu khác để xâm phạm hệ thống. Nó thậm chí còn đề xuất các hành động để khắc phục và trả lời các câu hỏi tiếp theo về rủi ro. Điều này có nghĩa là khi một CVE (Lỗ hổng và Điểm tiếp xúc phổ biến) quan trọng mới được công bố, một nhà phân tích có thể hỏi AI, "Có máy chủ nào của chúng tôi bị ảnh hưởng bởi CVE này không và trường hợp xấu nhất nếu chúng tôi không vá là gì?" và nhận được đánh giá rõ ràng được rút ra từ dữ liệu quét của chính tổ chức. Bằng cách ngữ cảnh hóa các lỗ hổng (ví dụ: lỗ hổng này bị lộ trên internet và trên máy chủ có giá trị cao, vì vậy nó là ưu tiên hàng đầu), AI tạo sinh giúp các nhóm vá thông minh với các nguồn lực hạn chế.

Ngoài việc tìm kiếm và quản lý các lỗ hổng đã biết, AI tạo sinh còn góp phần vào việc thử nghiệm xâm nhập và mô phỏng tấn công - về cơ bản là phát hiện chưa biết hoặc thử nghiệm các biện pháp kiểm soát bảo mật. Mạng đối kháng tạo sinh (GAN), một loại AI tạo sinh, đã được sử dụng để tạo dữ liệu tổng hợp mô phỏng lưu lượng mạng thực hoặc hành vi của người dùng, có thể bao gồm các mẫu tấn công ẩn. Một nghiên cứu năm 2023 đề xuất sử dụng GAN để tạo lưu lượng tấn công zero-day thực tế để đào tạo các hệ thống phát hiện xâm nhập ( 6 Trường hợp sử dụng AI tạo sinh trong An ninh mạng [+ Ví dụ] ). Bằng cách cung cấp cho IDS các kịch bản tấn công do AI tạo ra (không có nguy cơ sử dụng phần mềm độc hại thực tế trên mạng sản xuất), các tổ chức có thể đào tạo hệ thống phòng thủ của mình để nhận ra các mối đe dọa mới mà không cần chờ bị chúng tấn công trong thực tế. Tương tự như vậy, AI có thể mô phỏng kẻ tấn công đang thăm dò hệ thống - ví dụ, tự động thử các kỹ thuật khai thác khác nhau trong môi trường an toàn để xem có kỹ thuật nào thành công không. Cơ quan Dự án Nghiên cứu Tiên tiến Quốc phòng Hoa Kỳ (DARPA) nhìn thấy triển vọng ở đây: Thử thách An ninh mạng AI năm 2023 của họ sử dụng AI tạo sinh (giống như các mô hình ngôn ngữ lớn) để "tự động tìm và khắc phục các lỗ hổng trong phần mềm nguồn mở" như một phần của cuộc thi ( DARPA hướng đến phát triển AI, các ứng dụng tự động mà chiến binh có thể tin tưởng > Bộ Quốc phòng Hoa Kỳ > Tin tức Bộ Quốc phòng ). Sáng kiến ​​này nhấn mạnh rằng AI không chỉ giúp vá các lỗ hổng đã biết; nó còn tích cực phát hiện ra các lỗ hổng mới và đề xuất các bản sửa lỗi, một nhiệm vụ thường chỉ dành cho các nhà nghiên cứu bảo mật lành nghề (và tốn kém).

Trí tuệ nhân tạo tạo ra thậm chí có thể tạo ra các honeypot thông minh và bản sao kỹ thuật số để phòng thủ. Các công ty khởi nghiệp đang phát triển các hệ thống mồi nhử do AI điều khiển có khả năng mô phỏng một cách thuyết phục các máy chủ hoặc thiết bị thực. Như một CEO đã giải thích, AI tạo ra có thể "nhân bản các hệ thống kỹ thuật số để bắt chước các hệ thống thực và dụ dỗ tin tặc" ( 6 Trường hợp sử dụng AI tạo ra trong An ninh mạng [+ Ví dụ] ). Các honeypot do AI tạo ra này hoạt động giống như môi trường thực (ví dụ: một thiết bị IoT giả gửi dữ liệu đo từ xa thông thường) nhưng chỉ tồn tại để thu hút kẻ tấn công. Khi kẻ tấn công nhắm mục tiêu vào mồi nhử, về cơ bản AI đã lừa chúng tiết lộ các phương pháp của chúng, sau đó những người phòng thủ có thể nghiên cứu và sử dụng để củng cố các hệ thống thực. Khái niệm này, được hỗ trợ bởi mô hình tạo ra, cung cấp một cách hướng tới tương lai để lật ngược thế cờ trước những kẻ tấn công , bằng cách sử dụng sự lừa dối được tăng cường bởi AI.

Trong mọi ngành, việc quản lý lỗ hổng bảo mật nhanh hơn và thông minh hơn đồng nghĩa với việc giảm thiểu vi phạm. Ví dụ, trong lĩnh vực CNTT chăm sóc sức khỏe, AI có thể nhanh chóng phát hiện một thư viện lỗi thời dễ bị tấn công trong thiết bị y tế và nhanh chóng sửa lỗi phần mềm hệ thống trước khi kẻ tấn công khai thác. Trong lĩnh vực ngân hàng, AI có thể mô phỏng một cuộc tấn công nội bộ vào một ứng dụng mới để đảm bảo dữ liệu khách hàng luôn an toàn trong mọi tình huống. Do đó, AI tạo sinh đóng vai trò vừa là kính hiển vi vừa là công cụ kiểm tra sức chịu đựng cho hệ thống bảo mật của các tổ chức: nó làm sáng tỏ các lỗ hổng tiềm ẩn và tạo áp lực lên hệ thống theo những cách sáng tạo để đảm bảo khả năng phục hồi.

Tạo mã bảo mật và phát triển phần mềm

Trí tuệ nhân tạo (AI) không chỉ giới hạn ở việc phát hiện các cuộc tấn công – chúng còn mở rộng sang việc tạo ra các hệ thống an toàn hơn ngay từ đầu . Trong phát triển phần mềm, các trình tạo mã AI (như GitHub Copilot, OpenAI Codex, v.v.) có thể giúp các nhà phát triển viết mã nhanh hơn bằng cách đề xuất các đoạn mã hoặc thậm chí toàn bộ hàm. Góc độ an ninh mạng là đảm bảo các đoạn mã do AI đề xuất này an toàn và sử dụng AI để cải thiện quy trình lập trình.

Một mặt, AI tạo sinh có thể hoạt động như một trợ lý mã hóa nhúng các biện pháp bảo mật tốt nhất . Các nhà phát triển có thể nhắc nhở một công cụ AI, "Tạo hàm đặt lại mật khẩu trong Python" và lý tưởng nhất là lấy lại mã không chỉ hoạt động mà còn tuân theo các hướng dẫn bảo mật (ví dụ: xác thực đầu vào phù hợp, ghi nhật ký, xử lý lỗi mà không làm rò rỉ thông tin, v.v.). Một trợ lý như vậy, được đào tạo về các ví dụ mã bảo mật mở rộng, có thể giúp giảm thiểu lỗi của con người dẫn đến lỗ hổng bảo mật. Ví dụ: nếu nhà phát triển quên khử trùng đầu vào của người dùng (mở đường cho SQL injection hoặc các vấn đề tương tự), AI có thể bao gồm điều đó theo mặc định hoặc cảnh báo họ. Một số công cụ mã hóa AI hiện đang được tinh chỉnh với dữ liệu tập trung vào bảo mật để phục vụ mục đích chính xác này - về cơ bản, lập trình cặp AI với ý thức bảo mật .

Tuy nhiên, có một mặt trái: AI tạo sinh cũng có thể dễ dàng gây ra lỗ hổng nếu không được quản lý đúng cách. Như chuyên gia bảo mật của Sophos, Ben Verschaeren đã lưu ý, việc sử dụng AI tạo sinh để mã hóa là "tốt cho mã ngắn, có thể xác minh, nhưng rủi ro khi mã không được kiểm tra được tích hợp" vào các hệ thống sản xuất. Rủi ro là AI có thể tạo ra mã đúng về mặt logic nhưng không an toàn theo cách mà người không phải chuyên gia có thể không nhận thấy. Hơn nữa, các tác nhân độc hại có thể cố tình tác động đến các mô hình AI công khai bằng cách gieo mầm cho chúng các mẫu mã dễ bị tấn công (một hình thức đầu độc dữ liệu) để AI gợi ý mã không an toàn. Hầu hết các nhà phát triển không phải là chuyên gia bảo mật , vì vậy nếu AI gợi ý một giải pháp thuận tiện, họ có thể sử dụng nó một cách mù quáng mà không nhận ra rằng nó có lỗ hổng ( 6 Trường hợp sử dụng AI tạo sinh trong An ninh mạng [+ Ví dụ] ). Mối lo ngại này là có thật - trên thực tế, hiện có danh sách OWASP Top 10 dành cho LLM (mô hình ngôn ngữ lớn) phác thảo những rủi ro phổ biến như thế này khi sử dụng AI để mã hóa.

Để giải quyết những vấn đề này, các chuyên gia đề xuất "chống lại AI tạo sinh bằng AI tạo sinh" trong lĩnh vực mã hóa. Trên thực tế, điều đó có nghĩa là sử dụng AI để xem xét và kiểm tra mã do AI khác (hoặc con người) viết. Một AI có thể quét qua các cam kết mã mới nhanh hơn nhiều so với người đánh giá mã và đánh dấu các lỗ hổng tiềm ẩn hoặc các vấn đề logic. Chúng ta đã thấy các công cụ mới nổi tích hợp vào vòng đời phát triển phần mềm: mã được viết (có thể với sự trợ giúp của AI), sau đó một mô hình tạo sinh được đào tạo theo các nguyên tắc mã bảo mật sẽ xem xét mã đó và tạo báo cáo về bất kỳ mối quan ngại nào (ví dụ: sử dụng các hàm đã lỗi thời, thiếu kiểm tra xác thực, v.v.). Nghiên cứu của NVIDIA, được đề cập trước đó, đạt được khả năng phát hiện lỗ hổng trong mã nhanh hơn 4 lần là một ví dụ về việc khai thác AI để phân tích mã bảo mật ( 6 Trường hợp sử dụng AI tạo sinh trong An ninh mạng [+ Ví dụ] ).

Hơn nữa, AI tạo sinh có thể hỗ trợ tạo cấu hình và tập lệnh bảo mật . Ví dụ: nếu một công ty cần triển khai cơ sở hạ tầng đám mây an toàn, kỹ sư có thể yêu cầu AI tạo tập lệnh cấu hình (Cơ sở hạ tầng dưới dạng Mã) với các biện pháp kiểm soát bảo mật (như phân đoạn mạng phù hợp, vai trò IAM có đặc quyền tối thiểu) được tích hợp sẵn. Sau khi được đào tạo trên hàng nghìn cấu hình như vậy, AI có thể tạo ra một đường cơ sở để kỹ sư tinh chỉnh. Điều này giúp đẩy nhanh quá trình thiết lập hệ thống an toàn và giảm thiểu lỗi cấu hình sai - một nguyên nhân phổ biến gây ra sự cố bảo mật đám mây.

Một số tổ chức cũng đang tận dụng AI tạo sinh để duy trì cơ sở kiến ​​thức về các mẫu mã hóa an toàn. Nếu nhà phát triển không chắc chắn về cách triển khai một tính năng nhất định một cách an toàn, họ có thể truy vấn AI nội bộ đã học được từ các dự án và hướng dẫn bảo mật trước đây của công ty. AI có thể trả về một phương pháp được đề xuất hoặc thậm chí là đoạn mã phù hợp với cả yêu cầu chức năng và tiêu chuẩn bảo mật của công ty. Phương pháp này đã được sử dụng bởi các công cụ như Tự động hóa bảng câu hỏi của Secureframe , công cụ này lấy câu trả lời từ các chính sách và giải pháp trước đây của công ty để đảm bảo phản hồi nhất quán và chính xác (về cơ bản là tạo tài liệu bảo mật) ( AI tạo sinh có thể được sử dụng như thế nào trong An ninh mạng? 10 ví dụ thực tế ). Khái niệm này được dịch thành mã hóa: một AI "ghi nhớ" cách bạn triển khai một cách an toàn trước đây và hướng dẫn bạn thực hiện lại theo cách đó.

Tóm lại, AI tạo sinh đang tác động đến quá trình phát triển phần mềm bằng cách giúp việc hỗ trợ lập trình bảo mật dễ tiếp cận hơn . Các ngành công nghiệp phát triển nhiều phần mềm tùy chỉnh – công nghệ, tài chính, quốc phòng, v.v. – sẽ được hưởng lợi từ việc có các AI hỗ trợ, không chỉ tăng tốc quá trình lập trình mà còn đóng vai trò như một người đánh giá bảo mật luôn cảnh giác. Khi được quản lý đúng cách, các công cụ AI này có thể giảm thiểu việc xuất hiện các lỗ hổng bảo mật mới và giúp các nhóm phát triển tuân thủ các phương pháp hay nhất, ngay cả khi nhóm không có chuyên gia bảo mật tham gia vào mọi bước. Kết quả là phần mềm sẽ mạnh mẽ hơn trước các cuộc tấn công ngay từ ngày đầu tiên.

Hỗ trợ ứng phó sự cố

Khi xảy ra sự cố an ninh mạng – dù là sự cố phần mềm độc hại, vi phạm dữ liệu hay sự cố hệ thống do tấn công – thời gian là vô cùng quan trọng. Trí tuệ nhân tạo (AI) đang ngày càng được sử dụng rộng rãi để hỗ trợ các nhóm ứng phó sự cố (IR) trong việc ngăn chặn và khắc phục sự cố nhanh hơn với nhiều thông tin hơn. Ý tưởng là AI có thể gánh vác một phần gánh nặng điều tra và ghi chép trong quá trình xảy ra sự cố, thậm chí đề xuất hoặc tự động hóa một số hành động ứng phó.

Một vai trò quan trọng của AI trong IR là phân tích và tóm tắt sự cố theo thời gian thực . Trong quá trình xảy ra sự cố, người ứng phó có thể cần câu trả lời cho các câu hỏi như "Kẻ tấn công đã xâm nhập bằng cách nào?" , "Những hệ thống nào bị ảnh hưởng?" và "Dữ liệu nào có thể bị xâm phạm?" . AI tạo sinh có thể phân tích nhật ký, cảnh báo và dữ liệu pháp y từ các hệ thống bị ảnh hưởng và nhanh chóng cung cấp thông tin chi tiết. Ví dụ: Microsoft Security Copilot cho phép người ứng phó sự cố đưa vào nhiều bằng chứng khác nhau (tệp, URL, nhật ký sự kiện) và yêu cầu dòng thời gian hoặc tóm tắt ( Microsoft Security Copilot là trợ lý AI GPT-4 mới dành cho an ninh mạng | The Verge ). AI có thể phản hồi bằng: "Vụ vi phạm có thể bắt đầu bằng một email lừa đảo gửi đến người dùng JohnDoe lúc 10:53 GMT có chứa phần mềm độc hại X. Sau khi được thực thi, phần mềm độc hại đã tạo ra một cửa hậu được sử dụng hai ngày sau đó để di chuyển ngang đến máy chủ tài chính, nơi nó thu thập dữ liệu." Việc có được bức tranh mạch lạc này trong vài phút thay vì vài giờ cho phép nhóm đưa ra quyết định sáng suốt (như hệ thống nào cần cô lập) nhanh hơn nhiều.

Trí tuệ nhân tạo tạo ra cũng có thể đề xuất các hành động ngăn chặn và khắc phục . Ví dụ: nếu một điểm cuối bị nhiễm phần mềm tống tiền, một công cụ AI có thể tạo một tập lệnh hoặc một bộ hướng dẫn để cô lập máy đó, vô hiệu hóa một số tài khoản nhất định và chặn các IP độc hại đã biết trên tường lửa - về cơ bản là thực thi theo kịch bản. Palo Alto Networks lưu ý rằng AI tạo ra có khả năng "tạo ra các hành động hoặc tập lệnh phù hợp dựa trên bản chất của sự cố" , tự động hóa các bước phản hồi ban đầu ( AI tạo ra trong an ninh mạng là gì? - Palo Alto Networks ). Trong trường hợp nhóm bảo mật bị quá tải (giả sử một cuộc tấn công lan rộng trên hàng trăm thiết bị), AI thậm chí có thể trực tiếp thực hiện một số hành động này trong các điều kiện được phê duyệt trước, hoạt động như một người phản hồi cấp dưới làm việc không biết mệt mỏi. Ví dụ: một tác nhân AI có thể tự động đặt lại thông tin đăng nhập mà nó cho là đã bị xâm phạm hoặc cách ly các máy chủ có hoạt động độc hại khớp với hồ sơ của sự cố.

Trong quá trình ứng phó sự cố, giao tiếp là rất quan trọng - cả trong nhóm và với các bên liên quan. AI tạo ra có thể hỗ trợ bằng cách soạn thảo báo cáo cập nhật sự cố hoặc tóm tắt ngay lập tức . Thay vì một kỹ sư dừng xử lý sự cố để viết bản cập nhật qua email, họ có thể yêu cầu AI, "Tóm tắt những gì đã xảy ra trong sự cố này cho đến nay để thông báo cho các giám đốc điều hành". Sau khi tiếp nhận dữ liệu sự cố, AI có thể tạo ra một bản tóm tắt ngắn gọn: "Tính đến 3 giờ chiều, kẻ tấn công đã truy cập vào 2 tài khoản người dùng và 5 máy chủ. Dữ liệu bị ảnh hưởng bao gồm hồ sơ khách hàng trong cơ sở dữ liệu X. Các biện pháp ngăn chặn: Quyền truy cập VPN cho các tài khoản bị xâm phạm đã bị thu hồi và máy chủ bị cô lập. Các bước tiếp theo: quét bất kỳ cơ chế duy trì nào". Sau đó, người ứng phó có thể nhanh chóng xác minh hoặc điều chỉnh thông tin này và gửi đi, đảm bảo các bên liên quan được cập nhật thông tin chính xác, cập nhật từng phút.

Sau khi mọi việc lắng xuống, thường sẽ có một báo cáo sự cố chi tiết cần chuẩn bị và các bài học kinh nghiệm cần tổng hợp. Đây là một lĩnh vực khác mà sự hỗ trợ của AI tỏ ra hiệu quả. AI có thể xem xét tất cả dữ liệu sự cố và tạo báo cáo hậu sự cố bao gồm nguyên nhân gốc rễ, trình tự thời gian, tác động và các khuyến nghị. Ví dụ, IBM đang tích hợp AI tạo sinh để tạo ra "bản tóm tắt đơn giản về các trường hợp và sự cố bảo mật có thể được chia sẻ với các bên liên quan" chỉ bằng một nút bấm ( AI tạo sinh có thể được sử dụng như thế nào trong An ninh mạng? 10 Ví dụ thực tế ). Bằng cách hợp lý hóa báo cáo hậu sự cố, các tổ chức có thể triển khai các cải tiến nhanh hơn và cũng có tài liệu tốt hơn cho mục đích tuân thủ.

Một ứng dụng sáng tạo hướng tới tương lai là mô phỏng sự cố do AI điều khiển . Tương tự như cách người ta thực hiện diễn tập phòng cháy chữa cháy, một số công ty đang sử dụng AI tạo sinh để chạy thử các kịch bản sự cố "nếu như". AI có thể mô phỏng cách ransomware lây lan dựa trên sơ đồ mạng, hoặc cách một kẻ nội gián có thể đánh cắp dữ liệu, sau đó đánh giá hiệu quả của các kế hoạch ứng phó hiện tại. Điều này giúp các nhóm chuẩn bị và tinh chỉnh các kịch bản ứng phó trước khi sự cố thực sự xảy ra. Nó giống như có một cố vấn ứng phó sự cố luôn được cải thiện, liên tục kiểm tra mức độ sẵn sàng của bạn.

Trong các ngành công nghiệp có rủi ro cao như tài chính hoặc chăm sóc sức khỏe, nơi thời gian chết hoặc mất dữ liệu từ các sự cố đặc biệt tốn kém, các khả năng IR do AI điều khiển này rất hấp dẫn. Một bệnh viện gặp sự cố mạng không thể để hệ thống ngừng hoạt động kéo dài - một AI nhanh chóng hỗ trợ ngăn chặn có thể thực sự cứu sống. Tương tự như vậy, một tổ chức tài chính có thể sử dụng AI để xử lý việc phân loại ban đầu một vụ xâm nhập gian lận bị nghi ngờ lúc 3 giờ sáng, do đó, khi nhân viên trực ban trực tuyến, rất nhiều công việc cơ bản (đăng xuất khỏi các tài khoản bị ảnh hưởng, chặn giao dịch, v.v.) đã được thực hiện. Bằng cách tăng cường các nhóm ứng phó sự cố với AI tạo sinh , các tổ chức có thể giảm đáng kể thời gian phản hồi và cải thiện tính kỹ lưỡng trong việc xử lý của họ, cuối cùng là giảm thiểu thiệt hại từ các sự cố mạng.

Phân tích hành vi và phát hiện bất thường

Nhiều cuộc tấn công mạng có thể bị phát hiện bằng cách nhận biết khi có điều gì đó bất thường - chẳng hạn như tài khoản người dùng tải xuống một lượng dữ liệu bất thường hay thiết bị mạng đột nhiên kết nối với một máy chủ lạ. Trí tuệ nhân tạo (AI) cung cấp các kỹ thuật tiên tiến để phân tích hành vi và phát hiện bất thường , học các mô hình thông thường của người dùng và hệ thống, sau đó đánh dấu khi có điều gì đó bất thường.

Phát hiện bất thường truyền thống thường sử dụng ngưỡng thống kê hoặc học máy đơn giản trên các số liệu cụ thể (mức sử dụng CPU tăng đột biến, đăng nhập vào giờ lẻ, v.v.). Trí tuệ nhân tạo tạo ra có thể đưa điều này tiến xa hơn bằng cách tạo ra các hồ sơ hành vi sắc thái hơn. Ví dụ: mô hình AI có thể thu thập thông tin đăng nhập, kiểu truy cập tệp và thói quen gửi email của một nhân viên theo thời gian và hình thành nên sự hiểu biết đa chiều về "mức bình thường" của người dùng đó. Nếu sau đó tài khoản đó thực hiện điều gì đó vượt quá mức bình thường của nó (như đăng nhập từ một quốc gia mới và truy cập vào kho tệp HR lúc nửa đêm), AI sẽ phát hiện ra sự sai lệch không chỉ trên một số liệu mà là toàn bộ kiểu hành vi không phù hợp với hồ sơ của người dùng. Về mặt kỹ thuật, các mô hình tạo ra (như bộ mã hóa tự động hoặc mô hình chuỗi) có thể mô hình hóa hình dạng "bình thường" và sau đó tạo ra một phạm vi hành vi dự kiến. Khi thực tế nằm ngoài phạm vi đó, nó sẽ được gắn cờ là bất thường ( AI tạo ra trong an ninh mạng là gì? - Palo Alto Networks ).

Một triển khai thực tế là trong giám sát lưu lượng mạng . Theo một khảo sát năm 2024, 54% các tổ chức Hoa Kỳ đã trích dẫn giám sát lưu lượng mạng là trường hợp sử dụng hàng đầu của AI trong an ninh mạng ( Bắc Mỹ: các trường hợp sử dụng AI hàng đầu trong an ninh mạng toàn cầu năm 2024 ). AI tạo sinh có thể học các mẫu giao tiếp thông thường của mạng doanh nghiệp - máy chủ nào thường giao tiếp với nhau, khối lượng dữ liệu di chuyển trong giờ làm việc so với ban đêm, v.v. Nếu kẻ tấn công bắt đầu đánh cắp dữ liệu từ máy chủ, ngay cả khi chậm để tránh bị phát hiện, hệ thống dựa trên AI có thể nhận thấy rằng "Máy chủ A không bao giờ gửi 500MB dữ liệu lúc 2 giờ sáng đến một IP bên ngoài" và đưa ra cảnh báo. Vì AI không chỉ sử dụng các quy tắc tĩnh mà còn là một mô hình đang phát triển về hành vi mạng, nên nó có thể phát hiện các bất thường tinh vi mà các quy tắc tĩnh (như "cảnh báo nếu dữ liệu > X MB") có thể bỏ lỡ hoặc gắn cờ nhầm. Bản chất thích ứng này là điều khiến khả năng phát hiện bất thường do AI điều khiển trở nên mạnh mẽ trong các môi trường như mạng giao dịch ngân hàng, cơ sở hạ tầng đám mây hoặc đội thiết bị IoT, nơi việc xác định các quy tắc cố định cho bình thường so với bất thường là cực kỳ phức tạp.

Trí tuệ nhân tạo tạo ra cũng hỗ trợ phân tích hành vi người dùng (UBA) , đây là chìa khóa để phát hiện các mối đe dọa nội gián hoặc tài khoản bị xâm phạm. Bằng cách tạo ra một đường cơ sở cho mỗi người dùng hoặc thực thể, AI có thể phát hiện những điều như việc sử dụng sai thông tin xác thực. Ví dụ: nếu Bob từ bộ phận kế toán đột nhiên bắt đầu truy vấn cơ sở dữ liệu khách hàng (điều mà anh ấy chưa từng làm trước đây), thì mô hình AI cho hành vi của Bob sẽ đánh dấu điều này là bất thường. Có thể không phải là phần mềm độc hại - có thể là thông tin xác thực của Bob bị đánh cắp và bị kẻ tấn công sử dụng hoặc Bob đang thăm dò nơi anh ấy không nên. Dù bằng cách nào, nhóm bảo mật cũng sẽ được cảnh báo để điều tra. Các hệ thống UBA do AI điều khiển như vậy tồn tại trong nhiều sản phẩm bảo mật khác nhau và các kỹ thuật mô hình hóa tạo ra đang đẩy độ chính xác của chúng lên cao hơn và giảm báo động giả bằng cách xem xét bối cảnh (có thể Bob đang thực hiện một dự án đặc biệt, v.v., mà đôi khi AI có thể suy ra từ dữ liệu khác).

Trong lĩnh vực quản lý danh tính và quyền truy cập, phát hiện deepfake là một nhu cầu ngày càng tăng – AI tạo sinh có thể tạo ra giọng nói và video tổng hợp đánh lừa bảo mật sinh trắc học. Điều thú vị là AI tạo sinh cũng có thể giúp phát hiện các deepfake này bằng cách phân tích các hiện vật tinh vi trong âm thanh hoặc video mà con người khó nhận thấy. Chúng ta đã thấy một ví dụ với Accenture, nơi đã sử dụng AI tạo sinh để mô phỏng vô số biểu cảm khuôn mặt và các điều kiện để đào tạo các hệ thống sinh trắc học của họ nhằm phân biệt người dùng thực với các deepfake do AI tạo ra. Trong hơn năm năm, cách tiếp cận này đã giúp Accenture loại bỏ mật khẩu cho 90% hệ thống của mình (chuyển sang sinh trắc học và các yếu tố khác) và giảm 60% các cuộc tấn công ( 6 Trường hợp sử dụng AI tạo sinh trong An ninh mạng [+ Ví dụ] ). Về cơ bản, họ đã sử dụng AI tạo sinh để tăng cường xác thực sinh trắc học, giúp nó có khả năng phục hồi trước các cuộc tấn công tạo sinh (một minh họa tuyệt vời về việc AI chống lại AI). Loại mô hình hóa hành vi này – trong trường hợp này là nhận ra sự khác biệt giữa khuôn mặt người thật so với khuôn mặt được tổng hợp bằng AI – là rất quan trọng vì chúng ta dựa nhiều hơn vào AI trong xác thực.

Phát hiện bất thường được hỗ trợ bởi AI tạo sinh có thể áp dụng trong nhiều ngành: trong chăm sóc sức khỏe, giám sát hành vi của thiết bị y tế để tìm dấu hiệu tấn công; trong tài chính, theo dõi các hệ thống giao dịch để tìm các mẫu bất thường có thể chỉ ra gian lận hoặc thao túng thuật toán; trong năng lượng/tiện ích, quan sát tín hiệu hệ thống điều khiển để tìm dấu hiệu xâm nhập. Sự kết hợp giữa chiều rộng (xem xét mọi khía cạnh của hành vi) và chiều sâu (hiểu các mẫu phức tạp) mà AI tạo sinh cung cấp khiến nó trở thành một công cụ mạnh mẽ để phát hiện các chỉ số như kim trong đống cỏ khô của một sự cố mạng. Khi các mối đe dọa trở nên lén lút hơn, ẩn náu giữa các hoạt động bình thường, khả năng mô tả chính xác "bình thường" và hét lên khi có điều gì đó khác biệt trở nên quan trọng. Do đó, AI tạo sinh hoạt động như một lính canh không biết mệt mỏi, luôn học hỏi và cập nhật định nghĩa về tính bình thường để theo kịp những thay đổi trong môi trường và cảnh báo các nhóm bảo mật về những bất thường cần được kiểm tra chặt chẽ hơn.

Cơ hội và lợi ích của AI tạo sinh trong an ninh mạng

Việc ứng dụng AI tạo sinh trong an ninh mạng mang lại vô số cơ hội và lợi ích cho các tổ chức sẵn sàng áp dụng những công cụ này. Dưới đây, chúng tôi tóm tắt những lợi thế chính khiến AI tạo sinh trở thành một sự bổ sung hấp dẫn cho các chương trình an ninh mạng:

• Phát hiện và Phản ứng Mối đe dọa Nhanh hơn: Các hệ thống AI tạo sinh có thể phân tích lượng dữ liệu khổng lồ theo thời gian thực và nhận diện mối đe dọa nhanh hơn nhiều so với phân tích thủ công của con người. Ưu thế về tốc độ này đồng nghĩa với việc phát hiện sớm hơn các cuộc tấn công và ngăn chặn sự cố nhanh hơn. Trên thực tế, giám sát an ninh dựa trên AI có thể phát hiện các mối đe dọa mà con người phải mất nhiều thời gian hơn để đối chiếu. Bằng cách phản ứng nhanh chóng với các sự cố (hoặc thậm chí tự động thực hiện các phản ứng ban đầu), các tổ chức có thể giảm đáng kể thời gian lưu trú của kẻ tấn công trong mạng, từ đó giảm thiểu thiệt hại.

• Độ chính xác và phạm vi bao phủ mối đe dọa được cải thiện: Nhờ liên tục học hỏi từ dữ liệu mới, các mô hình sinh học có thể thích ứng với các mối đe dọa đang phát triển và phát hiện các dấu hiệu hoạt động độc hại tinh vi hơn. Điều này dẫn đến độ chính xác phát hiện được cải thiện (ít kết quả âm tính giả và dương tính giả hơn) so với các quy tắc tĩnh. Ví dụ: một AI đã học được các dấu hiệu của email lừa đảo hoặc hành vi phần mềm độc hại có thể xác định các biến thể chưa từng thấy trước đây. Kết quả là phạm vi bao phủ rộng hơn về các loại mối đe dọa - bao gồm cả các cuộc tấn công mới - giúp củng cố thế trận an ninh tổng thể. Các nhóm bảo mật cũng có được thông tin chi tiết từ phân tích AI (ví dụ: giải thích về hành vi của phần mềm độc hại), cho phép phòng thủ chính xác và có mục tiêu hơn ( AI Sinh học trong An ninh mạng là gì? - Palo Alto Networks ).

• Tự động hóa các tác vụ lặp lại: Trí tuệ nhân tạo (AI) tạo ra vượt trội trong việc tự động hóa các tác vụ bảo mật thường xuyên, đòi hỏi nhiều công sức – từ việc rà soát nhật ký và biên soạn báo cáo đến việc viết kịch bản ứng phó sự cố. Việc tự động hóa này giúp giảm bớt gánh nặng cho các nhà phân tích , cho phép họ tập trung vào chiến lược cấp cao và ra quyết định phức tạp ( AI) Tạo ra trong An ninh mạng là gì? - Palo Alto Networks ). Những công việc tầm thường nhưng quan trọng như quét lỗ hổng, kiểm tra cấu hình, phân tích hoạt động người dùng và báo cáo tuân thủ có thể được xử lý (hoặc ít nhất là được soạn thảo trước) bởi AI. Bằng cách xử lý các tác vụ này với tốc độ máy móc, AI không chỉ cải thiện hiệu quả mà còn giảm thiểu lỗi của con người (một yếu tố quan trọng trong các vụ vi phạm).

• Phòng thủ và Mô phỏng Chủ động: Trí tuệ nhân tạo (AI) cho phép các tổ chức chuyển đổi từ bảo mật thụ động sang bảo mật chủ động. Thông qua các kỹ thuật như mô phỏng tấn công, tạo dữ liệu tổng hợp và đào tạo dựa trên kịch bản, đội ngũ bảo vệ có thể dự đoán và chuẩn bị cho các mối đe dọa trước khi chúng xuất hiện trong thế giới thực. Các nhóm bảo mật có thể mô phỏng các cuộc tấn công mạng (chiến dịch lừa đảo, bùng phát phần mềm độc hại, DDoS, v.v.) trong môi trường an toàn để kiểm tra phản ứng và khắc phục mọi điểm yếu. Việc đào tạo liên tục này, thường không thể thực hiện triệt để chỉ bằng nỗ lực của con người, giúp hệ thống phòng thủ luôn sắc bén và cập nhật. Nó giống như một "cuộc diễn tập phòng cháy" trên mạng – AI có thể đưa ra nhiều mối đe dọa giả định vào hệ thống phòng thủ của bạn để bạn có thể thực hành và cải thiện.

• Tăng cường chuyên môn của con người (AI như một hệ số nhân lực): AI tạo sinh hoạt động như một nhà phân tích, cố vấn và trợ lý cấp dưới không biết mệt mỏi được kết hợp thành một. Nó có thể cung cấp cho các thành viên nhóm ít kinh nghiệm hơn hướng dẫn và khuyến nghị thường được mong đợi từ các chuyên gia dày dạn kinh nghiệm, dân chủ hóa hiệu quả chuyên môn trong toàn nhóm ( 6 trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ). Điều này đặc biệt có giá trị khi xét đến tình trạng thiếu hụt nhân tài trong an ninh mạng - AI giúp các nhóm nhỏ hơn làm được nhiều việc hơn với ít nguồn lực hơn. Mặt khác, các nhà phân tích giàu kinh nghiệm được hưởng lợi từ việc AI xử lý công việc nặng nhọc và đưa ra những hiểu biết không rõ ràng, sau đó họ có thể xác thực và hành động. Kết quả chung là một nhóm bảo mật có năng suất và khả năng hơn nhiều, với AI khuếch đại tác động của từng thành viên con người ( AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng ).

• Hỗ trợ Quyết định và Báo cáo Nâng cao: Bằng cách chuyển đổi dữ liệu kỹ thuật thành thông tin chi tiết bằng ngôn ngữ tự nhiên, AI tạo sinh cải thiện giao tiếp và ra quyết định. Các nhà lãnh đạo an ninh có được cái nhìn rõ ràng hơn về các vấn đề thông qua các bản tóm tắt do AI tạo ra và có thể đưa ra các quyết định chiến lược sáng suốt mà không cần phân tích dữ liệu thô. Tương tự, giao tiếp liên phòng ban (với giám đốc điều hành, nhân viên tuân thủ, v.v.) được cải thiện khi AI soạn thảo các báo cáo dễ hiểu về tình hình an ninh và sự cố ( AI Tạo sinh có thể được sử dụng như thế nào trong An ninh mạng? 10 Ví dụ Thực tế ). Điều này không chỉ xây dựng sự tự tin và thống nhất về các vấn đề an ninh ở cấp lãnh đạo mà còn giúp biện minh cho các khoản đầu tư và thay đổi bằng cách nêu rõ các rủi ro và khoảng trống do AI phát hiện.

Kết hợp lại, những lợi ích này đồng nghĩa với việc các tổ chức tận dụng AI tạo sinh trong an ninh mạng có thể đạt được thế trận an ninh mạnh mẽ hơn với chi phí vận hành tiềm năng thấp hơn. Họ có thể ứng phó với các mối đe dọa trước đây quá lớn, khắc phục những lỗ hổng chưa được giám sát và liên tục cải thiện thông qua các vòng phản hồi do AI thúc đẩy. Cuối cùng, AI tạo sinh mang đến cơ hội vượt lên trước đối thủ bằng cách kết hợp tốc độ, quy mô và độ tinh vi của các cuộc tấn công hiện đại với các biện pháp phòng thủ tinh vi không kém. Theo một khảo sát, hơn một nửa số nhà lãnh đạo doanh nghiệp và an ninh mạng dự đoán khả năng phát hiện mối đe dọa nhanh hơn và độ chính xác được cải thiện thông qua việc sử dụng AI tạo sinh ( [PDF] Triển vọng An ninh mạng Toàn cầu 2025 | Diễn đàn Kinh tế Thế giới ) ( AI Tạo sinh trong An ninh mạng: Đánh giá Toàn diện về Thạc sĩ Luật ... ) – một minh chứng cho sự lạc quan về lợi ích của những công nghệ này.

Rủi ro và thách thức khi sử dụng AI tạo sinh trong an ninh mạng

Mặc dù cơ hội rất đáng kể, nhưng điều quan trọng là phải tiếp cận AI tạo sinh trong an ninh mạng với sự cân nhắc kỹ lưỡng về những rủi ro và thách thức liên quan. Việc tin tưởng mù quáng hoặc lạm dụng AI có thể tạo ra những lỗ hổng mới. Dưới đây, chúng tôi sẽ phác thảo những mối quan tâm và cạm bẫy chính, cùng với bối cảnh của từng vấn đề:

• Sử dụng có mục đích đối địch của tội phạm mạng: Các khả năng tạo ra tương tự giúp những người bảo vệ có thể trao quyền cho những kẻ tấn công. Các tác nhân đe dọa đã sử dụng AI tạo ra để tạo ra các email lừa đảo thuyết phục hơn, tạo ra các nhân vật giả mạo và video deepfake cho kỹ thuật xã hội, phát triển phần mềm độc hại đa hình liên tục thay đổi để tránh bị phát hiện và thậm chí tự động hóa các khía cạnh của việc tấn công ( AI tạo ra trong an ninh mạng là gì? - Palo Alto Networks ). Gần một nửa (46%) các nhà lãnh đạo an ninh mạng lo ngại rằng AI tạo ra sẽ dẫn đến các cuộc tấn công đối địch tiên tiến hơn ( Bảo mật AI tạo ra: Xu hướng, Mối đe dọa & Chiến lược giảm thiểu ). "Cuộc chạy đua vũ trang AI" này có nghĩa là khi những người bảo vệ áp dụng AI, những kẻ tấn công sẽ không bị tụt hậu (trên thực tế, chúng có thể đi trước trong một số lĩnh vực, sử dụng các công cụ AI không được kiểm soát). Các tổ chức phải chuẩn bị cho các mối đe dọa được tăng cường bằng AI thường xuyên hơn, tinh vi hơn và khó theo dõi hơn.

• Ảo giác và Độ không chính xác của AI: Các mô hình AI tạo sinh có thể tạo ra các kết quả đầu ra hợp lý nhưng không chính xác hoặc gây hiểu lầm - một hiện tượng được gọi là ảo giác. Trong bối cảnh bảo mật, AI có thể phân tích một sự cố và kết luận sai lầm rằng một lỗ hổng bảo mật nhất định là nguyên nhân, hoặc nó có thể tạo ra một tập lệnh khắc phục lỗi không thể ngăn chặn cuộc tấn công. Những sai lầm này có thể rất nguy hiểm nếu nhìn nhận một cách phiến diện. Như NTT Data cảnh báo, "AI tạo sinh có thể tạo ra nội dung không đúng sự thật, và hiện tượng này được gọi là ảo giác... hiện tại rất khó để loại bỏ hoàn toàn chúng" ( Rủi ro Bảo mật của AI Tạo sinh và các Biện pháp Đối phó, và Tác động của nó đối với An ninh Mạng | Tập đoàn NTT DATA ). Việc quá phụ thuộc vào AI mà không được xác minh có thể dẫn đến những nỗ lực sai hướng hoặc cảm giác an toàn sai lầm. Ví dụ: AI có thể đánh dấu sai một hệ thống quan trọng là an toàn trong khi thực tế không phải vậy, hoặc ngược lại, gây ra sự hoảng loạn bằng cách "phát hiện" một vi phạm chưa từng xảy ra. Việc xác thực nghiêm ngặt các kết quả đầu ra của AI và có con người tham gia vào các quyết định quan trọng là điều cần thiết để giảm thiểu rủi ro này.

• Kết quả dương tính và âm tính giả: Liên quan đến ảo giác, nếu một mô hình AI được đào tạo hoặc cấu hình kém, nó có thể báo cáo quá mức hoạt động lành tính là độc hại (kết quả dương tính giả) hoặc tệ hơn là bỏ lỡ các mối đe dọa thực sự (kết quả âm tính giả) ( AI có thể được sử dụng như thế nào trong An ninh mạng ). Cảnh báo sai quá mức có thể khiến các nhóm bảo mật quá tải và dẫn đến tình trạng mệt mỏi do cảnh báo (làm mất đi chính những lợi ích về hiệu quả mà AI đã hứa hẹn), trong khi việc phát hiện bị bỏ sót khiến tổ chức bị lộ. Việc điều chỉnh các mô hình tạo ra để đạt được sự cân bằng phù hợp là một thách thức. Mỗi môi trường là duy nhất và AI có thể không hoạt động tối ưu ngay lập tức. Học tập liên tục cũng là một con dao hai lưỡi - nếu AI học hỏi từ phản hồi bị sai lệch hoặc từ một môi trường thay đổi, độ chính xác của nó có thể dao động. Các nhóm bảo mật phải theo dõi hiệu suất của AI và điều chỉnh ngưỡng hoặc cung cấp phản hồi khắc phục cho các mô hình. Trong các bối cảnh có rủi ro cao (như phát hiện xâm nhập cho cơ sở hạ tầng quan trọng), có thể thận trọng khi chạy các đề xuất AI song song với các hệ thống hiện có trong một khoảng thời gian để đảm bảo chúng phù hợp và bổ sung cho nhau thay vì xung đột.

• Quyền riêng tư và rò rỉ dữ liệu: Các hệ thống AI tạo sinh thường yêu cầu một lượng lớn dữ liệu để đào tạo và vận hành. Nếu các mô hình này dựa trên đám mây hoặc không được cô lập đúng cách, sẽ có nguy cơ thông tin nhạy cảm bị rò rỉ. Người dùng có thể vô tình đưa dữ liệu độc quyền hoặc dữ liệu cá nhân vào dịch vụ AI (ví dụ như yêu cầu ChatGPT tóm tắt báo cáo sự cố bí mật) và dữ liệu đó có thể trở thành một phần kiến ​​thức của mô hình. Thật vậy, một nghiên cứu gần đây cho thấy 55% dữ liệu đầu vào cho các công cụ AI tạo sinh chứa thông tin nhạy cảm hoặc thông tin nhận dạng cá nhân , làm dấy lên mối lo ngại nghiêm trọng về rò rỉ dữ liệu ( Bảo mật AI tạo sinh: Xu hướng, Mối đe dọa & Chiến lược giảm thiểu ). Ngoài ra, nếu AI đã được đào tạo trên dữ liệu nội bộ và được truy vấn theo những cách nhất định, nó có thể xuất các phần dữ liệu nhạy cảm đó cho người khác. Các tổ chức phải thực hiện các chính sách xử lý dữ liệu nghiêm ngặt (ví dụ: sử dụng các phiên bản AI tại chỗ hoặc riêng tư cho tài liệu nhạy cảm) và giáo dục nhân viên về việc không dán thông tin bí mật vào các công cụ AI công khai. Các quy định về quyền riêng tư (GDPR, v.v.) cũng có hiệu lực – việc sử dụng dữ liệu cá nhân để đào tạo AI mà không có sự đồng ý hoặc bảo vệ phù hợp có thể vi phạm pháp luật.

• Bảo mật và thao túng mô hình: Bản thân các mô hình AI tạo sinh có thể trở thành mục tiêu. Kẻ thù có thể cố gắng đầu độc mô hình , cung cấp dữ liệu độc hại hoặc gây hiểu lầm trong giai đoạn đào tạo hoặc đào tạo lại để AI học được các mẫu không chính xác ( AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng ). Ví dụ: kẻ tấn công có thể đầu độc dữ liệu tình báo về mối đe dọa một cách tinh vi để AI không nhận ra phần mềm độc hại của chính kẻ tấn công là độc hại. Một chiến thuật khác là tiêm nhanh hoặc thao túng đầu ra , trong đó kẻ tấn công tìm cách đưa ra các đầu vào cho AI khiến nó hoạt động theo những cách không mong muốn - có thể bỏ qua các rào cản an toàn của nó hoặc tiết lộ thông tin mà nó không nên tiết lộ (như lời nhắc hoặc dữ liệu nội bộ). Ngoài ra, còn có nguy cơ trốn tránh mô hình : kẻ tấn công tạo ra đầu vào được thiết kế đặc biệt để đánh lừa AI. Chúng ta thấy điều này trong các ví dụ đối nghịch - dữ liệu hơi nhiễu mà con người coi là bình thường nhưng AI lại phân loại sai. Đảm bảo chuỗi cung ứng AI được an toàn (tính toàn vẹn của dữ liệu, kiểm soát truy cập mô hình, thử nghiệm độ mạnh mẽ của đối thủ) là một phần mới nhưng cần thiết của an ninh mạng khi triển khai các công cụ này ( AI tạo sinh trong an ninh mạng là gì? - Palo Alto Networks ).

• Quá phụ thuộc và xói mòn kỹ năng: Có một rủi ro nhỏ hơn là các tổ chức có thể trở nên quá phụ thuộc vào AI và để kỹ năng của con người bị mai một. Nếu các nhà phân tích mới vào nghề tin tưởng mù quáng vào kết quả của AI, họ có thể không phát triển được tư duy phản biện và trực giác cần thiết để ứng phó khi AI không khả dụng hoặc sai. Một kịch bản cần tránh là một nhóm bảo mật có các công cụ tuyệt vời nhưng không biết cách vận hành nếu những công cụ đó gặp sự cố (tương tự như phi công quá phụ thuộc vào chế độ lái tự động). Các bài tập huấn luyện thường xuyên mà không có sự hỗ trợ của AI và nuôi dưỡng tư duy rằng AI là trợ lý, chứ không phải là một nhà tiên tri bất khả chiến bại, rất quan trọng để duy trì sự nhạy bén của các nhà phân tích. Con người phải là người ra quyết định cuối cùng, đặc biệt là đối với những phán đoán có tác động lớn.

• Thách thức về Đạo đức và Tuân thủ: Việc sử dụng AI trong an ninh mạng đặt ra những câu hỏi về đạo đức và có thể dẫn đến các vấn đề tuân thủ quy định. Ví dụ, nếu một hệ thống AI vô tình gán ghép một nhân viên là người trong cuộc độc hại do một sự bất thường, điều này có thể gây tổn hại không đáng có đến danh tiếng hoặc sự nghiệp của người đó. Các quyết định do AI đưa ra có thể không rõ ràng (vấn đề "hộp đen"), khiến việc giải thích cho kiểm toán viên hoặc cơ quan quản lý lý do tại sao một số hành động nhất định lại được thực hiện trở nên khó khăn. Khi nội dung do AI tạo ra ngày càng phổ biến, việc đảm bảo tính minh bạch và duy trì trách nhiệm giải trình là rất quan trọng. Các cơ quan quản lý đang bắt đầu xem xét kỹ lưỡng AI – ví dụ, Đạo luật AI của EU sẽ áp đặt các yêu cầu đối với các hệ thống AI "rủi ro cao", và AI an ninh mạng có thể nằm trong danh mục đó. Các công ty sẽ cần tuân thủ các quy định này và có thể tuân thủ các tiêu chuẩn như Khung Quản lý Rủi ro AI của NIST để sử dụng AI tạo sinh một cách có trách nhiệm ( AI Tạo sinh có thể được sử dụng như thế nào trong An ninh mạng? 10 Ví dụ Thực tế ). Việc tuân thủ cũng mở rộng sang việc cấp phép: việc sử dụng các mô hình nguồn mở hoặc của bên thứ ba có thể có các điều khoản hạn chế một số mục đích sử dụng nhất định hoặc yêu cầu cải tiến chia sẻ.

Tóm lại, AI tạo sinh không phải là giải pháp hoàn hảo – nếu không được triển khai cẩn thận, nó có thể tạo ra những điểm yếu mới ngay cả khi đã giải quyết được những điểm yếu khác. Một nghiên cứu của Diễn đàn Kinh tế Thế giới năm 2024 đã nhấn mạnh rằng ~47% các tổ chức coi những tiến bộ trong AI tạo sinh của kẻ tấn công là mối quan tâm chính, khiến nó trở thành "tác động đáng lo ngại nhất của AI tạo sinh" đối với an ninh mạng ( [PDF] Triển vọng An ninh mạng Toàn cầu 2025 | Diễn đàn Kinh tế Thế giới ) ( AI tạo sinh trong An ninh mạng: Đánh giá Toàn diện về LLM ... ). Do đó, các tổ chức phải áp dụng một cách tiếp cận cân bằng: tận dụng lợi ích của AI đồng thời quản lý chặt chẽ những rủi ro này thông qua quản trị, thử nghiệm và giám sát của con người. Tiếp theo, chúng ta sẽ thảo luận về cách đạt được sự cân bằng đó một cách thiết thực.

Triển vọng tương lai: Vai trò ngày càng phát triển của AI tạo sinh trong an ninh mạng

Nhìn về tương lai, AI tạo sinh được dự đoán sẽ trở thành một phần không thể thiếu của chiến lược an ninh mạng – và cũng là một công cụ mà các đối thủ mạng sẽ tiếp tục khai thác. Động thái "mèo vờn chuột" sẽ ngày càng gia tăng, với AI ở cả hai phía. Dưới đây là một số góc nhìn sâu sắc về cách AI tạo sinh có thể định hình an ninh mạng trong những năm tới:

• Phòng thủ mạng tăng cường AI trở thành tiêu chuẩn: Đến năm 2025 trở đi, chúng ta có thể mong đợi rằng hầu hết các tổ chức vừa và lớn sẽ tích hợp các công cụ do AI điều khiển vào hoạt động bảo mật của họ. Cũng giống như phần mềm chống vi-rút và tường lửa là tiêu chuẩn ngày nay, các phi công phụ AI và hệ thống phát hiện bất thường có thể trở thành các thành phần cơ bản của kiến ​​trúc bảo mật. Những công cụ này có thể sẽ trở nên chuyên biệt hơn - ví dụ, các mô hình AI riêng biệt được tinh chỉnh cho bảo mật đám mây, để giám sát thiết bị IoT, để bảo mật mã ứng dụng, v.v., tất cả đều hoạt động phối hợp. Như một dự đoán lưu ý, "vào năm 2025, AI tạo sinh sẽ là một phần không thể thiếu của an ninh mạng, cho phép các tổ chức chủ động phòng thủ chống lại các mối đe dọa tinh vi và đang phát triển" ( AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng ). AI sẽ tăng cường phát hiện mối đe dọa theo thời gian thực, tự động hóa nhiều hành động phản hồi và giúp các nhóm bảo mật quản lý khối lượng dữ liệu lớn hơn rất nhiều so với cách họ có thể xử lý thủ công.

• Học tập và Thích ứng Liên tục: Các hệ thống AI tạo sinh trong tương lai trong lĩnh vực an ninh mạng sẽ ngày càng học hỏi nhanh hơn từ các sự cố và thông tin tình báo về mối đe dọa mới, cập nhật cơ sở kiến ​​thức gần như theo thời gian thực. Điều này có thể dẫn đến các biện pháp phòng thủ thực sự thích ứng – hãy tưởng tượng một AI học về một chiến dịch lừa đảo mới nhắm vào một công ty khác vào buổi sáng và đến chiều đã điều chỉnh bộ lọc email của công ty bạn để ứng phó. Các dịch vụ bảo mật AI dựa trên đám mây có thể tạo điều kiện cho loại hình học tập tập thể này, nơi những thông tin chi tiết ẩn danh từ một tổ chức mang lại lợi ích cho tất cả người dùng (tương tự như việc chia sẻ thông tin tình báo về mối đe dọa, nhưng được tự động hóa). Tuy nhiên, điều này sẽ đòi hỏi sự xử lý cẩn thận để tránh chia sẻ thông tin nhạy cảm và ngăn chặn kẻ tấn công đưa dữ liệu xấu vào các mô hình được chia sẻ.

• Sự hội tụ của nhân tài AI và an ninh mạng: Bộ kỹ năng của các chuyên gia an ninh mạng sẽ phát triển để bao gồm thành thạo về AI và khoa học dữ liệu. Cũng giống như các nhà phân tích ngày nay học ngôn ngữ truy vấn và tập lệnh, các nhà phân tích của ngày mai có thể thường xuyên tinh chỉnh các mô hình AI hoặc viết "sổ tay hướng dẫn" để AI thực thi. Chúng ta có thể thấy những vai trò mới như "Huấn luyện viên bảo mật AI" hoặc "Kỹ sư AI an ninh mạng" - những người chuyên điều chỉnh các công cụ AI theo nhu cầu của tổ chức, xác thực hiệu suất của chúng và đảm bảo chúng hoạt động an toàn. Mặt khác, các cân nhắc về an ninh mạng sẽ ngày càng ảnh hưởng đến sự phát triển của AI. Các hệ thống AI sẽ được xây dựng với các tính năng bảo mật ngay từ đầu (kiến trúc bảo mật, phát hiện giả mạo, nhật ký kiểm tra cho các quyết định của AI, v.v.) và các khuôn khổ cho AI đáng tin cậy (công bằng, có thể giải thích, mạnh mẽ và bảo mật) sẽ hướng dẫn việc triển khai chúng trong các bối cảnh quan trọng về bảo mật.

• Các cuộc tấn công tinh vi hơn được hỗ trợ bởi AI: Thật không may, bối cảnh mối đe dọa cũng sẽ phát triển cùng với AI. Chúng tôi dự đoán AI sẽ được sử dụng thường xuyên hơn để phát hiện các lỗ hổng zero-day, để tạo ra các cuộc tấn công lừa đảo có mục tiêu cao (ví dụ: AI thu thập dữ liệu trên mạng xã hội để tạo ra một mồi nhử được thiết kế hoàn hảo) và tạo ra các giọng nói hoặc video deepfake thuyết phục để vượt qua xác thực sinh trắc học hoặc thực hiện gian lận. Các tác nhân hack tự động có thể xuất hiện và có thể thực hiện độc lập các cuộc tấn công nhiều giai đoạn (do thám, khai thác, di chuyển ngang, v.v.) với sự giám sát tối thiểu của con người. Điều này sẽ gây áp lực buộc những người phòng thủ cũng phải dựa vào AI - về cơ bản là tự động hóa so với tự động hóa . Một số cuộc tấn công có thể xảy ra ở tốc độ máy, chẳng hạn như các bot AI thử một nghìn hoán vị email lừa đảo để xem hoán vị nào vượt qua được các bộ lọc. Các biện pháp phòng thủ mạng sẽ cần phải hoạt động với tốc độ và tính linh hoạt tương tự để theo kịp ( AI tạo sinh trong an ninh mạng là gì? - Palo Alto Networks ).

• Quy định và AI đạo đức trong bảo mật: Khi AI được nhúng sâu vào các chức năng an ninh mạng, sẽ có sự giám sát chặt chẽ hơn và có thể là các quy định để đảm bảo các hệ thống AI này được sử dụng một cách có trách nhiệm. Chúng ta có thể mong đợi các khuôn khổ và tiêu chuẩn cụ thể cho AI trong bảo mật. Chính phủ có thể đặt ra các hướng dẫn về tính minh bạch - ví dụ: yêu cầu rằng các quyết định bảo mật quan trọng (như chấm dứt quyền truy cập của nhân viên vì nghi ngờ hoạt động độc hại) không thể chỉ được đưa ra bởi AI mà không có sự đánh giá của con người. Cũng có thể có các chứng nhận cho các sản phẩm bảo mật AI để đảm bảo với người mua rằng AI đã được đánh giá về tính thiên vị, độ mạnh mẽ và an toàn. Hơn nữa, hợp tác quốc tế có thể phát triển xung quanh các mối đe dọa mạng liên quan đến AI; ví dụ, các thỏa thuận về xử lý thông tin sai lệch do AI tạo ra hoặc các tiêu chuẩn chống lại một số vũ khí mạng do AI điều khiển.

• Tích hợp với Hệ sinh thái AI và CNTT rộng hơn: AI tạo sinh trong an ninh mạng có thể sẽ tích hợp với các hệ thống AI và công cụ quản lý CNTT khác. Ví dụ: AI quản lý tối ưu hóa mạng có thể hoạt động với AI bảo mật để đảm bảo các thay đổi không tạo ra lỗ hổng. Phân tích kinh doanh do AI thúc đẩy có thể chia sẻ dữ liệu với AI bảo mật để đối chiếu các điểm bất thường (như doanh số giảm đột ngột với sự cố có thể xảy ra trên trang web do tấn công). Về bản chất, AI sẽ không tồn tại trong một hệ thống riêng lẻ - nó sẽ là một phần của một cấu trúc thông minh lớn hơn về hoạt động của một tổ chức. Điều này mở ra cơ hội cho quản lý rủi ro toàn diện, nơi dữ liệu vận hành, dữ liệu mối đe dọa và thậm chí cả dữ liệu bảo mật vật lý có thể được AI kết hợp để cung cấp cái nhìn toàn diện về tình hình bảo mật của tổ chức.

Về lâu dài, hy vọng là AI tạo sinh sẽ giúp cân bằng lợi ích cho bên phòng thủ. Bằng cách xử lý quy mô và sự phức tạp của môi trường CNTT hiện đại, AI có thể giúp không gian mạng trở nên an toàn hơn. Tuy nhiên, đó là một hành trình dài, và sẽ có những khó khăn khi chúng ta tinh chỉnh các công nghệ này và học cách tin tưởng chúng một cách phù hợp. Các tổ chức luôn cập nhật thông tin và đầu tư vào việc áp dụng AI một cách có trách nhiệm cho an ninh mạng có thể sẽ là những tổ chức có vị thế tốt nhất để ứng phó với các mối đe dọa trong tương lai.

Như báo cáo xu hướng an ninh mạng gần đây của Gartner đã lưu ý, "sự xuất hiện của các trường hợp sử dụng AI (và rủi ro) mang tính sáng tạo đang tạo ra áp lực cho quá trình chuyển đổi" ( Xu hướng An ninh mạng: Khả năng phục hồi thông qua Chuyển đổi - Gartner ). Những người thích nghi sẽ khai thác AI như một đồng minh mạnh mẽ; những người chậm trễ có thể thấy mình bị vượt mặt bởi các đối thủ được AI hỗ trợ. Vài năm tới sẽ là thời điểm then chốt để xác định cách AI định hình lại chiến trường mạng.

Những bài học thực tiễn khi áp dụng AI tạo sinh trong an ninh mạng

Đối với các doanh nghiệp đang đánh giá cách tận dụng AI tạo sinh trong chiến lược an ninh mạng của mình, sau đây là một số điểm cần lưu ý và khuyến nghị thiết thực để hướng dẫn việc áp dụng có trách nhiệm và hiệu quả:

1. Bắt đầu bằng Giáo dục và Đào tạo: Đảm bảo nhóm bảo mật (và đội ngũ CNTT nói chung) hiểu rõ AI tạo sinh có thể và không thể làm gì. Cung cấp đào tạo về những điều cơ bản của các công cụ bảo mật dựa trên AI và cập nhật các chương trình nâng cao nhận thức bảo mật cho toàn thể nhân viên để phòng ngừa các mối đe dọa do AI gây ra. Ví dụ: hướng dẫn nhân viên cách AI có thể tạo ra các vụ lừa đảo lừa đảo và cuộc gọi deepfake rất thuyết phục. Đồng thời, đào tạo nhân viên về cách sử dụng các công cụ AI một cách an toàn và được phê duyệt trong công việc. Người dùng được trang bị kiến ​​thức đầy đủ sẽ ít có khả năng xử lý AI sai hoặc trở thành nạn nhân của các cuộc tấn công được AI tăng cường ( AI tạo sinh có thể được sử dụng như thế nào trong An ninh mạng? 10 Ví dụ thực tế ).

2. Xác định Chính sách Sử dụng AI Rõ ràng: Hãy coi AI tạo sinh như bất kỳ công nghệ mạnh mẽ nào - với sự quản trị. Xây dựng các chính sách chỉ định ai có thể sử dụng các công cụ AI, công cụ nào được phê duyệt và cho mục đích gì. Bao gồm các hướng dẫn về xử lý dữ liệu nhạy cảm (ví dụ không cung cấp dữ liệu bí mật cho các dịch vụ AI bên ngoài) để ngăn chặn rò rỉ. Ví dụ: bạn có thể chỉ cho phép các thành viên nhóm bảo mật sử dụng trợ lý AI nội bộ để ứng phó sự cố và tiếp thị có thể sử dụng AI đã được kiểm duyệt cho nội dung - mọi người khác đều bị hạn chế. Nhiều tổ chức hiện đang đề cập rõ ràng đến AI tạo sinh trong chính sách CNTT của họ và các cơ quan tiêu chuẩn hàng đầu khuyến khích các chính sách sử dụng an toàn thay vì lệnh cấm hoàn toàn ( AI tạo sinh có thể được sử dụng như thế nào trong An ninh mạng? 10 Ví dụ thực tế ). Hãy đảm bảo truyền đạt các quy tắc này và lý do đằng sau chúng cho tất cả nhân viên.

3. Giảm thiểu "AI bóng tối" và giám sát việc sử dụng: Tương tự như CNTT bóng tối, "AI bóng tối" phát sinh khi nhân viên bắt đầu sử dụng các công cụ hoặc dịch vụ AI mà không có sự cho phép của CNTT (ví dụ: nhà phát triển sử dụng trợ lý mã AI trái phép). Điều này có thể gây ra những rủi ro chưa được biết đến. Triển khai các biện pháp để phát hiện và kiểm soát việc sử dụng AI trái phép . Giám sát mạng có thể đánh dấu các kết nối đến các API AI phổ biến và các cuộc khảo sát hoặc kiểm toán công cụ có thể phát hiện ra nhân viên đang sử dụng những gì. Cung cấp các giải pháp thay thế đã được phê duyệt để nhân viên có thiện chí không bị cám dỗ làm điều sai trái (ví dụ: cung cấp tài khoản ChatGPT Enterprise chính thức nếu mọi người thấy hữu ích). Bằng cách đưa việc sử dụng AI ra ánh sáng, các nhóm bảo mật có thể đánh giá và quản lý rủi ro. Giám sát cũng là chìa khóa - hãy ghi lại các hoạt động và đầu ra của công cụ AI càng nhiều càng tốt, để có dấu vết kiểm toán cho các quyết định chịu ảnh hưởng của AI ( AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế ).

4. Tận dụng AI để phòng thủ – Đừng tụt hậu: Nhận ra rằng những kẻ tấn công sẽ sử dụng AI, vì vậy biện pháp phòng thủ của bạn cũng nên như vậy. Xác định một vài lĩnh vực có tác động cao mà AI tạo ra có thể hỗ trợ ngay lập tức cho các hoạt động bảo mật của bạn (có thể là phân loại cảnh báo hoặc phân tích nhật ký tự động) và chạy các dự án thí điểm. Tăng cường khả năng phòng thủ của bạn bằng tốc độ và quy mô của AI để chống lại các mối đe dọa chuyển động nhanh ( AI tạo ra có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế ). Ngay cả những tích hợp đơn giản, như sử dụng AI để tóm tắt báo cáo phần mềm độc hại hoặc tạo truy vấn săn tìm mối đe dọa, cũng có thể giúp các nhà phân tích tiết kiệm hàng giờ. Bắt đầu nhỏ, đánh giá kết quả và lặp lại. Thành công sẽ xây dựng trường hợp áp dụng AI rộng rãi hơn. Mục tiêu là sử dụng AI như một hệ số nhân lực – ví dụ: nếu các cuộc tấn công lừa đảo đang áp đảo bộ phận hỗ trợ của bạn, hãy triển khai trình phân loại email AI để chủ động giảm khối lượng đó.

5. Đầu tư vào các Thực hành AI An toàn và Đạo đức: Khi triển khai AI tạo sinh, hãy tuân theo các thực hành phát triển và triển khai an toàn. Sử dụng các mô hình riêng tư hoặc tự lưu trữ cho các tác vụ nhạy cảm để duy trì quyền kiểm soát dữ liệu. Nếu sử dụng các dịch vụ AI của bên thứ ba, hãy xem xét các biện pháp bảo mật và quyền riêng tư của họ (mã hóa, chính sách lưu giữ dữ liệu, v.v.). Kết hợp các khuôn khổ quản lý rủi ro AI (như Khung quản lý rủi ro AI của NIST hoặc hướng dẫn ISO/IEC) để giải quyết một cách có hệ thống các vấn đề như sự thiên vị, khả năng giải thích và tính mạnh mẽ trong các công cụ AI của bạn ( AI tạo sinh có thể được sử dụng như thế nào trong An ninh mạng? 10 Ví dụ trong thế giới thực ). Ngoài ra, hãy lập kế hoạch cập nhật/bản vá mô hình như một phần của việc bảo trì - các mô hình AI cũng có thể có "lỗ hổng" (ví dụ: chúng có thể cần được đào tạo lại nếu chúng bắt đầu trôi dạt hoặc nếu phát hiện ra một loại tấn công đối nghịch mới vào mô hình). Bằng cách đưa bảo mật và đạo đức vào việc sử dụng AI của bạn, bạn sẽ xây dựng được niềm tin vào kết quả và đảm bảo tuân thủ các quy định mới nổi.

6. Giữ con người trong vòng lặp: Sử dụng AI để hỗ trợ, chứ không phải thay thế hoàn toàn, phán đoán của con người trong an ninh mạng. Xác định các điểm quyết định cần xác thực của con người (ví dụ: AI có thể soạn thảo báo cáo sự cố, nhưng nhà phân tích sẽ xem xét trước khi phân phối; hoặc AI có thể đề xuất chặn tài khoản người dùng, nhưng con người chấp thuận hành động đó). Điều này không chỉ ngăn chặn lỗi AI không được kiểm tra mà còn giúp nhóm của bạn học hỏi từ AI và ngược lại. Khuyến khích quy trình làm việc hợp tác: các nhà phân tích nên cảm thấy thoải mái khi đặt câu hỏi về đầu ra của AI và thực hiện kiểm tra tính hợp lý. Theo thời gian, hộp thoại này có thể cải thiện cả AI (thông qua phản hồi) và kỹ năng của nhà phân tích. Về cơ bản, hãy thiết kế quy trình của bạn sao cho thế mạnh của AI và con người bổ sung cho nhau - AI xử lý khối lượng và tốc độ, con người xử lý sự mơ hồ và các quyết định cuối cùng.

7. Đo lường, Giám sát và Điều chỉnh: Cuối cùng, hãy coi các công cụ AI tạo sinh của bạn như các thành phần sống của hệ sinh thái bảo mật. Liên tục đo lường hiệu suất của chúng – chúng có đang giảm thời gian phản hồi sự cố không? Phát hiện các mối đe dọa sớm hơn không? Tỷ lệ dương tính giả đang có xu hướng như thế nào? Yêu cầu phản hồi từ nhóm: các khuyến nghị của AI có hữu ích không, hay nó đang tạo ra nhiễu? Sử dụng các số liệu này để tinh chỉnh mô hình, cập nhật dữ liệu đào tạo hoặc điều chỉnh cách tích hợp AI. Các mối đe dọa mạng và nhu cầu kinh doanh luôn thay đổi, và các mô hình AI của bạn nên được cập nhật hoặc đào tạo lại định kỳ để duy trì hiệu quả. Hãy có kế hoạch quản trị mô hình, bao gồm cả việc ai chịu trách nhiệm bảo trì và tần suất xem xét. Bằng cách chủ động quản lý vòng đời của AI, bạn đảm bảo rằng nó vẫn là một tài sản chứ không phải là một khoản nợ.

Tóm lại, AI tạo sinh có thể nâng cao đáng kể năng lực an ninh mạng, nhưng việc áp dụng thành công đòi hỏi sự hoạch định chu đáo và giám sát liên tục. Các doanh nghiệp đào tạo nhân viên, thiết lập các hướng dẫn rõ ràng và tích hợp AI một cách cân bằng, an toàn sẽ gặt hái thành quả từ việc quản lý mối đe dọa nhanh hơn và thông minh hơn. Những bài học kinh nghiệm này cung cấp một lộ trình: kết hợp chuyên môn của con người với tự động hóa AI, nắm vững các nguyên tắc quản trị cơ bản và duy trì sự linh hoạt khi cả công nghệ AI và bối cảnh mối đe dọa đều không thể tránh khỏi sự phát triển.

Bằng cách thực hiện các bước thiết thực này, các tổ chức có thể tự tin trả lời câu hỏi "Làm thế nào để sử dụng AI tạo sinh trong an ninh mạng?" – không chỉ trên lý thuyết mà còn trong thực tiễn hàng ngày – và do đó củng cố khả năng phòng thủ của họ trong thế giới ngày càng số hóa và do AI thúc đẩy. ( Làm thế nào để sử dụng AI tạo sinh trong an ninh mạng )

Các báo cáo bạn có thể muốn đọc sau báo cáo này:

🔗 Những công việc AI không thể thay thế và AI sẽ thay thế những công việc nào?
Khám phá triển vọng toàn cầu về những công việc nào an toàn trước tự động hóa và những công việc nào thì không.

🔗 AI có thể dự đoán thị trường chứng khoán không?
Cùng tìm hiểu kỹ hơn về những hạn chế, đột phá và những quan niệm sai lầm xung quanh khả năng dự báo biến động thị trường của AI.

🔗 Trí tuệ nhân tạo (AI) có thể làm gì mà không cần sự can thiệp của con người?
Hiểu rõ AI có thể hoạt động độc lập ở đâu và khi nào sự giám sát của con người vẫn cần thiết.