Trí tuệ nhân tạo tạo sinh (Generative AI) có thể được ứng dụng như thế nào trong an ninh mạng?

Giới thiệu

Trí tuệ nhân tạo tạo sinh (Generative AI) – các hệ thống trí tuệ nhân tạo có khả năng tạo ra nội dung mới hoặc dự đoán – đang nổi lên như một động lực chuyển đổi trong an ninh mạng. Các công cụ như GPT-4 của OpenAI đã chứng minh khả năng phân tích dữ liệu phức tạp và tạo ra văn bản giống con người, cho phép các phương pháp tiếp cận mới để phòng chống các mối đe dọa trên mạng. Các chuyên gia an ninh mạng và các nhà ra quyết định kinh doanh trong nhiều ngành đang tìm hiểu cách trí tuệ nhân tạo tạo sinh có thể tăng cường khả năng phòng thủ chống lại các cuộc tấn công ngày càng tinh vi. Từ tài chính và chăm sóc sức khỏe đến bán lẻ và chính phủ, các tổ chức trong mọi lĩnh vực đều phải đối mặt với các nỗ lực lừa đảo tinh vi, phần mềm độc hại và các mối đe dọa khác mà trí tuệ nhân tạo tạo sinh có thể giúp chống lại. Trong báo cáo này, chúng tôi xem xét cách trí tuệ nhân tạo tạo sinh có thể được sử dụng trong an ninh mạng , nêu bật các ứng dụng thực tế, khả năng trong tương lai và những cân nhắc quan trọng khi áp dụng.

nhân tạo tạo sinh (Generative AI) khác với trí tuệ nhân tạo phân tích truyền thống ở chỗ không chỉ phát hiện các mẫu mà còn tạo ra nội dung – từ việc mô phỏng các cuộc tấn công để huấn luyện hệ thống phòng thủ đến việc tạo ra các giải thích bằng ngôn ngữ tự nhiên cho dữ liệu bảo mật phức tạp. Khả năng kép này khiến nó trở thành con dao hai lưỡi: nó cung cấp các công cụ phòng thủ mới mạnh mẽ, nhưng các tác nhân đe dọa cũng có thể khai thác nó. Các phần tiếp theo sẽ khám phá một loạt các trường hợp sử dụng trí tuệ nhân tạo tạo sinh trong an ninh mạng, từ tự động hóa phát hiện lừa đảo đến tăng cường khả năng ứng phó sự cố. Chúng tôi cũng thảo luận về những lợi ích mà các đổi mới AI này mang lại, cùng với những rủi ro (như “ảo giác” của AI hoặc lạm dụng bởi kẻ thù) mà các tổ chức phải quản lý. Cuối cùng, chúng tôi cung cấp những bài học thực tiễn để giúp các doanh nghiệp đánh giá và tích hợp trí tuệ nhân tạo tạo sinh một cách có trách nhiệm vào chiến lược an ninh mạng của họ.

Trí tuệ nhân tạo tạo sinh trong an ninh mạng: Tổng quan

Trí tuệ nhân tạo tạo sinh (Generative AI) trong an ninh mạng đề cập đến các mô hình AI – thường là các mô hình ngôn ngữ lớn hoặc các mạng nơ-ron khác – có thể tạo ra thông tin chi tiết, khuyến nghị, mã hoặc thậm chí dữ liệu tổng hợp để hỗ trợ các nhiệm vụ bảo mật. Không giống như các mô hình dự đoán thuần túy, AI tạo sinh có thể mô phỏng các kịch bản và tạo ra đầu ra dễ đọc đối với con người (ví dụ: báo cáo, cảnh báo hoặc thậm chí các mẫu mã độc hại) dựa trên dữ liệu huấn luyện của nó. Khả năng này đang được tận dụng để dự đoán, phát hiện và phản hồi các mối đe dọa theo những cách năng động hơn trước đây ( Trí tuệ nhân tạo tạo sinh là gì trong an ninh mạng? - Palo Alto Networks ). Ví dụ, các mô hình tạo sinh có thể phân tích các nhật ký khổng lồ hoặc kho lưu trữ thông tin tình báo về mối đe dọa và tạo ra bản tóm tắt ngắn gọn hoặc hành động được đề xuất, hoạt động gần giống như một “trợ lý” AI cho các nhóm bảo mật.

Những ứng dụng ban đầu của trí tuệ nhân tạo tạo sinh (generative AI) trong phòng thủ mạng đã cho thấy nhiều hứa hẹn. Năm 2023, Microsoft giới thiệu Security Copilot , một trợ lý dựa trên GPT-4 dành cho các nhà phân tích bảo mật, giúp xác định các lỗ hổng và sàng lọc 65 nghìn tỷ tín hiệu mà Microsoft xử lý hàng ngày ( Microsoft Security Copilot là trợ lý AI GPT-4 mới dành cho an ninh mạng | The Verge ). Các nhà phân tích có thể yêu cầu hệ thống này bằng ngôn ngữ tự nhiên (ví dụ: “Tóm tắt tất cả các sự cố bảo mật trong 24 giờ qua” ), và trợ lý sẽ tạo ra một bản tóm tắt hữu ích. Tương tự, AI Tình báo Mối đe dọa sử dụng mô hình tạo sinh có tên Gemini để cho phép tìm kiếm bằng hội thoại thông qua cơ sở dữ liệu tình báo mối đe dọa khổng lồ của Google, nhanh chóng phân tích mã đáng ngờ và tóm tắt các phát hiện để hỗ trợ những người săn lùng phần mềm độc hại ( Làm thế nào có thể sử dụng AI tạo sinh trong an ninh mạng? 10 ví dụ thực tế ). Những ví dụ này minh họa tiềm năng: AI tạo sinh có thể xử lý dữ liệu an ninh mạng phức tạp, quy mô lớn và trình bày thông tin chi tiết dưới dạng dễ tiếp cận, đẩy nhanh quá trình ra quyết định.

Đồng thời, trí tuệ nhân tạo tạo sinh (generative AI) có thể tạo ra nội dung giả mạo cực kỳ chân thực, điều này rất có lợi cho việc mô phỏng và đào tạo (và không may thay, cũng có lợi cho những kẻ tấn công sử dụng kỹ thuật xã hội). Khi đi sâu vào các trường hợp sử dụng cụ thể, chúng ta sẽ thấy rằng khả năng tổng hợp và phân tích thông tin của generative AI là nền tảng cho nhiều ứng dụng an ninh mạng của nó. Bên dưới, chúng ta sẽ đi sâu vào các trường hợp sử dụng chính, trải rộng từ phòng chống lừa đảo trực tuyến đến phát triển phần mềm an toàn, với các ví dụ về cách mỗi trường hợp được áp dụng trong các ngành công nghiệp khác nhau.

Các ứng dụng chính của Trí tuệ nhân tạo tạo sinh trong an ninh mạng

Hình: Các trường hợp sử dụng chính của AI tạo sinh trong an ninh mạng bao gồm trợ lý AI cho các nhóm bảo mật, phân tích lỗ hổng mã, phát hiện mối đe dọa thích ứng, mô phỏng tấn công zero-day, bảo mật sinh trắc học nâng cao và phát hiện lừa đảo ( 6 Trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ).

Phát hiện và phòng chống lừa đảo trực tuyến

Tấn công lừa đảo (phishing) vẫn là một trong những mối đe dọa mạng phổ biến nhất, lừa người dùng nhấp vào các liên kết độc hại hoặc tiết lộ thông tin đăng nhập. Trí tuệ nhân tạo tạo sinh (Generative AI) đang được triển khai để phát hiện các nỗ lực lừa đảo và tăng cường đào tạo người dùng nhằm ngăn chặn các cuộc tấn công thành công. Về phía phòng thủ, các mô hình AI có thể phân tích nội dung email và hành vi người gửi để phát hiện các dấu hiệu tinh vi của lừa đảo mà các bộ lọc dựa trên quy tắc có thể bỏ sót. Bằng cách học hỏi từ các tập dữ liệu lớn về email hợp pháp so với email lừa đảo, một mô hình tạo sinh có thể gắn cờ các bất thường về giọng điệu, từ ngữ hoặc ngữ cảnh cho thấy một vụ lừa đảo – ngay cả khi ngữ pháp và chính tả không còn cho thấy điều đó nữa. Trên thực tế, các nhà nghiên cứu của Palo Alto Networks lưu ý rằng trí tuệ nhân tạo tạo sinh có thể xác định “các dấu hiệu tinh vi của email lừa đảo mà nếu không sẽ không bị phát hiện”, giúp các tổ chức luôn đi trước một bước so với những kẻ lừa đảo ( What Is Generative AI in Cybersecurity? - Palo Alto Networks ).

Các nhóm bảo mật cũng đang sử dụng AI tạo sinh để mô phỏng các cuộc tấn công lừa đảo nhằm mục đích đào tạo và phân tích. Ví dụ, Ironscales đã giới thiệu một công cụ mô phỏng lừa đảo dựa trên GPT, tự động tạo ra các email lừa đảo giả mạo được thiết kế riêng cho nhân viên của một tổ chức ( Làm thế nào để sử dụng AI tạo sinh trong an ninh mạng? 10 ví dụ thực tế ). Những email do AI tạo ra này phản ánh các chiến thuật mới nhất của kẻ tấn công, giúp nhân viên có kinh nghiệm thực tế trong việc phát hiện nội dung lừa đảo. Việc đào tạo cá nhân hóa như vậy rất quan trọng khi chính những kẻ tấn công cũng sử dụng AI để tạo ra những chiêu trò lừa đảo thuyết phục hơn. Đáng chú ý, mặc dù AI tạo sinh có thể tạo ra các tin nhắn lừa đảo rất tinh vi (không còn những lỗi ngữ pháp dễ nhận biết), nhưng các nhà bảo vệ đã phát hiện ra rằng AI không phải là bất khả chiến bại. Năm 2024, các nhà nghiên cứu của IBM Security đã thực hiện một thí nghiệm so sánh các email lừa đảo do con người viết với các email do AI tạo ra, và “đáng ngạc nhiên là, các email do AI tạo ra vẫn dễ bị phát hiện mặc dù ngữ pháp của chúng chính xác” ( 6 trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ). Điều này cho thấy rằng trực giác của con người kết hợp với khả năng phát hiện được hỗ trợ bởi AI vẫn có thể nhận ra những điểm không nhất quán tinh tế hoặc các tín hiệu siêu dữ liệu trong các email lừa đảo do AI viết.

Trí tuệ nhân tạo tạo sinh (Generative AI) cũng hỗ trợ phòng chống lừa đảo trực tuyến theo nhiều cách khác. Các mô hình có thể được sử dụng để tạo ra các phản hồi hoặc bộ lọc tự động nhằm kiểm tra các email đáng ngờ. Ví dụ, một hệ thống AI có thể trả lời email bằng một số truy vấn nhất định để xác minh tính hợp pháp của người gửi hoặc sử dụng mô hình ngôn ngữ tuyến tính (LLM) để phân tích các liên kết và tệp đính kèm của email trong môi trường thử nghiệm, sau đó tóm tắt bất kỳ ý định độc hại nào. Nền tảng bảo mật Morpheus chứng minh sức mạnh của AI trong lĩnh vực này – nó sử dụng các mô hình xử lý ngôn ngữ tự nhiên tạo sinh (generative NLP) để nhanh chóng phân tích và phân loại email, và được phát hiện là cải thiện khả năng phát hiện email lừa đảo có chủ đích lên đến 21% so với các công cụ bảo mật truyền thống ( 6 Trường hợp sử dụng Trí tuệ nhân tạo tạo sinh trong An ninh mạng [+ Ví dụ] ). Morpheus thậm chí còn lập hồ sơ các mẫu giao tiếp của người dùng để phát hiện hành vi bất thường (như người dùng đột nhiên gửi email đến nhiều địa chỉ bên ngoài), điều này có thể cho thấy một tài khoản bị xâm phạm đang gửi email lừa đảo.

Trên thực tế, các công ty thuộc nhiều ngành nghề khác nhau đang bắt đầu tin tưởng vào AI để lọc email và lưu lượng truy cập web nhằm phát hiện các cuộc tấn công kỹ thuật xã hội. Ví dụ, các công ty tài chính sử dụng AI tạo sinh để quét các thông tin liên lạc nhằm phát hiện các nỗ lực mạo danh có thể dẫn đến gian lận chuyển khoản, trong khi các nhà cung cấp dịch vụ chăm sóc sức khỏe triển khai AI để bảo vệ dữ liệu bệnh nhân khỏi các vi phạm liên quan đến lừa đảo trực tuyến. Bằng cách tạo ra các kịch bản lừa đảo thực tế và xác định các dấu hiệu đặc trưng của tin nhắn độc hại, AI tạo sinh bổ sung thêm một lớp bảo vệ mạnh mẽ cho các chiến lược phòng chống lừa đảo. Tóm lại: AI có thể giúp phát hiện và vô hiệu hóa các cuộc tấn công lừa đảo nhanh hơn và chính xác hơn, ngay cả khi những kẻ tấn công sử dụng cùng công nghệ đó để nâng cao kỹ năng của chúng.

Phát hiện phần mềm độc hại và phân tích mối đe dọa

Phần mềm độc hại hiện đại liên tục phát triển – kẻ tấn công tạo ra các biến thể mới hoặc làm xáo trộn mã để vượt qua các chữ ký chống virus. Trí tuệ nhân tạo tạo sinh (Generative AI) cung cấp các kỹ thuật mới cho cả việc phát hiện phần mềm độc hại và hiểu hành vi của nó. Một cách tiếp cận là sử dụng AI để tạo ra “bản sao độc ác” của phần mềm độc hại : các nhà nghiên cứu bảo mật có thể đưa một mẫu phần mềm độc hại đã biết vào mô hình tạo sinh để tạo ra nhiều biến thể đột biến của phần mềm độc hại đó. Bằng cách đó, họ dự đoán hiệu quả các thay đổi mà kẻ tấn công có thể thực hiện. Các biến thể do AI tạo ra này sau đó có thể được sử dụng để huấn luyện hệ thống chống virus và phát hiện xâm nhập, để ngay cả các phiên bản đã sửa đổi của phần mềm độc hại cũng được nhận dạng trong thực tế ( 6 Trường hợp sử dụng Trí tuệ nhân tạo tạo sinh trong An ninh mạng [+ Ví dụ] ). Chiến lược chủ động này giúp phá vỡ chu kỳ mà tin tặc thay đổi nhẹ phần mềm độc hại của chúng để né tránh bị phát hiện và những người bảo vệ phải vội vàng viết chữ ký mới mỗi lần. Như đã được đề cập trong một podcast của ngành, các chuyên gia bảo mật hiện đang sử dụng AI tạo sinh để “mô phỏng lưu lượng mạng và tạo ra các tải trọng độc hại bắt chước các cuộc tấn công tinh vi”, kiểm tra khả năng phòng thủ của họ chống lại toàn bộ một nhóm các mối đe dọa chứ không phải chỉ một trường hợp duy nhất. Việc phát hiện mối đe dọa thích ứng có nghĩa là các công cụ bảo mật trở nên kiên cường hơn trước phần mềm độc hại đa hình mà nếu không sẽ dễ dàng lọt qua.

Ngoài việc phát hiện, trí tuệ nhân tạo tạo sinh (Generative AI) hỗ trợ phân tích phần mềm độc hại và kỹ thuật đảo ngược , những công việc truyền thống tốn nhiều công sức của các nhà phân tích mối đe dọa. Các mô hình ngôn ngữ lớn có thể được giao nhiệm vụ kiểm tra mã hoặc kịch bản đáng ngờ và giải thích bằng ngôn ngữ đơn giản mục đích của mã đó. Một ví dụ thực tế là VirusTotal Code Insight , một tính năng của VirusTotal của Google sử dụng mô hình AI tạo sinh (Sec-PaLM của Google) để tạo ra các bản tóm tắt bằng ngôn ngữ tự nhiên của mã có khả năng độc hại ( Làm thế nào để sử dụng AI tạo sinh trong an ninh mạng? 10 ví dụ thực tế ). Về cơ bản, nó là “một loại ChatGPT chuyên dụng cho mã hóa bảo mật”, hoạt động như một nhà phân tích phần mềm độc hại AI làm việc 24/7 để giúp các nhà phân tích con người hiểu các mối đe dọa ( 6 trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ). Thay vì phải nghiên cứu kỹ lưỡng mã kịch bản hoặc mã nhị phân không quen thuộc, một thành viên nhóm bảo mật có thể nhận được lời giải thích ngay lập tức từ AI – ví dụ: “Kịch bản này cố gắng tải xuống một tệp từ máy chủ XYZ ​​và sau đó sửa đổi cài đặt hệ thống, điều này cho thấy hành vi của phần mềm độc hại.” Điều này giúp tăng tốc đáng kể quá trình phản hồi sự cố, vì các nhà phân tích có thể phân loại và hiểu rõ các phần mềm độc hại mới nhanh hơn bao giờ hết.

tạo tạo sinh (Generative AI) cũng được sử dụng để xác định phần mềm độc hại trong các tập dữ liệu khổng lồ . Các công cụ chống virus truyền thống quét các tệp để tìm các chữ ký đã biết, nhưng một mô hình tạo sinh có thể đánh giá các đặc điểm của tệp và thậm chí dự đoán xem nó có độc hại hay không dựa trên các mẫu đã học. Bằng cách phân tích các thuộc tính của hàng tỷ tệp (độc hại và lành tính), AI có thể phát hiện ý định độc hại ngay cả khi không có chữ ký rõ ràng. Ví dụ, một mô hình tạo sinh có thể gắn cờ một tệp thực thi là đáng ngờ vì hồ sơ hành vi của nó "trông" giống như một biến thể nhỏ của phần mềm tống tiền mà nó đã thấy trong quá trình huấn luyện, mặc dù tệp nhị phân này là mới. Phát hiện dựa trên hành vi này giúp chống lại phần mềm độc hại mới hoặc phần mềm độc hại zero-day. AI Tình báo Mối đe dọa của Google (một phần của Chronicle/Mandiant) được cho là sử dụng mô hình tạo sinh của mình để phân tích mã có khả năng độc hại và "hỗ trợ các chuyên gia bảo mật một cách hiệu quả hơn trong việc chống lại phần mềm độc hại và các loại mối đe dọa khác." ( Làm thế nào để sử dụng Trí tuệ nhân tạo tạo sinh trong An ninh mạng? 10 ví dụ thực tế ).

Mặt khác, chúng ta cũng phải thừa nhận rằng kẻ tấn công có thể sử dụng trí tuệ nhân tạo tạo sinh (generative AI) ở đây – để tự động tạo ra phần mềm độc hại có khả năng tự thích nghi. Trên thực tế, các chuyên gia bảo mật cảnh báo rằng trí tuệ nhân tạo tạo sinh có thể giúp tội phạm mạng phát triển phần mềm độc hại khó phát hiện hơn ( Trí tuệ nhân tạo tạo sinh trong an ninh mạng là gì? - Palo Alto Networks ). Một mô hình AI có thể được lập trình để biến đổi một phần mềm độc hại nhiều lần (thay đổi cấu trúc tệp, phương pháp mã hóa, v.v.) cho đến khi nó vượt qua tất cả các kiểm tra chống virus đã biết. Việc sử dụng mang tính đối kháng này đang là một mối lo ngại ngày càng tăng (đôi khi được gọi là "phần mềm độc hại được hỗ trợ bởi AI" hoặc phần mềm độc hại đa hình dưới dạng dịch vụ). Chúng ta sẽ thảo luận về những rủi ro này sau, nhưng điều đó nhấn mạnh rằng trí tuệ nhân tạo tạo sinh là một công cụ trong trò chơi mèo vờn chuột được cả người phòng thủ và kẻ tấn công sử dụng.

Nhìn chung, trí tuệ nhân tạo tạo sinh (generative AI) tăng cường khả năng phòng chống phần mềm độc hại bằng cách cho phép các nhóm bảo mật suy nghĩ như một kẻ tấn công – tự tạo ra các mối đe dọa và giải pháp mới. Cho dù đó là tạo ra phần mềm độc hại tổng hợp để cải thiện tỷ lệ phát hiện hay sử dụng AI để giải thích và ngăn chặn phần mềm độc hại thực sự được tìm thấy trong mạng, các kỹ thuật này đều có thể áp dụng trong nhiều ngành. Một ngân hàng có thể sử dụng phân tích phần mềm độc hại dựa trên AI để nhanh chóng phân tích một macro đáng ngờ trong bảng tính, trong khi một công ty sản xuất có thể dựa vào AI để phát hiện phần mềm độc hại nhắm mục tiêu vào hệ thống điều khiển công nghiệp. Bằng cách bổ sung phân tích phần mềm độc hại truyền thống bằng trí tuệ nhân tạo tạo sinh, các tổ chức có thể phản ứng với các chiến dịch phần mềm độc hại nhanh hơn và chủ động hơn trước đây.

Tình báo mối đe dọa và tự động hóa phân tích

Mỗi ngày, các tổ chức bị dội bom bởi dữ liệu tình báo về mối đe dọa – từ các nguồn cấp dữ liệu về các dấu hiệu xâm phạm (IOC) mới được phát hiện đến các báo cáo của nhà phân tích về các chiến thuật tin tặc mới nổi. Thách thức đối với các nhóm bảo mật là sàng lọc lượng thông tin khổng lồ này và trích xuất những thông tin chi tiết có thể hành động được. Trí tuệ nhân tạo tạo sinh (Generative AI) đang chứng tỏ giá trị vô cùng quan trọng trong việc tự động hóa phân tích và sử dụng thông tin tình báo về mối đe dọa . Thay vì đọc thủ công hàng chục báo cáo hoặc mục nhập cơ sở dữ liệu, các nhà phân tích có thể sử dụng AI để tóm tắt và đặt bối cảnh cho thông tin tình báo về mối đe dọa với tốc độ máy tính.

Threat Intelligence của Google , tích hợp trí tuệ nhân tạo tạo sinh (mô hình Gemini) với kho dữ liệu về mối đe dọa của Google từ Mandiant và VirusTotal. Trí tuệ nhân tạo này cung cấp “tìm kiếm hội thoại trên kho dữ liệu khổng lồ về mối đe dọa của Google” , cho phép người dùng đặt các câu hỏi tự nhiên về các mối đe dọa và nhận được câu trả lời cô đọng ( Làm thế nào để sử dụng trí tuệ nhân tạo tạo sinh trong an ninh mạng? 10 ví dụ thực tế ). Ví dụ, một nhà phân tích có thể hỏi, “Chúng ta đã thấy bất kỳ phần mềm độc hại nào liên quan đến Nhóm đe dọa X nhắm mục tiêu vào ngành của chúng ta chưa?” và trí tuệ nhân tạo sẽ trích xuất thông tin liên quan, có thể ghi chú “Có, Nhóm đe dọa X đã được liên kết với một chiến dịch lừa đảo qua email vào tháng trước bằng phần mềm độc hại Y” , cùng với tóm tắt về hành vi của phần mềm độc hại đó. Điều này giúp giảm đáng kể thời gian thu thập thông tin chi tiết mà nếu không sẽ cần phải truy vấn nhiều công cụ hoặc đọc các báo cáo dài.

Trí tuệ nhân tạo tạo sinh (Generative AI) cũng có thể liên kết và tóm tắt các xu hướng đe dọa . Nó có thể sàng lọc hàng nghìn bài đăng trên blog về bảo mật, tin tức về các vụ vi phạm an ninh mạng và các cuộc thảo luận trên dark web, sau đó tạo ra bản tóm tắt dành cho cấp quản lý về “các mối đe dọa mạng hàng đầu trong tuần này” để trình bày trước Giám đốc An ninh Thông tin (CISO). Theo truyền thống, mức độ phân tích và báo cáo này đòi hỏi rất nhiều công sức của con người; giờ đây, một mô hình được tinh chỉnh tốt có thể soạn thảo nó trong vài giây, với con người chỉ cần tinh chỉnh kết quả đầu ra. Các công ty như ZeroFox đã phát triển FoxGPT , một công cụ AI tạo sinh được thiết kế đặc biệt để “tăng tốc phân tích và tóm tắt thông tin tình báo trên các tập dữ liệu lớn”, bao gồm cả nội dung độc hại và dữ liệu lừa đảo ( Làm thế nào để sử dụng AI tạo sinh trong an ninh mạng? 10 ví dụ thực tế ). Bằng cách tự động hóa công việc nặng nhọc là đọc và đối chiếu dữ liệu, AI cho phép các nhóm tình báo về mối đe dọa tập trung vào việc ra quyết định và phản ứng.

Một trường hợp sử dụng khác là săn lùng mối đe dọa bằng hội thoại . Hãy tưởng tượng một nhà phân tích bảo mật tương tác với trợ lý AI: “Hãy cho tôi xem bất kỳ dấu hiệu nào về việc rò rỉ dữ liệu trong 48 giờ qua” hoặc “Những lỗ hổng bảo mật mới nào mà kẻ tấn công đang khai thác trong tuần này?” AI có thể diễn giải truy vấn, tìm kiếm nhật ký nội bộ hoặc các nguồn thông tin tình báo bên ngoài và trả lời rõ ràng hoặc thậm chí là danh sách các sự cố liên quan. Điều này không phải là điều xa vời – các hệ thống quản lý thông tin và sự kiện bảo mật (SIEM) hiện đại đang bắt đầu tích hợp truy vấn bằng ngôn ngữ tự nhiên. Ví dụ, bộ phần mềm bảo mật QRadar của IBM sẽ bổ sung các tính năng AI tạo sinh vào năm 2024 để cho phép các nhà phân tích “hỏi […] các câu hỏi cụ thể về đường dẫn tấn công tóm tắt” của một sự cố và nhận được câu trả lời chi tiết. Nó cũng có thể “diễn giải và tóm tắt thông tin tình báo về mối đe dọa có liên quan cao” ( Làm thế nào để sử dụng AI tạo sinh trong an ninh mạng? 10 ví dụ thực tế ). Về cơ bản, AI tạo sinh biến lượng lớn dữ liệu kỹ thuật thành những thông tin chi tiết ngắn gọn theo yêu cầu.

Điều này mang lại những tác động lớn trên nhiều ngành công nghiệp. Một nhà cung cấp dịch vụ chăm sóc sức khỏe có thể sử dụng AI để cập nhật thông tin về các nhóm mã độc tống tiền mới nhất nhắm mục tiêu vào bệnh viện, mà không cần phải bố trí một nhà phân tích toàn thời gian để nghiên cứu. Trung tâm điều hành an ninh mạng (SOC) của một công ty bán lẻ có thể nhanh chóng tóm tắt các chiến thuật phần mềm độc hại POS mới khi thông báo cho nhân viên CNTT của cửa hàng. Và trong chính phủ, nơi dữ liệu về mối đe dọa từ nhiều cơ quan khác nhau phải được tổng hợp, AI có thể tạo ra các báo cáo thống nhất làm nổi bật các cảnh báo quan trọng. Bằng cách tự động hóa việc thu thập và diễn giải thông tin tình báo về mối đe dọa , AI tạo sinh giúp các tổ chức phản ứng nhanh hơn với các mối đe dọa mới nổi và giảm nguy cơ bỏ sót các cảnh báo quan trọng bị che khuất trong mớ hỗn độn thông tin.

Tối ưu hóa Trung tâm Điều hành An ninh (SOC)

Trung tâm điều hành an ninh (SOC) nổi tiếng với tình trạng quá tải cảnh báo và khối lượng dữ liệu khổng lồ. Một chuyên viên phân tích SOC điển hình có thể phải xử lý hàng nghìn cảnh báo và sự kiện mỗi ngày, điều tra các sự cố tiềm ẩn. Trí tuệ nhân tạo tạo sinh (Generative AI) đang đóng vai trò là yếu tố nhân rộng hiệu quả trong các SOC bằng cách tự động hóa các công việc thường ngày, cung cấp các bản tóm tắt thông minh và thậm chí điều phối một số phản hồi. Mục tiêu là tối ưu hóa quy trình làm việc của SOC để các chuyên viên phân tích có thể tập trung vào các vấn đề quan trọng nhất trong khi trợ lý AI xử lý phần còn lại.

Một ứng dụng quan trọng là sử dụng trí tuệ nhân tạo tạo sinh (generative AI) như một “Trợ lý phân tích” . Microsoft Security Copilot, như đã đề cập trước đó, là một ví dụ điển hình: nó “được thiết kế để hỗ trợ công việc của nhà phân tích bảo mật chứ không phải thay thế họ”, giúp điều tra và báo cáo sự cố ( Microsoft Security Copilot là trợ lý AI GPT-4 mới dành cho an ninh mạng | The Verge ). Trên thực tế, điều này có nghĩa là nhà phân tích có thể nhập dữ liệu thô – nhật ký tường lửa, dòng thời gian sự kiện hoặc mô tả sự cố – ​​và yêu cầu AI phân tích hoặc tóm tắt dữ liệu đó. Trợ lý có thể đưa ra một bản tường thuật như sau: “Có vẻ như vào lúc 2:35 sáng, một lần đăng nhập đáng ngờ từ địa chỉ IP X đã thành công trên Máy chủ Y, tiếp theo là các hoạt động truyền dữ liệu bất thường, cho thấy khả năng xảy ra vi phạm an ninh mạng đối với máy chủ đó”. Khả năng cung cấp ngữ cảnh tức thời như vậy là vô cùng quý giá khi thời gian là yếu tố then chốt.

Các trợ lý AI cũng giúp giảm bớt gánh nặng phân loại cấp độ 1. Theo dữ liệu ngành, một nhóm bảo mật có thể dành 15 giờ mỗi tuần chỉ để xử lý khoảng 22.000 cảnh báo và cảnh báo sai ( 6 Trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ). Với AI tạo sinh, nhiều cảnh báo trong số này có thể được phân loại tự động – AI có thể loại bỏ những cảnh báo rõ ràng là vô hại (kèm theo lý do) và làm nổi bật những cảnh báo thực sự cần chú ý, đôi khi thậm chí còn đề xuất mức độ ưu tiên. Trên thực tế, thế mạnh của AI tạo sinh trong việc hiểu ngữ cảnh có nghĩa là nó có thể đối chiếu các cảnh báo có vẻ vô hại khi đứng riêng lẻ nhưng cùng nhau lại cho thấy một cuộc tấn công nhiều giai đoạn. Điều này làm giảm nguy cơ bỏ sót một cuộc tấn công do “mệt mỏi vì cảnh báo”.

Các nhà phân tích SOC cũng đang sử dụng ngôn ngữ tự nhiên kết hợp với AI để tăng tốc quá trình săn lùng và điều tra. Purple AI kết hợp giao diện dựa trên LLM với dữ liệu bảo mật thời gian thực, cho phép các nhà phân tích “đặt các câu hỏi săn lùng mối đe dọa phức tạp bằng tiếng Anh thông thường và nhận được câu trả lời nhanh chóng, chính xác” ( Làm thế nào có thể sử dụng AI tạo sinh trong an ninh mạng? 10 ví dụ thực tế ). Một nhà phân tích có thể nhập, “Có điểm cuối nào đã liên lạc với miền badguy123[.]com trong tháng trước không?” , và Purple AI sẽ tìm kiếm trong nhật ký để trả lời. Điều này giúp nhà phân tích không cần phải viết các truy vấn cơ sở dữ liệu hoặc tập lệnh – AI thực hiện việc đó một cách tự động. Điều này cũng có nghĩa là các nhà phân tích cấp dưới có thể xử lý các nhiệm vụ trước đây yêu cầu một kỹ sư giàu kinh nghiệm thành thạo ngôn ngữ truy vấn, giúp nâng cao kỹ năng cho nhóm thông qua sự hỗ trợ của AI . Thực tế, các nhà phân tích báo cáo rằng hướng dẫn của AI tạo sinh “nâng cao kỹ năng và trình độ của họ” , vì nhân viên cấp dưới giờ đây có thể nhận được hỗ trợ mã hóa theo yêu cầu hoặc các mẹo phân tích từ AI, giảm sự phụ thuộc vào việc luôn phải hỏi các thành viên cấp cao trong nhóm để được giúp đỡ ( 6 trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ).

Một tối ưu hóa khác cho SOC là tự động tóm tắt và lập tài liệu sự cố . Sau khi một sự cố được xử lý, ai đó phải viết báo cáo – một công việc mà nhiều người thấy tẻ nhạt. Trí tuệ nhân tạo tạo sinh (Generative AI) có thể lấy dữ liệu pháp y (nhật ký hệ thống, phân tích phần mềm độc hại, dòng thời gian của các hành động) và tạo ra bản nháp báo cáo sự cố. IBM đang tích hợp khả năng này vào QRadar để chỉ với “một cú nhấp chuột”, bản tóm tắt sự cố có thể được tạo ra cho các bên liên quan khác nhau (giám đốc điều hành, nhóm CNTT, v.v.) ( Làm thế nào để sử dụng Trí tuệ nhân tạo tạo sinh trong an ninh mạng? 10 ví dụ thực tế ). Điều này không chỉ tiết kiệm thời gian mà còn đảm bảo không có gì bị bỏ sót trong báo cáo, vì AI có thể bao gồm tất cả các chi tiết liên quan một cách nhất quán. Tương tự, đối với việc tuân thủ và kiểm toán, AI có thể điền vào các biểu mẫu hoặc bảng bằng chứng dựa trên dữ liệu sự cố.

Kết quả thực tế rất thuyết phục. Những người tiên phong sử dụng SOAR (điều phối, tự động hóa và phản hồi an ninh) dựa trên AI của Swimlane báo cáo mức tăng năng suất đáng kể – ví dụ, Global Data Systems nhận thấy nhóm SecOps của họ quản lý khối lượng công việc lớn hơn nhiều; một giám đốc cho biết “những gì tôi làm hôm nay với 7 nhà phân tích có lẽ sẽ cần đến 20 nhân viên nếu không có” tự động hóa dựa trên AI ( Cách sử dụng AI tạo sinh trong an ninh mạng ). Nói cách khác, AI trong SOC có thể nhân bội năng lực . Trên khắp các ngành công nghiệp, cho dù đó là một công ty công nghệ xử lý các cảnh báo an ninh đám mây hay một nhà máy sản xuất giám sát hệ thống OT, các nhóm SOC đều có thể đạt được khả năng phát hiện và phản hồi nhanh hơn, ít sự cố bị bỏ sót hơn và hoạt động hiệu quả hơn bằng cách áp dụng các trợ lý AI tạo sinh. Đó là về việc làm việc thông minh hơn – cho phép máy móc xử lý các nhiệm vụ lặp đi lặp lại và nặng về dữ liệu để con người có thể áp dụng trực giác và chuyên môn của họ vào những nơi quan trọng nhất.

Quản lý lỗ hổng bảo mật và mô phỏng mối đe dọa

Xác định và quản lý các lỗ hổng – những điểm yếu trong phần mềm hoặc hệ thống mà kẻ tấn công có thể khai thác – là một chức năng cốt lõi của an ninh mạng. Trí tuệ nhân tạo tạo sinh (Generative AI) đang tăng cường quản lý lỗ hổng bằng cách đẩy nhanh quá trình phát hiện, hỗ trợ ưu tiên vá lỗi và thậm chí mô phỏng các cuộc tấn công vào những lỗ hổng đó để cải thiện khả năng chuẩn bị. Về bản chất, AI đang giúp các tổ chức tìm và khắc phục các lỗ hổng trong hệ thống phòng thủ của họ nhanh hơn, và chủ động kiểm tra khả năng phòng thủ trước khi kẻ tấn công thực sự làm điều đó.

Một ứng dụng quan trọng là sử dụng trí tuệ nhân tạo tạo sinh (Generative AI) để tự động xem xét mã và phát hiện lỗ hổng bảo mật. Các cơ sở mã lớn (đặc biệt là các hệ thống cũ) thường chứa các lỗi bảo mật mà không được phát hiện. Các mô hình AI tạo sinh có thể được đào tạo về các thực tiễn lập trình an toàn và các mẫu lỗi phổ biến, sau đó được áp dụng vào mã nguồn hoặc các tệp nhị phân đã biên dịch để tìm ra các lỗ hổng tiềm ẩn. Ví dụ, các nhà nghiên cứu của NVIDIA đã phát triển một quy trình AI tạo sinh có thể phân tích các container phần mềm cũ và xác định các lỗ hổng “với độ chính xác cao — nhanh hơn tới 4 lần so với các chuyên gia con người.” ( 6 Trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ). Về cơ bản, AI đã học được mã không an toàn trông như thế nào và có thể quét qua phần mềm có tuổi đời hàng chục năm để gắn cờ các hàm và thư viện rủi ro, giúp tăng tốc đáng kể quá trình kiểm toán mã thủ công vốn thường rất chậm. Loại công cụ này có thể là yếu tố thay đổi cuộc chơi đối với các ngành như tài chính hoặc chính phủ, những ngành dựa vào các cơ sở mã lớn, cũ hơn – AI giúp hiện đại hóa bảo mật bằng cách tìm ra các vấn đề mà nhân viên có thể mất hàng tháng hoặc hàng năm để tìm thấy (nếu có).

Trí tuệ nhân tạo tạo sinh (Generative AI) cũng hỗ trợ quy trình quản lý lỗ hổng bằng cách xử lý kết quả quét lỗ hổng và ưu tiên chúng. Các công cụ như ExposureAI sử dụng AI tạo sinh để cho phép các nhà phân tích truy vấn dữ liệu lỗ hổng bằng ngôn ngữ thông thường và nhận được câu trả lời tức thì ( Làm thế nào để sử dụng AI tạo sinh trong an ninh mạng? 10 ví dụ thực tế ). ExposureAI có thể “tóm tắt toàn bộ đường tấn công trong một câu chuyện” cho một lỗ hổng nghiêm trọng nhất định, giải thích cách kẻ tấn công có thể kết hợp nó với các điểm yếu khác để xâm phạm hệ thống. Nó thậm chí còn đề xuất các hành động khắc phục và trả lời các câu hỏi tiếp theo về rủi ro. Điều này có nghĩa là khi một CVE (Lỗ hổng và Rủi ro Phổ biến) nghiêm trọng mới được công bố, một nhà phân tích có thể hỏi AI, “Máy chủ nào của chúng ta bị ảnh hưởng bởi CVE này và kịch bản xấu nhất là gì nếu chúng ta không vá lỗi?” và nhận được đánh giá rõ ràng dựa trên dữ liệu quét của chính tổ chức. Bằng cách đặt các lỗ hổng vào ngữ cảnh (ví dụ: lỗ hổng này bị phơi nhiễm trên internet và trên một máy chủ có giá trị cao, vì vậy nó là ưu tiên hàng đầu), AI tạo sinh giúp các nhóm vá lỗi một cách thông minh với nguồn lực hạn chế.

Ngoài việc tìm kiếm và quản lý các lỗ hổng đã biết, trí tuệ nhân tạo tạo sinh (Generative AI) còn góp phần vào việc kiểm thử xâm nhập và mô phỏng tấn công – về cơ bản là phát hiện chưa biết hoặc kiểm tra các biện pháp kiểm soát an ninh. Mạng đối kháng tạo sinh (GAN), một loại trí tuệ nhân tạo tạo sinh, đã được sử dụng để tạo ra dữ liệu tổng hợp bắt chước lưu lượng mạng thực hoặc hành vi người dùng, có thể bao gồm các mẫu tấn công ẩn. Một nghiên cứu năm 2023 đã đề xuất sử dụng GAN để tạo ra lưu lượng tấn công zero-day thực tế nhằm huấn luyện hệ thống phát hiện xâm nhập ( 6 Trường hợp sử dụng trí tuệ nhân tạo tạo sinh trong an ninh mạng [+ Ví dụ] ). Bằng cách cung cấp cho IDS các kịch bản tấn công do AI tạo ra (mà không có nguy cơ sử dụng phần mềm độc hại thực tế trên mạng sản xuất), các tổ chức có thể huấn luyện hệ thống phòng thủ của mình để nhận ra các mối đe dọa mới mà không cần chờ bị tấn công trong thực tế. Tương tự, AI có thể mô phỏng kẻ tấn công đang thăm dò hệ thống – ví dụ, tự động thử các kỹ thuật khai thác khác nhau trong môi trường an toàn để xem kỹ thuật nào thành công. Cơ quan Nghiên cứu Dự án Tiên tiến Quốc phòng Hoa Kỳ (DARPA) nhìn thấy tiềm năng ở đây: Thử thách An ninh mạng AI năm 2023 của họ sử dụng rõ ràng trí tuệ nhân tạo tạo sinh (như các mô hình ngôn ngữ lớn) để “tự động tìm và sửa các lỗ hổng trong phần mềm mã nguồn mở” như một phần của cuộc thi ( DARPA hướng tới phát triển các ứng dụng AI và tự động hóa mà binh lính có thể tin tưởng > Bộ Quốc phòng Hoa Kỳ > Tin tức Bộ Quốc phòng ). Sáng kiến ​​này nhấn mạnh rằng AI không chỉ giúp vá các lỗ hổng đã biết; nó còn chủ động phát hiện ra các lỗ hổng mới và đề xuất các giải pháp khắc phục, một nhiệm vụ traditionally chỉ dành cho các nhà nghiên cứu an ninh có tay nghề cao (và tốn kém).

nhân tạo tạo sinh (Generative AI) thậm chí có thể tạo ra các bẫy mật thông minh và bản sao kỹ thuật số để phòng thủ. Các công ty khởi nghiệp đang phát triển các hệ thống mồi nhử dựa trên AI, mô phỏng một cách thuyết phục các máy chủ hoặc thiết bị thực. Như một CEO đã giải thích, trí tuệ nhân tạo tạo sinh có thể “nhân bản các hệ thống kỹ thuật số để bắt chước các hệ thống thực và dụ dỗ tin tặc” ( 6 Trường hợp sử dụng trí tuệ nhân tạo tạo sinh trong an ninh mạng [+ Ví dụ] ). Những bẫy mật do AI tạo ra này hoạt động giống như môi trường thực (ví dụ: một thiết bị IoT giả mạo gửi dữ liệu đo từ xa bình thường) nhưng chỉ tồn tại để thu hút kẻ tấn công. Khi kẻ tấn công nhắm mục tiêu vào mồi nhử, về cơ bản AI đã lừa chúng tiết lộ phương pháp của mình, mà sau đó các nhà phòng thủ có thể nghiên cứu và sử dụng để củng cố các hệ thống thực. Khái niệm này, được hỗ trợ bởi mô hình tạo sinh, cung cấp một cách tiếp cận tiên tiến để lật ngược tình thế trước kẻ tấn công , sử dụng sự đánh lừa được tăng cường bởi AI.

Trong mọi ngành nghề, quản lý lỗ hổng bảo mật nhanh hơn và thông minh hơn đồng nghĩa với việc giảm thiểu các vụ xâm phạm. Ví dụ, trong lĩnh vực CNTT y tế, AI có thể nhanh chóng phát hiện ra một thư viện lỗi thời dễ bị tổn thương trong thiết bị y tế và đề xuất vá lỗi phần mềm trước khi bất kỳ kẻ tấn công nào khai thác nó. Trong lĩnh vực ngân hàng, AI có thể mô phỏng một cuộc tấn công nội bộ vào một ứng dụng mới để đảm bảo dữ liệu khách hàng luôn an toàn trong mọi tình huống. Do đó, AI tạo sinh hoạt động như cả kính hiển vi và công cụ kiểm tra độ bền cho tư thế bảo mật của các tổ chức: nó làm sáng tỏ những điểm yếu tiềm ẩn và tạo áp lực lên hệ thống theo những cách sáng tạo để đảm bảo khả năng phục hồi.

Tạo mã an toàn và phát triển phần mềm

Khả năng của Trí tuệ nhân tạo tạo sinh không chỉ giới hạn ở việc phát hiện các cuộc tấn công mà còn mở rộng đến việc tạo ra các hệ thống an toàn hơn ngay từ đầu . Trong phát triển phần mềm, các công cụ tạo mã AI (như GitHub Copilot, OpenAI Codex, v.v.) có thể giúp các nhà phát triển viết mã nhanh hơn bằng cách đề xuất các đoạn mã hoặc thậm chí toàn bộ hàm. Khía cạnh an ninh mạng là đảm bảo rằng các đoạn mã do AI đề xuất này an toàn và sử dụng AI để cải thiện các thực tiễn lập trình.

Một mặt, trí tuệ nhân tạo tạo sinh (generative AI) có thể hoạt động như một trợ lý lập trình tích hợp các thực tiễn bảo mật tốt nhất . Các nhà phát triển có thể yêu cầu công cụ AI, “Tạo hàm đặt lại mật khẩu bằng Python,” và lý tưởng nhất là nhận được mã không chỉ hoạt động mà còn tuân thủ các nguyên tắc bảo mật (ví dụ: xác thực đầu vào đúng cách, ghi nhật ký, xử lý lỗi mà không làm rò rỉ thông tin, v.v.). Một trợ lý như vậy, được đào tạo trên nhiều ví dụ mã bảo mật, có thể giúp giảm thiểu lỗi của con người dẫn đến các lỗ hổng. Ví dụ, nếu một nhà phát triển quên làm sạch đầu vào của người dùng (mở ra cánh cửa cho tấn công SQL injection hoặc các vấn đề tương tự), AI có thể tự động thêm điều đó hoặc cảnh báo họ. Một số công cụ lập trình AI hiện đang được tinh chỉnh với dữ liệu tập trung vào bảo mật để phục vụ chính xác mục đích này – về cơ bản, AI kết hợp lập trình với ý thức bảo mật .

Tuy nhiên, cũng có mặt trái: Trí tuệ nhân tạo tạo sinh (Generative AI) cũng có thể dễ dàng tạo ra các lỗ hổng nếu không được quản lý đúng cách. Như chuyên gia bảo mật Ben Verschaeren của Sophos đã lưu ý, việc sử dụng Generative AI để lập trình là “ổn đối với mã ngắn, có thể kiểm chứng được, nhưng rủi ro khi mã chưa được kiểm tra được tích hợp” vào hệ thống sản xuất. Rủi ro là AI có thể tạo ra mã đúng về mặt logic nhưng lại không an toàn theo những cách mà người không chuyên có thể không nhận ra. Hơn nữa, các tác nhân độc hại có thể cố ý tác động đến các mô hình AI công khai bằng cách gieo vào chúng các mẫu mã dễ bị tổn thương (một hình thức đầu độc dữ liệu) để AI đề xuất mã không an toàn. Hầu hết các nhà phát triển không phải là chuyên gia bảo mật , vì vậy nếu AI đề xuất một giải pháp tiện lợi, họ có thể sử dụng nó một cách mù quáng mà không nhận ra rằng nó có lỗi ( 6 Trường hợp sử dụng Generative AI trong An ninh mạng [+ Ví dụ] ). Mối lo ngại này là có thật - trên thực tế, hiện có danh sách OWASP Top 10 dành cho LLM (mô hình ngôn ngữ lớn) nêu rõ các rủi ro phổ biến như vậy khi sử dụng AI để lập trình.

Để giải quyết những vấn đề này, các chuyên gia đề xuất “sử dụng AI tạo sinh để chống lại AI tạo sinh” trong lĩnh vực lập trình. Trên thực tế, điều đó có nghĩa là sử dụng AI để xem xét và kiểm tra mã do các AI khác (hoặc con người) viết. AI có thể quét qua các bản cập nhật mã mới nhanh hơn nhiều so với người đánh giá mã và phát hiện các lỗ hổng tiềm ẩn hoặc các vấn đề về logic. Chúng ta đã thấy các công cụ xuất hiện tích hợp vào vòng đời phát triển phần mềm: mã được viết (có thể với sự trợ giúp của AI), sau đó một mô hình tạo sinh được đào tạo dựa trên các nguyên tắc mã an toàn sẽ xem xét nó và tạo ra một báo cáo về bất kỳ mối quan ngại nào (ví dụ: sử dụng các hàm lỗi thời, thiếu kiểm tra xác thực, v.v.). Nghiên cứu của NVIDIA, được đề cập trước đó, đã đạt được khả năng phát hiện lỗ hổng nhanh hơn gấp 4 lần trong mã là một ví dụ về việc khai thác AI để phân tích mã an toàn ( 6 Trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ).

Hơn nữa, trí tuệ nhân tạo tạo sinh (generative AI) có thể hỗ trợ tạo ra các cấu hình và kịch bản bảo mật . Ví dụ, nếu một công ty cần triển khai cơ sở hạ tầng đám mây an toàn, kỹ sư có thể yêu cầu AI tạo ra các kịch bản cấu hình (Cơ sở hạ tầng dưới dạng mã) với các biện pháp kiểm soát bảo mật được tích hợp sẵn (như phân đoạn mạng phù hợp, vai trò IAM có quyền hạn tối thiểu). AI, sau khi được đào tạo trên hàng nghìn cấu hình như vậy, có thể tạo ra một cấu hình cơ bản mà kỹ sư sau đó sẽ tinh chỉnh. Điều này giúp tăng tốc quá trình thiết lập hệ thống an toàn và giảm thiểu lỗi cấu hình sai – một nguồn gốc phổ biến của các sự cố bảo mật đám mây.

Một số tổ chức cũng đang tận dụng trí tuệ nhân tạo tạo sinh (Generative AI) để duy trì cơ sở kiến ​​thức về các mẫu mã hóa an toàn. Nếu một nhà phát triển không chắc chắn về cách triển khai một tính năng nhất định một cách an toàn, họ có thể truy vấn một hệ thống AI nội bộ đã học hỏi từ các dự án trước đây và các hướng dẫn bảo mật của công ty. Hệ thống AI này có thể trả về một phương pháp được đề xuất hoặc thậm chí là một đoạn mã phù hợp với cả yêu cầu chức năng và tiêu chuẩn bảo mật của công ty. Phương pháp này đã được sử dụng bởi các công cụ như Tự động hóa bảng câu hỏi của Secureframe , công cụ này lấy câu trả lời từ các chính sách và giải pháp trước đây của công ty để đảm bảo các câu trả lời nhất quán và chính xác (về cơ bản là tạo ra tài liệu an toàn) ( Làm thế nào để sử dụng trí tuệ nhân tạo tạo sinh trong an ninh mạng? 10 ví dụ thực tế ). Khái niệm này có thể áp dụng vào lập trình: một hệ thống AI “ghi nhớ” cách bạn đã triển khai một thứ gì đó một cách an toàn trước đây và hướng dẫn bạn thực hiện lại theo cách đó.

Tóm lại, trí tuệ nhân tạo tạo sinh đang tác động đến quá trình phát triển phần mềm bằng cách giúp việc hỗ trợ lập trình an toàn trở nên dễ tiếp cận hơn . Các ngành công nghiệp phát triển nhiều phần mềm tùy chỉnh – công nghệ, tài chính, quốc phòng, v.v. – sẽ được hưởng lợi từ việc có những trợ lý AI không chỉ giúp tăng tốc quá trình lập trình mà còn đóng vai trò là người đánh giá an ninh luôn cảnh giác. Khi được quản lý đúng cách, các công cụ AI này có thể giảm thiểu việc xuất hiện các lỗ hổng mới và giúp các nhóm phát triển tuân thủ các thực tiễn tốt nhất, ngay cả khi nhóm không có chuyên gia bảo mật tham gia vào mọi bước. Kết quả là phần mềm sẽ mạnh mẽ hơn trước các cuộc tấn công ngay từ ngày đầu tiên.

Hỗ trợ ứng phó sự cố

Khi một sự cố an ninh mạng xảy ra – dù là sự bùng phát phần mềm độc hại, vi phạm dữ liệu hay sự cố hệ thống do tấn công – thời gian là yếu tố then chốt. Trí tuệ nhân tạo tạo sinh (Generative AI) ngày càng được sử dụng để hỗ trợ các nhóm ứng phó sự cố (IR) trong việc ngăn chặn và khắc phục sự cố nhanh hơn và với nhiều thông tin hơn. Ý tưởng là AI có thể gánh vác một phần gánh nặng điều tra và lập tài liệu trong suốt sự cố, thậm chí đề xuất hoặc tự động hóa một số hành động ứng phó.

Một vai trò quan trọng của AI trong ứng phó sự cố (IR) là phân tích và tóm tắt sự cố theo thời gian thực . Trong lúc xảy ra sự cố, người ứng phó có thể cần câu trả lời cho các câu hỏi như “Kẻ tấn công đã xâm nhập bằng cách nào?” , “Những hệ thống nào bị ảnh hưởng?” , và “Dữ liệu nào có thể bị xâm phạm?” . AI tạo sinh có thể phân tích nhật ký, cảnh báo và dữ liệu pháp y từ các hệ thống bị ảnh hưởng và nhanh chóng cung cấp thông tin chi tiết. Ví dụ, Microsoft Security Copilot cho phép người ứng phó sự cố nhập vào nhiều bằng chứng khác nhau (tệp, URL, nhật ký sự kiện) và yêu cầu một dòng thời gian hoặc bản tóm tắt ( Microsoft Security Copilot là trợ lý AI GPT-4 mới dành cho an ninh mạng | The Verge ). AI có thể trả lời: “Vụ xâm nhập có thể bắt đầu bằng một email lừa đảo gửi đến người dùng JohnDoe lúc 10:53 GMT chứa phần mềm độc hại X. Sau khi được thực thi, phần mềm độc hại đã tạo ra một cửa hậu được sử dụng hai ngày sau đó để di chuyển ngang sang máy chủ tài chính, nơi nó thu thập dữ liệu.” Việc có được bức tranh tổng thể này trong vài phút thay vì hàng giờ cho phép nhóm đưa ra các quyết định sáng suốt hơn (như hệ thống nào cần cách ly) nhanh hơn nhiều.

Trí tuệ nhân tạo tạo sinh (Generative AI) cũng có thể đề xuất các hành động ngăn chặn và khắc phục . Ví dụ, nếu một thiết bị đầu cuối bị nhiễm ransomware, công cụ AI có thể tạo ra một kịch bản hoặc tập hợp các hướng dẫn để cách ly máy đó, vô hiệu hóa một số tài khoản nhất định và chặn các địa chỉ IP độc hại đã biết trên tường lửa – về cơ bản là thực thi một kịch bản ứng phó. Palo Alto Networks lưu ý rằng trí tuệ nhân tạo tạo sinh có khả năng “tạo ra các hành động hoặc kịch bản phù hợp dựa trên bản chất của sự cố” , tự động hóa các bước phản hồi ban đầu ( Trí tuệ nhân tạo tạo sinh trong an ninh mạng là gì? - Palo Alto Networks ). Trong trường hợp nhóm bảo mật bị quá tải (ví dụ như một cuộc tấn công lan rộng trên hàng trăm thiết bị), AI thậm chí có thể trực tiếp thực hiện một số hành động này theo các điều kiện đã được phê duyệt trước, hoạt động như một người phản hồi cấp dưới làm việc không mệt mỏi. Ví dụ, một tác nhân AI có thể tự động đặt lại thông tin đăng nhập mà nó cho là đã bị xâm phạm hoặc cách ly các máy chủ có hoạt động độc hại phù hợp với hồ sơ sự cố.

Trong quá trình ứng phó sự cố, giao tiếp là vô cùng quan trọng – cả trong nội bộ nhóm và với các bên liên quan. Trí tuệ nhân tạo tạo sinh (Generative AI) có thể hỗ trợ bằng cách soạn thảo báo cáo hoặc tóm tắt cập nhật sự cố một cách nhanh chóng . Thay vì kỹ sư phải dừng việc khắc phục sự cố để viết email cập nhật, họ có thể yêu cầu AI: “Tóm tắt những gì đã xảy ra trong sự cố này cho đến nay để thông báo cho ban quản lý.” Sau khi tiếp nhận dữ liệu sự cố, AI có thể đưa ra bản tóm tắt ngắn gọn: “Tính đến 3 giờ chiều, kẻ tấn công đã truy cập vào 2 tài khoản người dùng và 5 máy chủ. Dữ liệu bị ảnh hưởng bao gồm hồ sơ khách hàng trong cơ sở dữ liệu X. Các biện pháp ngăn chặn: Quyền truy cập VPN cho các tài khoản bị xâm phạm đã bị thu hồi và các máy chủ đã được cách ly. Các bước tiếp theo: quét tìm bất kỳ cơ chế duy trì nào.” Người ứng phó sau đó có thể nhanh chóng xác minh hoặc chỉnh sửa bản tóm tắt này và gửi đi, đảm bảo các bên liên quan được cập nhật thông tin chính xác và kịp thời.

Sau khi sự việc lắng xuống, thường sẽ có một báo cáo sự cố chi tiết cần được chuẩn bị và các bài học kinh nghiệm cần được tổng hợp. Đây là một lĩnh vực khác mà sự hỗ trợ của AI phát huy hiệu quả. AI có thể xem xét tất cả dữ liệu sự cố và tạo ra một báo cáo sau sự cố bao gồm nguyên nhân gốc rễ, trình tự thời gian, tác động và các khuyến nghị. Ví dụ, IBM đang tích hợp AI tạo sinh để tạo ra “các bản tóm tắt đơn giản về các trường hợp và sự cố bảo mật có thể được chia sẻ với các bên liên quan” chỉ bằng một nút bấm ( Làm thế nào AI tạo sinh có thể được sử dụng trong an ninh mạng? 10 ví dụ thực tế ). Bằng cách đơn giản hóa việc báo cáo sau sự cố, các tổ chức có thể nhanh chóng triển khai các cải tiến và cũng có tài liệu tốt hơn cho mục đích tuân thủ.

Một ứng dụng tiên tiến và hướng tới tương lai là mô phỏng sự cố dựa trên trí tuệ nhân tạo (AI) . Tương tự như việc diễn tập phòng cháy chữa cháy, một số công ty đang sử dụng AI tạo sinh để chạy qua các kịch bản sự cố "nếu như". AI có thể mô phỏng cách thức mã độc tống tiền lây lan dựa trên cấu trúc mạng, hoặc cách một người nội bộ có thể đánh cắp dữ liệu, và sau đó đánh giá hiệu quả của các kế hoạch ứng phó hiện tại. Điều này giúp các nhóm chuẩn bị và hoàn thiện các kế hoạch hành động trước khi sự cố thực sự xảy ra. Nó giống như việc có một cố vấn ứng phó sự cố luôn được cải thiện và liên tục kiểm tra sự sẵn sàng của bạn.

Trong các ngành có rủi ro cao như tài chính hoặc chăm sóc sức khỏe, nơi thời gian ngừng hoạt động hoặc mất dữ liệu do sự cố gây ra đặc biệt tốn kém, khả năng ứng phó sự cố dựa trên AI này rất hấp dẫn. Một bệnh viện gặp sự cố an ninh mạng không thể chấp nhận việc hệ thống ngừng hoạt động kéo dài – một AI hỗ trợ nhanh chóng trong việc ngăn chặn có thể thực sự cứu sống bệnh nhân. Tương tự, một tổ chức tài chính có thể sử dụng AI để xử lý việc phân loại ban đầu một vụ xâm nhập gian lận nghi ngờ lúc 3 giờ sáng, để khi các nhân viên trực ca trực tuyến, rất nhiều công việc chuẩn bị (đăng xuất các tài khoản bị ảnh hưởng, chặn giao dịch, v.v.) đã được thực hiện. Bằng cách tăng cường các nhóm ứng phó sự cố bằng AI tạo sinh , các tổ chức có thể giảm đáng kể thời gian phản hồi và cải thiện tính toàn diện trong việc xử lý, cuối cùng giảm thiểu thiệt hại từ các sự cố an ninh mạng.

Phân tích hành vi và phát hiện bất thường

Nhiều cuộc tấn công mạng có thể bị phát hiện bằng cách nhận thấy khi có điều gì đó lệch khỏi hành vi “bình thường” – cho dù đó là tài khoản người dùng tải xuống một lượng dữ liệu bất thường hay thiết bị mạng đột nhiên liên lạc với một máy chủ không quen thuộc. Trí tuệ nhân tạo tạo sinh (Generative AI) cung cấp các kỹ thuật tiên tiến để phân tích hành vi và phát hiện bất thường , học các mô hình bình thường của người dùng và hệ thống, sau đó gắn cờ khi có điều gì đó không ổn.

Phát hiện bất thường truyền thống thường sử dụng ngưỡng thống kê hoặc máy học đơn giản trên các chỉ số cụ thể (mức sử dụng CPU tăng đột biến, đăng nhập vào giờ giấc bất thường, v.v.). Trí tuệ nhân tạo tạo sinh (Generative AI) có thể tiến xa hơn bằng cách tạo ra các hồ sơ hành vi chi tiết hơn. Ví dụ, một mô hình AI có thể tiếp nhận thông tin đăng nhập, kiểu truy cập tập tin và thói quen email của một nhân viên theo thời gian và hình thành sự hiểu biết đa chiều về "trạng thái bình thường" của người dùng đó. Nếu tài khoản đó sau này thực hiện điều gì đó khác thường một cách đáng kể (như đăng nhập từ một quốc gia mới và truy cập vào kho lưu trữ hồ sơ nhân sự lúc nửa đêm), AI sẽ phát hiện ra sự sai lệch không chỉ trên một chỉ số mà còn là toàn bộ kiểu hành vi không phù hợp với hồ sơ người dùng. Về mặt kỹ thuật, các mô hình tạo sinh (như bộ mã hóa tự động hoặc mô hình chuỗi) có thể mô hình hóa "trạng thái bình thường" trông như thế nào và sau đó tạo ra một phạm vi hành vi dự kiến. Khi thực tế nằm ngoài phạm vi đó, nó được gắn cờ là một bất thường ( Trí tuệ nhân tạo tạo sinh trong an ninh mạng là gì? - Palo Alto Networks ).

Một ứng dụng thực tiễn là trong giám sát lưu lượng mạng . Theo một khảo sát năm 2024, 54% các tổ chức tại Mỹ cho rằng giám sát lưu lượng mạng là trường hợp sử dụng hàng đầu của AI trong an ninh mạng ( Bắc Mỹ: các trường hợp sử dụng AI hàng đầu trong an ninh mạng trên toàn thế giới năm 2024 ). AI tạo sinh có thể học các mô hình giao tiếp bình thường của mạng doanh nghiệp – máy chủ nào thường giao tiếp với nhau, khối lượng dữ liệu di chuyển trong giờ làm việc so với ban đêm, v.v. Nếu kẻ tấn công bắt đầu đánh cắp dữ liệu từ máy chủ, ngay cả khi chậm để tránh bị phát hiện, hệ thống dựa trên AI có thể nhận thấy rằng “Máy chủ A không bao giờ gửi 500MB dữ liệu lúc 2 giờ sáng đến một địa chỉ IP bên ngoài” và đưa ra cảnh báo. Bởi vì AI không chỉ sử dụng các quy tắc tĩnh mà là một mô hình hành vi mạng đang phát triển, nó có thể phát hiện ra những bất thường tinh vi mà các quy tắc tĩnh (như “cảnh báo nếu dữ liệu > X MB”) có thể bỏ sót hoặc gắn cờ sai. Bản chất thích ứng này là điều làm cho việc phát hiện bất thường dựa trên AI trở nên mạnh mẽ trong các môi trường như mạng giao dịch ngân hàng, cơ sở hạ tầng đám mây hoặc đội ngũ thiết bị IoT, nơi việc xác định các quy tắc cố định cho bình thường so với bất thường là cực kỳ phức tạp.

nhân tạo tạo sinh (Generative AI) cũng đang hỗ trợ phân tích hành vi người dùng (UBA) , yếu tố then chốt để phát hiện các mối đe dọa nội bộ hoặc tài khoản bị xâm phạm. Bằng cách tạo ra một mô hình cơ bản cho mỗi người dùng hoặc thực thể, AI có thể phát hiện những việc như lạm dụng thông tin đăng nhập. Ví dụ, nếu Bob từ bộ phận kế toán đột nhiên bắt đầu truy vấn cơ sở dữ liệu khách hàng (điều mà anh ta chưa từng làm trước đây), mô hình AI về hành vi của Bob sẽ đánh dấu điều này là bất thường. Đó có thể không phải là phần mềm độc hại – mà có thể là trường hợp thông tin đăng nhập của Bob bị đánh cắp và sử dụng bởi kẻ tấn công, hoặc Bob đang truy cập vào những nơi không được phép. Dù sao đi nữa, nhóm bảo mật sẽ nhận được cảnh báo để điều tra. Các hệ thống UBA dựa trên AI như vậy tồn tại trong nhiều sản phẩm bảo mật khác nhau, và các kỹ thuật mô hình hóa tạo sinh đang đẩy độ chính xác của chúng lên cao hơn và giảm thiểu cảnh báo sai bằng cách xem xét ngữ cảnh (có thể Bob đang tham gia một dự án đặc biệt, v.v., điều mà AI đôi khi có thể suy luận từ dữ liệu khác).

Trong lĩnh vực quản lý danh tính và quyền truy cập, phát hiện deepfake đang trở thành một nhu cầu ngày càng tăng – trí tuệ nhân tạo tạo sinh (Generative AI) có thể tạo ra giọng nói và video tổng hợp đánh lừa hệ thống bảo mật sinh trắc học. Điều thú vị là, Generative AI cũng có thể giúp phát hiện deepfake bằng cách phân tích những chi tiết nhỏ trong âm thanh hoặc video mà con người khó nhận ra. Chúng ta đã thấy một ví dụ với Accenture, công ty đã sử dụng Generative AI để mô phỏng vô số biểu cảm và điều kiện khuôn mặt nhằm huấn luyện hệ thống sinh trắc học của họ phân biệt người dùng thật với deepfake do AI tạo ra. Trong hơn 5 năm, phương pháp này đã giúp Accenture loại bỏ mật khẩu cho 90% hệ thống của họ (chuyển sang sinh trắc học và các yếu tố khác) và giảm 60% số vụ tấn công ( 6 Trường hợp sử dụng Generative AI trong An ninh mạng [+ Ví dụ] ). Về cơ bản, họ đã sử dụng Generative AI để tăng cường xác thực sinh trắc học, giúp nó chống lại các cuộc tấn công tạo sinh (một minh họa tuyệt vời về việc AI chống lại AI). Loại mô hình hành vi này – trong trường hợp này là nhận biết sự khác biệt giữa khuôn mặt người thật và khuôn mặt do AI tổng hợp – là rất quan trọng khi chúng ta ngày càng phụ thuộc nhiều hơn vào AI trong quá trình xác thực.

Phát hiện bất thường được hỗ trợ bởi trí tuệ nhân tạo tạo sinh có thể áp dụng trong nhiều ngành công nghiệp: trong chăm sóc sức khỏe, giám sát hoạt động của thiết bị y tế để tìm dấu hiệu bị tấn công; trong tài chính, theo dõi hệ thống giao dịch để tìm các mô hình bất thường có thể cho thấy gian lận hoặc thao túng thuật toán; trong năng lượng/tiện ích, quan sát tín hiệu hệ thống điều khiển để tìm dấu hiệu xâm nhập. Sự kết hợp giữa phạm vi bao quát (xem xét tất cả các khía cạnh của hành vi) và chiều sâu (hiểu các mô hình phức tạp) mà trí tuệ nhân tạo tạo sinh cung cấp khiến nó trở thành một công cụ mạnh mẽ để phát hiện ra những dấu hiệu nhỏ nhất của một sự cố an ninh mạng. Khi các mối đe dọa trở nên tinh vi hơn, ẩn mình trong các hoạt động bình thường, khả năng mô tả chính xác "bình thường" và cảnh báo khi có điều gì đó sai lệch trở nên vô cùng quan trọng. Do đó, trí tuệ nhân tạo tạo sinh đóng vai trò như một người lính canh không mệt mỏi, luôn học hỏi và cập nhật định nghĩa về sự bình thường để theo kịp những thay đổi trong môi trường và cảnh báo các nhóm an ninh về những bất thường cần được kiểm tra kỹ lưỡng hơn.

Cơ hội và lợi ích của Trí tuệ nhân tạo tạo sinh trong an ninh mạng

Việc ứng dụng trí tuệ nhân tạo tạo sinh (generative AI) trong an ninh mạng mang lại vô số cơ hội và lợi ích cho các tổ chức sẵn sàng đón nhận những công cụ này. Dưới đây, chúng tôi tóm tắt những ưu điểm chính khiến trí tuệ nhân tạo tạo sinh trở thành một bổ sung hấp dẫn cho các chương trình an ninh mạng:

• Phát hiện và phản hồi mối đe dọa nhanh hơn: Hệ thống AI tạo sinh có thể phân tích lượng dữ liệu khổng lồ trong thời gian thực và nhận diện các mối đe dọa nhanh hơn nhiều so với phân tích thủ công của con người. Lợi thế về tốc độ này đồng nghĩa với việc phát hiện các cuộc tấn công sớm hơn và ngăn chặn sự cố nhanh chóng hơn. Trên thực tế, giám sát an ninh dựa trên AI có thể phát hiện các mối đe dọa mà con người cần nhiều thời gian hơn để liên hệ. Bằng cách phản hồi sự cố kịp thời (hoặc thậm chí tự động thực hiện các phản hồi ban đầu), các tổ chức có thể giảm đáng kể thời gian kẻ tấn công lưu lại trong mạng của họ, giảm thiểu thiệt hại.

• Độ chính xác và phạm vi bao phủ mối đe dọa được cải thiện: Nhờ liên tục học hỏi từ dữ liệu mới, các mô hình tạo sinh có thể thích ứng với các mối đe dọa đang phát triển và phát hiện những dấu hiệu tinh vi hơn của hoạt động độc hại. Điều này dẫn đến độ chính xác phát hiện được cải thiện (ít lỗi âm tính giả và dương tính giả hơn) so với các quy tắc tĩnh. Ví dụ, một AI đã học được các đặc điểm nổi bật của email lừa đảo hoặc hành vi phần mềm độc hại có thể xác định các biến thể chưa từng thấy trước đây. Kết quả là phạm vi bao phủ các loại mối đe dọa rộng hơn – bao gồm cả các cuộc tấn công mới – củng cố tư thế an ninh tổng thể. Các nhóm bảo mật cũng thu được những hiểu biết chi tiết từ phân tích AI (ví dụ: giải thích về hành vi của phần mềm độc hại), cho phép phòng thủ chính xác và có mục tiêu hơn ( AI tạo sinh trong an ninh mạng là gì? - Palo Alto Networks ).

• Tự động hóa các tác vụ lặp đi lặp lại: Trí tuệ nhân tạo tạo sinh (Generative AI) vượt trội trong việc tự động hóa các tác vụ bảo mật thường xuyên, tốn nhiều công sức – từ việc rà soát nhật ký và biên soạn báo cáo đến viết kịch bản ứng phó sự cố. Việc tự động hóa này giảm bớt gánh nặng cho các nhà phân tích con người , giúp họ tập trung vào chiến lược cấp cao và việc ra quyết định phức tạp ( Trí tuệ nhân tạo tạo sinh trong an ninh mạng là gì? - Palo Alto Networks ). Những công việc đơn giản nhưng quan trọng như quét lỗ hổng bảo mật, kiểm tra cấu hình, phân tích hoạt động người dùng và báo cáo tuân thủ có thể được xử lý (hoặc ít nhất là soạn thảo ban đầu) bởi AI. Bằng cách xử lý các tác vụ này với tốc độ máy móc, AI không chỉ cải thiện hiệu quả mà còn giảm thiểu lỗi của con người (một yếu tố quan trọng trong các vụ vi phạm).

• Phòng thủ chủ động và mô phỏng: Trí tuệ nhân tạo tạo sinh (Generative AI) cho phép các tổ chức chuyển từ bảo mật phản ứng sang bảo mật chủ động. Thông qua các kỹ thuật như mô phỏng tấn công, tạo dữ liệu tổng hợp và đào tạo dựa trên kịch bản, các chuyên gia bảo mật có thể dự đoán và chuẩn bị cho các mối đe dọa trước khi chúng xảy ra trong thực tế. Các nhóm bảo mật có thể mô phỏng các cuộc tấn công mạng (chiến dịch lừa đảo, bùng phát phần mềm độc hại, tấn công DDoS, v.v.) trong môi trường an toàn để kiểm tra phản ứng của họ và khắc phục mọi điểm yếu. Quá trình đào tạo liên tục này, thường không thể thực hiện triệt để chỉ bằng nỗ lực của con người, giúp duy trì khả năng phòng thủ sắc bén và cập nhật. Nó giống như một cuộc "diễn tập phòng cháy chữa cháy" trên mạng – AI có thể đưa ra nhiều mối đe dọa giả định để bạn có thể thực hành và cải thiện.

• Tăng cường chuyên môn của con người (AI như một yếu tố nhân rộng sức mạnh): AI tạo sinh hoạt động như một nhà phân tích, cố vấn và trợ lý cấp dưới không mệt mỏi. Nó có thể cung cấp hướng dẫn và khuyến nghị cho các thành viên nhóm ít kinh nghiệm hơn, thường chỉ có được từ các chuyên gia dày dạn kinh nghiệm, giúp dân chủ hóa chuyên môn trong toàn nhóm một cách hiệu quả ( 6 Trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ). Điều này đặc biệt có giá trị trong bối cảnh thiếu hụt nhân tài trong lĩnh vực an ninh mạng – AI giúp các nhóm nhỏ làm được nhiều việc hơn với nguồn lực ít hơn. Mặt khác, các nhà phân tích giàu kinh nghiệm được hưởng lợi từ việc AI xử lý các công việc lặp đi lặp lại và phát hiện ra những hiểu biết không rõ ràng, mà họ có thể xác thực và hành động dựa trên đó. Kết quả tổng thể là một nhóm an ninh mạng năng suất và có năng lực hơn nhiều, với AI khuếch đại tác động của mỗi thành viên ( Cách sử dụng AI tạo sinh trong an ninh mạng ).

• Tăng cường hỗ trợ ra quyết định và báo cáo: Bằng cách chuyển đổi dữ liệu kỹ thuật thành thông tin chi tiết bằng ngôn ngữ tự nhiên, trí tuệ nhân tạo tạo sinh (Generative AI) cải thiện khả năng giao tiếp và ra quyết định. Các nhà lãnh đạo an ninh có được cái nhìn rõ ràng hơn về các vấn đề thông qua các bản tóm tắt do AI tạo ra và có thể đưa ra các quyết định chiến lược sáng suốt mà không cần phải phân tích dữ liệu thô. Tương tự, việc giao tiếp giữa các bộ phận (với các giám đốc điều hành, cán bộ tuân thủ, v.v.) được cải thiện khi AI chuẩn bị các báo cáo dễ hiểu về tình trạng an ninh và các sự cố ( Làm thế nào để sử dụng Generative AI trong an ninh mạng? 10 ví dụ thực tế ). Điều này không chỉ xây dựng niềm tin và sự đồng thuận về các vấn đề an ninh ở cấp lãnh đạo mà còn giúp biện minh cho các khoản đầu tư và thay đổi bằng cách nêu rõ các rủi ro và các lỗ hổng do AI phát hiện.

Kết hợp lại, những lợi ích này có nghĩa là các tổ chức tận dụng trí tuệ nhân tạo tạo sinh (generative AI) trong an ninh mạng có thể đạt được tư thế bảo mật mạnh mẽ hơn với chi phí vận hành tiềm năng thấp hơn. Họ có thể ứng phó với các mối đe dọa trước đây quá khó khăn, lấp đầy những lỗ hổng chưa được giám sát và liên tục cải thiện thông qua các vòng phản hồi do AI điều khiển. Cuối cùng, trí tuệ nhân tạo tạo sinh mang lại cơ hội đi trước các đối thủ bằng cách sánh ngang tốc độ, quy mô và sự tinh vi của các cuộc tấn công hiện đại với các biện pháp phòng thủ tinh vi tương đương. Như một cuộc khảo sát đã chỉ ra, hơn một nửa số nhà lãnh đạo doanh nghiệp và an ninh mạng dự đoán khả năng phát hiện mối đe dọa nhanh hơn và độ chính xác cao hơn thông qua việc sử dụng trí tuệ nhân tạo tạo sinh ( [PDF] Triển vọng An ninh mạng Toàn cầu 2025 | Diễn đàn Kinh tế Thế giới ) ( Trí tuệ nhân tạo tạo sinh trong An ninh mạng: Đánh giá toàn diện về LLM ... ) – minh chứng cho sự lạc quan về lợi ích của các công nghệ này.

Rủi ro và thách thức khi sử dụng Trí tuệ nhân tạo tạo sinh trong an ninh mạng

Mặc dù cơ hội rất lớn, điều quan trọng là phải tiếp cận trí tuệ nhân tạo tạo sinh trong an ninh mạng với sự nhận thức đầy đủ về các rủi ro và thách thức liên quan. Tin tưởng mù quáng vào AI hoặc lạm dụng nó có thể tạo ra những lỗ hổng mới. Dưới đây, chúng tôi nêu ra những mối lo ngại và cạm bẫy chính, cùng với bối cảnh cho từng vấn đề:

• Sử dụng AI một cách ác ý bởi tội phạm mạng: Chính những khả năng tạo sinh giúp ích cho các nhà bảo vệ cũng có thể tiếp thêm sức mạnh cho kẻ tấn công. Các tác nhân đe dọa đã và đang sử dụng AI tạo sinh để tạo ra các email lừa đảo thuyết phục hơn, tạo ra các nhân vật giả mạo và video deepfake cho kỹ thuật xã hội, phát triển phần mềm độc hại đa hình liên tục thay đổi để né tránh bị phát hiện, và thậm chí tự động hóa một số khía cạnh của việc tấn công mạng ( AI tạo sinh trong an ninh mạng là gì? - Palo Alto Networks ). Gần một nửa (46%) các nhà lãnh đạo an ninh mạng lo ngại rằng AI tạo sinh sẽ dẫn đến các cuộc tấn công ác ý tinh vi hơn ( Bảo mật AI tạo sinh: Xu hướng, mối đe dọa và chiến lược giảm thiểu ). "Cuộc chạy đua vũ trang AI" này có nghĩa là khi các nhà bảo vệ áp dụng AI, kẻ tấn công sẽ không chậm chân (trên thực tế, chúng có thể đi trước trong một số lĩnh vực, bằng cách sử dụng các công cụ AI không được kiểm soát). Các tổ chức phải chuẩn bị cho các mối đe dọa được tăng cường bởi AI, vốn ngày càng thường xuyên hơn, tinh vi hơn và khó truy vết hơn.

• Ảo giác và sự thiếu chính xác của AI: Các mô hình AI tạo sinh có thể tạo ra các kết quả nghe có vẻ hợp lý nhưng không chính xác hoặc gây hiểu nhầm – một hiện tượng được gọi là ảo giác. Trong bối cảnh an ninh, AI có thể phân tích một sự cố và kết luận sai lầm rằng một lỗ hổng nhất định là nguyên nhân, hoặc nó có thể tạo ra một kịch bản khắc phục lỗi không thể ngăn chặn cuộc tấn công. Những sai lầm này có thể nguy hiểm nếu được chấp nhận một cách đơn thuần. Như NTT Data cảnh báo, “AI tạo sinh có thể tạo ra nội dung không đúng sự thật một cách hợp lý, và hiện tượng này được gọi là ảo giác… hiện tại rất khó để loại bỏ chúng hoàn toàn” ( Rủi ro an ninh của AI tạo sinh và các biện pháp đối phó, và tác động của nó đến an ninh mạng | Tập đoàn NTT DATA ). Việc quá phụ thuộc vào AI mà không được xác minh có thể dẫn đến những nỗ lực sai hướng hoặc cảm giác an toàn giả tạo. Ví dụ, AI có thể đánh dấu sai một hệ thống quan trọng là an toàn trong khi thực tế không phải vậy, hoặc ngược lại, gây ra hoảng loạn bằng cách “phát hiện” một vi phạm chưa từng xảy ra. Việc xác thực nghiêm ngặt các kết quả đầu ra của AI và có sự tham gia của con người trong các quyết định quan trọng là điều cần thiết để giảm thiểu rủi ro này.

• Sai sót tích cực và tiêu cực: Tương tự như ảo giác, nếu mô hình AI được huấn luyện hoặc cấu hình kém, nó có thể báo cáo quá mức các hoạt động lành tính là độc hại (sai sót tích cực) hoặc tệ hơn là bỏ sót các mối đe dọa thực sự (sai sót tiêu cực) ( Cách sử dụng AI tạo sinh trong an ninh mạng ). Quá nhiều cảnh báo sai có thể làm quá tải các nhóm bảo mật và dẫn đến tình trạng mệt mỏi do cảnh báo (làm mất đi hiệu quả mà AI đã hứa hẹn), trong khi việc bỏ sót phát hiện khiến tổ chức dễ bị tổn thương. Việc tinh chỉnh các mô hình tạo sinh để đạt được sự cân bằng phù hợp là một thách thức. Mỗi môi trường là duy nhất và AI có thể không hoạt động tối ưu ngay lập tức. Học liên tục cũng là con dao hai lưỡi – nếu AI học từ phản hồi bị sai lệch hoặc từ một môi trường thay đổi, độ chính xác của nó có thể dao động. Các nhóm bảo mật phải giám sát hiệu suất của AI và điều chỉnh ngưỡng hoặc cung cấp phản hồi sửa lỗi cho các mô hình. Trong các bối cảnh có rủi ro cao (như phát hiện xâm nhập đối với cơ sở hạ tầng quan trọng), việc chạy các đề xuất của AI song song với các hệ thống hiện có trong một khoảng thời gian có thể là điều khôn ngoan, để đảm bảo chúng phù hợp và bổ sung cho nhau thay vì xung đột.

• Bảo mật dữ liệu và rò rỉ: Các hệ thống AI tạo sinh thường yêu cầu lượng lớn dữ liệu để huấn luyện và vận hành. Nếu các mô hình này dựa trên điện toán đám mây hoặc không được phân tách đúng cách, sẽ có nguy cơ thông tin nhạy cảm bị rò rỉ. Người dùng có thể vô tình cung cấp dữ liệu độc quyền hoặc dữ liệu cá nhân cho dịch vụ AI (ví dụ như yêu cầu ChatGPT tóm tắt báo cáo sự cố bí mật), và dữ liệu đó có thể trở thành một phần kiến ​​thức của mô hình. Thực tế, một nghiên cứu gần đây đã phát hiện ra rằng 55% dữ liệu đầu vào cho các công cụ AI tạo sinh chứa thông tin nhạy cảm hoặc thông tin nhận dạng cá nhân , làm dấy lên những lo ngại nghiêm trọng về rò rỉ dữ liệu ( Bảo mật AI tạo sinh: Xu hướng, mối đe dọa và chiến lược giảm thiểu ). Ngoài ra, nếu một AI được huấn luyện trên dữ liệu nội bộ và được truy vấn theo những cách nhất định, nó có thể xuất ra một phần dữ liệu nhạy cảm đó cho người khác. Các tổ chức phải thực hiện các chính sách xử lý dữ liệu nghiêm ngặt (ví dụ: sử dụng các phiên bản AI tại chỗ hoặc riêng tư cho các tài liệu nhạy cảm) và giáo dục nhân viên về việc không sao chép thông tin bí mật vào các công cụ AI công cộng. Các quy định về quyền riêng tư (GDPR, v.v.) cũng cần được xem xét – việc sử dụng dữ liệu cá nhân để huấn luyện AI mà không có sự đồng ý hoặc bảo vệ thích hợp có thể vi phạm pháp luật.

• Bảo mật và Thao túng Mô hình: Bản thân các mô hình AI tạo sinh cũng có thể trở thành mục tiêu. Kẻ thù có thể cố gắng nhiễm độc mô hình , cung cấp dữ liệu độc hại hoặc gây hiểu nhầm trong giai đoạn huấn luyện hoặc huấn luyện lại để AI học các mẫu không chính xác ( Cách sử dụng AI tạo sinh trong an ninh mạng ). Ví dụ, kẻ tấn công có thể tinh vi làm nhiễm độc dữ liệu tình báo về mối đe dọa để AI không nhận ra phần mềm độc hại của chính kẻ tấn công là độc hại. Một chiến thuật khác là tiêm lệnh hoặc thao túng đầu ra , trong đó kẻ tấn công tìm cách đưa ra các đầu vào cho AI khiến nó hoạt động theo những cách không mong muốn – có thể là bỏ qua các biện pháp bảo vệ an toàn hoặc tiết lộ thông tin mà nó không nên tiết lộ (như các lệnh hoặc dữ liệu nội bộ). Ngoài ra, còn có nguy cơ né tránh mô hình : kẻ tấn công tạo ra đầu vào được thiết kế đặc biệt để đánh lừa AI. Chúng ta thấy điều này trong các ví dụ đối nghịch – dữ liệu bị nhiễu nhẹ mà con người coi là bình thường nhưng AI phân loại sai. Đảm bảo tính bảo mật của chuỗi cung ứng AI (tính toàn vẹn dữ liệu, kiểm soát truy cập mô hình, kiểm thử khả năng chống lại các cuộc tấn công đối nghịch) là một phần mới nhưng cần thiết của an ninh mạng khi triển khai các công cụ này ( AI tạo sinh trong an ninh mạng là gì? - Palo Alto Networks ).

• Sự phụ thuộc quá mức và sự suy giảm kỹ năng: Có một rủi ro tiềm ẩn là các tổ chức có thể trở nên quá phụ thuộc vào AI và để kỹ năng của con người bị mai một. Nếu các nhà phân tích cấp dưới tin tưởng mù quáng vào kết quả đầu ra của AI, họ có thể không phát triển được khả năng tư duy phản biện và trực giác cần thiết khi AI không hoạt động hoặc đưa ra kết quả sai. Một kịch bản cần tránh là một nhóm bảo mật có các công cụ tuyệt vời nhưng không biết cách vận hành nếu các công cụ đó gặp sự cố (tương tự như phi công quá phụ thuộc vào chế độ lái tự động). Các bài tập huấn luyện thường xuyên mà không có sự hỗ trợ của AI và việc nuôi dưỡng tư duy rằng AI là một trợ lý, chứ không phải là một nhà tiên tri không thể sai lầm, rất quan trọng để giữ cho các nhà phân tích con người luôn nhạy bén. Con người phải luôn là người đưa ra quyết định cuối cùng, đặc biệt là đối với các phán quyết có tác động lớn.

• Thách thức về đạo đức và tuân thủ: Việc sử dụng AI trong an ninh mạng đặt ra các câu hỏi về đạo đức và có thể gây ra các vấn đề về tuân thủ quy định. Ví dụ, nếu một hệ thống AI cáo buộc sai một nhân viên là người nội bộ độc hại do một sự bất thường, nó có thể gây tổn hại không công bằng đến danh tiếng hoặc sự nghiệp của người đó. Các quyết định do AI đưa ra có thể không minh bạch (vấn đề “hộp đen”), khiến việc giải thích cho các kiểm toán viên hoặc cơ quan quản lý về lý do tại sao một số hành động nhất định được thực hiện trở nên khó khăn. Khi nội dung do AI tạo ra ngày càng phổ biến, việc đảm bảo tính minh bạch và duy trì trách nhiệm giải trình là rất quan trọng. Các cơ quan quản lý đang bắt đầu xem xét kỹ lưỡng AI – ví dụ, Đạo luật AI của EU sẽ áp đặt các yêu cầu đối với các hệ thống AI “rủi ro cao”, và AI an ninh mạng có thể thuộc loại này. Các công ty sẽ cần phải tuân thủ các quy định này và có thể phải tuân theo các tiêu chuẩn như Khung quản lý rủi ro AI của NIST để sử dụng AI tạo sinh một cách có trách nhiệm ( Làm thế nào để sử dụng AI tạo sinh trong an ninh mạng? 10 ví dụ thực tế ). Việc tuân thủ cũng mở rộng đến việc cấp phép: việc sử dụng các mô hình mã nguồn mở hoặc của bên thứ ba có thể có các điều khoản hạn chế một số cách sử dụng nhất định hoặc yêu cầu chia sẻ các cải tiến.

Tóm lại, trí tuệ nhân tạo tạo sinh không phải là giải pháp thần kỳ – nếu không được triển khai cẩn thận, nó có thể tạo ra những điểm yếu mới ngay cả khi giải quyết được những điểm yếu khác. Một nghiên cứu của Diễn đàn Kinh tế Thế giới năm 2024 đã chỉ ra rằng khoảng 47% các tổ chức coi những tiến bộ trong trí tuệ nhân tạo tạo sinh của kẻ tấn công là mối lo ngại chính, khiến nó trở thành “tác động đáng lo ngại nhất của trí tuệ nhân tạo tạo sinh” trong an ninh mạng ( [PDF] Triển vọng An ninh mạng Toàn cầu 2025 | Diễn đàn Kinh tế Thế giới ) ( Trí tuệ nhân tạo tạo sinh trong An ninh mạng: Đánh giá toàn diện của LLM ... ). Do đó, các tổ chức phải áp dụng một cách tiếp cận cân bằng: tận dụng lợi ích của AI đồng thời quản lý chặt chẽ các rủi ro này thông qua quản trị, thử nghiệm và giám sát của con người. Tiếp theo, chúng ta sẽ thảo luận về cách đạt được sự cân bằng đó trên thực tế.

Triển vọng tương lai: Vai trò ngày càng phát triển của Trí tuệ nhân tạo tạo sinh trong an ninh mạng

Nhìn về phía trước, trí tuệ nhân tạo tạo sinh (generative AI) đang có tiềm năng trở thành một phần không thể thiếu trong chiến lược an ninh mạng – và đồng thời, cũng là một công cụ mà các đối thủ trên không gian mạng sẽ tiếp tục khai thác. Cuộc rượt đuổi giữa AI và kẻ thù sẽ ngày càng gay cấn, với AI tham gia vào cả hai phía. Dưới đây là một số nhận định hướng tới tương lai về cách trí tuệ nhân tạo tạo sinh có thể định hình an ninh mạng trong những năm tới:

• Phòng thủ mạng được tăng cường bởi AI trở thành tiêu chuẩn: Đến năm 2025 và xa hơn nữa, chúng ta có thể kỳ vọng rằng hầu hết các tổ chức quy mô vừa và lớn sẽ tích hợp các công cụ dựa trên AI vào hoạt động bảo mật của họ. Giống như phần mềm chống virus và tường lửa là tiêu chuẩn hiện nay, các trợ lý AI và hệ thống phát hiện bất thường có thể trở thành các thành phần cơ bản của kiến ​​trúc bảo mật. Những công cụ này có thể sẽ trở nên chuyên biệt hơn – ví dụ, các mô hình AI riêng biệt được tinh chỉnh cho bảo mật đám mây, giám sát thiết bị IoT, bảo mật mã ứng dụng, v.v., tất cả hoạt động phối hợp với nhau. Như một dự đoán đã chỉ ra, “vào năm 2025, AI tạo sinh sẽ là một phần không thể thiếu của an ninh mạng, cho phép các tổ chức chủ động phòng thủ trước các mối đe dọa tinh vi và đang phát triển” ( Cách sử dụng AI tạo sinh trong an ninh mạng ). AI sẽ tăng cường phát hiện mối đe dọa theo thời gian thực, tự động hóa nhiều hành động phản hồi và giúp các nhóm bảo mật quản lý khối lượng dữ liệu lớn hơn nhiều so với khả năng thủ công của họ.

• Học hỏi và thích ứng liên tục: Các hệ thống AI tạo sinh trong lĩnh vực an ninh mạng trong tương lai sẽ ngày càng giỏi hơn trong việc học hỏi tức thời từ các sự cố mới và thông tin tình báo về mối đe dọa, cập nhật cơ sở kiến ​​thức của chúng gần như theo thời gian thực. Điều này có thể dẫn đến các biện pháp phòng thủ thực sự thích ứng – hãy tưởng tượng một AI học hỏi về một chiến dịch lừa đảo mới nhắm vào một công ty khác vào buổi sáng và đến chiều đã điều chỉnh bộ lọc email của công ty bạn để phản ứng lại. Các dịch vụ bảo mật AI dựa trên đám mây có thể tạo điều kiện thuận lợi cho loại hình học tập tập thể này, trong đó những hiểu biết được ẩn danh từ một tổ chức sẽ mang lại lợi ích cho tất cả người đăng ký (tương tự như chia sẻ thông tin tình báo về mối đe dọa, nhưng được tự động hóa). Tuy nhiên, điều này sẽ đòi hỏi sự xử lý cẩn thận để tránh chia sẻ thông tin nhạy cảm và ngăn chặn kẻ tấn công đưa dữ liệu xấu vào các mô hình được chia sẻ.

• Sự hội tụ giữa nhân tài AI và an ninh mạng: Bộ kỹ năng của các chuyên gia an ninh mạng sẽ phát triển để bao gồm cả sự thành thạo về AI và khoa học dữ liệu. Giống như các nhà phân tích ngày nay học các ngôn ngữ truy vấn và lập trình kịch bản, các nhà phân tích trong tương lai có thể thường xuyên tinh chỉnh các mô hình AI hoặc viết “sổ tay hướng dẫn” để AI thực thi. Chúng ta có thể thấy các vai trò mới như “Chuyên gia đào tạo an ninh AI” hoặc “Kỹ sư AI an ninh mạng” – những người chuyên về việc điều chỉnh các công cụ AI cho phù hợp với nhu cầu của tổ chức, xác thực hiệu suất của chúng và đảm bảo chúng hoạt động an toàn. Mặt khác, các yếu tố an ninh mạng sẽ ngày càng ảnh hưởng đến sự phát triển của AI. Các hệ thống AI sẽ được xây dựng với các tính năng bảo mật ngay từ đầu (kiến trúc bảo mật, phát hiện giả mạo, nhật ký kiểm toán cho các quyết định của AI, v.v.) và các khuôn khổ cho AI đáng tin cậy (công bằng, có thể giải thích, mạnh mẽ và an toàn) sẽ hướng dẫn việc triển khai chúng trong các bối cảnh quan trọng về an ninh.

• Các cuộc tấn công tinh vi hơn được hỗ trợ bởi AI: Thật không may, bối cảnh mối đe dọa cũng sẽ phát triển cùng với AI. Chúng tôi dự đoán việc sử dụng AI thường xuyên hơn để phát hiện các lỗ hổng zero-day, để tạo ra các cuộc tấn công lừa đảo có mục tiêu cao (ví dụ: AI quét mạng xã hội để tạo ra mồi nhử được thiết kế hoàn hảo), và để tạo ra giọng nói hoặc video deepfake thuyết phục nhằm vượt qua xác thực sinh trắc học hoặc thực hiện gian lận. Các tác nhân tấn công tự động có thể xuất hiện, có khả năng tự thực hiện các cuộc tấn công nhiều giai đoạn (trinh sát, khai thác, di chuyển ngang, v.v.) với sự giám sát tối thiểu của con người. Điều này sẽ gây áp lực buộc các nhà phòng thủ cũng phải dựa vào AI – về cơ bản là tự động hóa đấu với tự động hóa . Một số cuộc tấn công có thể xảy ra với tốc độ máy móc, chẳng hạn như các bot AI thử hàng nghìn biến thể email lừa đảo để xem biến thể nào vượt qua được bộ lọc. Hệ thống phòng thủ mạng sẽ cần hoạt động với tốc độ và tính linh hoạt tương tự để theo kịp ( AI tạo sinh trong an ninh mạng là gì? - Palo Alto Networks ).

• Quy định và Trí tuệ Nhân tạo có đạo đức trong An ninh: Khi AI ngày càng được tích hợp sâu rộng vào các chức năng an ninh mạng, sẽ có sự giám sát chặt chẽ hơn và có thể cả các quy định để đảm bảo các hệ thống AI này được sử dụng một cách có trách nhiệm. Chúng ta có thể kỳ vọng vào các khuôn khổ và tiêu chuẩn cụ thể dành cho AI trong an ninh. Chính phủ có thể đặt ra các hướng dẫn về tính minh bạch – ví dụ, yêu cầu các quyết định an ninh quan trọng (như chấm dứt quyền truy cập của nhân viên vì nghi ngờ hoạt động độc hại) không thể chỉ do AI đưa ra mà không có sự xem xét của con người. Cũng có thể có các chứng nhận cho các sản phẩm an ninh AI, để đảm bảo người mua rằng AI đã được đánh giá về tính thiên vị, độ bền vững và an toàn. Hơn nữa, sự hợp tác quốc tế có thể phát triển xung quanh các mối đe dọa mạng liên quan đến AI; ví dụ, các thỏa thuận về xử lý thông tin sai lệch do AI tạo ra hoặc các chuẩn mực chống lại một số loại vũ khí mạng do AI điều khiển.

• Tích hợp với hệ sinh thái AI và CNTT rộng lớn hơn: AI tạo sinh trong an ninh mạng có khả năng sẽ tích hợp với các hệ thống AI khác và các công cụ quản lý CNTT. Ví dụ, một AI quản lý tối ưu hóa mạng có thể hoạt động cùng với AI bảo mật để đảm bảo các thay đổi không tạo ra lỗ hổng. Phân tích kinh doanh dựa trên AI có thể chia sẻ dữ liệu với AI bảo mật để liên kết các bất thường (như doanh số giảm đột ngột với sự cố trang web có thể do tấn công). Về bản chất, AI sẽ không hoạt động độc lập – nó sẽ là một phần của hệ thống thông minh lớn hơn trong hoạt động của tổ chức. Điều này mở ra cơ hội quản lý rủi ro toàn diện, nơi dữ liệu hoạt động, dữ liệu về mối đe dọa và thậm chí cả dữ liệu an ninh vật lý có thể được AI kết hợp để cung cấp cái nhìn toàn diện về tình trạng an ninh của tổ chức.

Về lâu dài, hy vọng là trí tuệ nhân tạo tạo sinh (generative AI) sẽ giúp nghiêng cán cân về phía người bảo vệ. Bằng cách xử lý quy mô và độ phức tạp của môi trường CNTT hiện đại, AI có thể làm cho không gian mạng trở nên dễ phòng thủ hơn. Tuy nhiên, đây là một hành trình dài, và sẽ có những khó khăn trong quá trình hoàn thiện các công nghệ này và học cách tin tưởng chúng một cách phù hợp. Các tổ chức luôn cập nhật thông tin và đầu tư vào việc áp dụng AI một cách có trách nhiệm cho mục đích bảo mật sẽ là những tổ chức có vị thế tốt nhất để đối phó với các mối đe dọa trong tương lai.

Như báo cáo xu hướng an ninh mạng gần đây của Gartner đã chỉ ra, “sự xuất hiện của các trường hợp sử dụng (và rủi ro) trí tuệ nhân tạo tạo sinh đang tạo áp lực cho sự chuyển đổi” ( Xu hướng an ninh mạng: Khả năng phục hồi thông qua chuyển đổi - Gartner ). Những người thích ứng sẽ khai thác trí tuệ nhân tạo như một đồng minh mạnh mẽ; những người tụt hậu có thể thấy mình bị các đối thủ được trang bị trí tuệ nhân tạo vượt mặt. Vài năm tới sẽ là thời điểm then chốt trong việc định hình cách trí tuệ nhân tạo định hình lại chiến trường mạng.

Những bài học thực tiễn khi áp dụng Trí tuệ nhân tạo tạo sinh trong an ninh mạng

Đối với các doanh nghiệp đang đánh giá cách tận dụng trí tuệ nhân tạo tạo sinh (generative AI) trong chiến lược an ninh mạng của mình, dưới đây là một số bài học thực tiễn và khuyến nghị để hướng dẫn việc áp dụng một cách có trách nhiệm và hiệu quả:

1. Bắt đầu bằng Giáo dục và Đào tạo: Đảm bảo đội ngũ bảo mật của bạn (và toàn bộ nhân viên CNTT) hiểu rõ những gì AI tạo sinh có thể và không thể làm được. Cung cấp đào tạo về những kiến ​​thức cơ bản về các công cụ bảo mật dựa trên AI và cập nhật các chương trình nâng cao nhận thức về bảo mật cho tất cả nhân viên để bao gồm các mối đe dọa do AI gây ra. Ví dụ, hãy dạy nhân viên cách AI có thể tạo ra các vụ lừa đảo giả mạo (phishing) và cuộc gọi giả mạo (deepfake) rất thuyết phục. Đồng thời, đào tạo nhân viên về cách sử dụng các công cụ AI một cách an toàn và được phê duyệt trong công việc của họ. Người dùng được trang bị kiến ​​thức tốt ít có khả năng sử dụng sai AI hoặc trở thành nạn nhân của các cuộc tấn công được tăng cường bởi AI ( Làm thế nào để sử dụng AI tạo sinh trong an ninh mạng? 10 ví dụ thực tế ).

2. Xác định rõ ràng các chính sách sử dụng AI: Hãy coi AI tạo sinh như bất kỳ công nghệ mạnh mẽ nào khác – cần có sự quản lý chặt chẽ. Phát triển các chính sách quy định rõ ai có thể sử dụng các công cụ AI, công cụ nào được cho phép và cho mục đích gì. Bao gồm các hướng dẫn về xử lý dữ liệu nhạy cảm (ví dụ: không cung cấp dữ liệu bí mật cho các dịch vụ AI bên ngoài) để ngăn chặn rò rỉ. Ví dụ, bạn có thể chỉ cho phép các thành viên nhóm bảo mật sử dụng trợ lý AI nội bộ để xử lý sự cố, và bộ phận marketing có thể sử dụng AI đã được kiểm duyệt để tạo nội dung – những người khác bị hạn chế. Nhiều tổ chức hiện đang đề cập rõ ràng đến AI tạo sinh trong các chính sách CNTT của họ, và các tổ chức tiêu chuẩn hàng đầu khuyến khích các chính sách sử dụng an toàn thay vì cấm hoàn toàn ( AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế ). Hãy đảm bảo truyền đạt những quy tắc này và lý do đằng sau chúng cho tất cả nhân viên.

3. Giảm thiểu “AI bóng tối” và giám sát việc sử dụng: Tương tự như CNTT bóng tối, “AI bóng tối” phát sinh khi nhân viên bắt đầu sử dụng các công cụ hoặc dịch vụ AI mà không có sự cho phép của bộ phận CNTT (ví dụ: một nhà phát triển sử dụng trợ lý mã AI trái phép). Điều này có thể gây ra những rủi ro khó lường. Hãy triển khai các biện pháp để phát hiện và kiểm soát việc sử dụng AI trái phép . Giám sát mạng có thể gắn cờ các kết nối đến các API AI phổ biến, và các cuộc khảo sát hoặc kiểm tra công cụ có thể phát hiện ra những gì nhân viên đang sử dụng. Cung cấp các lựa chọn thay thế được phê duyệt để những nhân viên có thiện chí không bị cám dỗ sử dụng trái phép (ví dụ: cung cấp tài khoản ChatGPT Enterprise chính thức nếu mọi người thấy hữu ích). Bằng cách đưa việc sử dụng AI ra ánh sáng, các nhóm bảo mật có thể đánh giá và quản lý rủi ro. Giám sát cũng rất quan trọng – hãy ghi nhật ký hoạt động và đầu ra của công cụ AI càng nhiều càng tốt, để có dấu vết kiểm toán cho các quyết định mà AI đã ảnh hưởng ( Làm thế nào để sử dụng AI tạo sinh trong an ninh mạng? 10 ví dụ thực tế ).

4. Tận dụng AI một cách phòng thủ – Đừng để bị tụt hậu: Nhận ra rằng kẻ tấn công sẽ sử dụng AI, vì vậy hệ thống phòng thủ của bạn cũng nên như vậy. Xác định một vài lĩnh vực có tác động cao mà AI tạo sinh có thể hỗ trợ ngay lập tức các hoạt động bảo mật của bạn (có thể là phân loại cảnh báo hoặc phân tích nhật ký tự động) và chạy các dự án thí điểm. Tăng cường khả năng phòng thủ của bạn bằng tốc độ và quy mô của AI để chống lại các mối đe dọa diễn biến nhanh ( AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế ). Ngay cả những tích hợp đơn giản, như sử dụng AI để tóm tắt báo cáo phần mềm độc hại hoặc tạo truy vấn săn lùng mối đe dọa, cũng có thể tiết kiệm hàng giờ cho các nhà phân tích. Bắt đầu từ quy mô nhỏ, đánh giá kết quả và lặp lại. Những thành công sẽ tạo tiền đề cho việc áp dụng AI rộng rãi hơn. Mục tiêu là sử dụng AI như một yếu tố nhân rộng sức mạnh – ví dụ, nếu các cuộc tấn công lừa đảo đang làm quá tải bộ phận hỗ trợ của bạn, hãy triển khai bộ phân loại email AI để chủ động giảm bớt khối lượng đó.

5. Đầu tư vào các thực tiễn AI an toàn và có đạo đức: Khi triển khai AI tạo sinh, hãy tuân thủ các thực tiễn phát triển và triển khai an toàn. Sử dụng các mô hình riêng tư hoặc tự lưu trữ cho các tác vụ nhạy cảm để giữ quyền kiểm soát dữ liệu. Nếu sử dụng các dịch vụ AI của bên thứ ba, hãy xem xét các biện pháp bảo mật và quyền riêng tư của họ (mã hóa, chính sách lưu giữ dữ liệu, v.v.). Kết hợp các khung quản lý rủi ro AI (như Khung quản lý rủi ro AI của NIST hoặc hướng dẫn ISO/IEC) để giải quyết một cách có hệ thống các vấn đề như thiên kiến, khả năng giải thích và tính mạnh mẽ trong các công cụ AI của bạn ( Làm thế nào để sử dụng AI tạo sinh trong an ninh mạng? 10 ví dụ thực tế ). Đồng thời, lên kế hoạch cập nhật/vá lỗi mô hình như một phần của bảo trì – các mô hình AI cũng có thể có “lỗ hổng” (ví dụ: chúng có thể cần được đào tạo lại nếu chúng bắt đầu thay đổi hoặc nếu phát hiện ra một loại tấn công đối kháng mới vào mô hình). Bằng cách tích hợp bảo mật và đạo đức vào việc sử dụng AI, bạn xây dựng niềm tin vào kết quả và đảm bảo tuân thủ các quy định mới nổi.

6. Giữ vai trò của con người trong quy trình: Sử dụng AI để hỗ trợ, chứ không phải thay thế hoàn toàn, phán đoán của con người trong an ninh mạng. Xác định các điểm quyết định cần sự xác nhận của con người (ví dụ: AI có thể soạn thảo báo cáo sự cố, nhưng chuyên viên phân tích sẽ xem xét trước khi phân phối; hoặc AI có thể đề xuất chặn tài khoản người dùng, nhưng con người sẽ phê duyệt hành động đó). Điều này không chỉ ngăn chặn các lỗi của AI không được kiểm tra mà còn giúp nhóm của bạn học hỏi từ AI và ngược lại. Khuyến khích quy trình làm việc hợp tác: các chuyên viên phân tích nên cảm thấy thoải mái khi đặt câu hỏi về kết quả đầu ra của AI và thực hiện các kiểm tra tính hợp lý. Theo thời gian, cuộc đối thoại này có thể cải thiện cả AI (thông qua phản hồi) và kỹ năng của các chuyên viên phân tích. Về cơ bản, hãy thiết kế các quy trình sao cho thế mạnh của AI và con người bổ sung cho nhau – AI xử lý khối lượng và tốc độ, con người xử lý sự mơ hồ và các quyết định cuối cùng.

7. Đo lường, Giám sát và Điều chỉnh: Cuối cùng, hãy coi các công cụ AI tạo sinh của bạn như những thành phần sống động trong hệ sinh thái bảo mật. Liên tục đo lường hiệu suất của chúng – liệu chúng có giúp giảm thời gian phản hồi sự cố? Phát hiện mối đe dọa sớm hơn? Tỷ lệ cảnh báo sai đang có xu hướng như thế nào? Thu thập phản hồi từ nhóm: các đề xuất của AI có hữu ích hay chỉ tạo ra nhiễu? Sử dụng các số liệu này để tinh chỉnh mô hình, cập nhật dữ liệu huấn luyện hoặc điều chỉnh cách tích hợp AI. Các mối đe dọa mạng và nhu cầu kinh doanh luôn thay đổi, và các mô hình AI của bạn cần được cập nhật hoặc huấn luyện lại định kỳ để duy trì hiệu quả. Hãy lập kế hoạch quản trị mô hình, bao gồm người chịu trách nhiệm bảo trì và tần suất xem xét. Bằng cách chủ động quản lý vòng đời của AI, bạn đảm bảo nó vẫn là một tài sản chứ không phải là một gánh nặng.

Tóm lại, trí tuệ nhân tạo tạo sinh (generative AI) có thể tăng cường đáng kể khả năng an ninh mạng, nhưng việc áp dụng thành công đòi hỏi kế hoạch chu đáo và giám sát liên tục. Các doanh nghiệp đào tạo nhân viên, thiết lập các hướng dẫn rõ ràng và tích hợp AI một cách cân bằng và an toàn sẽ gặt hái được những lợi ích từ việc quản lý mối đe dọa nhanh hơn và thông minh hơn. Những bài học này cung cấp một lộ trình: kết hợp chuyên môn của con người với tự động hóa AI, đảm bảo các nguyên tắc quản trị cơ bản và duy trì sự linh hoạt khi cả công nghệ AI và bối cảnh mối đe dọa chắc chắn sẽ phát triển.

Bằng cách thực hiện các bước thiết thực này, các tổ chức có thể tự tin trả lời câu hỏi “Làm thế nào để sử dụng trí tuệ nhân tạo tạo sinh trong an ninh mạng?” – không chỉ trên lý thuyết mà còn trong thực tiễn hàng ngày – và nhờ đó tăng cường khả năng phòng thủ trong thế giới ngày càng số hóa và dựa trên trí tuệ nhân tạo hiện nay. ( Làm thế nào để sử dụng trí tuệ nhân tạo tạo sinh trong an ninh mạng )

Các tài liệu chuyên đề khác mà bạn có thể muốn đọc sau tài liệu này:

🔗 Những công việc nào AI không thể thay thế và những công việc nào AI sẽ thay thế?
Khám phá triển vọng toàn cầu về những vai trò nào an toàn trước tự động hóa và những vai trò nào thì không.

🔗 Trí tuệ nhân tạo (AI) có thể dự đoán thị trường chứng khoán không?
Cùng tìm hiểu kỹ hơn về những hạn chế, đột phá và những quan niệm sai lầm xung quanh khả năng dự báo biến động thị trường của AI.

🔗 Trí tuệ nhân tạo tạo sinh (Generative AI) có thể làm được những gì mà không cần sự can thiệp của con người?
Hiểu rõ AI có thể hoạt động độc lập ở những lĩnh vực nào và sự giám sát của con người vẫn rất cần thiết ở những lĩnh vực nào.