Làm thế nào AI thế hệ có thể được sử dụng trong an ninh mạng ?

Giới thiệu

Trí tuệ nhân tạo tạo sinh – hệ thống trí tuệ nhân tạo có khả năng tạo ra nội dung hoặc dự đoán mới – đang nổi lên như một lực lượng chuyển đổi trong an ninh mạng. Các công cụ như GPT-4 của OpenAI đã chứng minh khả năng phân tích dữ liệu phức tạp và tạo ra văn bản giống con người, cho phép các phương pháp tiếp cận mới để phòng thủ chống lại các mối đe dọa mạng. Các chuyên gia an ninh mạng và những người ra quyết định kinh doanh trong nhiều ngành đang khám phá cách trí tuệ nhân tạo tạo sinh có thể tăng cường khả năng phòng thủ chống lại các cuộc tấn công đang phát triển. Từ tài chính và chăm sóc sức khỏe đến bán lẻ và chính phủ, các tổ chức trong mọi lĩnh vực đều phải đối mặt với các nỗ lực lừa đảo tinh vi, phần mềm độc hại và các mối đe dọa khác mà trí tuệ nhân tạo tạo sinh có thể giúp chống lại. Trong sách trắng này, chúng tôi sẽ xem xét AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng, nêu bật các ứng dụng thực tế, khả năng trong tương lai và những cân nhắc quan trọng để áp dụng.

Trí tuệ nhân tạo tạo ra khác với trí tuệ nhân tạo phân tích truyền thống ở chỗ không chỉ phát hiện các mẫu mà còn tạo ra nội dung – cho dù là mô phỏng các cuộc tấn công để đào tạo phòng thủ hay đưa ra lời giải thích bằng ngôn ngữ tự nhiên cho dữ liệu bảo mật phức tạp. Khả năng kép này biến nó thành con dao hai lưỡi: nó cung cấp các công cụ phòng thủ mới mạnh mẽ, nhưng các tác nhân đe dọa cũng có thể khai thác nó. Các phần sau đây sẽ khám phá nhiều trường hợp sử dụng AI tạo sinh trong an ninh mạng, từ tự động phát hiện lừa đảo đến tăng cường phản ứng sự cố. Chúng tôi cũng thảo luận về những lợi ích mà các cải tiến AI này hứa hẹn, cùng với các rủi ro (như "ảo giác" AI hoặc việc sử dụng sai mục đích của đối thủ) mà các tổ chức phải quản lý. Cuối cùng, chúng tôi cung cấp những bài học thực tế để giúp các doanh nghiệp đánh giá và tích hợp AI tạo sinh một cách có trách nhiệm vào các chiến lược an ninh mạng của họ.

Trí tuệ nhân tạo trong an ninh mạng: Tổng quan

AI tạo sinh trong an ninh mạng đề cập đến các mô hình AI – thường là các mô hình ngôn ngữ lớn hoặc các mạng nơ-ron khác – có thể tạo ra thông tin chi tiết, khuyến nghị, mã hoặc thậm chí là dữ liệu tổng hợp để hỗ trợ các nhiệm vụ bảo mật. Không giống như các mô hình chỉ mang tính dự đoán, AI tạo sinh có thể mô phỏng các tình huống và tạo ra các đầu ra mà con người có thể đọc được (ví dụ: báo cáo, cảnh báo hoặc thậm chí là các mẫu mã độc hại) dựa trên dữ liệu đào tạo của nó. Khả năng này đang được tận dụng để dự đoán, phát hiện và phản ứng đối với các mối đe dọa theo những cách năng động hơn trước (Trí tuệ nhân tạo trong an ninh mạng là gì? - Palo Alto Networks). Ví dụ, các mô hình tạo sinh có thể phân tích các bản ghi lớn hoặc kho lưu trữ thông tin tình báo về mối đe dọa và tạo ra bản tóm tắt ngắn gọn hoặc hành động được đề xuất, hoạt động gần giống như một "trợ lý" AI cho các nhóm bảo mật.

Việc triển khai sớm AI tạo ra để phòng thủ mạng đã cho thấy triển vọng. Năm 2023, Microsoft đã giới thiệu Trợ lý an ninh, một trợ lý hỗ trợ GPT-4 dành cho các nhà phân tích bảo mật, giúp xác định các vi phạm và sàng lọc qua 65 nghìn tỷ tín hiệu mà Microsoft xử lý hàng ngày (Microsoft Security Copilot là trợ lý AI GPT-4 mới cho an ninh mạng | The Verge). Các nhà phân tích có thể nhắc nhở hệ thống này bằng ngôn ngữ tự nhiên (ví dụ: “Tóm tắt tất cả các sự cố bảo mật trong 24 giờ qua”), và phi công phụ sẽ tạo ra một bản tóm tắt tường thuật hữu ích. Tương tự như vậy, Google Trí tuệ đe dọa AI sử dụng một mô hình sinh sản được gọi là Song Tử để cho phép tìm kiếm đàm thoại thông qua cơ sở dữ liệu tình báo mối đe dọa khổng lồ của Google, nhanh chóng phân tích mã đáng ngờ và tóm tắt các phát hiện để hỗ trợ thợ săn phần mềm độc hại (AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế). Những ví dụ này minh họa cho tiềm năng: AI tạo sinh có thể xử lý dữ liệu an ninh mạng phức tạp, quy mô lớn và đưa ra thông tin chi tiết dưới dạng dễ hiểu, giúp đẩy nhanh quá trình ra quyết định.

Đồng thời, AI tạo ra nội dung giả có độ chân thực cao, đây là lợi ích cho việc mô phỏng và đào tạo (và thật không may, đối với những kẻ tấn công thực hiện kỹ thuật xã hội).Khi chúng ta tiến hành các trường hợp sử dụng cụ thể, chúng ta sẽ thấy rằng khả năng của AI tạo ra cả tổng hợp Và phân tích thông tin hỗ trợ nhiều ứng dụng an ninh mạng của nó. Dưới đây, chúng tôi sẽ đi sâu vào các trường hợp sử dụng chính, bao gồm mọi thứ từ phòng chống lừa đảo đến phát triển phần mềm an toàn, với các ví dụ về cách từng trường hợp được áp dụng trong các ngành.

Các ứng dụng chính của AI tạo sinh trong an ninh mạng

Hình: Các trường hợp sử dụng chính cho AI tạo sinh trong an ninh mạng bao gồm AI đồng lái cho nhóm an ninh, phân tích lỗ hổng mã, phát hiện mối đe dọa thích ứng, mô phỏng tấn công ngày thứ 0, bảo mật sinh trắc học nâng cao và phát hiện lừa đảo (6 trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ).

Phát hiện và phòng ngừa lừa đảo

Lừa đảo vẫn là một trong những mối đe dọa mạng phổ biến nhất, lừa người dùng nhấp vào các liên kết độc hại hoặc tiết lộ thông tin đăng nhập. Trí tuệ nhân tạo đang được triển khai cho cả hai phát hiện các nỗ lực lừa đảo và tăng cường đào tạo người dùng để ngăn chặn các cuộc tấn công thành công. Về mặt phòng thủ, các mô hình AI có thể phân tích nội dung email và hành vi của người gửi để phát hiện các dấu hiệu lừa đảo tinh vi mà các bộ lọc dựa trên quy tắc có thể bỏ sót. Bằng cách học từ các tập dữ liệu lớn về email hợp lệ so với email gian lận, một mô hình tạo ra có thể đánh dấu các điểm bất thường về giọng điệu, cách diễn đạt hoặc ngữ cảnh cho thấy một vụ lừa đảo - ngay cả khi ngữ pháp và chính tả không còn tiết lộ điều đó nữa. Trên thực tế, các nhà nghiên cứu của Palo Alto Networks lưu ý rằng AI tạo ra có thể xác định “dấu hiệu tinh vi của email lừa đảo mà nếu không có thể sẽ không bị phát hiện,” giúp các tổ chức đi trước những kẻ lừa đảo một bước (Trí tuệ nhân tạo trong an ninh mạng là gì? - Palo Alto Networks).

Các nhóm an ninh cũng đang sử dụng AI tạo sinh để mô phỏng các cuộc tấn công lừa đảo để đào tạo và phân tích. Ví dụ, Ironscales đã giới thiệu một công cụ mô phỏng lừa đảo được hỗ trợ bởi GPT, tự động tạo ra các email lừa đảo giả mạo được thiết kế riêng cho nhân viên của một tổ chức (AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế). Những email được tạo ra bằng AI này phản ánh các chiến thuật tấn công mới nhất, giúp nhân viên có được thực hành thực tế trong việc phát hiện nội dung lừa đảo. Đào tạo cá nhân hóa như vậy rất quan trọng vì bản thân những kẻ tấn công áp dụng AI để tạo ra những mồi nhử thuyết phục hơn. Đáng chú ý là, trong khi AI tạo ra có thể tạo ra các tin nhắn lừa đảo rất trau chuốt (đã qua rồi thời tiếng Anh dễ phát hiện bị lỗi), những người bảo vệ đã phát hiện ra rằng AI không phải là không thể đánh bại. Vào năm 2024, các nhà nghiên cứu của IBM Security đã tiến hành một thí nghiệm so sánh các email lừa đảo do con người viết với các email do AI tạo ra và “Thật ngạc nhiên, các email do AI tạo ra vẫn dễ bị phát hiện mặc dù ngữ pháp của chúng đúng” (6 trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ). Điều này cho thấy trực giác của con người kết hợp với khả năng phát hiện được hỗ trợ bởi AI vẫn có thể nhận ra những điểm bất nhất tinh vi hoặc tín hiệu siêu dữ liệu trong các vụ lừa đảo do AI viết.

Trí tuệ nhân tạo hỗ trợ phòng thủ lừa đảo theo những cách khác nữa. Các mô hình có thể được sử dụng để tạo ra phản hồi hoặc bộ lọc tự động kiểm tra email đáng ngờ. Ví dụ, hệ thống AI có thể trả lời email bằng một số truy vấn nhất định để xác minh tính hợp pháp của người gửi hoặc sử dụng LLM để phân tích các liên kết và tệp đính kèm của email trong hộp cát, sau đó tóm tắt mọi ý định độc hại. Nền tảng bảo mật của NVIDIA Morpheus chứng minh sức mạnh của AI trong lĩnh vực này – nó sử dụng các mô hình NLP tạo sinh để phân tích và phân loại email nhanh chóng và được phát hiện có thể cải thiện khả năng phát hiện email lừa đảo bằng 21% so với các công cụ bảo mật truyền thống (6 trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ). Morpheus thậm chí còn lập hồ sơ các mẫu giao tiếp của người dùng để phát hiện hành vi bất thường (như người dùng đột nhiên gửi email đến nhiều địa chỉ bên ngoài), điều này có thể chỉ ra một tài khoản bị xâm phạm đang gửi email lừa đảo.

Trên thực tế, các công ty trong nhiều ngành đang bắt đầu tin tưởng AI để lọc email và lưu lượng truy cập web cho các cuộc tấn công kỹ thuật xã hội. Ví dụ, các công ty tài chính sử dụng AI tạo sinh để quét các thông tin liên lạc để tìm các nỗ lực mạo danh có thể dẫn đến gian lận chuyển khoản, trong khi các nhà cung cấp dịch vụ chăm sóc sức khỏe triển khai AI để bảo vệ dữ liệu bệnh nhân khỏi các vi phạm liên quan đến lừa đảo. Bằng cách tạo ra các kịch bản lừa đảo thực tế và xác định các dấu hiệu của tin nhắn độc hại, AI tạo sinh bổ sung một lớp mạnh mẽ vào các chiến lược phòng ngừa lừa đảo. Bài học rút ra: AI có thể giúp phát hiện và vô hiệu hóa các cuộc tấn công lừa đảo nhanh hơn và chính xác hơn, ngay cả khi kẻ tấn công sử dụng công nghệ tương tự để nâng cao trò chơi của chúng.

Phát hiện phần mềm độc hại và phân tích mối đe dọa

Phần mềm độc hại hiện đại liên tục phát triển – kẻ tấn công tạo ra các biến thể mới hoặc làm tối nghĩa mã để vượt qua chữ ký chống vi-rút. Trí tuệ nhân tạo tạo ra các kỹ thuật mới để phát hiện phần mềm độc hại và hiểu hành vi của nó. Một cách tiếp cận là sử dụng AI để tạo ra “cặp song sinh độc ác” của phần mềm độc hại: các nhà nghiên cứu bảo mật có thể đưa một mẫu phần mềm độc hại đã biết vào một mô hình sinh sản để tạo ra nhiều biến thể đột biến của phần mềm độc hại đó. Bằng cách đó, họ có thể dự đoán hiệu quả những thay đổi mà kẻ tấn công có thể thực hiện. Các biến thể do AI tạo ra này sau đó có thể được sử dụng để đào tạo các hệ thống phát hiện xâm nhập và chống vi-rút, để ngay cả các phiên bản đã sửa đổi của phần mềm độc hại cũng được nhận dạng trong tự nhiên (6 trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ). Chiến lược chủ động này giúp phá vỡ chu kỳ mà tin tặc thay đổi một chút phần mềm độc hại của chúng để tránh bị phát hiện và những người bảo vệ phải vội vã viết chữ ký mới mỗi lần. Như đã lưu ý trong một podcast của ngành, các chuyên gia bảo mật hiện sử dụng AI tạo sinh để “mô phỏng lưu lượng mạng và tạo ra các phần tử độc hại mô phỏng các cuộc tấn công tinh vi,” kiểm tra khả năng phòng thủ của họ trước một loạt các mối đe dọa thay vì một trường hợp duy nhất. Điều này phát hiện mối đe dọa thích ứng có nghĩa là các công cụ bảo mật trở nên kiên cường hơn trước phần mềm độc hại đa hình có thể xâm nhập.

Ngoài khả năng phát hiện, AI tạo ra hỗ trợ trong phân tích phần mềm độc hại và kỹ thuật đảo ngược, theo truyền thống là những nhiệm vụ đòi hỏi nhiều công sức đối với các nhà phân tích mối đe dọa. Các mô hình ngôn ngữ lớn có thể được giao nhiệm vụ kiểm tra mã hoặc tập lệnh đáng ngờ và giải thích bằng ngôn ngữ đơn giản về mục đích của mã. Một ví dụ thực tế là Thông tin chi tiết về mã VirusTotal, một tính năng của VirusTotal của Google tận dụng mô hình AI tạo sinh (Sec-PaLM của Google) để tạo ra các bản tóm tắt bằng ngôn ngữ tự nhiên về mã có khả năng gây hại (AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế). Về cơ bản là “một loại ChatGPT dành riêng cho mã hóa bảo mật,” hoạt động như một nhà phân tích phần mềm độc hại AI làm việc 24/7 để giúp các nhà phân tích con người hiểu được các mối đe dọa (6 trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ). Thay vì phải nghiên cứu kỹ các tập lệnh hoặc mã nhị phân không quen thuộc, thành viên nhóm bảo mật có thể nhận được lời giải thích ngay lập tức từ AI – ví dụ, “Tập lệnh này cố gắng tải xuống một tệp từ máy chủ XYZ ​​rồi sửa đổi cài đặt hệ thống, điều này cho thấy hành vi của phần mềm độc hại.” Điều này giúp tăng tốc đáng kể tốc độ phản hồi sự cố, vì các nhà phân tích có thể phân loại và hiểu phần mềm độc hại mới nhanh hơn bao giờ hết.

Trí tuệ nhân tạo cũng được sử dụng để xác định phần mềm độc hại trong các tập dữ liệu lớn. Các công cụ diệt vi-rút truyền thống quét các tệp để tìm các chữ ký đã biết, nhưng một mô hình sinh có thể đánh giá các đặc điểm của tệp và thậm chí dự đoán xem tệp đó có độc hại hay không dựa trên các mẫu đã học. Bằng cách phân tích các thuộc tính của hàng tỷ tệp (độc hại và lành tính), AI có thể phát hiện ra ý định độc hại khi không có chữ ký rõ ràng.Ví dụ, một mô hình tạo ra có thể đánh dấu một tệp thực thi là đáng ngờ vì hồ sơ hành vi của nó “trông” giống như một biến thể nhỏ của ransomware mà nó thấy trong quá trình đào tạo, mặc dù nhị phân là mới. Phát hiện dựa trên hành vi này giúp chống lại phần mềm độc hại mới hoặc zero-day. Trí tuệ nhân tạo Threat Intelligence của Google (một phần của Chronicle/Mandiant) được cho là sử dụng mô hình sinh của mình để phân tích mã độc hại tiềm ẩn và “hỗ trợ hiệu quả hơn cho các chuyên gia bảo mật trong việc chống lại phần mềm độc hại và các loại mối đe dọa khác.” (AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế).

Mặt khác, chúng ta phải thừa nhận rằng những kẻ tấn công cũng có thể sử dụng AI tạo sinh ở đây – để tự động tạo ra phần mềm độc hại có khả năng thích ứng. Trên thực tế, các chuyên gia bảo mật cảnh báo rằng AI tạo ra có thể giúp tội phạm mạng phát triển phần mềm độc hại điều đó khó phát hiện hơn (Trí tuệ nhân tạo trong an ninh mạng là gì? - Palo Alto Networks). Một mô hình AI có thể được hướng dẫn để biến đổi một phần mềm độc hại nhiều lần (thay đổi cấu trúc tệp, phương pháp mã hóa, v.v.) cho đến khi nó tránh được mọi kiểm tra chống vi-rút đã biết. Việc sử dụng đối kháng này là mối quan tâm ngày càng tăng (đôi khi được gọi là "phần mềm độc hại do AI cung cấp" hoặc phần mềm độc hại đa hình dưới dạng dịch vụ). Chúng ta sẽ thảo luận về những rủi ro như vậy sau, nhưng nó nhấn mạnh rằng AI tạo ra là một công cụ trong trò chơi mèo vờn chuột này được cả bên phòng thủ và bên tấn công sử dụng.

Nhìn chung, AI tạo ra tăng cường khả năng phòng thủ phần mềm độc hại bằng cách cho phép các nhóm bảo mật suy nghĩ như một kẻ tấn công – tạo ra các mối đe dọa và giải pháp mới trong nội bộ. Cho dù đó là tạo ra phần mềm độc hại tổng hợp để cải thiện tỷ lệ phát hiện hay sử dụng AI để giải thích và ngăn chặn phần mềm độc hại thực sự được tìm thấy trong mạng, các kỹ thuật này đều áp dụng cho mọi ngành. Một ngân hàng có thể sử dụng phân tích phần mềm độc hại do AI điều khiển để nhanh chóng phân tích một macro đáng ngờ trong bảng tính, trong khi một công ty sản xuất có thể dựa vào AI để phát hiện phần mềm độc hại nhắm vào các hệ thống điều khiển công nghiệp. Bằng cách tăng cường phân tích phần mềm độc hại truyền thống với AI tạo ra, các tổ chức có thể phản ứng với các chiến dịch phần mềm độc hại nhanh hơn và chủ động hơn trước.

Tình báo mối đe dọa và phân tích tự động

Mỗi ngày, các tổ chức bị tấn công dữ liệu tình báo về mối đe dọa – từ nguồn cấp dữ liệu về các chỉ số xâm phạm (IOC) mới được phát hiện cho đến các báo cáo của nhà phân tích về các chiến thuật tin tặc mới nổi. Thách thức đối với các nhóm bảo mật là sàng lọc thông tin này và trích xuất thông tin chi tiết có thể hành động được. Trí tuệ nhân tạo đang chứng minh giá trị vô giá trong tự động phân tích và tiêu thụ thông tin tình báo về mối đe dọa. Thay vì phải đọc thủ công hàng chục báo cáo hoặc mục nhập cơ sở dữ liệu, các nhà phân tích có thể sử dụng AI để tóm tắt và ngữ cảnh hóa thông tin tình báo về mối đe dọa với tốc độ máy móc.

Một ví dụ cụ thể là Google Tình báo về mối đe dọa bộ phần mềm tích hợp AI tạo sinh (mô hình Gemini) với kho dữ liệu về mối đe dọa của Google từ Mandiant và VirusTotal. AI này cung cấp “tìm kiếm hội thoại trên kho thông tin tình báo về mối đe dọa khổng lồ của Google”, cho phép người dùng đặt những câu hỏi tự nhiên về các mối đe dọa và nhận được câu trả lời cô đọng (AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế). Ví dụ, một nhà phân tích có thể hỏi, “Chúng ta có thấy bất kỳ phần mềm độc hại nào liên quan đến Nhóm đe dọa X nhắm vào ngành của chúng ta không?” và AI sẽ đưa ra thông tin tình báo có liên quan, có thể không lưu ý “Đúng vậy, Nhóm đe dọa X đã liên kết với một chiến dịch lừa đảo vào tháng trước bằng phần mềm độc hại Y”, cùng với bản tóm tắt về hành vi của phần mềm độc hại đó. Điều này làm giảm đáng kể thời gian thu thập thông tin chi tiết mà nếu không sẽ phải truy vấn nhiều công cụ hoặc đọc các báo cáo dài.

AI tạo sinh cũng có thể tương quan và tóm tắt xu hướng đe dọa.Nó có thể sàng lọc qua hàng ngàn bài đăng trên blog về bảo mật, tin tức về vi phạm và các cuộc trò chuyện trên dark web rồi tạo ra bản tóm tắt về "các mối đe dọa mạng hàng đầu trong tuần này" cho cuộc họp báo của CISO. Theo truyền thống, mức độ phân tích và báo cáo này đòi hỏi rất nhiều nỗ lực của con người; giờ đây, một mô hình được điều chỉnh tốt có thể soạn thảo trong vài giây, với con người chỉ tinh chỉnh đầu ra. Các công ty như ZeroFox đã phát triển FoxGPT, một công cụ AI tạo ra được thiết kế đặc biệt để “tăng tốc quá trình phân tích và tóm tắt thông tin tình báo trên các tập dữ liệu lớn,” bao gồm nội dung độc hại và dữ liệu lừa đảo (AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế). Bằng cách tự động hóa việc đọc và đối chiếu dữ liệu, AI cho phép các nhóm tình báo mối đe dọa tập trung vào việc ra quyết định và ứng phó.

Một trường hợp sử dụng khác là săn lùng mối đe dọa đàm thoại. Hãy tưởng tượng một nhà phân tích bảo mật tương tác với trợ lý AI: “Cho tôi biết bất kỳ dấu hiệu nào của việc rò rỉ dữ liệu trong 48 giờ qua” hoặc “Những lỗ hổng mới nhất mà kẻ tấn công đang khai thác trong tuần này là gì?” AI có thể diễn giải truy vấn, tìm kiếm nhật ký nội bộ hoặc nguồn thông tin tình báo bên ngoài và phản hồi bằng câu trả lời rõ ràng hoặc thậm chí là danh sách các sự cố có liên quan. Điều này không phải là điều xa vời – các hệ thống quản lý sự kiện và thông tin bảo mật (SIEM) hiện đại đang bắt đầu kết hợp truy vấn ngôn ngữ tự nhiên. Ví dụ, bộ bảo mật QRadar của IBM sẽ bổ sung các tính năng AI tạo ra vào năm 2024 để các nhà phân tích “hỏi […] những câu hỏi cụ thể về đường dẫn tấn công được tóm tắt” của một sự cố và nhận được câu trả lời chi tiết. Nó cũng có thể “giải thích và tóm tắt thông tin tình báo về mối đe dọa có liên quan cao” tự động (AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế). Về cơ bản, AI tạo sinh sẽ biến khối lượng dữ liệu kỹ thuật khổng lồ thành những thông tin chi tiết có kích thước bằng trò chuyện theo yêu cầu.

Trong các ngành công nghiệp, điều này có ý nghĩa to lớn. Một nhà cung cấp dịch vụ chăm sóc sức khỏe có thể sử dụng AI để cập nhật thông tin về các nhóm ransomware mới nhất nhắm vào các bệnh viện mà không cần phải dành toàn thời gian cho một nhà phân tích nghiên cứu. SOC của một công ty bán lẻ có thể nhanh chóng tóm tắt các chiến thuật phần mềm độc hại POS mới khi tóm tắt cho nhân viên CNTT của cửa hàng. Và trong chính phủ, nơi dữ liệu về mối đe dọa từ nhiều cơ quan khác nhau phải được tổng hợp, AI có thể tạo ra các báo cáo thống nhất nêu bật các cảnh báo chính. Bằng cách tự động thu thập và giải thích thông tin tình báo về mối đe dọaAI tạo ra giúp các tổ chức phản ứng nhanh hơn với các mối đe dọa mới nổi và giảm nguy cơ bỏ lỡ các cảnh báo quan trọng ẩn trong tiếng ồn.

Tối ưu hóa Trung tâm điều hành bảo mật (SOC)

Các Trung tâm điều hành an ninh nổi tiếng với tình trạng mệt mỏi vì cảnh báo và khối lượng dữ liệu khổng lồ. Một nhà phân tích SOC điển hình có thể phải lội qua hàng nghìn cảnh báo và sự kiện mỗi ngày, điều tra các sự cố tiềm ẩn. AI tạo sinh đang hoạt động như một hệ số nhân lực trong SOC bằng cách tự động hóa công việc thường lệ, cung cấp các bản tóm tắt thông minh và thậm chí là sắp xếp một số phản hồi. Mục tiêu là tối ưu hóa quy trình làm việc của SOC để các nhà phân tích con người có thể tập trung vào các vấn đề quan trọng nhất trong khi AI phụ trách xử lý phần còn lại.

Một ứng dụng chính là sử dụng AI tạo sinh như một “Phi công phụ của nhà phân tích”. Microsoft's Security Copilot, đã lưu ý trước đó, minh họa điều này: nó “được thiết kế để hỗ trợ công việc của nhà phân tích bảo mật thay vì thay thế nó,” hỗ trợ điều tra và báo cáo sự cố (Microsoft Security Copilot là trợ lý AI GPT-4 mới cho an ninh mạng | The Verge). Trên thực tế, điều này có nghĩa là nhà phân tích có thể nhập dữ liệu thô – nhật ký tường lửa, dòng thời gian sự kiện hoặc mô tả sự cố – ​​và yêu cầu AI phân tích hoặc tóm tắt dữ liệu đó.Người phi công phụ có thể đưa ra một câu chuyện như thế này, “Có vẻ như vào lúc 2:35 sáng, một lần đăng nhập đáng ngờ từ IP X đã thành công trên Máy chủ Y, tiếp theo là các lần chuyển dữ liệu bất thường, cho thấy khả năng xảy ra vi phạm trên máy chủ đó.” Loại ngữ cảnh hóa tức thời này vô cùng có giá trị khi thời gian là yếu tố cốt yếu.

Các phi công phụ AI cũng giúp giảm gánh nặng phân loại cấp độ 1. Theo dữ liệu của ngành, một nhóm an ninh có thể dành 15 giờ một tuần chỉ cần sắp xếp khoảng 22.000 cảnh báo và kết quả dương tính giả (6 trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ). Với AI tạo sinh, nhiều cảnh báo trong số này có thể được phân loại tự động – AI có thể loại bỏ những cảnh báo rõ ràng là vô hại (với lý do đưa ra) và làm nổi bật những cảnh báo thực sự cần được chú ý, đôi khi thậm chí còn gợi ý mức độ ưu tiên. Trên thực tế, sức mạnh của AI tạo sinh trong việc hiểu ngữ cảnh có nghĩa là nó có thể liên kết chéo các cảnh báo có vẻ vô hại khi tách biệt nhưng khi kết hợp lại thì chỉ ra một cuộc tấn công nhiều giai đoạn. Điều này làm giảm khả năng bỏ lỡ một cuộc tấn công do “mệt mỏi cảnh báo”.

Các nhà phân tích SOC cũng đang sử dụng ngôn ngữ tự nhiên với AI để tăng tốc quá trình tìm kiếm và điều tra. SentinelOne AI màu tím nền tảng, ví dụ, kết hợp giao diện dựa trên LLM với dữ liệu bảo mật thời gian thực, cho phép các nhà phân tích “hỏi những câu hỏi săn tìm mối đe dọa phức tạp bằng tiếng Anh đơn giản và nhận được câu trả lời nhanh chóng, chính xác” (AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế). Một nhà phân tích có thể gõ, “Có điểm cuối nào liên lạc với tên miền badguy123[.]com trong tháng qua không?”và Purple AI sẽ tìm kiếm qua các bản ghi để phản hồi. Điều này giúp nhà phân tích không phải viết các truy vấn hoặc tập lệnh cơ sở dữ liệu – AI sẽ thực hiện việc này một cách ẩn. Điều này cũng có nghĩa là các nhà phân tích cấp dưới có thể xử lý các nhiệm vụ mà trước đây đòi hỏi một kỹ sư dày dạn kinh nghiệm có kỹ năng về ngôn ngữ truy vấn, một cách hiệu quả nâng cao kỹ năng của nhóm thông qua sự hỗ trợ của AI. Thật vậy, các nhà phân tích báo cáo rằng hướng dẫn AI tạo ra “tăng cường kỹ năng và trình độ của họ”, vì giờ đây nhân viên cấp dưới có thể nhận được hỗ trợ mã hóa theo yêu cầu hoặc các mẹo phân tích từ AI, giảm sự phụ thuộc vào việc luôn phải nhờ đến sự trợ giúp của các thành viên nhóm cấp cao (6 trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ).

Một tối ưu hóa SOC khác là tóm tắt và ghi chép sự cố tự động. Sau khi xử lý sự cố, ai đó phải viết báo cáo – một nhiệm vụ mà nhiều người thấy nhàm chán. Trí tuệ nhân tạo có thể lấy dữ liệu pháp y (nhật ký hệ thống, phân tích phần mềm độc hại, mốc thời gian hành động) và tạo báo cáo sự cố bản thảo đầu tiên. IBM đang xây dựng khả năng này vào QRadar để “một cú nhấp chuột” tóm tắt sự cố có thể được lập cho nhiều bên liên quan khác nhau (giám đốc điều hành, nhóm CNTT, v.v.) (AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế). Điều này không chỉ tiết kiệm thời gian mà còn đảm bảo không bỏ sót bất kỳ thông tin nào trong báo cáo, vì AI có thể bao gồm tất cả các chi tiết có liên quan một cách nhất quán. Tương tự như vậy, để tuân thủ và kiểm toán, AI có thể điền vào biểu mẫu hoặc bảng bằng chứng dựa trên dữ liệu sự cố.

Kết quả thực tế rất thuyết phục. Những người áp dụng sớm SOAR (điều phối bảo mật, tự động hóa và phản hồi) do AI của Swimlane điều khiển báo cáo mức tăng năng suất khổng lồ – Ví dụ, Global Data Systems đã chứng kiến ​​nhóm SecOps của họ quản lý khối lượng công việc lớn hơn nhiều; một giám đốc cho biết “Những gì tôi làm ngày hôm nay với 7 nhà phân tích có lẽ sẽ cần 20 nhân viên mà không cần” tự động hóa được hỗ trợ bởi AI (Trí tuệ nhân tạo có thể được sử dụng như thế nào trong an ninh mạng). Nói cách khác, AI trong SOC có thể nhân lên năng lực.Trong nhiều ngành công nghiệp, cho dù đó là một công ty công nghệ xử lý cảnh báo bảo mật đám mây hay một nhà máy sản xuất giám sát hệ thống OT, các nhóm SOC có thể phát hiện và phản hồi nhanh hơn, ít sự cố bị bỏ sót hơn và hoạt động hiệu quả hơn bằng cách áp dụng trợ lý AI tạo ra. Đó là về việc làm việc thông minh hơn - cho phép máy móc xử lý các tác vụ lặp đi lặp lại và dữ liệu nặng để con người có thể áp dụng trực giác và chuyên môn của mình vào những việc quan trọng nhất.

Quản lý lỗ hổng và mô phỏng mối đe dọa

Xác định và quản lý các lỗ hổng – điểm yếu trong phần mềm hoặc hệ thống mà kẻ tấn công có thể khai thác – là một chức năng cốt lõi của an ninh mạng. Trí tuệ nhân tạo đang tăng cường quản lý lỗ hổng bằng cách đẩy nhanh quá trình khám phá, hỗ trợ ưu tiên bản vá và thậm chí mô phỏng các cuộc tấn công vào các lỗ hổng đó để nâng cao khả năng chuẩn bị. Về bản chất, AI đang giúp các tổ chức tìm và sửa các lỗ hổng trong lớp giáp của họ nhanh hơn và chủ động kiểm tra khả năng phòng thủ trước khi kẻ tấn công thực sự làm điều đó.

Một ứng dụng quan trọng là sử dụng AI tạo sinh cho đánh giá mã tự động và phát hiện lỗ hổng. Các cơ sở mã lớn (đặc biệt là các hệ thống cũ) thường ẩn chứa các lỗi bảo mật không được chú ý. Các mô hình AI tạo sinh có thể được đào tạo về các phương pháp mã hóa an toàn và các mẫu lỗi phổ biến, sau đó được triển khai trên mã nguồn hoặc các tệp nhị phân đã biên dịch để tìm các lỗ hổng tiềm ẩn. Ví dụ, các nhà nghiên cứu của NVIDIA đã phát triển một đường ống AI tạo sinh có thể phân tích các thùng chứa phần mềm cũ và xác định các lỗ hổng “với độ chính xác cao — nhanh hơn tới 4 lần so với chuyên gia con người.” (6 trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ). Về cơ bản, AI đã học được mã không an toàn trông như thế nào và có thể quét qua phần mềm đã có từ nhiều thập kỷ để đánh dấu các chức năng và thư viện rủi ro, giúp tăng tốc đáng kể quá trình kiểm tra mã thủ công vốn chậm chạp. Loại công cụ này có thể là một bước ngoặt đối với các ngành như tài chính hoặc chính phủ dựa vào các cơ sở mã lớn và cũ hơn – AI giúp hiện đại hóa bảo mật bằng cách đào sâu tìm ra các vấn đề mà nhân viên có thể mất nhiều tháng hoặc nhiều năm để tìm ra (nếu có).

AI tạo sinh cũng hỗ trợ quy trình quản lý lỗ hổng bằng cách xử lý kết quả quét lỗ hổng và ưu tiên chúng. Các công cụ như Tenable Phơi sángAI sử dụng AI tạo sinh để cho phép các nhà phân tích truy vấn dữ liệu lỗ hổng bằng ngôn ngữ đơn giản và nhận được câu trả lời ngay lập tức (AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế). ExposureAI có thể “tóm tắt toàn bộ đường tấn công trong một bài tường thuật” đối với một lỗ hổng nghiêm trọng nhất định, giải thích cách kẻ tấn công có thể liên kết nó với các điểm yếu khác để xâm phạm hệ thống. Nó thậm chí còn đề xuất các hành động để khắc phục và trả lời các câu hỏi tiếp theo về rủi ro. Điều này có nghĩa là khi một CVE (Lỗ hổng và phơi nhiễm phổ biến) quan trọng mới được công bố, một nhà phân tích có thể hỏi AI, “Có máy chủ nào của chúng tôi bị ảnh hưởng bởi CVE này không và trường hợp xấu nhất sẽ xảy ra nếu chúng tôi không vá lỗi?” và nhận được đánh giá rõ ràng được rút ra từ dữ liệu quét của chính tổ chức. Bằng cách ngữ cảnh hóa các lỗ hổng (ví dụ lỗ hổng này được tiếp xúc với internet và trên máy chủ có giá trị cao, do đó là ưu tiên hàng đầu), AI tạo ra giúp các nhóm vá lỗi thông minh với nguồn lực hạn chế.

Ngoài việc tìm kiếm và quản lý các lỗ hổng đã biết, AI tạo ra còn góp phần kiểm tra thâm nhập và mô phỏng tấn công – về cơ bản là khám phá không rõ lỗ hổng hoặc kiểm tra các biện pháp kiểm soát bảo mật. Mạng đối kháng tạo sinh (GAN), một loại AI tạo sinh, đã được sử dụng để tạo dữ liệu tổng hợp mô phỏng lưu lượng mạng thực hoặc hành vi của người dùng, có thể bao gồm các mẫu tấn công ẩn.Một nghiên cứu năm 2023 đề xuất sử dụng GAN để tạo lưu lượng tấn công zero-day thực tế nhằm đào tạo các hệ thống phát hiện xâm nhập (6 trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ). Bằng cách cung cấp cho IDS các kịch bản tấn công do AI tạo ra (không có nguy cơ sử dụng phần mềm độc hại thực tế trên mạng sản xuất), các tổ chức có thể đào tạo hệ thống phòng thủ của mình để nhận ra các mối đe dọa mới mà không cần phải chờ đợi để bị chúng tấn công trong thực tế. Tương tự như vậy, AI có thể mô phỏng kẻ tấn công đang thăm dò hệ thống – ví dụ, tự động thử nhiều kỹ thuật khai thác khác nhau trong môi trường an toàn để xem liệu có kỹ thuật nào thành công không. Cơ quan các dự án nghiên cứu tiên tiến quốc phòng Hoa Kỳ (DARPA) thấy triển vọng ở đây: Thử thách mạng AI năm 2023 của họ sử dụng rõ ràng AI tạo sinh (như các mô hình ngôn ngữ lớn) để “tự động tìm và sửa các lỗ hổng trong phần mềm nguồn mở” như một phần của cuộc thi ( DARPA hướng đến mục tiêu phát triển AI, các ứng dụng tự động mà chiến binh có thể tin tưởng > Bộ Quốc phòng Hoa Kỳ > Tin tức Bộ Quốc phòng ). Sáng kiến ​​này nhấn mạnh rằng AI không chỉ giúp vá các lỗ hổng đã biết; nó còn tích cực phát hiện ra các lỗ hổng mới và đề xuất các bản sửa lỗi, một nhiệm vụ thường chỉ dành cho các nhà nghiên cứu bảo mật lành nghề (và tốn kém).

Trí tuệ nhân tạo thậm chí có thể tạo ra honeypot thông minh và bản sao kỹ thuật số để phòng thủ. Các công ty khởi nghiệp đang phát triển các hệ thống mồi nhử do AI điều khiển có khả năng mô phỏng máy chủ hoặc thiết bị thực một cách thuyết phục. Như một CEO đã giải thích, AI tạo ra có thể “sao chép các hệ thống kỹ thuật số để bắt chước các hệ thống thực và dụ dỗ tin tặc” (6 trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ). Những honeypot do AI tạo ra này hoạt động giống như môi trường thực (ví dụ, một thiết bị IoT giả gửi dữ liệu đo từ xa thông thường) nhưng chỉ tồn tại để thu hút kẻ tấn công. Khi kẻ tấn công nhắm vào mồi nhử, về cơ bản AI đã lừa chúng tiết lộ phương pháp của chúng, sau đó những người bảo vệ có thể nghiên cứu và sử dụng để củng cố các hệ thống thực. Khái niệm này, được hỗ trợ bởi mô hình sinh sản, cung cấp một cách hướng tới tương lai để lật ngược thế cờ trước kẻ tấn công, sử dụng sự lừa dối được tăng cường bởi AI.

Trong các ngành công nghiệp, quản lý lỗ hổng nhanh hơn và thông minh hơn có nghĩa là ít vi phạm hơn. Ví dụ, trong CNTT chăm sóc sức khỏe, AI có thể nhanh chóng phát hiện ra một thư viện lỗi thời dễ bị tấn công trong thiết bị y tế và nhắc nhở sửa lỗi chương trình cơ sở trước khi bất kỳ kẻ tấn công nào khai thác nó. Trong ngân hàng, AI có thể mô phỏng một cuộc tấn công nội bộ vào một ứng dụng mới để đảm bảo dữ liệu khách hàng vẫn an toàn trong mọi tình huống. Do đó, AI tạo ra hoạt động như một kính hiển vi và một công cụ kiểm tra ứng suất cho tư thế bảo mật của các tổ chức: nó làm sáng tỏ các lỗ hổng ẩn và gây áp lực cho các hệ thống theo những cách sáng tạo để đảm bảo khả năng phục hồi.

Tạo mã an toàn và phát triển phần mềm

Tài năng của AI tạo sinh không chỉ giới hạn ở việc phát hiện các cuộc tấn công – chúng còn mở rộng sang tạo ra các hệ thống an toàn hơn ngay từ đầu. Trong phát triển phần mềm, các trình tạo mã AI (như GitHub Copilot, OpenAI Codex, v.v.) có thể giúp các nhà phát triển viết mã nhanh hơn bằng cách đề xuất các đoạn mã hoặc thậm chí toàn bộ chức năng. Góc độ an ninh mạng là đảm bảo rằng các đoạn mã do AI đề xuất này an toàn và sử dụng AI để cải thiện các hoạt động mã hóa.

Một mặt, AI tạo sinh có thể hoạt động như một trợ lý mã hóa nhúng các biện pháp bảo mật tốt nhất. Các nhà phát triển có thể nhắc nhở một công cụ AI, “Tạo hàm đặt lại mật khẩu trong Python,” và lý tưởng nhất là lấy lại mã không chỉ có chức năng mà còn tuân theo các hướng dẫn bảo mật (ví dụ: xác thực đầu vào phù hợp, ghi nhật ký, xử lý lỗi mà không làm rò rỉ thông tin, v.v.). Một trợ lý như vậy, được đào tạo về các ví dụ mã bảo mật mở rộng, có thể giúp giảm lỗi của con người dẫn đến lỗ hổng. Ví dụ, nếu một nhà phát triển quên khử trùng đầu vào của người dùng (mở cửa cho SQL injection hoặc các vấn đề tương tự), AI có thể bao gồm điều đó theo mặc định hoặc cảnh báo họ.Một số công cụ mã hóa AI hiện đang được tinh chỉnh với dữ liệu tập trung vào bảo mật để phục vụ mục đích chính xác này – về cơ bản, Lập trình cặp AI với ý thức bảo mật.

Tuy nhiên, có một mặt trái: AI tạo ra cũng có thể dễ dàng đưa vào các lỗ hổng nếu không được quản lý đúng cách. Như chuyên gia bảo mật Sophos Ben Verschaeren đã lưu ý, sử dụng AI tạo ra để mã hóa là “tốt cho mã ngắn, có thể xác minh, nhưng rủi ro khi mã không được kiểm tra được tích hợp” vào hệ thống sản xuất. Rủi ro là AI có thể tạo ra mã đúng về mặt logic nhưng không an toàn theo cách mà người không phải chuyên gia có thể không nhận thấy. Hơn nữa, những kẻ xấu có thể cố tình tác động đến các mô hình AI công khai bằng cách gieo mầm cho chúng các mẫu mã dễ bị tấn công (một dạng đầu độc dữ liệu) để AI gợi ý mã không an toàn. Hầu hết các nhà phát triển không phải là chuyên gia bảo mật, vì vậy nếu AI gợi ý một giải pháp thuận tiện, họ có thể sử dụng nó một cách mù quáng, không nhận ra rằng nó có một sai sót (6 trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ). Mối lo ngại này là có thật – trên thực tế, hiện nay đã có danh sách OWASP Top 10 dành cho LLM (mô hình ngôn ngữ lớn) nêu rõ những rủi ro phổ biến như thế này khi sử dụng AI để mã hóa.

Để chống lại những vấn đề này, các chuyên gia đề xuất “chống lại AI tạo sinh bằng AI tạo sinh” trong lĩnh vực mã hóa. Trong thực tế, điều đó có nghĩa là sử dụng AI để xem xét và kiểm tra mã mà AI khác (hoặc con người) đã viết. Một AI có thể quét qua các cam kết mã mới nhanh hơn nhiều so với người đánh giá mã và đánh dấu các lỗ hổng tiềm ẩn hoặc các vấn đề về logic. Chúng ta đã thấy các công cụ mới nổi tích hợp vào vòng đời phát triển phần mềm: mã được viết (có thể với sự trợ giúp của AI), sau đó một mô hình tạo ra được đào tạo theo các nguyên tắc mã an toàn sẽ xem xét mã đó và tạo báo cáo về bất kỳ mối quan tâm nào (ví dụ, sử dụng các hàm đã lỗi thời, thiếu kiểm tra xác thực, v.v.). Nghiên cứu của NVIDIA, được đề cập trước đó, đạt được khả năng phát hiện lỗ hổng trong mã nhanh hơn 4 lần là một ví dụ về việc khai thác AI để phân tích mã an toàn (6 trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ).

Hơn nữa, AI tạo sinh có thể hỗ trợ tạo cấu hình và tập lệnh an toàn. Ví dụ, nếu một công ty cần triển khai cơ sở hạ tầng đám mây an toàn, một kỹ sư có thể yêu cầu AI tạo các tập lệnh cấu hình (Cơ sở hạ tầng dưới dạng Mã) với các biện pháp kiểm soát bảo mật (như phân đoạn mạng phù hợp, vai trò IAM ít đặc quyền nhất) được tích hợp sẵn. AI, sau khi được đào tạo trên hàng nghìn cấu hình như vậy, có thể tạo ra một đường cơ sở mà sau đó kỹ sư sẽ tinh chỉnh. Điều này đẩy nhanh quá trình thiết lập hệ thống an toàn và giảm lỗi cấu hình sai – một nguồn phổ biến gây ra sự cố bảo mật đám mây.

Một số tổ chức cũng đang tận dụng AI tạo sinh để duy trì cơ sở kiến ​​thức về các mẫu mã hóa an toàn. Nếu nhà phát triển không chắc chắn về cách triển khai một tính năng nào đó một cách an toàn, họ có thể truy vấn AI nội bộ đã học được từ các dự án và hướng dẫn bảo mật trước đây của công ty. AI có thể trả về một phương pháp tiếp cận được đề xuất hoặc thậm chí là đoạn mã phù hợp với cả yêu cầu chức năng và tiêu chuẩn bảo mật của công ty. Phương pháp tiếp cận này đã được sử dụng bởi các công cụ như Tự động hóa bảng câu hỏi của Secureframe, lấy câu trả lời từ các chính sách và giải pháp trước đây của công ty để đảm bảo phản hồi nhất quán và chính xác (về cơ bản là tạo ra tài liệu an toàn) (AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế). Khái niệm này được hiểu là mã hóa: AI “ghi nhớ” cách bạn triển khai một việc gì đó một cách an toàn trước đó và hướng dẫn bạn thực hiện lại theo cách đó.

Tóm lại, AI tạo sinh đang tác động đến quá trình phát triển phần mềm bằng cách làm cho việc hỗ trợ mã hóa an toàn dễ tiếp cận hơn. Các ngành phát triển nhiều phần mềm tùy chỉnh – công nghệ, tài chính, quốc phòng, v.v.– có thể hưởng lợi từ việc có các phi công AI không chỉ tăng tốc quá trình mã hóa mà còn hoạt động như một người đánh giá bảo mật luôn cảnh giác. Khi được quản lý đúng cách, các công cụ AI này có thể giảm thiểu việc đưa vào các lỗ hổng mới và giúp các nhóm phát triển tuân thủ các biện pháp thực hành tốt nhất, ngay cả khi nhóm không có chuyên gia bảo mật tham gia vào mọi bước. Kết quả là phần mềm mạnh mẽ hơn trước các cuộc tấn công ngay từ ngày đầu tiên.

Hỗ trợ ứng phó sự cố

Khi một sự cố an ninh mạng xảy ra – có thể là sự bùng phát phần mềm độc hại, vi phạm dữ liệu hoặc sự cố hệ thống do tấn công – thời gian là rất quan trọng. Trí tuệ nhân tạo tạo ra ngày càng được sử dụng để hỗ trợ các nhóm ứng phó sự cố (IR) trong việc ngăn chặn và khắc phục sự cố nhanh hơn và với nhiều thông tin hơn trong tay. Ý tưởng là AI có thể gánh vác một số gánh nặng điều tra và ghi chép trong quá trình xảy ra sự cố, thậm chí đề xuất hoặc tự động hóa một số hành động ứng phó.

Một vai trò quan trọng của AI trong IR là phân tích và tóm tắt sự cố thời gian thực. Trong lúc xảy ra sự cố, người ứng phó có thể cần câu trả lời cho những câu hỏi như “Kẻ tấn công đã đột nhập bằng cách nào?”, “Những hệ thống nào bị ảnh hưởng?”, Và “Dữ liệu nào có thể bị xâm phạm?”. Trí tuệ nhân tạo có thể phân tích nhật ký, cảnh báo và dữ liệu pháp y từ các hệ thống bị ảnh hưởng và nhanh chóng cung cấp thông tin chi tiết. Ví dụ: Microsoft Security Copilot cho phép người ứng phó sự cố đưa vào nhiều bằng chứng khác nhau (tệp, URL, nhật ký sự kiện) và yêu cầu mốc thời gian hoặc tóm tắt (Microsoft Security Copilot là trợ lý AI GPT-4 mới cho an ninh mạng | The Verge). AI có thể phản hồi bằng cách: “Vụ vi phạm có thể bắt đầu bằng một email lừa đảo gửi đến người dùng JohnDoe lúc 10:53 GMT có chứa phần mềm độc hại X. Sau khi thực thi, phần mềm độc hại đã tạo ra một cửa hậu được sử dụng hai ngày sau đó để di chuyển ngang đến máy chủ tài chính, nơi nó thu thập dữ liệu.” Việc có được bức tranh toàn cảnh này chỉ trong vài phút thay vì vài giờ cho phép nhóm đưa ra quyết định sáng suốt (như hệ thống nào cần cô lập) nhanh hơn nhiều.

Trí tuệ nhân tạo cũng có thể đề xuất các hành động ngăn chặn và khắc phục. Ví dụ, nếu một điểm cuối bị nhiễm ransomware, một công cụ AI có thể tạo ra một tập lệnh hoặc một bộ hướng dẫn để cô lập máy đó, vô hiệu hóa một số tài khoản nhất định và chặn các IP độc hại đã biết trên tường lửa – về cơ bản là một thực thi playbook. Palo Alto Networks lưu ý rằng AI tạo ra có khả năng “tạo ra các hành động hoặc kịch bản phù hợp dựa trên bản chất của sự cố”, tự động hóa các bước phản hồi ban đầu (Trí tuệ nhân tạo trong an ninh mạng là gì? - Palo Alto Networks). Trong trường hợp nhóm bảo mật bị quá tải (ví dụ như một cuộc tấn công lan rộng trên hàng trăm thiết bị), AI thậm chí có thể trực tiếp thực hiện một số hành động này trong các điều kiện được chấp thuận trước, hoạt động như một người phản hồi cấp dưới làm việc không biết mệt mỏi. Ví dụ, một tác nhân AI có thể tự động đặt lại thông tin xác thực mà nó cho là đã bị xâm phạm hoặc cách ly các máy chủ có hành vi độc hại khớp với hồ sơ sự cố.

Trong quá trình ứng phó sự cố, giao tiếp là rất quan trọng – cả trong nhóm và với các bên liên quan. Trí tuệ nhân tạo có thể giúp bằng cách soạn thảo báo cáo cập nhật sự cố hoặc tóm tắt ngay lập tức. Thay vì một kỹ sư dừng việc khắc phục sự cố để viết bản cập nhật email, họ có thể yêu cầu AI, “Tóm tắt những gì đã xảy ra trong sự cố này cho đến nay để thông báo cho các giám đốc điều hành.” Sau khi thu thập dữ liệu sự cố, AI có thể đưa ra bản tóm tắt ngắn gọn: “Tính đến 3 giờ chiều, kẻ tấn công đã truy cập vào 2 tài khoản người dùng và 5 máy chủ. Dữ liệu bị ảnh hưởng bao gồm hồ sơ khách hàng trong cơ sở dữ liệu X. Các biện pháp ngăn chặn: Quyền truy cập VPN cho các tài khoản bị xâm phạm đã bị thu hồi và máy chủ bị cô lập. Các bước tiếp theo: quét bất kỳ cơ chế duy trì nào.“ Người phản hồi sau đó có thể nhanh chóng xác minh hoặc điều chỉnh thông tin này và gửi đi, đảm bảo các bên liên quan luôn được cập nhật thông tin chính xác và mới nhất.

Sau khi bụi lắng xuống, thường sẽ có một báo cáo sự cố chi tiết để chuẩn bị và các bài học kinh nghiệm để biên soạn. Đây là một lĩnh vực khác mà hỗ trợ AI tỏa sáng. Nó có thể xem xét tất cả dữ liệu sự cố và tạo báo cáo sau sự cố bao gồm nguyên nhân gốc rễ, niên đại, tác động và khuyến nghị. Ví dụ, IBM đang tích hợp AI tạo ra để tạo ra “tóm tắt đơn giản về các trường hợp và sự cố an ninh có thể được chia sẻ với các bên liên quan” chỉ cần nhấn một nút (AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế). Bằng cách hợp lý hóa báo cáo sau hành động, các tổ chức có thể triển khai cải tiến nhanh hơn và cũng có tài liệu tốt hơn cho mục đích tuân thủ.

Một cách sử dụng sáng tạo hướng tới tương lai là Mô phỏng sự cố do AI điều khiển. Tương tự như cách người ta có thể chạy diễn tập chữa cháy, một số công ty đang sử dụng AI tạo sinh để chạy qua các kịch bản sự cố "nếu thì". AI có thể mô phỏng cách ransomware có thể lây lan dựa trên bố cục mạng hoặc cách người trong cuộc có thể đánh cắp dữ liệu, sau đó chấm điểm hiệu quả của các kế hoạch ứng phó hiện tại. Điều này giúp các nhóm chuẩn bị và tinh chỉnh sổ tay hướng dẫn trước khi sự cố thực sự xảy ra. Giống như có một cố vấn ứng phó sự cố ngày càng cải thiện liên tục kiểm tra mức độ sẵn sàng của bạn.

Trong các ngành công nghiệp có rủi ro cao như tài chính hoặc chăm sóc sức khỏe, nơi thời gian chết hoặc mất dữ liệu từ các sự cố đặc biệt tốn kém, các khả năng IR do AI điều khiển này rất hấp dẫn. Một bệnh viện gặp sự cố mạng không thể để hệ thống ngừng hoạt động kéo dài - một AI nhanh chóng hỗ trợ ngăn chặn có thể thực sự cứu sống được. Tương tự như vậy, một tổ chức tài chính có thể sử dụng AI để xử lý phân loại ban đầu của một vụ xâm nhập gian lận bị nghi ngờ vào lúc 3 giờ sáng, do đó, khi những người trực ban trực tuyến, rất nhiều công việc cơ bản (đăng xuất các tài khoản bị ảnh hưởng, chặn giao dịch, v.v.) đã được thực hiện. Bằng cách tăng cường các nhóm ứng phó sự cố bằng AI tạo ra, các tổ chức có thể giảm đáng kể thời gian phản hồi và cải thiện tính toàn diện trong việc xử lý, cuối cùng là giảm thiểu thiệt hại do các sự cố mạng gây ra.

Phân tích hành vi và phát hiện bất thường

Nhiều cuộc tấn công mạng có thể bị phát hiện bằng cách nhận thấy khi có điều gì đó khác với hành vi "bình thường" - cho dù đó là tài khoản người dùng tải xuống một lượng dữ liệu bất thường hay thiết bị mạng đột nhiên giao tiếp với máy chủ lạ. Trí tuệ nhân tạo tạo ra các kỹ thuật tiên tiến để phân tích hành vi và phát hiện bất thường, tìm hiểu các mô hình thông thường của người dùng và hệ thống, sau đó đánh dấu khi có điều gì đó bất thường.

Phát hiện bất thường truyền thống thường sử dụng ngưỡng thống kê hoặc học máy đơn giản trên các số liệu cụ thể (mức sử dụng CPU tăng đột biến, đăng nhập vào giờ lẻ, v.v.). AI tạo sinh có thể đưa điều này tiến xa hơn bằng cách tạo ra các hồ sơ hành vi sắc thái hơn. Ví dụ: mô hình AI có thể thu thập thông tin đăng nhập, mẫu truy cập tệp và thói quen gửi email của một nhân viên theo thời gian và hình thành sự hiểu biết đa chiều về "mức bình thường" của người dùng đó. Nếu sau đó tài khoản đó thực hiện điều gì đó vượt quá mức bình thường của nó (như đăng nhập từ một quốc gia mới và truy cập vào kho tệp HR vào lúc nửa đêm), AI sẽ phát hiện ra sự sai lệch không chỉ trên một số liệu mà là toàn bộ mẫu hành vi không phù hợp với hồ sơ của người dùng. Về mặt kỹ thuật, các mô hình tạo sinh (như bộ mã hóa tự động hoặc mô hình chuỗi) có thể mô hình hóa "mức bình thường" trông như thế nào và sau đó tạo ra một phạm vi hành vi dự kiến. Khi thực tế nằm ngoài phạm vi đó, nó được đánh dấu là bất thường (Trí tuệ nhân tạo trong an ninh mạng là gì? - Palo Alto Networks).

Một triển khai thực tế là trong giám sát lưu lượng mạng. Theo một cuộc khảo sát năm 2024, 54% người dân Hoa Kỳcác tổ chức đã trích dẫn việc giám sát lưu lượng mạng là trường hợp sử dụng hàng đầu của AI trong an ninh mạng (Bắc Mỹ: các trường hợp sử dụng AI hàng đầu trong an ninh mạng trên toàn thế giới năm 2024). Trí tuệ nhân tạo có thể học các mẫu giao tiếp thông thường của mạng doanh nghiệp – máy chủ nào thường giao tiếp với nhau, khối lượng dữ liệu di chuyển trong giờ làm việc so với ban đêm, v.v. Nếu kẻ tấn công bắt đầu đánh cắp dữ liệu từ máy chủ, thậm chí là chậm để tránh bị phát hiện, hệ thống dựa trên AI có thể nhận thấy điều đó “Máy chủ A không bao giờ gửi 500MB dữ liệu lúc 2 giờ sáng đến một IP bên ngoài” và đưa ra cảnh báo. Vì AI không chỉ sử dụng các quy tắc tĩnh mà còn là một mô hình phát triển về hành vi mạng, nên nó có thể phát hiện ra những bất thường tinh vi mà các quy tắc tĩnh (như "cảnh báo nếu dữ liệu > X MB") có thể bỏ sót hoặc đánh dấu nhầm. Bản chất thích ứng này là điều khiến khả năng phát hiện bất thường do AI điều khiển trở nên mạnh mẽ trong các môi trường như mạng giao dịch ngân hàng, cơ sở hạ tầng đám mây hoặc đội thiết bị IoT, nơi mà việc xác định các quy tắc cố định cho bình thường so với bất thường là cực kỳ phức tạp.

Trí tuệ nhân tạo cũng đang giúp đỡ Phân tích hành vi người dùng (UBA), đây là chìa khóa để phát hiện các mối đe dọa nội gián hoặc tài khoản bị xâm phạm. Bằng cách tạo ra một đường cơ sở của mỗi người dùng hoặc thực thể, AI có thể phát hiện ra những thứ như sử dụng sai thông tin xác thực. Ví dụ, nếu Bob từ bộ phận kế toán đột nhiên bắt đầu truy vấn cơ sở dữ liệu khách hàng (điều mà anh ấy chưa từng làm trước đây), mô hình AI cho hành vi của Bob sẽ đánh dấu điều này là bất thường. Có thể không phải là phần mềm độc hại - có thể là trường hợp thông tin xác thực của Bob bị đánh cắp và bị kẻ tấn công sử dụng hoặc Bob đang thăm dò nơi anh ấy không nên. Dù bằng cách nào, nhóm bảo mật cũng sẽ được cảnh báo để điều tra. Các hệ thống UBA do AI điều khiển như vậy tồn tại trong nhiều sản phẩm bảo mật khác nhau và các kỹ thuật mô hình hóa tạo ra đang đẩy độ chính xác của chúng lên cao hơn và giảm báo động giả bằng cách xem xét bối cảnh (có thể Bob đang thực hiện một dự án đặc biệt, v.v., đôi khi AI có thể suy ra từ dữ liệu khác).

Trong lĩnh vực quản lý danh tính và quyền truy cập, phát hiện deepfake là một nhu cầu ngày càng tăng – AI tạo sinh có thể tạo ra giọng nói và video tổng hợp đánh lừa bảo mật sinh trắc học. Điều thú vị là AI tạo sinh cũng có thể giúp phát hiện các deepfake này bằng cách phân tích các hiện vật tinh vi trong âm thanh hoặc video mà con người khó có thể nhận thấy. Chúng tôi đã thấy một ví dụ với Accenture, sử dụng AI tạo sinh để mô phỏng vô số biểu cảm khuôn mặt và điều kiện để xe lửa hệ thống sinh trắc học của họ để phân biệt người dùng thực với deepfake do AI tạo ra. Trong hơn năm năm, cách tiếp cận này đã giúp Accenture loại bỏ mật khẩu cho 90% hệ thống của mình (chuyển sang sinh trắc học và các yếu tố khác) và giảm 60% các cuộc tấn công (6 trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ). Về cơ bản, họ sử dụng AI tạo sinh để tăng cường xác thực sinh trắc học, giúp nó có khả năng chống chịu với các cuộc tấn công tạo sinh (một minh họa tuyệt vời về việc AI chống lại AI). Kiểu mô hình hóa hành vi này – trong trường hợp này là nhận ra sự khác biệt giữa khuôn mặt người thật so với khuôn mặt tổng hợp bằng AI – rất quan trọng vì chúng ta dựa nhiều hơn vào AI trong xác thực.

Phát hiện bất thường được hỗ trợ bởi AI tạo ra có thể áp dụng trong nhiều ngành: trong chăm sóc sức khỏe, theo dõi hành vi của thiết bị y tế để tìm dấu hiệu bị tấn công; trong tài chính, theo dõi các hệ thống giao dịch để tìm các mô hình bất thường có thể chỉ ra gian lận hoặc thao túng thuật toán; trong năng lượng/tiện ích, quan sát các tín hiệu của hệ thống điều khiển để tìm dấu hiệu xâm nhập. Sự kết hợp của chiều rộng (xem xét tất cả các khía cạnh của hành vi) Và chiều sâu (hiểu các mô hình phức tạp) AI tạo ra cung cấp một công cụ mạnh mẽ để phát hiện ra những chỉ số như kim trong đống cỏ khô của một sự cố mạng. Khi các mối đe dọa trở nên lén lút hơn, ẩn mình trong các hoạt động bình thường, khả năng mô tả chính xác "bình thường" và hét lên khi có điều gì đó sai lệch trở nên quan trọng.Do đó, AI tạo sinh đóng vai trò như một người lính canh không biết mệt mỏi, luôn học hỏi và cập nhật định nghĩa về trạng thái bình thường để theo kịp những thay đổi trong môi trường và cảnh báo các nhóm bảo mật về những bất thường cần được kiểm tra chặt chẽ hơn.

Cơ hội và lợi ích của AI tạo sinh trong an ninh mạng

Việc ứng dụng AI tạo sinh trong an ninh mạng mang lại nhiều lợi ích cơ hội và lợi ích dành cho các tổ chức sẵn sàng áp dụng các công cụ này. Dưới đây, chúng tôi tóm tắt những lợi thế chính khiến AI tạo ra trở thành một sự bổ sung hấp dẫn cho các chương trình an ninh mạng:

• Phát hiện và phản hồi mối đe dọa nhanh hơn: Hệ thống AI tạo sinh có thể phân tích lượng dữ liệu khổng lồ theo thời gian thực và nhận diện mối đe dọa nhanh hơn nhiều so với phân tích thủ công của con người. Ưu điểm về tốc độ này có nghĩa là phát hiện sớm hơn các cuộc tấn công và ngăn chặn sự cố nhanh hơn. Trong thực tế, giám sát bảo mật do AI điều khiển có thể phát hiện các mối đe dọa mà con người sẽ mất nhiều thời gian hơn để tương quan. Bằng cách phản hồi sự cố kịp thời (hoặc thậm chí tự động thực hiện các phản hồi ban đầu), các tổ chức có thể giảm đáng kể thời gian lưu trú của kẻ tấn công trong mạng của họ, giảm thiểu thiệt hại.

• Độ chính xác và phạm vi bảo vệ mối đe dọa được cải thiện: Vì liên tục học hỏi từ dữ liệu mới, các mô hình sinh có thể thích ứng với các mối đe dọa đang phát triển và phát hiện các dấu hiệu tinh vi hơn của hoạt động độc hại. Điều này dẫn đến độ chính xác phát hiện được cải thiện (ít kết quả âm tính giả và kết quả dương tính giả hơn) so với các quy tắc tĩnh. Ví dụ: AI đã học được các dấu hiệu của email lừa đảo hoặc hành vi phần mềm độc hại có thể xác định các biến thể chưa từng thấy trước đây. Kết quả là phạm vi bao phủ rộng hơn về các loại mối đe dọa - bao gồm các cuộc tấn công mới - củng cố thế trận bảo mật tổng thể. Các nhóm bảo mật cũng có được thông tin chi tiết từ phân tích AI (ví dụ: giải thích về hành vi của phần mềm độc hại), cho phép phòng thủ chính xác và có mục tiêu hơn (Trí tuệ nhân tạo trong an ninh mạng là gì? - Palo Alto Networks).

• Tự động hóa các tác vụ lặp đi lặp lại: Trí tuệ nhân tạo tạo ra rất giỏi trong việc tự động hóa các tác vụ bảo mật thường xuyên, tốn nhiều công sức – từ việc rà soát nhật ký và biên soạn báo cáo đến việc viết các tập lệnh ứng phó sự cố. Tự động hóa này giảm bớt gánh nặng cho các nhà phân tích con người, giải phóng họ để tập trung vào chiến lược cấp cao và ra quyết định phức tạp (Trí tuệ nhân tạo trong an ninh mạng là gì? - Palo Alto Networks). Những công việc tầm thường nhưng quan trọng như quét lỗ hổng, kiểm toán cấu hình, phân tích hoạt động của người dùng và báo cáo tuân thủ có thể được xử lý (hoặc ít nhất là được soạn thảo lần đầu) bằng AI. Bằng cách xử lý các tác vụ này ở tốc độ máy, AI không chỉ cải thiện hiệu quả mà còn giảm lỗi của con người (một yếu tố quan trọng trong vi phạm).

• Phòng thủ chủ động và mô phỏng: Trí tuệ nhân tạo cho phép các tổ chức chuyển từ bảo mật phản ứng sang bảo mật chủ động. Thông qua các kỹ thuật như mô phỏng tấn công, tạo dữ liệu tổng hợp và đào tạo dựa trên kịch bản, những người bảo vệ có thể dự đoán và chuẩn bị cho các mối đe dọa trước chúng hiện thực hóa trong thế giới thực. Các nhóm bảo mật có thể mô phỏng các cuộc tấn công mạng (chiến dịch lừa đảo, bùng phát phần mềm độc hại, DDoS, v.v.) trong môi trường an toàn để kiểm tra phản ứng của họ và củng cố mọi điểm yếu. Việc đào tạo liên tục này, thường không thể thực hiện triệt để chỉ bằng nỗ lực của con người, giúp các biện pháp phòng thủ luôn sắc bén và cập nhật. Nó giống như một "cuộc diễn tập chữa cháy" trên mạng – AI có thể đưa ra nhiều mối đe dọa giả định vào các biện pháp phòng thủ của bạn để bạn có thể thực hành và cải thiện.

• Tăng cường chuyên môn của con người (AI như một công cụ nhân lên sức mạnh): Trí tuệ nhân tạo (AI) đóng vai trò là nhà phân tích, cố vấn và trợ lý cấp dưới không biết mệt mỏi.Nó có thể cung cấp cho các thành viên nhóm ít kinh nghiệm hơn hướng dẫn và khuyến nghị thường được mong đợi từ các chuyên gia dày dạn kinh nghiệm, một cách hiệu quả dân chủ hóa chuyên môn trên toàn đội (6 trường hợp sử dụng AI tạo sinh trong an ninh mạng [+ Ví dụ] ). Điều này đặc biệt có giá trị khi xét đến tình trạng thiếu hụt nhân tài trong an ninh mạng – AI giúp các nhóm nhỏ hơn làm được nhiều việc hơn với ít nguồn lực hơn. Mặt khác, các nhà phân tích giàu kinh nghiệm được hưởng lợi từ việc AI xử lý công việc nặng nhọc và đưa ra những hiểu biết không rõ ràng, sau đó họ có thể xác thực và hành động. Kết quả chung là một nhóm an ninh có năng suất và khả năng hơn nhiều, với AI khuếch đại tác động của từng thành viên là con người (Trí tuệ nhân tạo có thể được sử dụng như thế nào trong an ninh mạng).

• Hỗ trợ quyết định và báo cáo nâng cao: Bằng cách dịch dữ liệu kỹ thuật thành thông tin chi tiết bằng ngôn ngữ tự nhiên, AI tạo ra cải thiện giao tiếp và ra quyết định. Các nhà lãnh đạo an ninh có được tầm nhìn rõ ràng hơn về các vấn đề thông qua các bản tóm tắt do AI tạo ra và có thể đưa ra các quyết định chiến lược sáng suốt mà không cần phải phân tích dữ liệu thô. Tương tự như vậy, giao tiếp liên chức năng (với các giám đốc điều hành, nhân viên tuân thủ, v.v.) được cải thiện khi AI chuẩn bị các báo cáo dễ hiểu về tình hình an ninh và các sự cố (AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế). Điều này không chỉ xây dựng lòng tin và sự thống nhất về các vấn đề bảo mật ở cấp lãnh đạo mà còn giúp biện minh cho các khoản đầu tư và thay đổi bằng cách nêu rõ các rủi ro và khoảng cách do AI phát hiện.

Kết hợp lại, những lợi ích này có nghĩa là các tổ chức tận dụng AI tạo sinh trong an ninh mạng có thể đạt được thế trận an ninh mạnh hơn với chi phí vận hành thấp hơn. Họ có thể ứng phó với các mối đe dọa trước đây quá lớn, che lấp các khoảng trống không được giám sát và liên tục cải thiện thông qua các vòng phản hồi do AI thúc đẩy. Cuối cùng, AI tạo sinh mang đến cơ hội vượt lên trước đối thủ bằng cách khớp tốc độ, quy mô và sự tinh vi của các cuộc tấn công hiện đại với các biện pháp phòng thủ tinh vi tương đương. Như một cuộc khảo sát đã phát hiện, hơn một nửa các nhà lãnh đạo doanh nghiệp và mạng dự đoán khả năng phát hiện mối đe dọa nhanh hơn và độ chính xác cao hơn thông qua việc sử dụng AI tạo sinh ([PDF] Triển vọng an ninh mạng toàn cầu năm 2025 | Diễn đàn kinh tế thế giới) (Trí tuệ nhân tạo trong an ninh mạng: Đánh giá toàn diện về LLM ...) – minh chứng cho sự lạc quan về lợi ích của những công nghệ này.

Rủi ro và thách thức khi sử dụng AI tạo sinh trong an ninh mạng

Mặc dù các cơ hội là đáng kể, nhưng điều quan trọng là phải tiếp cận AI tạo sinh trong an ninh mạng với tầm nhìn rộng mở rủi ro và thách thức có liên quan. Tin tưởng mù quáng vào AI hoặc sử dụng sai mục đích có thể dẫn đến những lỗ hổng mới. Dưới đây, chúng tôi phác thảo những mối quan tâm và cạm bẫy chính, cùng với bối cảnh cho từng mối quan tâm và cạm bẫy:

• Sử dụng có mục đích bất lợi của tội phạm mạng: Các khả năng sinh sản tương tự giúp người bảo vệ có thể trao quyền cho kẻ tấn công. Các tác nhân đe dọa đã sử dụng AI sinh sản để tạo ra các email lừa đảo thuyết phục hơn, tạo ra các nhân vật giả mạo và video deepfake cho kỹ thuật xã hội, phát triển phần mềm độc hại đa hình liên tục thay đổi để tránh bị phát hiện và thậm chí tự động hóa các khía cạnh của việc hack (Trí tuệ nhân tạo trong an ninh mạng là gì? - Palo Alto Networks). Gần một nửa (46%) các nhà lãnh đạo an ninh mạng lo ngại rằng AI tạo ra sẽ dẫn đến các cuộc tấn công đối đầu tiên tiến hơn (Bảo mật AI tạo sinh: Xu hướng, mối đe dọa và chiến lược giảm thiểu). “Cuộc chạy đua vũ trang AI” này có nghĩa là khi những người bảo vệ áp dụng AI, những kẻ tấn công sẽ không tụt hậu quá xa (trên thực tế, chúng có thể đi trước ở một số lĩnh vực, sử dụng các công cụ AI không được quản lý). Các tổ chức phải chuẩn bị cho các mối đe dọa được tăng cường bằng AI thường xuyên hơn, tinh vi hơn và khó theo dõi hơn.

• Ảo giác và sự không chính xác của AI: Các mô hình AI tạo sinh có thể tạo ra các đầu ra có vẻ hợp lý nhưng không chính xác hoặc gây hiểu lầm – một hiện tượng được gọi là ảo giác. Trong bối cảnh bảo mật, AI có thể phân tích một sự cố và kết luận sai lầm rằng một lỗ hổng nào đó là nguyên nhân, hoặc nó có thể tạo ra một tập lệnh khắc phục lỗi không thể ngăn chặn một cuộc tấn công. Những sai lầm này có thể nguy hiểm nếu xét theo giá trị thực tế. Như NTT Data cảnh báo, “AI tạo ra có thể đưa ra nội dung không đúng sự thật và hiện tượng này được gọi là ảo giác… hiện tại rất khó để loại bỏ chúng hoàn toàn” (Rủi ro bảo mật của AI tạo sinh và các biện pháp đối phó, cũng như tác động của nó đến an ninh mạng | NTT DATA Group). Việc quá phụ thuộc vào AI mà không có xác minh có thể dẫn đến những nỗ lực sai hướng hoặc cảm giác an toàn giả tạo. Ví dụ, AI có thể đánh dấu sai một hệ thống quan trọng là an toàn khi thực tế không phải vậy hoặc ngược lại, gây ra sự hoảng loạn bằng cách "phát hiện" một vi phạm chưa từng xảy ra. Việc xác thực chặt chẽ các đầu ra của AI và có con người tham gia vào các quyết định quan trọng là điều cần thiết để giảm thiểu rủi ro này.

• Kết quả dương tính và âm tính giả: Liên quan đến ảo giác, nếu một mô hình AI được đào tạo hoặc cấu hình kém, nó có thể báo cáo quá mức hoạt động lành tính là có hại (kết quả dương tính giả) hoặc tệ hơn, bỏ lỡ các mối đe dọa thực sự (âm tính giả) (Trí tuệ nhân tạo có thể được sử dụng như thế nào trong an ninh mạng). Cảnh báo sai quá mức có thể khiến các nhóm bảo mật quá tải và dẫn đến tình trạng mệt mỏi do cảnh báo (làm mất đi chính những lợi ích về hiệu quả mà AI đã hứa hẹn), trong khi các phát hiện bị bỏ sót khiến tổ chức bị lộ. Việc điều chỉnh các mô hình tạo ra sự cân bằng phù hợp là một thách thức. Mỗi môi trường là duy nhất và AI có thể không hoạt động tối ưu ngay lập tức khi cài đặt. Học tập liên tục cũng là con dao hai lưỡi - nếu AI học từ phản hồi bị lệch hoặc từ môi trường thay đổi, độ chính xác của nó có thể dao động. Các nhóm bảo mật phải theo dõi hiệu suất của AI và điều chỉnh ngưỡng hoặc cung cấp phản hồi hiệu chỉnh cho các mô hình. Trong các bối cảnh có rủi ro cao (như phát hiện xâm nhập cho cơ sở hạ tầng quan trọng), có thể thận trọng khi chạy các đề xuất AI song song với các hệ thống hiện có trong một thời gian để đảm bảo chúng phù hợp và bổ sung cho nhau thay vì xung đột.

• Quyền riêng tư và rò rỉ dữ liệu: Các hệ thống AI tạo sinh thường yêu cầu lượng dữ liệu lớn để đào tạo và vận hành. Nếu các mô hình này dựa trên đám mây hoặc không được cô lập đúng cách, sẽ có nguy cơ thông tin nhạy cảm bị rò rỉ. Người dùng có thể vô tình đưa dữ liệu độc quyền hoặc dữ liệu cá nhân vào dịch vụ AI (hãy nghĩ đến việc yêu cầu ChatGPT tóm tắt báo cáo sự cố bí mật) và dữ liệu đó có thể trở thành một phần kiến ​​thức của mô hình. Thật vậy, một nghiên cứu gần đây đã phát hiện 55% dữ liệu đầu vào cho các công cụ AI tạo ra có chứa thông tin nhạy cảm hoặc thông tin nhận dạng cá nhân, làm dấy lên mối lo ngại nghiêm trọng về rò rỉ dữ liệu (Bảo mật AI tạo sinh: Xu hướng, mối đe dọa và chiến lược giảm thiểu). Ngoài ra, nếu AI đã được đào tạo trên dữ liệu nội bộ và được truy vấn theo những cách nhất định, nó có thể đầu ra các phần dữ liệu nhạy cảm đó cho người khác. Các tổ chức phải thực hiện các chính sách xử lý dữ liệu nghiêm ngặt (ví dụ: sử dụng các phiên bản AI tại chỗ hoặc riêng tư cho tài liệu nhạy cảm) và giáo dục nhân viên về việc không dán thông tin bí mật vào các công cụ AI công cộng. Các quy định về quyền riêng tư (GDPR, v.v.) cũng có hiệu lực – sử dụng dữ liệu cá nhân để đào tạo AI mà không có sự đồng ý hoặc bảo vệ thích hợp có thể vi phạm pháp luật.

• Bảo mật và thao tác mô hình: Bản thân các mô hình AI tạo sinh cũng có thể trở thành mục tiêu.Kẻ thù có thể cố gắng mô hình ngộ độc, cung cấp dữ liệu độc hại hoặc gây hiểu lầm trong giai đoạn đào tạo hoặc đào tạo lại để AI học được các mẫu không chính xác (Trí tuệ nhân tạo có thể được sử dụng như thế nào trong an ninh mạng). Ví dụ, kẻ tấn công có thể đầu độc dữ liệu tình báo về mối đe dọa một cách tinh vi để AI không nhận ra phần mềm độc hại của chính kẻ tấn công là độc hại. Một chiến thuật khác là tiêm nhanh hoặc thao tác đầu ra, nơi kẻ tấn công tìm cách đưa ra các đầu vào cho AI khiến nó hoạt động theo những cách không mong muốn – có thể là bỏ qua các rào cản an toàn hoặc tiết lộ thông tin mà nó không nên tiết lộ (như lời nhắc hoặc dữ liệu nội bộ). Ngoài ra, còn có nguy cơ mô hình trốn tránh: kẻ tấn công tạo ra dữ liệu đầu vào được thiết kế riêng để đánh lừa AI. Chúng ta thấy điều này trong các ví dụ đối kháng – dữ liệu hơi nhiễu mà con người coi là bình thường nhưng AI lại phân loại sai. Đảm bảo chuỗi cung ứng AI an toàn (tính toàn vẹn của dữ liệu, kiểm soát truy cập mô hình, thử nghiệm độ mạnh đối kháng) là một phần mới nhưng cần thiết của an ninh mạng khi triển khai các công cụ này (Trí tuệ nhân tạo trong an ninh mạng là gì? - Palo Alto Networks).

• Sự phụ thuộc quá mức và sự xói mòn kỹ năng: Có một rủi ro nhẹ hơn là các tổ chức có thể trở nên quá phụ thuộc vào AI và để các kỹ năng của con người bị teo đi. Nếu các nhà phân tích cấp dưới tin tưởng mù quáng vào kết quả đầu ra của AI, họ có thể không phát triển được tư duy phản biện và trực giác cần thiết khi AI không khả dụng hoặc sai. Một kịch bản cần tránh là một nhóm bảo mật có các công cụ tuyệt vời nhưng không biết cách vận hành nếu các công cụ đó bị hỏng (tương tự như phi công quá phụ thuộc vào chế độ lái tự động). Các bài tập đào tạo thường xuyên mà không có sự hỗ trợ của AI và nuôi dưỡng tư duy rằng AI là trợ lý, không phải là nhà tiên tri không thể sai lầm, là điều quan trọng để giữ cho các nhà phân tích con người luôn nhạy bén. Con người phải vẫn là người ra quyết định cuối cùng, đặc biệt là đối với các phán đoán có tác động cao.

• Thách thức về đạo đức và tuân thủ: Việc sử dụng AI trong an ninh mạng đặt ra các câu hỏi về đạo đức và có thể gây ra các vấn đề về tuân thủ quy định. Ví dụ, nếu một hệ thống AI vô tình quy kết một nhân viên là người trong cuộc có ác ý do một sự bất thường, điều đó có thể gây tổn hại không đáng có đến danh tiếng hoặc sự nghiệp của người đó. Các quyết định do AI đưa ra có thể không rõ ràng (vấn đề "hộp đen"), khiến việc giải thích cho các kiểm toán viên hoặc cơ quan quản lý lý do tại sao một số hành động nhất định được thực hiện trở nên khó khăn. Khi nội dung do AI tạo ra trở nên phổ biến hơn, việc đảm bảo tính minh bạch và duy trì trách nhiệm giải trình là rất quan trọng. Các cơ quan quản lý đang bắt đầu xem xét kỹ lưỡng AI - ví dụ, Đạo luật AI của EU sẽ áp đặt các yêu cầu đối với các hệ thống AI "có rủi ro cao" và AI an ninh mạng có thể nằm trong danh mục đó. Các công ty sẽ cần điều hướng các quy định này và có thể tuân thủ các tiêu chuẩn như Khung quản lý rủi ro AI của NIST để sử dụng AI tạo ra một cách có trách nhiệm (AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế). Việc tuân thủ cũng mở rộng đến việc cấp phép: việc sử dụng các mô hình nguồn mở hoặc của bên thứ ba có thể có các điều khoản hạn chế một số cách sử dụng nhất định hoặc yêu cầu chia sẻ những cải tiến.

Tóm lại, AI tạo sinh không phải là giải pháp tối ưu – nếu không được triển khai cẩn thận, nó có thể tạo ra những điểm yếu mới ngay cả khi nó giải quyết được những điểm yếu khác. Một nghiên cứu của Diễn đàn Kinh tế Thế giới năm 2024 đã nhấn mạnh rằng ~47% các tổ chức coi những tiến bộ trong AI tạo ra của kẻ tấn công là mối quan tâm chính, khiến nó “tác động đáng lo ngại nhất của AI tạo ra” trong an ninh mạng ([PDF] Triển vọng an ninh mạng toàn cầu năm 2025 | Diễn đàn kinh tế thế giới) (Trí tuệ nhân tạo trong an ninh mạng: Đánh giá toàn diện về LLM ...). Do đó, các tổ chức phải áp dụng cách tiếp cận cân bằng: tận dụng lợi ích của AI trong khi quản lý chặt chẽ những rủi ro này thông qua quản trị, thử nghiệm và giám sát của con người. Tiếp theo, chúng ta sẽ thảo luận về cách thực hiện cân bằng đó.

Triển vọng tương lai: Vai trò ngày càng phát triển của AI tạo sinh trong an ninh mạng

Nhìn về phía trước, AI tạo ra đang sẵn sàng trở thành một phần không thể thiếu của chiến lược an ninh mạng – và tương tự như vậy, một công cụ mà các đối thủ mạng sẽ tiếp tục khai thác. động thái mèo vờn chuột sẽ tăng tốc, với AI ở cả hai phía của hàng rào. Sau đây là một số hiểu biết hướng tới tương lai về cách AI tạo ra có thể định hình an ninh mạng trong những năm tới:

• Phòng thủ mạng tăng cường AI trở thành tiêu chuẩn: Đến năm 2025 và sau đó, chúng ta có thể mong đợi rằng hầu hết các tổ chức vừa và lớn sẽ tích hợp các công cụ do AI điều khiển vào hoạt động bảo mật của họ. Cũng giống như phần mềm diệt vi-rút và tường lửa là tiêu chuẩn hiện nay, các phi công AI và hệ thống phát hiện bất thường có thể trở thành các thành phần cơ bản của kiến ​​trúc bảo mật. Những công cụ này có thể sẽ trở nên chuyên biệt hơn – ví dụ, các mô hình AI riêng biệt được tinh chỉnh cho bảo mật đám mây, để giám sát thiết bị IoT, để bảo mật mã ứng dụng, v.v., tất cả đều hoạt động cùng nhau. Như một dự đoán đã lưu ý, “vào năm 2025, AI tạo sinh sẽ là một phần không thể thiếu của an ninh mạng, cho phép các tổ chức chủ động phòng thủ chống lại các mối đe dọa tinh vi và đang phát triển” (Trí tuệ nhân tạo có thể được sử dụng như thế nào trong an ninh mạng). AI sẽ tăng cường khả năng phát hiện mối đe dọa theo thời gian thực, tự động hóa nhiều hành động ứng phó và giúp các nhóm bảo mật quản lý khối lượng dữ liệu lớn hơn nhiều so với cách họ xử lý thủ công.

• Học tập và thích nghi liên tục: Các hệ thống AI tạo ra trong tương lai trong mạng sẽ trở nên tốt hơn học tập trên đường bay từ các sự cố mới và thông tin tình báo về mối đe dọa, cập nhật cơ sở kiến ​​thức của họ gần như theo thời gian thực. Điều này có thể dẫn đến các biện pháp phòng thủ thực sự thích ứng – hãy tưởng tượng một AI tìm hiểu về một chiến dịch lừa đảo mới tấn công một công ty khác vào buổi sáng và đến chiều đã điều chỉnh bộ lọc email của công ty bạn để phản hồi. Các dịch vụ bảo mật AI dựa trên đám mây có thể tạo điều kiện cho loại hình học tập tập thể này, trong đó thông tin chi tiết ẩn danh từ một tổ chức có lợi cho tất cả người đăng ký (tương tự như chia sẻ thông tin tình báo về mối đe dọa, nhưng được tự động hóa). Tuy nhiên, điều này sẽ yêu cầu xử lý cẩn thận để tránh chia sẻ thông tin nhạy cảm và ngăn chặn kẻ tấn công đưa dữ liệu xấu vào các mô hình được chia sẻ.

• Sự hội tụ của nhân tài AI và An ninh mạng: Bộ kỹ năng của các chuyên gia an ninh mạng sẽ phát triển để bao gồm trình độ thành thạo về AI và khoa học dữ liệu. Cũng giống như các nhà phân tích ngày nay học ngôn ngữ truy vấn và viết kịch bản, các nhà phân tích ngày mai có thể thường xuyên tinh chỉnh các mô hình AI hoặc viết "sổ tay hướng dẫn" để AI thực thi. Chúng ta có thể thấy những vai trò mới như “Huấn luyện viên bảo mật AI” hoặc “Kỹ sư AI an ninh mạng” – những người chuyên điều chỉnh các công cụ AI theo nhu cầu của tổ chức, xác thực hiệu suất của chúng và đảm bảo chúng hoạt động an toàn. Mặt khác, các cân nhắc về an ninh mạng sẽ ngày càng ảnh hưởng đến sự phát triển của AI. Các hệ thống AI sẽ được xây dựng với các tính năng bảo mật ngay từ đầu (kiến trúc bảo mật, phát hiện giả mạo, nhật ký kiểm toán cho các quyết định của AI, v.v.) và các khuôn khổ cho AI đáng tin cậy (công bằng, dễ giải thích, mạnh mẽ và an toàn) sẽ hướng dẫn việc triển khai chúng trong các bối cảnh quan trọng về bảo mật.

• Các cuộc tấn công tinh vi hơn được hỗ trợ bởi AI: Thật không may, bối cảnh mối đe dọa cũng sẽ phát triển theo AI. Chúng tôi dự đoán AI sẽ được sử dụng thường xuyên hơn để phát hiện các lỗ hổng zero-day, để tạo ra các cuộc tấn công lừa đảo có mục tiêu cao (ví dụ: AI thu thập dữ liệu phương tiện truyền thông xã hội để tạo ra một mồi nhử được thiết kế hoàn hảo) và để tạo ra các giọng nói hoặc video deepfake thuyết phục để vượt qua xác thực sinh trắc học hoặc thực hiện hành vi gian lận. Các tác nhân hack tự động có thể xuất hiện và có thể thực hiện các cuộc tấn công nhiều giai đoạn một cách độc lập (do thám, khai thác, di chuyển ngang, v.v.) với sự giám sát tối thiểu của con người.Điều này sẽ gây áp lực buộc những người bảo vệ cũng phải dựa vào AI – về cơ bản tự động hóa so với tự động hóa. Một số cuộc tấn công có thể xảy ra ở tốc độ máy, như các bot AI thử một nghìn hoán vị email lừa đảo để xem cái nào vượt qua được bộ lọc. Các biện pháp phòng thủ mạng sẽ cần hoạt động ở tốc độ và tính linh hoạt tương tự để theo kịp (Trí tuệ nhân tạo trong an ninh mạng là gì? - Palo Alto Networks).

• Quy định và AI đạo đức trong bảo mật: Khi AI được nhúng sâu vào các chức năng an ninh mạng, sẽ có sự giám sát chặt chẽ hơn và có thể là quy định để đảm bảo các hệ thống AI này được sử dụng một cách có trách nhiệm. Chúng ta có thể mong đợi các khuôn khổ và tiêu chuẩn cụ thể cho AI trong bảo mật. Chính phủ có thể đặt ra các hướng dẫn về tính minh bạch - ví dụ, yêu cầu rằng các quyết định bảo mật quan trọng (như chấm dứt quyền truy cập của nhân viên vì nghi ngờ hoạt động độc hại) không thể chỉ được đưa ra bởi AI mà không có sự xem xét của con người. Cũng có thể có các chứng nhận cho các sản phẩm bảo mật AI, để đảm bảo với người mua rằng AI đã được đánh giá về sự thiên vị, độ mạnh mẽ và tính an toàn. Hơn nữa, hợp tác quốc tế có thể phát triển xung quanh các mối đe dọa mạng liên quan đến AI; ví dụ, các thỏa thuận về xử lý thông tin sai lệch do AI tạo ra hoặc các chuẩn mực chống lại một số vũ khí mạng do AI điều khiển.

• Tích hợp với hệ sinh thái AI và CNTT rộng hơn: Trí tuệ nhân tạo tạo ra trong an ninh mạng có thể sẽ tích hợp với các hệ thống AI và công cụ quản lý CNTT khác. Ví dụ, một AI quản lý tối ưu hóa mạng có thể hoạt động với AI bảo mật để đảm bảo các thay đổi không mở ra lỗ hổng. Phân tích kinh doanh do AI thúc đẩy có thể chia sẻ dữ liệu với AI bảo mật để liên hệ các bất thường (như doanh số giảm đột ngột với sự cố có thể xảy ra trên trang web do bị tấn công). Về bản chất, AI sẽ không tồn tại trong một silo - nó sẽ là một phần của một cấu trúc thông minh lớn hơn về hoạt động của một tổ chức. Điều này mở ra cơ hội cho quản lý rủi ro toàn diện, trong đó dữ liệu hoạt động, dữ liệu về mối đe dọa và thậm chí dữ liệu bảo mật vật lý có thể được AI kết hợp để cung cấp góc nhìn 360 độ về tình hình bảo mật của tổ chức.

Về lâu dài, hy vọng là AI tạo ra sẽ giúp thay đổi cán cân nghiêng về phía những người bảo vệ. Bằng cách xử lý quy mô và sự phức tạp của môi trường CNTT hiện đại, AI có thể giúp không gian mạng trở nên dễ phòng thủ hơn. Tuy nhiên, đó là một hành trình và sẽ có những khó khăn khi chúng ta tinh chỉnh các công nghệ này và học cách tin tưởng chúng một cách phù hợp. Các tổ chức luôn cập nhật thông tin và đầu tư vào áp dụng AI có trách nhiệm vì an ninh có thể sẽ là lực lượng có vị thế tốt nhất để ứng phó với các mối đe dọa trong tương lai.

Như báo cáo xu hướng an ninh mạng gần đây của Gartner đã lưu ý, “sự xuất hiện của các trường hợp sử dụng AI tạo sinh (và rủi ro) đang tạo ra áp lực cho quá trình chuyển đổi” (Xu hướng an ninh mạng: Khả năng phục hồi thông qua chuyển đổi - Gartner). Những người thích nghi sẽ khai thác AI như một đồng minh mạnh mẽ; những người chậm trễ có thể thấy mình bị vượt mặt bởi những kẻ thù được AI trao quyền. Vài năm tới sẽ là thời điểm then chốt để xác định cách AI định hình lại chiến trường mạng.

Những bài học thực tế khi áp dụng AI tạo sinh trong an ninh mạng

Đối với các doanh nghiệp đang đánh giá cách tận dụng AI tạo sinh trong chiến lược an ninh mạng của họ, đây là một số những bài học thực tế và khuyến nghị để hướng dẫn việc áp dụng có trách nhiệm và hiệu quả:

1. Bắt đầu với Giáo dục và Đào tạo: Đảm bảo nhóm bảo mật của bạn (và đội ngũ CNTT nói chung) hiểu AI tạo sinh có thể và không thể làm gì. Cung cấp đào tạo về những điều cơ bản của các công cụ bảo mật do AI điều khiển và cập nhật chương trình nâng cao nhận thức về an ninh cho tất cả nhân viên để bảo vệ các mối đe dọa được AI hỗ trợ. Ví dụ, hướng dẫn nhân viên cách AI có thể tạo ra các vụ lừa đảo lừa đảo và cuộc gọi deepfake rất thuyết phục. Đồng thời, đào tạo nhân viên về cách sử dụng an toàn và được chấp thuận các công cụ AI trong công việc của họ.Người dùng được thông tin đầy đủ ít có khả năng xử lý sai AI hoặc trở thành nạn nhân của các cuộc tấn công được tăng cường bằng AI (AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế).

2. Xác định chính sách sử dụng AI rõ ràng: Xử lý AI tạo sinh như bất kỳ công nghệ mạnh mẽ nào – với sự quản lý. Phát triển các chính sách chỉ định ai có thể sử dụng các công cụ AI, công cụ nào được chấp thuận và cho mục đích gì. Bao gồm các hướng dẫn về xử lý dữ liệu nhạy cảm (ví dụ: không cung cấp dữ liệu bí mật vào các dịch vụ AI bên ngoài) để ngăn chặn rò rỉ. Ví dụ, bạn có thể chỉ cho phép các thành viên nhóm bảo mật sử dụng trợ lý AI nội bộ để ứng phó sự cố và tiếp thị có thể sử dụng AI đã được thẩm định cho nội dung – mọi người khác đều bị hạn chế. Nhiều tổ chức hiện đang giải quyết rõ ràng AI tạo ra trong chính sách CNTT của họ và các cơ quan tiêu chuẩn hàng đầu khuyến khích các chính sách sử dụng an toàn thay vì lệnh cấm hoàn toàn (AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế). Đảm bảo truyền đạt những quy tắc này và lý do đằng sau chúng cho tất cả nhân viên.

3. Giảm thiểu “Shadow AI” và giám sát việc sử dụng: Tương tự như CNTT ngầm, “AI ngầm” phát sinh khi nhân viên bắt đầu sử dụng các công cụ hoặc dịch vụ AI mà không có sự cho phép của CNTT (ví dụ: nhà phát triển sử dụng trợ lý mã AI trái phép). Điều này có thể gây ra những rủi ro chưa từng thấy. Triển khai các biện pháp để phát hiện và kiểm soát việc sử dụng AI trái phép. Giám sát mạng có thể đánh dấu các kết nối đến các API AI phổ biến và các cuộc khảo sát hoặc kiểm toán công cụ có thể phát hiện ra nhân viên đang sử dụng những gì. Cung cấp các giải pháp thay thế được chấp thuận để nhân viên có thiện chí không bị cám dỗ làm điều sai trái (ví dụ, cung cấp tài khoản ChatGPT Enterprise chính thức nếu mọi người thấy hữu ích). Bằng cách đưa việc sử dụng AI ra ánh sáng, các nhóm bảo mật có thể đánh giá và quản lý rủi ro. Giám sát cũng là chìa khóa - ghi lại các hoạt động và đầu ra của công cụ AI càng nhiều càng tốt, do đó có một dấu vết kiểm toán cho các quyết định mà AI ảnh hưởng (AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế).

4. Tận dụng AI một cách phòng thủ – Đừng tụt hậu: Nhận ra rằng kẻ tấn công sẽ sử dụng AI, vì vậy hệ thống phòng thủ của bạn cũng nên như vậy. Xác định một số lĩnh vực có tác động cao mà AI tạo ra có thể hỗ trợ ngay lập tức cho hoạt động bảo mật của bạn (có thể là phân loại cảnh báo hoặc phân tích nhật ký tự động) và chạy các dự án thí điểm. Tăng cường khả năng phòng thủ của bạn với tốc độ và quy mô của AI để chống lại các mối đe dọa di chuyển nhanh (AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế). Ngay cả những tích hợp đơn giản, như sử dụng AI để tóm tắt báo cáo phần mềm độc hại hoặc tạo truy vấn săn tìm mối đe dọa, cũng có thể giúp các nhà phân tích tiết kiệm thời gian. Bắt đầu nhỏ, đánh giá kết quả và lặp lại. Thành công sẽ xây dựng trường hợp áp dụng AI rộng rãi hơn. Mục tiêu là sử dụng AI như một hệ số nhân lực – ví dụ, nếu các cuộc tấn công lừa đảo đang áp đảo bộ phận trợ giúp của bạn, hãy triển khai trình phân loại email AI để chủ động cắt giảm khối lượng đó.

5. Đầu tư vào các hoạt động AI an toàn và có đạo đức: Khi triển khai AI tạo sinh, hãy tuân theo các thông lệ phát triển và triển khai an toàn. Sử dụng mô hình riêng tư hoặc tự lưu trữ đối với các tác vụ nhạy cảm để duy trì quyền kiểm soát dữ liệu. Nếu sử dụng dịch vụ AI của bên thứ ba, hãy xem xét các biện pháp bảo mật và quyền riêng tư của họ (mã hóa, chính sách lưu giữ dữ liệu, v.v.). Kết hợp các khuôn khổ quản lý rủi ro AI (như Khuôn khổ quản lý rủi ro AI của NIST hoặc hướng dẫn ISO/IEC) để giải quyết một cách có hệ thống những vấn đề như thiên vị, khả năng giải thích và tính mạnh mẽ trong các công cụ AI của bạn (AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng? 10 ví dụ thực tế). Ngoài ra, hãy lập kế hoạch cập nhật/vá lỗi mô hình như một phần của việc bảo trì – các mô hình AI cũng có thể có “điểm yếu” (ví dụ: chúng có thể cần được đào tạo lại nếu bắt đầu trôi dạt hoặc nếu phát hiện ra một loại tấn công đối nghịch mới vào mô hình).Bằng cách đưa yếu tố bảo mật và đạo đức vào quá trình sử dụng AI, bạn sẽ xây dựng được lòng tin vào kết quả và đảm bảo tuân thủ các quy định mới.

6. Giữ mọi người trong vòng lặp: Sử dụng AI để hỗ trợ, không thay thế hoàn toàn, phán đoán của con người trong an ninh mạng. Xác định các điểm quyết định cần xác thực của con người (ví dụ: AI có thể soạn thảo báo cáo sự cố, nhưng nhà phân tích sẽ xem xét trước khi phân phối; hoặc AI có thể đề xuất chặn tài khoản người dùng, nhưng con người chấp thuận hành động đó). Điều này không chỉ ngăn chặn lỗi AI không được kiểm tra mà còn giúp nhóm của bạn học hỏi từ AI và ngược lại. Khuyến khích quy trình làm việc hợp tác: các nhà phân tích nên cảm thấy thoải mái khi đặt câu hỏi về đầu ra của AI và thực hiện kiểm tra tính hợp lý. Theo thời gian, hộp thoại này có thể cải thiện cả AI (thông qua phản hồi) và kỹ năng của nhà phân tích. Về cơ bản, hãy thiết kế các quy trình của bạn sao cho thế mạnh của AI và con người bổ sung cho nhau - AI xử lý khối lượng và tốc độ, con người xử lý sự mơ hồ và quyết định cuối cùng.

7. Đo lường, giám sát và điều chỉnh: Cuối cùng, hãy coi các công cụ AI tạo sinh của bạn như các thành phần sống của hệ sinh thái bảo mật của bạn. Liên tục đo lường hiệu suất của họ – họ có đang giảm thời gian phản hồi sự cố không? Phát hiện mối đe dọa sớm hơn không? Tỷ lệ dương tính giả đang có xu hướng như thế nào? Yêu cầu phản hồi từ nhóm: các khuyến nghị của AI có hữu ích không hay đang tạo ra tiếng ồn? Sử dụng các số liệu này để tinh chỉnh các mô hình, cập nhật dữ liệu đào tạo hoặc điều chỉnh cách tích hợp AI. Các mối đe dọa mạng và nhu cầu kinh doanh liên tục thay đổi và các mô hình AI của bạn nên được cập nhật hoặc đào tạo lại định kỳ để duy trì hiệu quả. Có kế hoạch quản lý mô hình, bao gồm cả việc ai chịu trách nhiệm bảo trì và tần suất xem xét. Bằng cách chủ động quản lý vòng đời của AI, bạn đảm bảo rằng nó vẫn là một tài sản chứ không phải là một khoản nợ.

Tóm lại, AI tạo ra có thể tăng cường đáng kể khả năng an ninh mạng, nhưng việc áp dụng thành công đòi hỏi phải có kế hoạch chu đáo và giám sát liên tục. Các doanh nghiệp giáo dục nhân viên của mình, đặt ra các hướng dẫn rõ ràng và tích hợp AI theo cách cân bằng, an toàn sẽ gặt hái được thành quả từ việc quản lý mối đe dọa nhanh hơn, thông minh hơn. Những điều rút ra được cung cấp một lộ trình: kết hợp chuyên môn của con người với tự động hóa AI, bao gồm các nguyên tắc cơ bản về quản trị và duy trì sự nhanh nhẹn khi cả công nghệ AI và bối cảnh mối đe dọa đều không thể tránh khỏi sự phát triển.

Bằng cách thực hiện các bước thực tế này, các tổ chức có thể tự tin trả lời câu hỏi “AI tạo sinh có thể được sử dụng như thế nào trong an ninh mạng?” – không chỉ trong lý thuyết mà còn trong thực hành hàng ngày – và do đó tăng cường khả năng phòng thủ của họ trong thế giới ngày càng số hóa và do AI thúc đẩy của chúng ta. (Trí tuệ nhân tạo có thể được sử dụng như thế nào trong an ninh mạng)