Tổng quan
AI giúp các nhóm bảo mật sàng lọc hàng tỷ sự kiện để phát hiện các cuộc tấn công mà con người có thể bỏ lỡ và ngày càng phản hồi tự động hơn. Đó là con dao hai lưỡi vì những kẻ tấn công sử dụng các công cụ tương tự để viết phần mềm độc hại và tạo ra các hành vi lừa đảo thuyết phục.
AI trong Hoạt động An ninh mạng là một khối xây dựng kỹ thuật ảnh hưởng đến chất lượng mô hình, chi phí cơ sở hạ tầng, độ trễ và độ tin cậy trên quy mô lớn.
Lặn sâu
Trung tâm Điều hành An ninh (SOC) ngập trong cảnh báo và AI là công cụ phân loại giúp quản lý lũ lụt. Các mô hình học máy thiết lập các đường cơ sở của hành vi bình thường, sau đó gắn cờ các điểm bất thường như thời gian đăng nhập bất thường, chuyển động ngang trên mạng hoặc đánh cắp dữ liệu. Điều này hỗ trợ các nền tảng Phân tích hành vi người dùng và thực thể (UEBA) cũng như SIEM và XDR hiện đại từ các nhà cung cấp như CrowdStrike, Microsoft và Palo Alto. AI cũng tăng tốc việc tìm kiếm mối đe dọa, phân loại phần mềm độc hại và phát hiện lừa đảo. Ngày càng có nhiều mô hình ngôn ngữ lớn đóng vai trò là 'người điều khiển bảo mật' tóm tắt các sự cố, viết quy tắc phát hiện và đề xuất các bước phản hồi. Mặt trái: kẻ thù sử dụng AI để tạo ra phần mềm độc hại đa hình, giọng nói giả mạo để lừa đảo và lừa đảo được tùy chỉnh cao, vì vậy giờ đây đây là một cuộc chạy đua vũ trang giữa AI và AI.
Hiểu biết kỹ thuật
Phần lớn giá trị đến từ việc phát hiện sự bất thường thay vì khớp chữ ký. Thay vì tìm kiếm các mẫu xấu đã biết, các mô hình tìm hiểu xem mức độ 'bình thường' trông như thế nào đối với từng người dùng, thiết bị và luồng mạng, sau đó tính điểm các sai lệch. Các kỹ thuật bao gồm phân cụm, bộ mã hóa tự động và cây tăng cường độ dốc trên các tính năng như tần suất truy cập và khối lượng byte. Vấn đề khó khăn là những kết quả dương tính giả: một mô hình ồn ào kêu gào bị bỏ qua, do đó, vòng phản hồi của nhà phân tích và hiệu chuẩn có ý nghĩa vô cùng quan trọng.
Làm chủ AI trong hoạt động an ninh mạng
AI giúp các nhóm bảo mật sàng lọc hàng tỷ sự kiện để phát hiện các cuộc tấn công mà con người có thể bỏ lỡ và ngày càng phản hồi tự động hơn. Đó là con dao hai lưỡi vì những kẻ tấn công sử dụng các công cụ tương tự để viết phần mềm độc hại và tạo ra các hành vi lừa đảo thuyết phục. AI trong Hoạt động An ninh mạng là một khối xây dựng kỹ thuật ảnh hưởng đến chất lượng mô hình, chi phí cơ sở hạ tầng, độ trễ và độ tin cậy trên quy mô lớn. Để xây dựng sự hiểu biết sâu sắc, hãy coi AI trong Hoạt động an ninh mạng như một mô hình vận hành chứ không phải một tính năng duy nhất: xác định kết quả mong muốn, làm rõ các giả định và tách biệt những gì hệ thống có thể thực hiện một cách đáng tin cậy với những gì vẫn cần đến sự đánh giá của chuyên gia.
Trong thực tế, các nhóm mạnh sử dụng AI trong Hoạt động an ninh mạng sẽ tối ưu hóa các lựa chọn về kiến trúc, dữ liệu và cơ sở hạ tầng theo độ tin cậy và chi phí. Họ ghi lại các tiêu chí thành công rõ ràng, kiểm tra dựa trên dữ liệu và quy trình làm việc thực tế, đồng thời lặp lại dựa trên các kiểu thất bại được quan sát thay vì chiến thắng điểm chuẩn một lần. Đây là nơi sự hiểu biết về mặt lý thuyết biến thành khả năng bền vững trên toàn bộ sản phẩm, chính sách và hoạt động.
Các quyết định về kiến trúc sẽ thúc đẩy hiệu suất và chi phí vận hành trong nhiều năm. Đồng thời, Tối ưu hóa một điểm chuẩn có thể che giấu những điểm yếu lớn hơn của hệ thống. Cách tiếp cận linh hoạt nhất là kết hợp tốc độ thử nghiệm với kỷ luật quản trị: chạy thử nghiệm, thu thập bằng chứng, xuất bản nhật ký quyết định và liên tục cập nhật các biện pháp bảo vệ khi hành vi của mô hình, kỳ vọng của người dùng và các yêu cầu pháp lý phát triển.
Tác động chiến lược
Các quyết định về kiến trúc sẽ thúc đẩy hiệu suất và chi phí vận hành trong nhiều năm.
Các quyết định về kiến trúc sẽ thúc đẩy hiệu suất và chi phí vận hành trong nhiều năm. Trong quá trình triển khai chất lượng cao, điều này được chuyển thành các quy tắc vận hành, ranh giới quyền sở hữu và quy trình đánh giá định kỳ có thể đo lường được để các nhóm có thể mở rộng quy mô một cách tự tin thay vì mở rộng quy mô sự mơ hồ.
Giáo dục kỹ thuật giúp các nhóm chọn nhóm phù hợp chứ không chỉ nhóm mới nhất.
Giáo dục kỹ thuật giúp các nhóm chọn nhóm phù hợp chứ không chỉ nhóm mới nhất. Trong quá trình triển khai chất lượng cao, điều này được chuyển thành các quy tắc vận hành, ranh giới quyền sở hữu và quy trình đánh giá định kỳ có thể đo lường được để các nhóm có thể mở rộng quy mô một cách tự tin thay vì mở rộng quy mô sự mơ hồ.
Lựa chọn kỹ thuật tốt hơn làm giảm sự cố về độ tin cậy trong sản xuất.
Lựa chọn kỹ thuật tốt hơn làm giảm sự cố về độ tin cậy trong sản xuất. Trong quá trình triển khai chất lượng cao, điều này được chuyển thành các quy tắc vận hành, ranh giới quyền sở hữu và quy trình đánh giá định kỳ có thể đo lường được để các nhóm có thể mở rộng quy mô một cách tự tin thay vì mở rộng quy mô sự mơ hồ.
Triển khai trong thế giới thực
UEBA gắn cờ một tài khoản nhân viên đột nhiên tải xuống hàng gigabyte dữ liệu vào lúc 3 giờ sáng vì có thể là mối đe dọa hoặc vi phạm nội bộ
Các công cụ phát hiện điểm cuối như CrowdStrike Falcon sử dụng ML để xác định và chặn phần mềm độc hại mới mà không cần chữ ký trước
Bộ lọc bảo mật email sử dụng AI để phát hiện hành vi lừa đảo trực tuyến thiếu các liên kết hoặc tệp đính kèm xấu đã biết
Các phi công phụ về an ninh tóm tắt quá trình xâm nhập gồm nhiều bước vào dòng thời gian bằng tiếng Anh và soạn thảo các bước ngăn chặn cho các nhà phân tích
Các mẫu triển khai
AI trong hoạt động an ninh mạng trong thực tế
UEBA gắn cờ một tài khoản nhân viên đột nhiên tải xuống hàng gigabyte dữ liệu vào lúc 3 giờ sáng như một mối đe dọa hoặc vi phạm nội bộ có thể xảy ra.
UEBA gắn cờ một tài khoản nhân viên đột ngột tải xuống hàng gigabyte dữ liệu vào lúc 3 giờ sáng vì có thể là mối đe dọa hoặc vi phạm nội bộ. Các nhóm thường đạt được kết quả tốt hơn khi họ xác định trước ngưỡng chất lượng, duy trì lộ trình leo thang của con người đối với các trường hợp nguy hiểm và theo dõi cả mức tăng năng suất và chi phí lỗi theo thời gian.
AI trong hoạt động an ninh mạng trong thực tế
Các công cụ phát hiện điểm cuối như CrowdStrike Falcon sử dụng ML để xác định và chặn phần mềm độc hại mới mà không cần chữ ký trước.
Các công cụ phát hiện điểm cuối như CrowdStrike Falcon sử dụng ML để xác định và chặn phần mềm độc hại mới mà không cần chữ ký trước. Các nhóm thường nhận được kết quả tốt hơn khi họ xác định trước ngưỡng chất lượng, duy trì lộ trình leo thang của con người đối với các trường hợp khó khăn và theo dõi cả mức tăng năng suất và chi phí lỗi theo thời gian.
AI trong hoạt động an ninh mạng trong thực tế
Bộ lọc bảo mật email sử dụng AI để phát hiện hành vi lừa đảo trực tuyến thiếu các liên kết hoặc tệp đính kèm xấu đã biết.
Bộ lọc bảo mật email sử dụng AI để phát hiện hành vi lừa đảo trực tuyến thiếu các liên kết hoặc tệp đính kèm xấu đã biết. Các nhóm thường nhận được kết quả tốt hơn khi họ xác định trước các ngưỡng chất lượng, duy trì lộ trình leo thang của con người đối với các trường hợp khó khăn và theo dõi cả mức tăng năng suất và chi phí do lỗi theo thời gian.
AI trong hoạt động an ninh mạng trong thực tế
Các phi công phụ trách an ninh tóm tắt quá trình xâm nhập gồm nhiều bước vào dòng thời gian bằng tiếng Anh và soạn thảo các bước ngăn chặn cho các nhà phân tích.
Các đồng nghiệp bảo mật tóm tắt quá trình xâm nhập gồm nhiều bước vào dòng thời gian bằng tiếng Anh đơn giản và soạn thảo các bước ngăn chặn cho các nhà phân tích. Các nhóm thường đạt được kết quả tốt hơn khi họ xác định trước các ngưỡng chất lượng, duy trì lộ trình leo thang của con người đối với các trường hợp khó khăn và theo dõi cả mức tăng năng suất và chi phí do lỗi theo thời gian.
Rủi ro & lan can
Tối ưu hóa một điểm chuẩn có thể che giấu những điểm yếu của hệ thống rộng hơn.
Chi phí cơ sở hạ tầng và bảo trì thường được đánh giá thấp.
Khoảng cách về bảo mật và khả năng quan sát có thể tăng lên khi hệ thống trở nên phức tạp hơn.
Lộ trình thực hiện
Xác định các mục tiêu về độ trễ, chất lượng và chi phí trước khi triển khai.
Xác định các mục tiêu về độ trễ, chất lượng và chi phí trước khi triển khai. Hãy coi mỗi bước như một cổng bằng chứng: nếu không đáp ứng được các tiêu chí, hãy tạm dừng triển khai, thu hẹp khoảng cách và chỉ sau đó mới mở rộng mức sử dụng.
Điểm chuẩn trong điều kiện tải và dữ liệu thực tế.
Điểm chuẩn trong điều kiện tải và dữ liệu thực tế. Hãy coi mỗi bước như một cổng bằng chứng: nếu không đáp ứng được các tiêu chí, hãy tạm dừng triển khai, thu hẹp khoảng cách và chỉ sau đó mới mở rộng mức sử dụng.
Giám sát thiết bị về lỗi, độ lệch và tác động của người dùng.
Giám sát thiết bị về lỗi, độ lệch và tác động của người dùng. Hãy coi mỗi bước như một cổng bằng chứng: nếu không đáp ứng được các tiêu chí, hãy tạm dừng triển khai, thu hẹp khoảng cách và chỉ sau đó mới mở rộng mức sử dụng.
Chuẩn bị đường dẫn khôi phục và ứng phó sự cố trước khi mở rộng quy mô.
Chuẩn bị đường dẫn khôi phục và ứng phó sự cố trước khi mở rộng quy mô. Hãy coi mỗi bước như một cổng bằng chứng: nếu không đáp ứng được các tiêu chí, hãy tạm dừng triển khai, thu hẹp khoảng cách và chỉ sau đó mới mở rộng mức sử dụng.