5 bước áp dụng trí tuệ nhân tạo trong triển khai an ninh mạng

09:27 | 30/11/2021
Phạm Bình Dũng (Nguồn Tạp chí Security)

Bài báo chia sẻ khuyến cáo 5 bước áp dụng trí tuệ nhân tạo (AI) đã được đăng tải trên Tạp chí Security, giúp các tổ chức triển khai các ứng dụng AI vào hệ thống công nghệ an toàn, an ninh mạng bao gồm các hoạt động nghiệp vụ và các hoạt động điều hành hệ thống.

THÁCH THỨC ĐỐI VỚI AN NINH MẠNG

Các chuyên gia an ninh mạng thường xuyên phải đối mặt với thách thức trong việc xây dựng và thực hiện một số giải pháp một cách linh hoạt để có thể nhận diện và đáp ứng các tiêu chuẩn đặc thù của một hệ thống mạng nhất định, đồng thời phải nhanh chóng thích ứng để bảo vệ hệ thống trước các kiểu tấn công mới.

Trước những thách thức phức tạp như vậy, nhiều tổ chức đã nỗ lực triển khai các giải pháp an ninh mạng dựa vào trí tuệ nhân tạo vào các hoạt động trên không gian mạng (theo khảo sát của các chuyên gia thì khoảng 50% các ứng dụng AI được sử dụng vào việc phát hiện và ngăn chặn các hành vi xâm nhập bảo mật). Việc triển khai hiệu quả AI vào các hoạt động an ninh mạng của tổ chức đòi hỏi nhiều hơn là việc tạo ra một thuật toán AI, huấn luyện và cải tiến nó; hoặc triển khai quy trình mang tính tự động trong các hoạt động không gian mạng đang tồn tại. Nếu chỉ với một hệ thống phòng thủ thông thường sẽ chỉ ngăn chặn được những cuộc tấn công đơn giản chứ không chống lại được các cuộc tấn công có tính chất dai dẳng và tinh vi. Do vậy, các tổ chức sở hữu một hệ thống đứng trước khả năng bị tấn công bởi một mối đe dọa nghiêm trọng cần phải triển khai AI vào hệ thống thông qua một chiến lược tích hợp nhanh nhạy và toàn diện, thay vì chỉ bổ sung một tính năng AI nào đó vào hệ thống hiện có.

Để có thể triển khai AI vào hệ thống an ninh mạng như vậy, đòi hỏi người quản lý an ninh mạng của các tổ chức phải có cách tiếp cận hợp lý, nắm rõ cách thức tích hợp và tăng cường AI vào hệ thống sao cho hiệu quả nhất tùy từng thời điểm và bộ phận cần tích hợp AI của hệ thống. 

5 BƯỚC TÍCH HỢP VÀ TRIỂN KHAI AI VÀO MỘT HỆ THỐNG AN TOÀN, AN NINH MẠNG 

Bước 1: Xác định các mục tiêu và rủi ro

Trước khi triển khai tích hợp AI vào các hệ thống an toàn, an ninh mạng, các tổ chức cần xác định các mục tiêu an ninh của mình, đồng thời phải xác định các kỳ vọng, yếu tố rủi ro và các tiêu chí đánh giá sự thành công trong việc triển khai AI vào hệ thống (theo nghiên cứu của IDC, khoảng 25% các tổ chức thực hiện các dự án triển khai AI báo cáo tỷ lệ thất bại của các dự án lên đến 50% và lý do thất bại đều bởi vì kết quả không đạt được như kỳ vọng mà các tổ chức đặt ra). Điều này cho thấy, các tổ chức cần phải tập trung vào việc xác định trường hợp cụ thể cần được tích hợp AI, sau đó tạo ra các quy trình quản lý và chương trình thực hiện quá trình tích hợp để chỉ đạo các nỗ lực phát triển hoạt động tích hợp AI. Từ đó, các dự án tích hợp AI được định hướng hướng tới các mục tiêu an ninh nói riêng và mục tiêu chung của tổ chức. Hoạt động triển khai AI thể hiện mối liên hệ rõ ràng gắn với: việc xác định rõ về các nguồn lực, các yếu tố ảnh hưởng đến sự thành công hay thất bại, mức độ khắc phục những rủi ro, hay khả năng đáp ứng các tiêu chí đo lường mức độ thành công của việc triển khai.

Hơn nữa, trong bước này đối với những tổ chức sẵn sàng chấp nhận rủi ro, việc triển khai và thực hiện AI sẽ mang lại nhiều tiềm năng về dự đoán và phân bổ nguồn lực hướng đến mục tiêu và có được phương pháp tiếp cận chủ động để đảm bảo vị thế của an toàn, an ninh mạng. Bên cạnh đó, AI cũng có thể giúp tăng cường năng lực các nhóm an ninh mạng, giảm thiểu các cảnh báo giả trong hoạt động của các nhà phân tích hệ thống và cung cấp các khả năng phát hiện mối nguy hiểm nâng cao. 

Bước 2: Thiết lập nền tảng hệ thống

AI hỗ trợ mạnh mẽ để tăng cường các công cụ an ninh mạng của các tổ chức như: phương pháp xác thực truyền thống dựa vào chữ ký số, cung cấp cơ chế xác thực nhanh chóng và phát hiện nhanh các mối đe dọa. Nhưng việc xác định rõ các vấn đề cơ bản thuộc về hệ thống mạng của tổ chức dưới đây là điều cần thiết để thành công trong việc triển khai và thực hiện AI.

Minh bạch tài sản: Đầu tiên, tất cả các tài sản của tổ chức trên hệ thống mạng phải được kiểm kê giám sát thông qua một Chương trình quản lý tài sản. Thực tế thì hầu hết các tổ chức không thực hiện kiểm toán rõ ràng (khoảng 30% tài sản hiện có theo kết quả của các nghiên cứu). Trong khi việc nắm rõ các tài sản trên môi trường trực tuyến của tổ chức là chìa khóa để nhận biết và ứng phó với các sự cố an ninh mạng, ngoài việc cung cấp đúng dữ liệu cho các mô hình AI hoạt động.

Quản trị dữ liệu: Các trường hợp sử dụng AI được vận hành tốt nhất thường yêu cầu nhiều nguồn cấp dữ liệu, thể hiện góc nhìn duy nhất về những gì đang xảy ra trên mạng và cơ sở hạ tầng của tổ chức. Mô hình AI có một cái nhìn toàn diện dựa trên nhiều hướng nhìn cơ bản kết hợp. Dẫu vậy, đây cũng là thách thức vì mỗi mô hình AI có yêu cầu dữ liệu đầu vào phải tuân theo cấu trúc và định dạng nhất định. Vì thế khi triển khai thực hiện các mô hình AI, các tổ chức phải xây dựng một mô hình dữ liệu chung có thể liên kết nhiều nguồn cấp dữ liệu với nhau thành một nguồn dữ liệu duy nhất và đảm bảo mỗi thuật toán trong bộ mô hình này được xây dựng trên cùng một nền tảng dữ liệu.

Lưu trữ và xử lý dữ liệu: Sau khi dữ liệu được chuẩn hóa, việc sử dụng công cụ chung chuyển dữ liệu (ví dụ như Kafka, RabbitMQ) có thể giúp di chuyển dữ liệu từ ngoài các nền tảng bảo mật hiện có đến nơi có thể thực hiện các khả năng phân tích nâng cao. Bằng cách phân tách các lớp lưu trữ và tính toán, các mô hình AI sử dụng nhiều tài nguyên có thể hoạt động thoải mái hơn là lún sâu vào việc xác định các mối đe dọa theo thời gian thực. Các hệ thống riêng biệt này cũng hỗ trợ lưu trữ các tính năng gắn thẻ tệp phù hợp hơn cho các trường hợp sử dụng AI, trong đó các công cụ được triển khai hiện tại không hỗ trợ phương thức lưu trữ có thể mở rộng tương tự.

Quy trình làm việc: Vấn đề đối với sự thành công trong triển khai AI trong chiến lược an ninh mạng của tổ chức là việc các tổ chức cần phải thiết lập các quy trình rõ ràng và có quy mô (không chỉ ở đội an ninh mạng mà còn phải bao trùm hoạt động của cả tổ chức). Trong thực tế, có đến ¼ các tổ chức không thiết lập một quy trình tổng thể, dẫn đến tình trạng khi phát hiện các mối đe dọa mới thì các tổ chức không nắm chắc được các quy trình ứng phó sự cố của họ để giải quyết một cách hiệu quả. Khi đó, số lượng các cảnh báo tăng lên do sử dụng các phương pháp phát hiện mối đe dọa mới thì các nhà phân tích an ninh sẽ bị quá tải và không biết phải làm thế nào để xử lý hết các cảnh báo.

Bước 3: Nắm bắt yếu tố ảnh hưởng của con người đến thực hiện mô hình AI

AI bổ sung cho năng lực của con người bằng cách hỗ trợ các nhà phân tích giảm sai sót, tăng tốc phân tích và tự động hóa các tác vụ cần sử dụng nhiều nhân lực. Nhưng khi đưa ra sáng kiến an ninh mạng dựa vào AI thì các tổ chức phải đối mặt với nhiều thách thức, đặc biệt liên quan đến yếu tố con người trong tổ chức. Triển khai thực hiện các mô hình AI đòi hỏi sự phối hợp đặc biệt các kỹ năng của những người làm việc trong hệ thống. Trong thực tế luôn tồn tại khoảng cách giữa yêu cầu về kỹ năng của nguồn nhân lực đã được đào tạo so với khả năng đáp ứng của thị trường lao động trong lĩnh vực an ninh mạng, (theo Gartner quá nửa số tổ chức đã không thể bắt đầu hoặc tiếp tục triển khai ứng dụng AI của họ do thiếu nhân lực được đào tạo đầy đủ). Do vậy, để huy động, quản lý và tối đa hóa yếu tố con người đến thực hiện mô hình AI trong an ninh mạng, cần giải quyết các vấn đề như sau:

- Xác định những công việc nào nên tự động hóa và những công việc nào cần con người thực hiện;

- Lập kế hoạch phát triển nhân sự theo kế hoạch phát triển hệ thống mạng với những công việc cụ thể, ví dụ: vị trí kiểm tra và đánh giá hệ thống, điều hành hệ thống an ninh sơ cấp, quản trị hệ thống cấp cao và nâng cấp cơ sở hạ tầng;

- Sắp xếp, bố trí hợp lý các vị trí có vai trò an ninh mạng mới vào tổ chức; ví dụ các vị trí dành cho: các nhà khoa học dữ liệu, nhân sự bảo trì và đào tạo các mô hình học máy, tiếp cận và hỗ trợ tích hợp học máy….

- Định hướng tổ chức các chương trình phổ biến kiến thức và kỹ năng về AI cho đội ngũ nhân sự bằng nhiều hình thức như: hướng dẫn trực tuyến, hội thảo trực tuyến, qua hệ thống các tệp ghi âm sẵn hay các cuộc thi phát triển phần mềm.

Bước 4: Tập trung vào một số hướng triển khai AI trọng điểm

Để giảm thiểu rủi ro và tăng sự thành công trong việc triển khai AI, các chuyên gia đưa ra lời khuyên các tổ chức nên tập trung vào ưu tiên triển khai sử dụng công nghệ AI ở một số hoạt động sau.

Trước tiên cần phân tách quy trình làm việc của những người phụ trách an ninh mạng để hiểu rõ nhu cầu an ninh xuất hiện ở đâu là chính và giám sát được toàn bộ các nguồn dữ liệu (ví dụ như, triển khai mô hình AI để tìm kiếm Thuật toán tạo tên miền (DGA) được liên kết với phần mềm độc hại không xác định trong nhật ký Hệ thống tên miền (DNS) hoặc việc thực thi dòng lệnh độc hại thường không được theo dõi trong thời gian thực). 

Sau khi giám sát được toàn bộ các nguồn dữ liệu và phân tích nơi phát sinh nơi có nhiều nhu cầu an ninh nhất, tổ chức sẽ mở rộng lĩnh vực triển khai AI: tăng tốc phân tích dữ liệu, tự động hóa các quy trình, tinh giản các quy trình bảo mật...

Bước 5: Tự động hóa và điều chỉnh hiệu quả đầu tư nhanh chóng

Khi 04 bước đầu tiên đã được thực hiện và các thành viên trong tổ chức đã hiểu rõ hơn về cách thức AI hoạt động và đầu tư có hiệu quả nhằm đạt được các mục tiêu chiến lược. Bước tiếp theo là tự động hóa các quy trình và cho phép các nhà phân tích an ninh tập trung quan tâm vào các công việc chính của họ. Việc tự động hóa triển khai AI sẽ tiết kiệm tài nguyên và nhân lực, chi phí và thời gian tùy vào mức độ phức tạp, mức độ rủi ro và yêu cầu an ninh của từng lĩnh vực triển khai.

KẾT LUẬN

Trong môi trường an ninh mạng hiện nay, tội phạm mạng đang sử dụng các thuật toán ngày càng phức tạp với các phương pháp ngày càng đa dạng. Các biện pháp đo lường phản ứng truyền thống không còn đủ độ tin cậy. Các tổ chức cần nhanh chóng xác định nơi xảy ra xâm nhập, dự báo các hướng tấn công có khả năng xảy ra và nhanh chóng khắc phục các lỗ hổng bị khai thác trong thời gian sớm nhất có thể.

Với khả năng tự động hóa quy trình làm việc, phân tích hành vi và luồng dữ liệu trực tuyến, giám sát tích cực, dự đoán thông minh và phát hiện mối đe dọa mạng thông thường, AI có thể mang lại nhiều lợi ích an ninh cho các tổ chức. Khi các sáng kiến an ninh mạng được kết hợp thành công với AI hứa hẹn khả năng kiểm soát nhanh chóng dữ liệu thông tin, tăng tốc phân tích, dự báo các mối đe dọa trong không gian mạng.