Phishing luôn là một trò chơi của những con số. AI đã biến nó thành một cỗ máy tạo ra khối lượng khổng lồ.
Kẻ tấn công giờ đây có thể tạo ra các email thuyết phục, trang đăng nhập giả mạo và các mồi nhử tùy chỉnh chỉ trong vài phút. Mỗi tin nhắn bóng bẩy lại tạo thêm một trường hợp để Tier 1 xem xét, một liên kết khác để kiểm tra và một cảnh báo khác không thể bỏ qua ngay từ cái nhìn đầu tiên.
Khi hàng đợi ngày càng dài, một nỗ lực đánh cắp thông tin xác thực (credential theft) hoặc phát tán malware có thể dễ dàng bị vùi lấp giữa các lần kiểm tra định kỳ. Các nhà lãnh đạo SOC cần giúp đội ngũ của họ cắt giảm "nhiễu" nhanh hơn và bắt được những cảnh báo có thể biến thành một sự cố nghiêm trọng.
Nơi các đội ngũ Tier 1 mất thời gian vì AI Phishing
AI giúp kẻ tấn công triển khai các chiến dịch thuyết phục hơn, thay đổi thông điệp và luân chuyển hạ tầng nhanh hơn. Đối với các đội ngũ Tier 1, điều đó có nghĩa là ít cảnh báo có thể bị loại bỏ nhanh chóng hơn.
| Thay đổi do AI dẫn dắt | Những gì Tier 1 phải đối mặt | Tác động đến SOC |
|---|---|---|
| Nhiều biến thể mồi nhử hơn | Các chiến dịch tương tự không còn trông giống hệt nhau. | Nhiều cảnh báo cần xem xét thủ công hơn. |
| Giả mạo tinh vi hơn | Email nghe có vẻ giống như các yêu cầu thông thường từ HR, tài chính hoặc IT. | Mất nhiều thời gian hơn để kiểm tra ngữ cảnh. |
| Tin nhắn cá nhân hóa | Mồi nhử được tùy chỉnh với chi tiết về công ty hoặc nhân viên công khai. | Nhiều email vượt qua được bước kiểm tra trực quan nhanh. |
| Domain tồn tại ngắn hạn | Các URL thường có ít hoặc không có lịch sử danh tiếng. | Các công cụ trả về kết quả "không xác định" thay vì một phán quyết rõ ràng. |
| Nhiều trường hợp không chắc chắn hơn | Tier 1 có ít bằng chứng để đóng cảnh báo một cách tự tin. | Nhiều trường hợp bị đẩy lên Tier 2. |
Điều đó khiến Tier 1 tốn nhiều thời gian hơn cho mỗi cảnh báo và gửi nhiều trường hợp không rõ ràng hơn cho Tier 2 để xem xét lại. Khi khối lượng công việc tồn đọng tăng lên, các mối đe dọa nghiêm trọng có thể nằm trong hàng đợi lâu hơn, làm chậm phản ứng và tăng rủi ro xảy ra sự cố tốn kém.
Cách nhanh nhất để xử lý AI Phishing ở quy mô lớn mà không làm quá tải Tier 1
Thêm nhiều bước kiểm tra thủ công sẽ không giải quyết được vấn đề. Khi khối lượng Phishing tăng lên, Tier 1 cần một cách để điều tra nhiều cảnh báo hơn mà không tốn thêm thời gian cho các bước lặp đi lặp lại hoặc đẩy mọi trường hợp không rõ ràng lên các đội ngũ cấp cao.
Một quy trình làm việc nhanh hơn kết hợp các bước kiểm tra tự động, khả năng hiển thị dựa trên hành vi và các báo cáo có sẵn. Điều này cung cấp cho Tier 1 bằng chứng cần thiết để đưa ra phán quyết rõ ràng sớm hơn và giúp Tier 2 chỉ can thiệp khi một trường hợp thực sự cần điều tra sâu hơn.
1. Cung cấp cho Tier 1 khả năng hiển thị hành vi đầy đủ trong dưới 60 giây
AI giúp kẻ tấn công dễ dàng tạo ra các mồi nhử bóng bẩy và khởi chạy các biến thể mới nhanh hơn mức mà các bước kiểm tra danh tiếng có thể theo kịp. Ngay cả khi thông điệp trông có vẻ thuyết phục và URL không có lịch sử, Tier 1 vẫn cần một cách nhanh chóng để xem điều gì xảy ra sau khi nhấp chuột.
Với các giải pháp như Interactive Sandbox của ANY.RUN, các đội ngũ có thể mở các liên kết khả nghi trong môi trường trình duyệt thực, tương tác tự do với trang web và truy vết toàn bộ chuỗi tấn công mà không gây rủi ro cho thiết bị hoặc hạ tầng của công ty.
Khám phá phân tích Phishing trong thế giới thực
Trong một trường hợp gần đây, một liên kết LinkedIn Drive trông có vẻ bình thường đã dẫn đến một trang đăng nhập Microsoft 365 giả mạo được thiết kế để đánh cắp thông tin xác thực doanh nghiệp. Nội dung Phishing được lưu trữ trên AWS CloudFront và lọc bỏ các tên miền email miễn phí, giúp nó không bị phát hiện. Bên trong sandbox, toàn bộ chuỗi tấn công đã được phơi bày trong chưa đầy 60 giây.
Cắt giảm sự quá tải của Tier 1 bằng phân tích Phishing dựa trên bằng chứng và đạt được tốc độ phân loại nhanh hơn gấp 3 lần với số lượng leo thang giảm 30%.
Đối với một đội ngũ Tier 1 bận rộn, điều này thay đổi quy trình làm việc ngay lập tức:
- Phơi bày những gì kiểm tra danh tiếng không thể thấy: Các lần chuyển hướng (redirect), trang ẩn và biểu mẫu thu thập thông tin xác thực được tiết lộ trong một phiên làm việc.
- Đưa ra phán quyết về các URL mới nhanh hơn: Ngay cả khi một liên kết không có lịch sử, đội ngũ vẫn có thể thấy điều gì xảy ra sau khi nhấp vào.
- Giảm thời gian các mối đe dọa thực sự không được giải quyết: Các nỗ lực đánh cắp thông tin xác thực và tải xuống độc hại có thể được xác nhận trước khi chúng bị vùi lấp trong hàng đợi.
- Đưa ra quyết định dựa trên bằng chứng, không phải giả định: Tier 1 nhìn thấy toàn bộ chuỗi tấn công trước khi quyết định đóng hay leo thang trường hợp.
2. Xử lý nhiều cảnh báo Phishing hơn mà không cần thêm nhân sự thủ công
Tự động hóa truyền thống có thể bỏ lỡ các trang Phishing chỉ xuất hiện sau một lần chuyển hướng, mã CAPTCHA hoặc một hành động cụ thể của người dùng. Nó có thể tiết kiệm thời gian cho các bước kiểm tra cơ bản nhưng vẫn để lại cho đội ngũ Tier 1 những kết quả không đầy đủ.
ANY.RUN kết hợp tự động hóa với tính tương tác. Khi được kích hoạt, sandbox sẽ mở các liên kết khả nghi trong một trình duyệt bị cô lập, điều hướng qua các trang, giải mã CAPTCHA và kích hoạt các bước ẩn trong chuỗi Phishing, giống như một nhà phân tích sẽ làm trong quá trình điều tra thủ công.
Điều này giúp các SOC xử lý khối lượng cảnh báo cao hơn mà không gây thêm áp lực cho đội ngũ:
- Cắt giảm các bước điều tra lặp lại: Sandbox tự động điều hướng trang, giải CAPTCHA và kích hoạt nội dung ẩn.
- Tăng năng suất cho Tier 1: Cùng một đội ngũ có thể xử lý nhiều cảnh báo AI Phishing hơn trong mỗi ca trực.
- Hấp thụ các đợt bùng phát mà không cần thêm nhân sự ngay lập tức: Tự động hóa giảm lượng công việc thủ công cần thiết cho mỗi trường hợp.
- Giữ sự phán đoán của con người cho các mối đe dọa phức tạp: Các nhà phân tích có thể tham gia vào phiên làm việc bất cứ khi nào một trường hợp cần xem xét kỹ hơn.
3. Cung cấp cho Tier 2 các báo cáo có sẵn để phản ứng nhanh hơn
Ngay cả khi Tier 1 xác nhận một mối đe dọa, việc leo thang (escalation) vẫn có thể mất thời gian. Khi các phát hiện nằm rải rác trên các công cụ khác nhau, các thành viên cấp cao của đội ngũ phải lặp lại các bước kiểm tra tương tự trước khi quyết định phải làm gì tiếp theo.
Báo cáo Tier 1 của ANY.RUN cung cấp cho đội ngũ một bản bàn giao rõ ràng, sẵn sàng sử dụng ngay khi quá trình phân tích hoàn tất. Nó tập hợp phán quyết, các IOC quan trọng, các chỉ số hành vi và bản đồ MITRE ATT&CK. AI Summary giải thích những gì đã xảy ra và tại sao hoạt động đó là độc hại, trong khi AI Recommendations đề xuất các bước điều tra và phản ứng tiếp theo.
Thay vì chuyển dữ liệu kỹ thuật thô cho Tier 2, Tier 1 có thể gửi một báo cáo có cấu trúc đã hữu ích cho việc leo thang và hành động nhanh hơn.
Điều này cải thiện việc bàn giao giữa phân loại và phản ứng:
- Ngăn Tier 2 phải xây dựng lại hồ sơ vụ việc: Đội ngũ cấp cao nhận được phán quyết, IOC, phát hiện hành vi và bản đồ MITRE ATT&CK trong một báo cáo duy nhất.
- Cắt giảm độ trễ giữa phân loại và ngăn chặn: Các phát hiện rõ ràng và các bước tiếp theo được đề xuất giúp đội ngũ phản ứng hành động sớm hơn.
- Chuẩn hóa việc leo thang giữa các ca trực: Mọi lần bàn giao đều tuân theo cùng một cấu trúc, giảm thiểu khoảng trống khi các vụ việc chuyển giao giữa các thành viên.
- Giúp các nhà lãnh đạo SOC giám sát tốt hơn: Quản lý có thể phát hiện các điểm nghẽn, xem xét chất lượng leo thang và thấy nơi đội ngũ đang mất thời gian.
Biến việc phân loại Phishing nhanh hơn thành sự bảo vệ doanh nghiệp mạnh mẽ hơn
AI Phishing không chỉ tạo ra nhiều cảnh báo hơn. Nó đang khiến các đội ngũ SOC bận rộn trong khi các mối đe dọa thực sự tiến gần hơn đến doanh nghiệp.
Các đội ngũ đang đi trước vấn đề là những đội ngũ cung cấp cho Tier 1 một cách nhanh hơn để xác nhận mối đe dọa, đóng các trường hợp thông thường và leo thang các sự cố phù hợp với bằng chứng đã được chuẩn bị sẵn.
Các đội ngũ sử dụng ANY.RUN báo cáo:
- 94% người dùng báo cáo việc phân loại nhanh hơn và quyết định rõ ràng hơn
- Giảm tới 20% khối lượng công việc của Tier 1
- Giảm 30% số vụ leo thang từ Tier 1 lên Tier 2
- MTTR nhanh hơn tới 21 phút cho mỗi trường hợp
Giảm tải cho Tier 1 với ANY.RUN và cung cấp cho SOC của bạn nhiều năng lực hơn để ngăn chặn các mối đe dọa rủi ro cao trước khi chúng làm gián đoạn hoạt động hoặc dẫn đến các sự cố tốn kém.