Trí tuệ nhân tạo (AI) mang lại nhiều hứa hẹn lớn trong việc cải thiện phòng thủ mạng và giúp cuộc sống của các chuyên gia an ninh trở nên dễ dàng hơn. Nó có thể giúp các đội ngũ giảm bớt tình trạng quá tải cảnh báo, phát hiện các mẫu hình nhanh hơn và mang lại một quy mô mà các nhà phân tích con người khó có thể sánh kịp. Tuy nhiên, việc hiện thực hóa tiềm năng đó phụ thuộc vào việc bảo mật các hệ thống tạo nên nó.
Mọi tổ chức thử nghiệm AI trong các hoạt động bảo mật, dù biết hay không, đều đang mở rộng bề mặt tấn công của mình. Nếu không có quản trị rõ ràng, kiểm soát danh tính mạnh mẽ và khả năng hiển thị về cách AI đưa ra quyết định, ngay cả những triển khai có ý định tốt cũng có thể tạo ra rủi ro nhanh hơn là giảm thiểu chúng. Để thực sự hưởng lợi từ AI, các nhà phòng thủ cần tiếp cận việc bảo mật nó với sự chặt chẽ tương tự như họ áp dụng cho bất kỳ hệ thống quan trọng nào khác. Điều đó có nghĩa là thiết lập niềm tin vào dữ liệu mà nó học hỏi, trách nhiệm giải trình đối với các hành động mà nó thực hiện và giám sát các kết quả mà nó tạo ra. Khi được bảo mật đúng cách, AI có thể khuếch đại khả năng của con người thay vì thay thế nó, giúp các chuyên gia làm việc thông minh hơn, phản ứng nhanh hơn và phòng thủ hiệu quả hơn.
Thiết lập niềm tin cho các hệ thống Agentic AI
Khi các tổ chức bắt đầu tích hợp AI vào quy trình phòng thủ, bảo mật danh tính trở thành nền tảng cho niềm tin. Mọi mô hình, tập lệnh hoặc tác nhân tự động hoạt động trong môi trường sản xuất giờ đây đều đại diện cho một danh tính mới — một danh tính có khả năng truy cập dữ liệu, đưa ra lệnh và ảnh hưởng đến kết quả phòng thủ. Nếu những danh tính đó không được quản lý đúng cách, các công cụ nhằm tăng cường bảo mật có thể âm thầm trở thành nguồn rủi ro.
Sự xuất hiện của các hệ thống Agentic AI làm cho điều này trở nên đặc biệt quan trọng. Các hệ thống này không chỉ phân tích; chúng có thể hành động mà không cần sự can thiệp của con người. Chúng phân loại cảnh báo, làm phong phú ngữ cảnh hoặc kích hoạt các quy trình ứng phó theo quyền được ủy thác từ người vận hành. Mỗi hành động, về bản chất, là một giao dịch niềm tin. Niềm tin đó phải được ràng buộc với danh tính, được xác thực thông qua chính sách và có thể kiểm toán từ đầu đến cuối.
Những nguyên tắc tương tự để bảo mật con người và dịch vụ giờ đây phải áp dụng cho các tác nhân AI:
- Scoped credentials và least privilege để đảm bảo mọi mô hình hoặc tác nhân chỉ có thể truy cập dữ liệu và chức năng cần thiết cho nhiệm vụ của nó.
- Strong authentication và key rotation để ngăn chặn giả mạo hoặc rò rỉ thông tin đăng nhập.
- Activity provenance và audit logging để mọi hành động do AI khởi tạo có thể được truy dấu, xác thực và đảo ngược nếu cần.
- Segmentation và isolation để ngăn chặn truy cập chéo giữa các tác nhân, đảm bảo rằng một quy trình bị xâm phạm không thể ảnh hưởng đến các quy trình khác.
Trong thực tế, điều này có nghĩa là coi mỗi hệ thống Agentic AI là một danh tính hạng nhất trong khuôn khổ IAM của bạn. Mỗi hệ thống nên có chủ sở hữu được xác định, chính sách vòng đời và phạm vi giám sát giống như bất kỳ tài khoản người dùng hoặc dịch vụ nào. Các đội phòng thủ nên liên tục xác minh những gì các tác nhân đó có thể làm, không chỉ những gì chúng được dự định làm, bởi vì khả năng thường thay đổi nhanh hơn thiết kế. Với danh tính được thiết lập làm nền tảng, các nhà phòng thủ sau đó có thể chuyển sự chú ý của họ sang việc bảo mật hệ thống rộng lớn hơn.
Bảo mật AI: Các phương pháp hay nhất để thành công
Bảo mật AI bắt đầu bằng việc bảo vệ các hệ thống tạo nên nó — các mô hình, đường ống dữ liệu và các tích hợp hiện được dệt vào các hoạt động bảo mật hàng ngày. Giống như chúng ta bảo mật mạng và các điểm cuối, các hệ thống AI phải được coi là cơ sở hạ tầng quan trọng, đòi hỏi sự phòng thủ nhiều lớp và liên tục.
Bản thiết kế SANS Secure AI Blueprint phác thảo một lộ trình Protect AI cung cấp một điểm khởi đầu rõ ràng. Được xây dựng dựa trên SANS Critical AI Security Guidelines, bản thiết kế này xác định sáu lĩnh vực kiểm soát được áp dụng trực tiếp vào thực tế:
- Access Controls: Áp dụng least privilege và strong authentication cho mọi mô hình, tập dữ liệu và API. Ghi lại và xem xét quyền truy cập liên tục để ngăn chặn sử dụng trái phép.
- Data Controls: Xác thực, làm sạch và phân loại tất cả dữ liệu được sử dụng để đào tạo, tăng cường hoặc suy luận. Lưu trữ an toàn và theo dõi nguồn gốc giảm thiểu rủi ro model poisoning hoặc data leakage.
- Deployment Strategies: Củng cố các đường ống và môi trường AI bằng sandboxing, CI/CD gating và red-teaming trước khi phát hành. Coi việc triển khai là một sự kiện có kiểm soát, có thể kiểm toán, không phải là một thử nghiệm.
- Inference Security: Bảo vệ các mô hình khỏi prompt injection và lạm dụng bằng cách thực thi input/output validation, guardrails và các đường dẫn leo thang cho các hành động có tác động cao.
- Monitoring: Liên tục quan sát hành vi và đầu ra của mô hình để phát hiện drift, anomalies và các dấu hiệu bị xâm phạm. Telemetry hiệu quả cho phép các nhà phòng thủ phát hiện thao túng trước khi nó lan rộng.
- Model Security: Lập phiên bản, ký và kiểm tra tính toàn vẹn của các mô hình trong suốt vòng đời của chúng để đảm bảo tính xác thực và ngăn chặn các hoán đổi hoặc đào tạo lại trái phép.
Những kiểm soát này phù hợp trực tiếp với NIST's AI Risk Management Framework và OWASP Top 10 for LLMs, vốn làm nổi bật các lỗ hổng phổ biến và nghiêm trọng nhất trong các hệ thống AI — từ prompt injection và tích hợp plugin không an toàn đến model poisoning và data exposure. Áp dụng các biện pháp giảm thiểu từ các khuôn khổ đó trong sáu lĩnh vực này giúp chuyển hướng dẫn thành phòng thủ hoạt động. Một khi những nền tảng này được thiết lập, các đội có thể tập trung vào việc sử dụng AI một cách có trách nhiệm bằng cách biết khi nào nên tin tưởng vào tự động hóa và khi nào nên giữ con người tham gia vào quy trình.
Cân bằng giữa Tăng cường và Tự động hóa
Các hệ thống AI có khả năng hỗ trợ các chuyên gia con người giống như một thực tập sinh không bao giờ ngủ. Tuy nhiên, điều quan trọng đối với các đội bảo mật là phải phân biệt những gì nên tự động hóa với những gì nên tăng cường. Một số tác vụ hưởng lợi từ tự động hóa hoàn toàn, đặc biệt là những tác vụ có thể lặp lại, đo lường được và có rủi ro thấp nếu xảy ra lỗi. Tuy nhiên, những tác vụ khác đòi hỏi sự giám sát trực tiếp của con người vì ngữ cảnh, trực giác hoặc đạo đức quan trọng hơn tốc độ.
Threat enrichment, log parsing và alert deduplication là những ứng cử viên hàng đầu cho tự động hóa. Đây là các quy trình nặng về dữ liệu, dựa trên mẫu hình, nơi tính nhất quán vượt trội so với sự sáng tạo. Ngược lại, việc xác định phạm vi sự cố, attribution và các quyết định ứng phó dựa vào ngữ cảnh mà AI không thể nắm bắt hoàn toàn. Ở đây, AI nên hỗ trợ bằng cách đưa ra các chỉ số, gợi ý các bước tiếp theo hoặc tóm tắt các phát hiện trong khi các chuyên gia vẫn giữ quyền quyết định.
Việc tìm kiếm sự cân bằng đó đòi hỏi sự trưởng thành trong thiết kế quy trình. Các đội bảo mật nên phân loại các quy trình làm việc theo mức độ chấp nhận lỗi và chi phí của việc tự động hóa thất bại. Bất cứ nơi nào rủi ro về false positives hoặc thiếu sắc thái cao, hãy giữ con người tham gia vào quy trình. Bất cứ nơi nào độ chính xác có thể được đo lường một cách khách quan, hãy để AI tăng tốc công việc.
Tham gia cùng chúng tôi tại SANS Surge 2026!
Tôi sẽ đi sâu hơn vào chủ đề này trong bài phát biểu chính của mình tại SANS Surge 2026 (23-28 tháng 2 năm 2026), nơi chúng ta sẽ khám phá cách các đội bảo mật có thể đảm bảo các hệ thống AI an toàn để tin cậy. Nếu tổ chức của bạn đang tiến nhanh trong việc áp dụng AI, sự kiện này sẽ giúp bạn di chuyển an toàn hơn. Hãy tham gia cùng chúng tôi để kết nối với các đồng nghiệp, học hỏi từ các chuyên gia và xem AI an toàn trong thực tế trông như thế nào.
Đăng ký tham gia SANS Surge 2026 tại đây.
Lưu ý: Bài viết này do Frank Kim, thành viên của SANS Institute đóng góp.
