Hầu hết mọi người đều biết câu chuyện về Paul Bunyan. Một người tiều phu khổng lồ, với chiếc rìu đáng tin cậy, đã đối mặt với thử thách từ một cỗ máy hứa hẹn sẽ vượt qua anh ta. Paul đã cố gắng hết sức với cách làm việc cũ của mình, vung rìu mạnh hơn, nhưng vẫn thua kém một phần tư inch. Sai lầm của anh không phải là thua cuộc thi. Sai lầm của anh là cho rằng chỉ riêng nỗ lực có thể đánh bại một loại công cụ mới.
Các chuyên gia an ninh mạng đang đối mặt với một thời điểm tương tự. AI là chiếc cưa hơi nước hiện đại của chúng ta. Nó nhanh hơn ở một số lĩnh vực, không quen thuộc ở những lĩnh vực khác, và nó thách thức rất nhiều thói quen đã tồn tại lâu đời. Bản năng là bảo vệ những gì chúng ta biết thay vì tìm hiểu xem công cụ mới thực sự có thể làm gì. Nhưng nếu chúng ta đi theo cách tiếp cận của Paul, chúng ta sẽ thấy mình đứng sai phía trong một sự thay đổi đã và đang diễn ra. Động thái đúng đắn là tìm hiểu công cụ này, hiểu khả năng của nó và tận dụng nó để đạt được những kết quả giúp công việc của bạn dễ dàng hơn.
Vai trò của AI trong công việc an ninh mạng hàng ngày
AI hiện đã được tích hợp vào hầu hết mọi sản phẩm bảo mật mà chúng ta sử dụng. Các nền tảng bảo vệ Endpoint, hệ thống lọc thư điện tử, SIEMs, máy quét lỗ hổng bảo mật, công cụ phát hiện xâm nhập, hệ thống quản lý Ticket và thậm chí cả các nền tảng quản lý Patch đều quảng cáo một số hình thức ra quyết định "thông minh". Thách thức là hầu hết trí thông minh này nằm sau một bức màn. Các nhà cung cấp bảo vệ các mô hình của họ như là IP độc quyền, vì vậy các nhóm bảo mật chỉ thấy đầu ra.
Điều này có nghĩa là các mô hình đang âm thầm đưa ra các quyết định rủi ro trong các môi trường mà con người vẫn phải chịu trách nhiệm. Những quyết định đó đến từ lý luận thống kê, không phải từ sự hiểu biết về tổ chức của bạn, con người của nó, hoặc các ưu tiên hoạt động của nó. Bạn không thể kiểm tra một mô hình mờ đục, và bạn không thể dựa vào nó để nắm bắt sự tinh tế hoặc ý định.
Đó là lý do tại sao các chuyên gia bảo mật nên xây dựng hoặc tinh chỉnh các quy trình làm việc có hỗ trợ AI của riêng họ. Mục tiêu không phải là xây dựng lại các công cụ thương mại. Mục tiêu là để cân bằng các điểm mù bằng cách xây dựng các khả năng mà bạn kiểm soát. Khi bạn thiết kế một tiện ích AI nhỏ, bạn sẽ xác định dữ liệu mà nó học hỏi, điều gì nó coi là rủi ro và cách nó nên hoạt động. Bạn lấy lại ảnh hưởng đối với logic định hình môi trường của mình.
Loại bỏ rào cản và tăng tốc độ
Một phần lớn công việc bảo mật là chuyển đổi. Bất kỳ ai đã từng viết các JQ filters, SQL queries hoặc regular expressions phức tạp chỉ để lấy một phần nhỏ thông tin từ các bản ghi đều biết bao nhiêu thời gian bước chuyển đổi đó có thể tiêu tốn. Các bước này làm chậm quá trình điều tra không phải vì chúng khó, mà vì chúng làm gián đoạn dòng suy nghĩ của bạn.
AI có thể loại bỏ phần lớn gánh nặng chuyển đổi đó. Ví dụ, tôi đã viết các công cụ nhỏ đặt AI ở giao diện người dùng và ngôn ngữ truy vấn ở giao diện backend. Thay vì tự viết truy vấn, tôi có thể hỏi điều mình muốn bằng tiếng Anh đơn giản, và AI sẽ tạo ra cú pháp chính xác để trích xuất nó. Nó trở thành một công cụ dịch thuật từ con người sang máy tính, cho phép tôi tập trung vào những gì tôi đang cố gắng điều tra thay vì cơ chế của ngôn ngữ truy vấn.
Trên thực tế, điều này cho phép tôi:
- Lấy các log liên quan đến một sự cố cụ thể mà không cần tự viết JQ.
- Trích xuất dữ liệu tôi cần bằng cú pháp SQL hoặc regex do AI tạo ra.
- Xây dựng các tiện ích nhỏ, có hỗ trợ AI để tự động hóa các bước truy vấn lặp đi lặp lại này.
Khi AI xử lý các bước dịch thuật và lọc lặp đi lặp lại, các nhóm bảo mật có thể hướng sự chú ý của mình vào tư duy cấp cao hơn — phần công việc thực sự thúc đẩy các cuộc điều tra tiến lên.
Cũng điều quan trọng cần nhớ là mặc dù AI có thể lưu trữ nhiều thông tin hơn con người, nhưng bảo mật hiệu quả không phải là biết mọi thứ. Đó là về việc biết cách áp dụng những gì quan trọng trong bối cảnh nhiệm vụ và mức độ chấp nhận rủi ro của một tổ chức. AI sẽ đưa ra các quyết định đúng về mặt toán học nhưng sai về mặt ngữ cảnh. Nó sẽ ước tính sự tinh tế, nhưng nó không thể thực sự hiểu được nó. Nó có thể mô phỏng đạo đức, nhưng nó không thể cảm thấy trách nhiệm về một kết quả. Lý luận thống kê không phải là lý luận đạo đức, và sẽ không bao giờ là như vậy.
Giá trị của chúng ta trong các vai trò tấn công, phòng thủ và điều tra không nằm ở việc ghi nhớ thông tin. Nó nằm ở việc áp dụng phán đoán, hiểu sự tinh tế và hướng các công cụ đến các kết quả đúng đắn. AI tăng cường những gì chúng ta làm, nhưng các quyết định vẫn thuộc về chúng ta.
Cách các chuyên gia bảo mật có thể bắt đầu: Kỹ năng cần phát triển ngay bây giờ
Phần lớn công việc AI ngày nay diễn ra trong Python, và đối với nhiều chuyên gia bảo mật, nó theo truyền thống đã được coi là một rào cản. AI thay đổi động lực đó. Bạn có thể diễn đạt ý định của mình bằng tiếng Anh đơn giản và yêu cầu mô hình tạo ra hầu hết mã. Mô hình đưa bạn đi gần hết chặng đường. Công việc của bạn là thu hẹp khoảng cách còn lại bằng phán đoán và kiến thức kỹ thuật.
Điều đó đòi hỏi một mức độ thông thạo cơ bản. Bạn cần đủ kiến thức Python để đọc và tinh chỉnh những gì mô hình tạo ra. Bạn cần có hiểu biết cơ bản về cách các hệ thống AI diễn giải đầu vào để bạn có thể nhận ra khi logic bị lệch. Và bạn cần có hiểu biết thực tế về các khái niệm cốt lõi của Machine Learning để bạn biết công cụ đang làm gì bên dưới bề mặt, ngay cả khi bạn không tự xây dựng các mô hình hoàn chỉnh.
Với nền tảng đó, AI trở thành một công cụ tăng cường sức mạnh. Bạn có thể xây dựng các tiện ích mục tiêu để phân tích dữ liệu nội bộ, sử dụng các mô hình ngôn ngữ để nén thông tin mà nếu xử lý thủ công sẽ mất hàng giờ, và tự động hóa các bước thường lệ làm chậm quá trình điều tra, kiểm thử tấn công và quy trình Forensic.
Dưới đây là những cách cụ thể để bắt đầu phát triển các khả năng đó:
- Bắt đầu với kiểm toán công cụ: Xác định vị trí AI đã hoạt động trong môi trường của bạn và hiểu những quyết định mà nó đang đưa ra theo mặc định.
- Tương tác tích cực với các hệ thống AI của bạn: Đừng coi các kết quả đầu ra là cuối cùng. Cung cấp cho các mô hình dữ liệu tốt hơn, đặt câu hỏi về kết quả của chúng và tinh chỉnh hành vi nếu có thể.
- Tự động hóa một nhiệm vụ hàng tuần: Chọn một quy trình làm việc định kỳ và sử dụng Python cùng với một mô hình AI để hợp lý hóa một phần của nó. Những thành công nhỏ sẽ tạo đà.
- Xây dựng kiến thức ML cơ bản: Học các kiến thức cơ bản về cách các mô hình diễn giải hướng dẫn, nơi chúng gặp lỗi và cách định hướng lại chúng.
- Tham gia vào việc học cộng đồng: Chia sẻ những gì bạn xây dựng, so sánh các cách tiếp cận và học hỏi từ những người khác đang trải qua quá trình chuyển đổi tương tự.
Những thói quen này tích lũy theo thời gian. Chúng biến AI từ một tính năng mờ đục bên trong sản phẩm của người khác thành một khả năng mà bạn hiểu, chỉ đạo và sử dụng một cách tự tin.
Tham gia cùng tôi để tìm hiểu sâu hơn tại SANS 2026
AI đang thay đổi cách các chuyên gia bảo mật làm việc, nhưng nó không làm giảm nhu cầu về khả năng phán đoán, sự sáng tạo và tư duy chiến lược của con người. Khi bạn hiểu công cụ và hướng dẫn nó với ý định, bạn sẽ trở nên có năng lực hơn, chứ không phải ít cần thiết hơn.
Tôi sẽ đề cập đến chủ đề này chi tiết hơn trong phiên phát biểu chính của mình tại SANS 2026. Nếu bạn muốn có hướng dẫn thực tế và dễ thực hiện để củng cố sự thông thạo AI của mình trong các lĩnh vực phòng thủ, tấn công và điều tra, tôi hy vọng bạn sẽ tham gia cùng tôi.
Lưu ý: Bài viết này được chấp bút bởi Mark Baggett, SANS Fellow.
