Trí tuệ nhân tạo (AI) đang thay đổi cách các cá nhân và tổ chức thực hiện nhiều hoạt động, bao gồm cách tội phạm mạng tiến hành các cuộc tấn công phishing và phát triển malware. Hiện nay, tội phạm mạng đang sử dụng AI để tạo ra các email phishing được cá nhân hóa, deepfake và malware né tránh sự phát hiện truyền thống bằng cách mạo danh hoạt động của người dùng bình thường và vượt qua các mô hình bảo mật cũ. Kết quả là, các mô hình dựa trên quy tắc thường không đủ để bảo vệ danh tính trước các mối đe dọa do AI hỗ trợ. Phân tích hành vi phải phát triển vượt ra ngoài việc giám sát các mẫu hoạt động đáng ngờ theo thời gian thành mô hình rủi ro năng động, dựa trên danh tính, có khả năng xác định sự không nhất quán trong thời gian thực.
Các rủi ro phổ biến do các cuộc tấn công được hỗ trợ bởi AI
Các cuộc tấn công mạng được hỗ trợ bởi AI mang đến những rủi ro bảo mật rất khác biệt so với các mối đe dọa mạng truyền thống. Bằng cách dựa vào tự động hóa và bắt chước hành vi hợp pháp, AI cho phép tội phạm mạng mở rộng quy mô tấn công đồng thời giảm thiểu các tín hiệu rõ ràng để không bị phát hiện.
Phishing và kỹ thuật xã hội được hỗ trợ bởi AI
Không giống như các cuộc tấn tấn công phishing truyền thống sử dụng thông điệp chung chung, AI cho phép tạo các thông điệp phishing được cá nhân hóa ở quy mô lớn bằng cách sử dụng dữ liệu công khai, mạo danh phong cách viết của các giám đốc điều hành hoặc tạo ra các thông điệp nhận biết ngữ cảnh tham chiếu đến các sự kiện thực. Các cuộc tấn công được hỗ trợ bởi AI này có thể giảm các dấu hiệu đáng ngờ rõ ràng, vượt qua một số phương pháp lọc và dựa vào thao túng tâm lý thay vì phát tán malware, làm tăng đáng kể nguy cơ đánh cắp thông tin đăng nhập và gian lận tài chính.
Lạm dụng thông tin đăng nhập tự động và chiếm đoạt tài khoản (account takeovers)
Việc lạm dụng thông tin đăng nhập được tăng cường bởi AI có thể tối ưu hóa các nỗ lực đăng nhập đồng thời tránh kích hoạt ngưỡng khóa tài khoản (lockout thresholds), bắt chước thời gian giống con người giữa các lần thử xác thực và nhắm mục tiêu vào các tài khoản đặc quyền (privileged accounts) dựa trên ngữ cảnh. Vì các cuộc tấn công này sử dụng thông tin đăng nhập bị xâm phạm, chúng thường xuất hiện hợp lệ và hòa vào hoạt động đăng nhập bình thường, biến bảo mật danh tính (identity security) trở thành một thành phần quan trọng của các chiến lược bảo mật hiện đại.
Malware có hỗ trợ AI
Trước khi tội phạm mạng có thể sử dụng AI để tăng tốc phát triển và triển khai malware, họ phải tự sửa đổi code signatures và dành nhiều thời gian để tạo ra các biến thể mới. AI có thể đẩy nhanh hơn nữa quá trình biến đổi, tạo script và thích ứng. Với malware thích ứng hiện đại, tội phạm mạng có thể tự động sửa đổi mã để tránh bị phát hiện, thay đổi hành vi dựa trên môi trường và tạo ra các biến thể exploit mới mà không cần hoặc rất ít nỗ lực thủ công. Vì các mô hình phát hiện dựa trên chữ ký (signature-based detection) truyền thống gặp khó khăn trong việc chống lại mã liên tục phát triển, các tổ chức phải bắt đầu dựa vào các mẫu hành vi thay vì các chỉ số tĩnh.
Cách giám sát hành vi truyền thống có thể thất bại trước các cuộc tấn công dựa trên AI
Giám sát truyền thống được thiết kế để phát hiện các mối đe dọa mạng do malware, các lỗ hổng bảo mật đã biết và các bất thường hành vi có thể nhìn thấy. Dưới đây là một số cách giám sát hành vi truyền thống bị hạn chế trước các cuộc tấn công được hỗ trợ bởi AI:
- Phát hiện dựa trên chữ ký (Signature-based detection) không thể xác định các mối đe dọa hiện đại: Các công cụ dựa trên chữ ký dựa vào các dấu hiệu xâm nhập đã biết. Malware có hỗ trợ AI liên tục viết lại mã của chính nó và tự động tạo ra các biến thể mới, làm cho các code signatures tĩnh trở nên lỗi thời.
- Các hệ thống dựa trên quy tắc (Rule-based systems) phụ thuộc vào ngưỡng được xác định trước: Nhiều hệ thống giám sát hành vi dựa vào các quy tắc, chẳng hạn như tần suất đăng nhập hoặc vị trí địa lý. Tội phạm mạng có hỗ trợ AI điều chỉnh hành vi của chúng để nằm trong giới hạn đã đặt, thực hiện hoạt động độc hại trong một khoảng thời gian dài hơn và bắt chước hành vi của con người để tránh bị phát hiện.
- Các mô hình dựa trên ranh giới (Perimeter-based models) thất bại khi có sự liên quan của thông tin đăng nhập bị xâm phạm: Các mô hình bảo mật dựa trên ranh giới truyền thống giả định sự tin cậy một khi người dùng hoặc thiết bị được xác thực. Khi tội phạm mạng xác thực bằng thông tin đăng nhập hợp lệ, các mô hình lỗi thời này coi chúng là người dùng hợp lệ, cho phép chúng thực hiện các hành động độc hại.
- Các cuộc tấn công dựa trên AI được thiết kế để trông bình thường: Các mối đe dọa mạng dựa trên AI cố ý hòa nhập bằng cách hoạt động trong các quyền được cấp, tuân theo các quy trình làm việc dự kiến và thực hiện các hoạt động của chúng một cách dần dần. Mặc dù hoạt động riêng lẻ có vẻ hợp pháp, rủi ro chính là khi hoạt động được xem xét cùng với ngữ cảnh hành vi theo thời gian.
Tại sao phân tích hành vi phải thay đổi đối với các cuộc tấn công dựa trên AI
Sự chuyển đổi sang phân tích hành vi hiện đại đòi hỏi một sự phát triển từ việc phát hiện mối đe dọa đơn giản thành mô hình rủi ro năng động, nhận biết ngữ cảnh, có khả năng xác định việc lạm dụng đặc quyền (privilege misuse) một cách tinh vi.
Các cuộc tấn công dựa trên danh tính (identity-based attacks) yêu cầu ngữ cảnh
Để trông bình thường, tội phạm mạng được điều khiển bởi AI thường sử dụng thông tin đăng nhập bị xâm phạm thông qua phishing hoặc lạm dụng thông tin đăng nhập, hoạt động từ các thiết bị hoặc mạng đã biết và thực hiện hoạt động độc hại theo thời gian để tránh bị phát hiện. Phân tích hành vi hiện đại phải đánh giá liệu ngay cả thay đổi nhỏ nhất trong hành vi có nhất quán với các mẫu hành vi điển hình của người dùng hay không. Các mô hình hành vi nâng cao thiết lập đường cơ sở (baselines), đánh giá hoạt động thời gian thực và kết hợp ngữ cảnh danh tính, thiết bị và phiên.
Giám sát phải mở rộng trên toàn bộ ngăn xếp (entire stack)
Một khi tội phạm mạng có được quyền truy cập vào các hệ thống thông qua thông tin đăng nhập bị xâm phạm, yếu hoặc được sử dụng lại, chúng tập trung vào việc dần dần mở rộng quyền truy cập của mình. Khả năng hiển thị hành vi cần bao phủ toàn bộ ngăn xếp bảo mật (security stack), bao gồm privileged access, cloud infrastructure, endpoints, ứng dụng và các tài khoản quản trị (administrative accounts). Để phân tích hành vi hiệu quả hơn chống lại các cuộc tấn công mạng dựa trên AI, các tổ chức phải thực thi bảo mật zero-trust và giả định rằng không có người dùng hoặc thiết bị nào nên có sự tin cậy ngầm hoặc xác thực tự động dựa trên vị trí mạng.
Những kẻ tấn công nội bộ độc hại (malicious insiders) có thể sử dụng các công cụ AI
Các công cụ AI không chỉ tăng cường sức mạnh cho tội phạm mạng bên ngoài mà còn giúp những kẻ tấn công nội bộ độc hại (malicious insiders) dễ dàng hành động trong mạng lưới của một tổ chức hơn. Malicious insiders có thể sử dụng AI để tự động thu thập thông tin đăng nhập (credential harvesting), xác định thông tin nhạy cảm hoặc tạo ra nội dung phishing đáng tin cậy. Vì những kẻ tấn công nội bộ thường hoạt động với các quyền hợp pháp, việc phát hiện lạm dụng đặc quyền đòi hỏi phải xác định các bất thường về hành vi như truy cập vượt quá trách nhiệm được xác định, hoạt động ngoài giờ làm việc bình thường và hoạt động lặp lại trong các hệ thống quan trọng. Loại bỏ quyền truy cập thường trực bằng cách thực thi quyền truy cập Just-in-Time (JIT), giám sát phiên (session monitoring) và ghi lại phiên (session recording) giúp các tổ chức hạn chế rủi ro và giảm tác động của các tài khoản bị xâm phạm và việc lạm dụng của kẻ nội bộ.
Bảo mật danh tính chống lại các cuộc tấn công mạng tự động dựa trên AI
Trong thời điểm các tác nhân AI có thể tạo ra các chiến dịch kỹ thuật xã hội (social engineering) thuyết phục, kiểm tra thông tin đăng nhập trên quy mô lớn và giảm công sức thủ công cần thiết để thực hiện các cuộc tấn công, các cuộc tấn công mạng được hỗ trợ bởi AI đang ngày càng trở nên tự động. Bảo vệ cả danh tính con người và Danh tính phi con người (Non-Human Identities - NHIs) hiện nay đòi giờ nhiều hơn là xác thực; các tổ chức phải triển khai phân tích hành vi liên tục, nhận biết ngữ cảnh và kiểm soát truy cập chi tiết (granular access controls). Các giải pháp Privileged Access Management (PAM) hiện đại như Keeper hợp nhất phân tích hành vi, giám sát phiên thời gian thực và truy cập JIT để bảo mật danh tính trên các môi trường hybrid và multi-cloud.
