Các nhà lãnh đạo an ninh đang ứng dụng AI cho việc phân loại (triage), kỹ thuật phát hiện (detection engineering) và săn tìm mối đe dọa (threat hunting) khi khối lượng cảnh báo và tình trạng kiệt sức đạt đến điểm giới hạn.
Một khảo sát toàn diện với 282 nhà lãnh đạo an ninh tại các công ty thuộc nhiều ngành công nghiệp đã hé lộ một thực tế nghiệt ngã mà các Trung tâm Điều hành An ninh (SOC) hiện đại đang phải đối mặt: khối lượng cảnh báo đã đạt mức không bền vững, buộc các đội phải bỏ qua nhiều mối đe dọa nghiêm trọng mà không được điều tra. Bạn có thể tải toàn bộ báo cáo tại đây. Nghiên cứu này, được thực hiện chủ yếu trong số các tổ chức tại Hoa Kỳ, cho thấy việc áp dụng AI trong hoạt động an ninh đã chuyển từ giai đoạn thử nghiệm sang thiết yếu khi các đội phải vật lộn để theo kịp dòng cảnh báo an ninh ngày càng tăng.
Những phát hiện này cho thấy một bức tranh về ngành công nghiệp đang ở bước ngoặt, nơi các mô hình SOC truyền thống đang chịu áp lực vận hành quá lớn và các giải pháp được hỗ trợ bởi AI đang nổi lên như con đường chính để tiến lên.
Khối lượng cảnh báo đạt đến điểm giới hạn
Các đội an ninh đang bị "chìm" trong cảnh báo, với các tổ chức xử lý trung bình 960 cảnh báo mỗi ngày. Các doanh nghiệp lớn thậm chí phải đối mặt với thực tế đáng sợ hơn, xử lý hơn 3.000 cảnh báo hàng ngày từ trung bình 30 công cụ bảo mật tạo cảnh báo khác nhau.
Khối lượng này tạo ra một cuộc khủng hoảng vận hành cơ bản, nơi các đội an ninh phải đưa ra các quyết định phát hiện và điều tra khó khăn dưới áp lực thời gian cực lớn. Khảo sát cho thấy tình trạng mệt mỏi do cảnh báo (alert fatigue) đã vượt ra ngoài gánh nặng cảm xúc để trở thành một rủi ro vận hành có thể đo lường được.
Điều tra vẫn chậm và thủ công
Tính toán đơn giản về xử lý cảnh báo đã phơi bày quy mô của vấn đề. Kết quả khảo sát cho thấy mất trung bình 70 phút để điều tra hoàn chỉnh một cảnh báo, đó là nếu có ai đó có thể tìm được thời gian để xem xét nó. Theo khảo sát, trung bình 56 phút trôi qua trước khi có bất kỳ hành động nào đối với một cảnh báo. Điều không thể này buộc phải đưa ra những lựa chọn khó khăn về việc cảnh báo nào nhận được sự chú ý và cảnh báo nào bị bỏ qua.
Kết quả khảo sát đã chứng minh một cách rõ ràng một thách thức quan trọng và nổi tiếng trong các Trung tâm Điều hành An ninh (SOC): khối lượng cảnh báo được tạo ra hàng ngày vượt xa khả năng điều tra kỹ lưỡng của các nhà phân tích con người. Làm trầm trọng thêm vấn đề, các bộ công cụ bảo mật (security stacks) và nguồn dữ liệu hiện đại tiếp tục gia tăng về số lượng và độ phức tạp, dẫn đến thời gian điều tra lâu hơn.
Đối với các sự cố ưu tiên cao đòi hỏi sự chú ý ngay lập tức, những khung thời gian này thể hiện sự chậm trễ không thể chấp nhận được, có thể làm tăng mức độ nghiêm trọng của sự cố vi phạm. Theo Báo cáo Mối đe dọa An ninh mạng Toàn cầu mới nhất của CrowdStrike, trung bình chỉ mất 48 phút để một mối đe dọa mạng như Business Email Compromise gây ra một sự cố.
Chi phí ẩn của các SOC quá tải
Dòng chảy cảnh báo quá lớn này tạo ra một tình huống khó xử không thể giải quyết, buộc các đội SOC phải đưa ra những lựa chọn khó khăn và thường xuyên rủi ro về việc cảnh báo nào nhận được sự chú ý và cảnh báo nào, do cần thiết, bị bỏ qua. Hậu quả của tình huống bất khả thi này là nguy cơ cao bỏ lỡ các mối đe dọa thực sự giữa hàng loạt thông tin nhiễu, cuối cùng làm suy yếu tư thế bảo mật của tổ chức.
40% cảnh báo bảo mật hoàn toàn không được điều tra do khối lượng và hạn chế về tài nguyên. Đáng lo ngại hơn, 61% các đội an ninh thừa nhận đã bỏ qua các cảnh báo mà sau đó được chứng minh là các sự cố an ninh nghiêm trọng.
Thống kê này đại diện cho một sự cố cơ bản trong hoạt động an ninh. Các đội được thiết kế để bảo vệ tổ chức lại không thể kiểm tra gần một nửa số mối đe dọa tiềm tàng mà họ phát hiện. Khảo sát tiết lộ rằng đây không phải là sự sơ suất mà là một sự thích nghi bắt buộc với yêu cầu khối lượng công việc bất khả thi.
Các đội SOC vật lộn với hoạt động 24/7
Khảo sát phơi bày những lỗ hổng nghiêm trọng trong việc bao phủ an ninh suốt ngày đêm. Nhiều tổ chức thiếu nhân sự đủ để duy trì hoạt động SOC 24/7 hiệu quả, tạo ra các "cửa sổ" dễ bị tấn công trong những giờ ngoài giờ làm việc khi đội ngũ ít ỏi phải xử lý cùng khối lượng cảnh báo mà các ca làm việc đầy đủ nhân sự đã bị quá tải.
Tình trạng kiệt sức của nhà phân tích đã trở thành một vấn đề có thể định lượng được, chứ không chỉ là mối lo ngại về nhân sự. Các đội báo cáo rằng việc tắt các quy tắc phát hiện (suppressing detection rules) đã trở thành một cơ chế đối phó mặc định khi khối lượng cảnh báo trở nên không thể quản lý. Cách tiếp cận này giúp giảm khối lượng công việc tức thời nhưng có khả năng tạo ra các điểm mù trong phạm vi bảo mật.
Những thách thức về nhân sự càng trở nên phức tạp do tính chất chuyên biệt của công việc phân tích an ninh. Các tổ chức không thể dễ dàng mở rộng đội ngũ của mình để phù hợp với sự tăng trưởng khối lượng cảnh báo, đặc biệt là trong bối cảnh thiếu hụt các chuyên gia an ninh mạng giàu kinh nghiệm trên thị trường việc làm hiện nay.
AI chuyển từ thử nghiệm sang ưu tiên chiến lược
AI cho hoạt động bảo mật đã nhanh chóng leo lên bậc thang ưu tiên, hiện đứng trong top ba sáng kiến hàng đầu cùng với các chương trình bảo mật cốt lõi như cloud security và data security. Điều này báo hiệu một sự thay đổi cơ bản trong cách các nhà lãnh đạo an ninh xem xét AI như một yếu tố hỗ trợ quan trọng cho thành công hoạt động ngày nay.
Hiện tại, 55% đội an ninh đã triển khai các công cụ AI copilots và assistants trong sản xuất để hỗ trợ phân loại cảnh báo (alert triage) và quy trình điều tra.
Làn sóng áp dụng tiếp theo đang đến rất nhanh. Trong số các đội chưa sử dụng AI, 60% có kế hoạch đánh giá các giải pháp SOC dựa trên AI trong vòng một năm. Và nhìn về phía trước, 60% tổng khối lượng công việc của SOC dự kiến sẽ được AI xử lý trong ba năm tới, theo khảo sát.
Các tổ chức tìm kiếm AI cho các nhiệm vụ điều tra cốt lõi
Các đội an ninh đã xác định được nơi AI có thể tạo ra sự khác biệt lớn nhất ngay lập tức. Phân loại (triage) đứng đầu danh sách với 67%, tiếp theo sát là điều chỉnh phát hiện (detection tuning) (65%) và săn tìm mối đe dọa (threat hunting) (64%).
Những ưu tiên này phản ánh mong muốn ngày càng tăng về việc áp dụng AI vào các giai đoạn đầu của điều tra và đưa ra các cảnh báo có ý nghĩa, đồng thời cung cấp ngữ cảnh ban đầu và giảm tải phân tích lặp đi lặp lại. Đây không phải là việc tự động hóa loại bỏ phán đoán của con người, mà là về việc tăng tốc quy trình làm việc và làm sắc nét sự tập trung của con người.
Những rào cản còn lại nhưng động lực đã rõ ràng
Mặc dù có ý định áp dụng mạnh mẽ, các nhà lãnh đạo an ninh vẫn xác định những rào cản đáng kể đối với việc triển khai AI. Các mối lo ngại về quyền riêng tư dữ liệu, sự phức tạp của tích hợp và yêu cầu về khả năng giải thích (explainability requirements) đứng đầu danh sách những do dự của tổ chức.
SOC tương lai đang định hình
Dữ liệu khảo sát cho thấy một quỹ đạo rõ ràng hướng tới các hoạt động bảo mật kết hợp (hybrid security operations) nơi AI xử lý các tác vụ phân tích thường lệ và các nhà phân tích con người tập trung vào các cuộc điều tra phức tạp và ra quyết định chiến lược. Sự phát triển này hứa hẹn sẽ giải quyết đồng thời cả vấn đề khối lượng và tình trạng kiệt sức của nhà phân tích.
Các chỉ số thành công cho sự chuyển đổi này có thể sẽ tập trung vào việc cải thiện hiệu quả hoạt động. Các tổ chức sẽ đo lường tiến độ thông qua việc giảm Mean Time to Investigation (MTTI) và Mean Time to Response (MTTR) ngoài các tỷ lệ đóng cảnh báo truyền thống. Các chỉ số thành công có ý nghĩa khác bao gồm sử dụng AI để nâng cao kỹ năng và đào tạo các SOC Analyst mới cũng như tăng tốc đáng kể thời gian thích nghi (ramp up time).
Bằng cách đảm bảo phạm vi bao phủ cảnh báo toàn diện thông qua tăng cường AI, các tổ chức có thể giảm mức độ chấp nhận rủi ro hiện tại do hạn chế về khối lượng. SOC tương lai sẽ điều tra nhiều cảnh báo hơn một cách kỹ lưỡng hơn trong khi đòi hỏi ít nỗ lực thủ công hơn từ các nhà phân tích con người.
Prophet Security giúp khách hàng như thế nào
Prophet Security giúp các tổ chức vượt qua các cuộc điều tra thủ công và tình trạng mệt mỏi do cảnh báo với một nền tảng SOC AI có khả năng tự động hóa việc phân loại (triage), tăng tốc điều tra và đảm bảo mọi cảnh báo đều nhận được sự chú ý xứng đáng. Bằng cách tích hợp trên toàn bộ hệ thống hiện có, Prophet AI cải thiện hiệu quả của nhà phân tích, giảm thời gian ẩn nấp của sự cố (incident dwell time) và mang lại kết quả bảo mật nhất quán hơn. Các nhà lãnh đạo an ninh sử dụng Prophet AI để tối đa hóa giá trị của nhân sự và công cụ của họ, tăng cường tư thế bảo mật và biến các hoạt động SOC hàng ngày thành kết quả kinh doanh có thể đo lường được. Truy cập Prophet Security để tìm hiểu thêm hoặc yêu cầu bản demo để xem Prophet AI có thể nâng tầm hoạt động SOC của bạn như thế nào.
