Giới thiệu
Một đội ngũ bảo mật doanh nghiệp trung bình sở hữu từ 40 công cụ bảo mật trở lên, mang lại khả năng hiển thị rộng đối với dữ liệu telemetry và tài sản nội bộ. Tuy nhiên, các công cụ này thường hoạt động rời rạc (siloes), tạo ra các cảnh báo và dữ liệu chồng chéo. Trong khi đó, thời gian lưu trú (dwell time) của các vụ vi phạm vẫn kéo dài đáng kể (~43 ngày), các cửa sổ phản ứng thường đóng lại trước khi đội ngũ kịp hành động, và các nhà phân tích kiệt sức vì phải phân loại các thông tin nhiễu thay vì ngăn chặn các mối đe dọa.
Vấn đề không nằm ở nỗ lực. Nó nằm ở kiến trúc.
Các chương trình bảo mật được xây dựng cho một thế giới nơi các mối đe dọa di chuyển đủ chậm để con người có thể điều phối phản ứng thủ công. Thế giới đó không còn tồn tại nữa. Với tốc độ phát triển và sử dụng các năng lực AI, đặc biệt là với các công cụ frontier AI, cần có một vị thế bảo mật chủ động hơn cũng như tốc độ phản ứng ở quy mô máy để chống lại các đối thủ di chuyển nhanh. Khung Continuous Threat Exposure Management (CTEM) của Gartner giúp thúc đẩy sự chuyển dịch này từ các đánh giá phản ứng, mang tính thời điểm sang một chu kỳ lặp đi lặp lại liên tục gồm: xác định phạm vi, khám phá, ưu tiên, xác thực và huy động. Nhưng đối với hầu hết các tổ chức, việc vận hành CTEM từ đầu đến cuối vẫn nằm ngoài tầm với, bởi vì các công cụ cần thiết để thực hiện nó vẫn không giao tiếp được với nhau.
Vấn đề kiến trúc đằng sau mọi lỗ hổng bảo mật
Các hệ thống bảo mật hiện đại là tập hợp của các công cụ chuyên biệt: một nền tảng threat intelligence ở đây, một trình quét lỗ hổng ở kia, một công cụ BAS (breach and attack simulation) riêng biệt, và một SIEM cố gắng kết nối tất cả lại với nhau. Mỗi công cụ đều tạo ra dữ liệu. Nhưng không có công cụ nào đóng kín được quy trình.
Vào thời điểm các thông tin tình báo được tương quan, các mức độ tiếp xúc được ưu tiên, việc xác thực được thực hiện và một phiếu yêu cầu khắc phục được xử lý, kẻ tấn công thường đã di chuyển sang bước tiếp theo. Điểm nghẽn không nằm ở bất kỳ công cụ đơn lẻ nào. Đó là khoảng trống giữa chúng.
Đây là vấn đề kiến trúc khiến các nhà lãnh đạo bảo mật mất ngủ, và là vấn đề mà các trợ lý AI thông thường, được ghép nối vào các quy trình hiện có, không thực sự giải quyết được. Yêu cầu một chatbot tóm tắt báo cáo mối đe dọa là điều hữu ích. Nhưng nó không giống với việc có một hệ thống AI tự chủ tương quan báo cáo đó với bề mặt tiếp xúc trực tiếp của bạn, xác thực xem các biện pháp kiểm soát của bạn có đứng vững hay không và ưu tiên những gì cần khắc phục trước tiên.
"Agentic" thực sự có nghĩa là gì và tại sao nó lại quan trọng vào lúc này
Thuật ngữ "AI" đã trở nên quá tải trong tiếp thị bảo mật, vì vậy cần phải chính xác về ý nghĩa của Agentic AI trong bối cảnh này.
Assistive AI (AI hỗ trợ) chờ đợi được yêu cầu. Nó tóm tắt, dịch thuật và truy xuất. Nó giúp các nhà phân tích thực hiện các công việc họ vẫn làm nhanh hơn.
Agentic AI (AI đại diện) hành động. Nó hiểu ngữ cảnh, tự chủ thiết lập các ưu tiên và thực hiện các quy trình nhiều bước trên các hệ thống, không phải dưới dạng một truy vấn một lần, mà là liên tục, ngầm định, với tốc độ máy.
Sự phân biệt này rất quan trọng vì môi trường đe dọa cũng đang ngày càng hoạt động ở tốc độ máy. Với những tiến bộ nhanh chóng của các mô hình frontier AI, thời gian từ lúc khám phá đến lúc khai thác đang bị thu hẹp đáng kể. Các đội ngũ bảo mật dẫn đầu sẽ không phải là những đội có nhiều nhà phân tích nhất. Đó sẽ là những đội có hạ tầng AI có thể khớp với tốc độ đó một cách tự chủ.
Riêng đối với CTEM, điều này có nghĩa là ba chức năng sau cần ngừng hoạt động như các quy trình riêng biệt:
- Vận hành threat intelligence: Liên tục nạp, cấu trúc và ngữ cảnh hóa dữ liệu về mối đe dọa, mức độ tiếp xúc và lỗ hổng đối với môi trường của bạn. Hiểu được đối thủ đang làm gì và tài sản cũng như hạ tầng nào có khả năng bị lộ trước những rủi ro đó.
- Kiểm tra và xác thực vị thế bảo mật: Liên tục kiểm tra xem các biện pháp kiểm soát, đội ngũ và quy trình của bạn có thực sự đứng vững trước các hành vi của đối thủ mà bạn đang theo dõi hay không.
- Huy động phản ứng: Tự động ưu tiên và định tuyến các hành động khắc phục dựa trên các bằng chứng và rủi ro đã được xác thực, thúc đẩy bởi thông tin tình báo.
Khi ba chức năng đó vận hành như một vòng lặp kín, với các tác nhân AI di chuyển thông tin và quyết định giữa chúng mà không cần chờ đợi sự bàn giao từ con người, một chương trình CTEM sẽ ngừng là một khung lý thuyết trên slide và bắt đầu trở thành một thực tế vận hành.
Agentic AI để vận hành CTEM và Bảo mật Chủ động
Một kiến trúc quản lý mối đe dọa Agentic là thứ tạo nên sự khác biệt giữa một khung CTEM nằm trong tài liệu chiến lược và một khung vận hành liên tục ngầm định. Điều này đòi hỏi một lớp điều phối AI chuyên dụng, đóng vai trò như một lớp nền tảng, ngữ cảnh với các tác nhân kết nối với nhau. Thay vì các nhà phân tích phải kết nối thủ công threat intelligence với việc xác thực mức độ tiếp xúc, các tác nhân AI sẽ thực hiện các công việc nặng nhọc một cách liên tục với ngữ cảnh và suy luận phù hợp. Toàn bộ quy trình là tự chủ, nơi các tác nhân bàn giao nhiệm vụ từ tác nhân này sang tác nhân khác và trên các sản phẩm trong khi vẫn giữ con người trong vòng lặp (human-in-the-loop) cho các quyết định cuối cùng. Các nhà phân tích thực sự có thể trở thành người điều phối các hành động dựa trên thông tin tình báo.
Các đội ngũ bảo mật đang xây dựng năng lực này ngay bây giờ không đợi một bộ công cụ hoàn hảo. Họ xây dựng mô hình vận hành trước và để kiến trúc bắt kịp sau. Những người đến trước sẽ có lợi thế về cấu trúc được tích lũy theo thời gian: dữ liệu tốt hơn, phân tích tốt hơn, bằng chứng tốt hơn và hơn thế nữa là AI được tinh chỉnh tốt hơn. Các LLM đa năng không được thiết kế cho việc này, nó đòi hỏi ngữ cảnh và bí quyết dựa trên sản phẩm cụ thể.
Các tổ chức thu hẹp khoảng cách nhanh nhất là những tổ chức coi CTEM như một mô hình vận hành, không phải là một công cụ đơn lẻ, và chọn hạ tầng AI được xây dựng chuyên biệt để chạy nó từ đầu đến cuối. Bạn có thể xem mô hình vận hành đang hoạt động với XTM One CTEM Assistant.
Theo dõi thực tế: Live Webinar
Filigran đang tổ chức một phiên trực tiếp để trình bày thực tế quy trình này trông như thế nào: cách các đội ngũ bảo mật đang sử dụng Agentic AI để kết nối thông tin tình báo, xác thực mức độ tiếp xúc và phản ứng vào một quy trình liên tục duy nhất, mà không có các khoảng trống bàn giao làm chậm mọi bước ở giữa.
Phiên thảo luận sẽ bao gồm:
- Tại sao sự chuyển dịch sang Agentic AI làm thay đổi mô hình vận hành cho các chương trình bảo mật, không chỉ là công cụ.
- Nơi các tác nhân chuyên biệt vượt trội hơn AI đa năng khi độ chính xác là yếu tố quan trọng.
- Cách đánh giá hạ tầng Agentic AI cho chương trình của riêng bạn.