Kaspersky AI: Tận dụng máy học để chống lại các mối đe dọa mạng mới

Trong những năm gần đây, trí tuệ nhân tạo (AI) và máy học (ML) ngày càng được kẻ xấu khai thác để tăng cường hiệu quả của các cuộc tấn công, đồng thời tăng tốc các tác vụ thông thường.

Ví dụ: Sử dụng các mô hình ngôn ngữ lớn (LLM) để viết phần mềm độc hại và tin nhắn lừa đảo được cá nhân hóa, đồng thời tạo âm thanh và video deepfake.

Nghiên cứu của Kaspersky cho thấy các tổ chức đang nhận ra sự nguy hiểm của các cuộc tấn công này. Một cuộc khảo sát về các chuyên gia bảo mật CNTT và bảo mật thông tin làm việc cho các doanh nghiệp vừa và nhỏ cho thấy gần 3/4 coi việc tội phạm mạng sử dụng AI là một mối quan tâm nghiêm trọng.

Nhiều người nói rằng họ không có chuyên môn về bảo mật mạng bên ngoài, đội ngũ CNTT của họ không đủ lớn, không có các giải pháp bảo mật đầy đủ, khiến họ gặp phải các lỗ hổng tiềm ẩn.

Các mối đe dọa mới, các lớp phòng vệ biến đổi

Vậy ML cho phép bảo vệ trước các cuộc tấn công đang trỗi dậy này như thế nào?

Kaspersky đã và đang sử dụng ML trong các giải pháp phát hiện tấn công với hai loại riêng biệt: ML được giám sát và ML không được giám sát. Trong ML được giám sát, mô hình được đào tạo bằng dữ liệu liên quan đến hoạt động của kẻ tấn công, với mục đích xác định hành vi độc hại tương tự.

Trong khi đó, ML không được giám sát liên quan đến việc lập hồ sơ hành vi hợp pháp của các hệ thống và dịch vụ để phát hiện các điểm bất thường, sai lệch và ngoại lệ. Điều này cho phép Kaspersky phát triển các giải pháp giải quyết các vấn đề và các thách thức bảo mật mạng cụ thể.

Ba ví dụ điển hình về các giải pháp này và đã được cải tiến đáng kể từ khi ra mắt vào năm 2018 là AI Analyst for Kaspersky MDR, Adaptive Anomaly Control và Kaspersky Machine Learning for Anomaly Detection.

Giải pháp Kaspersky MDR được phát triển bởi đội ngũ MDR của Kaspersky và trung tâm nghiên cứu AI để giúp lọc cảnh báo ban đầu. Đây là một hệ thống ML được giám sát được đào tạo dựa trên các cảnh báo từ SIEM, kết hợp với phán quyết SOC trên mỗi cảnh báo, cho phép AI tự tin xác định các kết quả cảnh báo nhầm do hoạt động mạng hợp pháp tạo ra.

Kiểm soát thích ứng sự cố (Adaptive Anomaly Control) là một công cụ giảm bề mặt tấn công kết hợp sự đơn giản của bộ quy tắc gia cường với điều chỉnh tự động thông qua phân tích hành vi.

Được sử dụng trong các giải pháp bảo mật điểm cuối của Kaspersky, giải pháp này hợp nhất một bộ quy tắc kiểm soát hiệu quả toàn diện dựa trên dữ liệu ML, thuật toán phân tích hành vi để phát hiện phương thức phỏng đoán tiềm năng mới đối với các hành động đáng ngờ và điều chỉnh tự động dựa trên phân tích hoạt động của người dùng.

Trong khi đó, để đối phó với số lượng các cuộc tấn công vào những hệ thống công nghiệp và bề mặt tấn công không ngừng gia tăng, Kaspersky Machine Learning for Anomaly Detection sử dụng mạng nơ-ron để giám sát đồng thời một loạt dữ liệu đo lường từ xa và xác định các điểm bất thường trong hoạt động của các hệ thống thực ảo, phát hiện các cuộc tấn công vào công nghệ vận hành (OT) ở giai đoạn phát triển ban đầu và bổ sung, lớp bảo vệ công nghiệp sống còn.

Các loại giải pháp này thể hiện chiều rộng và chiều sâu năng lực của AI và ML, và kể từ khi được ra mắt, Kaspersky đã liên tục phát hành các công cụ mới để xử lý các mối đe dọa và vấn đề ngày càng khó khăn.

Chúng bao gồm hệ thống cách ly thư rác dựa trên mạng nơ-ron sâu, hệ thống phát hiện lừa đảo dựa trên ML, AI dành cho SIEM/XDR, tổng hợp thông tin về mối đe dọa dựa trên AI tạo sinh và Kaspersky Investigation and Response Assistant - cùng các tính năng khác sắp được triển khai.

Những gì Kaspersky đã đạt được bằng cách tận dụng ML

Kaspersky đã và đang tích hợp AI đặc biệt là ML vào các sản phẩm và dịch vụ của mình trong gần hai thập kỷ và chuyên môn sâu trong việc áp dụng các công nghệ này vào bảo mật mạng, cùng với bộ dữ liệu độc nhất vô nhị, phương pháp hiệu quả và cơ sở hạ tầng đào tạo mô hình tiên tiến, cho phép họ giải quyết các thách thức kinh doanh phức tạp.

Cam kết đổi mới của Kaspersky trong lĩnh vực này được nhấn mạnh bởi khả năng AI được nâng cao gần đây trong giải pháp thông tin bảo mật và quản lý sự kiện (SIEM).