Quan hệ đối tác giữa con người và AI trong phòng thủ mạng: Trao quyền cho các chuyên gia phân tích để đạt kết quả tốt hơn

Tương lai của phòng thủ là sự kết hợp giữa con người và AI

Những ai đã xem các bộ phim trong đó con người đối đầu với máy móc trong một tương lai đen tối và đều coi đây là hư cấu. Nhưng với sự xuất hiện của AI tạo sinh và các bot ngày càng hoàn thiện thì có một trận chiến ngoài đời thực đang diễn ra trên thị trường việc làm.

Mọi người ngày càng lo lắng về việc vị trí của họ có thể bị công nghệ chiếm mất, và nỗi sợ của họ không phải là không vô cớ. Goldman Sachs đã dự đoán rằng có tới 300 triệu việc làm có thể bị mất do tự động hóa.

Trong ngành bảo mật mạng, một số người ủng hộ khả năng của AI trong việc đối phó với các cuộc tấn công mạng, coi đây là lời giải cho sự thiếu hụt kỹ năng.

Hơn 40% chuyên gia bảo mật CNTT cho biết, đội ngũ bảo mật trong tổ chức họ thiếu nhân sự và họ cần tất cả sự trợ giúp nào có thể có được dù là con người hoặc bằng cách khác.

Mặc dù AI thực sự có thể giúp các chuyên gia phân loại và ứng phó các cảnh báo, nhưng AI không phải giải pháp toàn diện. Và AI sẽ không thay thế được chuyên gia phân tích là con người trong tương lai gần.

Tự động hóa hoàn toàn một trung tâm điều hành bảo mật (SOC) đòi hỏi máy móc lấy các khái niệm trừu tượng trong các tình huống khác nhau và định hình lại chúng. Mức độ sáng tạo và tư duy phản biện này vẫn do con người làm chủ, ngay cả khi các thuật toán học máy (ML) có thể thực hiện nhiều công việc tốn công sức.

Ilya Markelov, Trưởng bộ phận Nền tảng hợp nhất tại Kaspersky, cho biết: "Các doanh nghiệp lớn không thể áp dụng tự động hóa hoàn toàn vì cơ sở hạ tầng khổng lồ, luôn thay đổi. Một nhóm chuyên trách vẫn được yêu cầu giám sát các quy tắc có thể trở nên lỗi thời chỉ sau một đêm".

Thực tế là sự kết hợp giữa con người với AI hoạt động hiệu quả nhất. AI nên tăng cường chuyên môn của con người chứ không phải loại bỏ con người để giảm bớt công việc của nhóm bảo mật, để họ tập trung vào các nhiệm vụ quan trọng.

Các chuyên gia phân tích bảo mật bị căng thẳng và kiệt sức

Các nhóm SOC đang phải làm việc quá tải khi họ ứng phó với các cuộc tấn công ngày càng phức tạp và thường xuyên. Sự thiếu hụt kỹ năng đang làm trầm trọng thêm điều này vào thời điểm các cuộc tấn công đang phát triển nhanh chóng, đồng thời các doanh nghiệp ngày càng đi sâu hơn vào quá trình chuyển đổi kỹ thuật số.

Nguyên nhân chính khiến nhân viên kiệt sức bao gồm mệt mỏi với cảnh báo (nhiều cảnh báo trong số đó có thể là cảnh báo nhầm), công việc lặp đi lặp lại và gián đoạn giấc ngủ, với nhân viên thường làm việc theo ca không đều đặn.

Khối lượng lớn cảnh báo đặc biệt gây ra vấn đề lớn vì chúng hạn chế phân tích sâu, điều này rất quan trọng để các nhóm bảo mật hiểu được cách thức hoạt động của các mối đe dọa. Căng thẳng cũng làm tăng rủi ro, vì căng thẳng khiến các chuyên gia phân tích có nhiều khả năng bỏ sót mối đe dọa đang tới.

Điều này đã được chứng minh trong một báo cáo gần đây, trong đó 83% chuyên gia bảo mật CNTT thừa nhận họ (hoặc người trong bộ phận của họ) đã mắc các lỗi liên quan đến kiệt sức, dẫn đến xâm nhập bảo mật.

Do đó, các lãnh đạo doanh nghiệp đang bỏ ngày càng nhiều tiền hơn để giảm bớt các tác động dây chuyền của tình trạng kiệt sức trong đội ngũ SOC. Nhưng trong bối cảnh thị trường việc thiếu hụt nhân sự, nơi các chuyên gia bảo mật có thể tự chào giá thì việc tăng tuyển dụng chưa chắc đã là một giải pháp và giữ chân nhân tài có thể cũng khó như việc tìm kiếm nhân tài.

Trên thực tế, 1/4 nhân viên bảo mật CNTT cảm thấy họ phải rời bỏ công việc của mình để tránh kiệt sức. Và tại sao một chuyên gia phân tích đang gặp căng thẳng không nên nhảy việc đặc biệt nếu lý do là để nhận ưu đãi hậu hĩnh hơn?.

Kaspersky AI thực hiện công việc nhàm chán để con người có thể tập trung vào các nhiệm vụ quan trọng của doanh nghiệp

Sự thiếu hụt kỹ năng và khối lượng công việc quá tải đang dẫn đến tình trạng kiệt sức và nhân viên bỏ việc trong các nhóm bảo mật. Các nhóm này cần trợ giúp, đó là nơi Kaspersky và các giải pháp dựa trên AI của mình phát huy tác dụng.

Các giải pháp của công ty được thiết kế để giảm bớt áp lực cho các nhóm bảo mật bằng cách quản lý các tác vụ tốn nhiều thời gian, chẳng hạn như tự động hóa các bước phân loại và phản hồi ban đầu. Chúng cũng cho phép nhân viên có kỹ năng thấp hơn đảm nhận các nhiệm vụ phức tạp hơn.

Markelov cho biết: "Kaspersky AI giúp áp lực công việc bằng cách giảm thiểu công việc thường ngày, nhờ hệ thống cung cấp các hành động mà người dùng chỉ việc chấp nhận hoặc từ chối. Tự động hóa cũng tiết kiệm nguồn lực. Ví dụ: cẩm nang (chuỗi hành động hoàn toàn tự động) có thể được kích hoạt để đối phó với các mối đe dọa một cách tự động".

Một ví dụ điển hình là AI Analyst trong Kaspersky Managed Detection and Response, giúp giảm khối lượng công việc của các nhóm SOC bằng cách tự động lọc các kết quả phát hiện nhầm, cho phép chuyên gia ứng phó với các mối đe dọa nhanh hơn và tránh tình trạng kiệt sức.

Ở những nơi khác, Kaspersky Machine Learning for Anomaly Detection (MLAD) - một giải pháp phần mềm phân tích dự đoán, đang giúp các doanh nghiệp công nghiệp tránh đình trệ, giải pháp này giúp phát hiện các dấu hiệu ban đầu của sự cố thiết bị sắp xảy ra, gián đoạn quy trình, lỗi do con người hoặc tấn công mạng trong tín hiệu đo từ xa. Kết quả là các quy trình phát hiện đến quyết định nhanh hơn.

Tăng cường, không chỉ là tự động hóa: AI và con người song hành

Mặc dù riêng AI của Kaspersky có thể làm được rất nhiều thứ, nhưng giải pháp này vẫn có thể là trợ thủ đắc lực cho các nhóm bảo mật, chẳng hạn như tắt các cuộc tấn công phức tạp, có mục tiêu.

AI có sự can thiệp của con người có nghĩa là mặc dù AI có thể hoạt động bán tự do và đưa ra đề xuất, nhưng vẫn được chỉ đạo bởi chuyên gia, là người sẽ đưa ra quyết định sau cùng. Và có nhiều lý do cho thấy điều này có tầm quan trọng.

Trước hết, AI có thể đánh dấu hành vi hợp pháp là đáng ngờ, có thể dẫn đến hành động sai. Tuy nhiên, con người có thể xác minh hoặc loại bỏ các cảnh báo kèm bối cảnh mà AI thiếu (ví dụ: hoạt động kinh doanh, nhiệm vụ một lần), giảm gián đoạn không cần thiết và giải phóng thời gian để xử lý các mối đe dọa thực sự. Con người và AI làm việc hài hòa có nghĩa là các chuyên gia phân tích có thể tập trung hoàn toàn vào các cảnh báo mà AI không chắc chắn.

Nói chung, việc đưa ra quyết định là một khâu mà con người vượt trội. AI rất giỏi trong việc nhận dạng mẫu nhưng thường thiếu bối cảnh kinh doanh hoặc nhận thức tình huống. Chuyên gia phân tích là con người hiểu các chuẩn mực của tổ chức, các yêu cầu quy định và ngoại lệ, cho phép họ đưa ra các quyết định chính xác hơn, đặc biệt là trong các tình huống phức tạp. Và bởi vì các quyết định bảo mật mạng có thể có ý nghĩa pháp lý và đạo đức, việc giữ cho mọi người kiểm soát sẽ làm giảm khả năng vi phạm chính sách hoặc tội phạm.

Quyết định thông minh hơn, phản ứng nhanh hơn, phòng thủ mạnh mẽ hơn - nhưng vẫn là "AI con người"

Niềm tin chính của Kaspersky là giải pháp AI của mình sẽ giúp cho bảo mật mạng liên quan đến con người nhiều hơn, không phải là cắt giảm con người. Đây là một công cụ trao quyền được thiết kế cho khả năng sử dụng, có bảng điều khiển trực quan, các quyết định có thể giải trình và phát hiện và phản hồi tự động. AI là một phương tiện để đạt mục đích, chứ tự thân AI không phải là mục đích.

Ở cấp độ hiệu quả nhất nhất, AI không thay thế các chuyên gia phân tích; AI khuếch đại cái nhìn sâu sắc của họ, lọc bỏ thứ không cần thiết và giúp họ tập trung vào thứ quan trọng nhất. Kết quả là các nhóm bảo mật không chỉ nhanh hơn mà còn thông minh hơn, chủ động hơn và linh hoạt hơn. Và bằng cách giữ cho con người kiểm soát, các quyết định dựa trên bối cảnh kinh doanh, trách nhiệm đạo đức và phán đoán chiến lược.

Các giải pháp dựa trên AI của Kaspersky cũng có thể tiết kiệm chi phí lớn vì chúng làm giảm nhu cầu tuyển dụng.

Markelov giải thích: "Số lượng các mối đe dọa, các cuộc tấn công và mẫu phần mềm độc hại khác lạ tăng lên hàng năm. Chưa hết, sự phức tạp của cơ sở hạ tầng cũng đang tăng lên khi các tổ chức áp dụng các hệ thống mới và mở văn phòng mới. Để giải quyết sự phức tạp ngày càng tăng này, các giải pháp của chúng tôi triển khai AI và tự động hóa, giúp các tổ chức không cần phải tăng cường nhóm bảo mật một tương ứng".

Bảo mật mạng không phải là trường hợp AI cạnh tranh với con người mà là con người hợp tác với AI. Mục tiêu của Kaspersky không phải là thay thế các chuyên gia phân tích mà là trao quyền cho họ, trao cho họ các công cụ để phản ứng nhanh hơn, hành động chính xác hơn và đi trước các mối đe dọa đang trỗi dậy.

Kaspersky xây dựng các giải pháp AI để tăng cường cho lớp bảo vệ là con người, cho phép họ tập trung, tỉnh táo và sẵn sàng, ngay cả khi đối mặt với khối lượng cảnh báo quá lớn và các cuộc tấn công tinh vi.