Vượt qua thách thức của các SOC nhờ AI

Tuy nhiên, tội phạm mạng cũng biết được điều này và số lượng các cuộc tấn công mạng đang tăng lên. Tội phạm cấp thấp đang thực hiện các cuộc tấn công từng vượt xa khả năng của chúng, trong khi các nhóm cấp độ APT đang tự động hóa toàn bộ quy trình làm việc của chúng.

Đối với các doanh nghiệp, điều này có nghĩa là lực lượng lao động bảo mật mạng cũng nên khai thác sức mạnh của AI. May mắn thay, điều này không có nghĩa là họ nên vội vàng thuê các nhà khoa học dữ liệu, là lực lượng có thể khó tìm như các chuyên gia phân tích trung tâm điều hành bảo mật (SOC), nếu không muốn nói là còn khó tìm hơn.

Ngược lại, điều đó có nghĩa là các nhà cung cấp bảo mật mạng nếu muốn duy trì khả năng cạnh tranh phải tích hợp các công nghệ AI, từ các thuật toán máy học đã được thử nghiệm đến các công cụ AI tạo sinh (GenAI) tiên tiến.

Gây được sự chú ý

Thách thức đầu tiên mà các giải pháp AI có thể giúp đỡ là lượng nhiễu áp đảo mà các SOC hiện đại phải đối mặt. Cơ sở hạ tầng hiện đại, quy mô lớn được sử dụng bởi người thực tạo ra rất nhiều cảnh báo tiềm năng ăn mòn thời gian quý báu của các nhà phân tích, gây quá tải và tăng nguy cơ mối đe dọa thực sự bị bỏ sót.

Một ví dụ là ai đó đăng nhập vào máy tính của công ty từ một nơi bất thường, có thể là hacker đã chiếm đoạt tài khoản quản trị viên hay chỉ là một quản lý bán hàng đang kiểm tra thứ gì đó trong một chuyến công tác? Trong công ty quy mô vừa, không thể xác minh tất cả chúng theo cách thủ công. Đây là lúc cần đến sự hỗ trợ của AI.

Các thuật toán đặc biệt, chẳng hạn như những thuật toán được sử dụng trong Kaspersky MDR và đang được đưa vào Kaspersky SIEM và XDR, sẽ giúp tìm ra những trường hợp mẫu bị hỏng và cần sự chú ý ngay lập tức.

Một ví dụ khác là thông tin về mối đe dọa (TI). Một chuyên gia phân tích làm việc về TI có thể cần phải sàng lọc hàng chục nguồn bằng các ngôn ngữ khác nhau để hiểu liệu một dấu hiệu xâm nhập (IoC) cụ thể như một địa chỉ web đáng ngờ có gây ra mối đe dọa cho công ty hay không. Bằng cách tích hợp các giải pháp GenAI như Kaspersky Threat Intelligence Portal, chuyên gia phân tích đó có thể hiểu dữ liệu này là thông tin có thể hành động. Ví dụ: băng nhóm tội phạm mạng nào liên quan đến IoC và những ngành nào đang bị nhắm mục tiêu. Điều này đẩy nhanh đáng kể quá trình ra quyết định.

Các công cụ như vậy - ví dụ như tính điểm cảnh báo và ưu tiên có sự hỗ trợ của AI trong Kaspersky SIEM và XDR - không nhằm mục đích thay thế chuyên gia phân tích. Thay vào đó, ý tưởng là tăng cường cho chuyên gia phân tích bằng cách để họ tập trung vào những điều quan trọng thay vì lần mò trong mớ hỗn độn.

Giảm bớt tình trạng thiếu hụt nhân tài

Theo Diễn đàn kinh tế thế giới, 67% tổ chức đã báo cáo lỗ hổng kỹ năng từ trung bình đến quan trọng trong bảo mật mạng. Do sự thiếu hụt nhân lực trầm trọng và tỷ lệ kiệt sức cao, nhân lực chuyên gia phân tích SOC chủ yếu do các chuyên gia ít kinh nghiệm đảm nhận.

Một cách để giúp doanh nghiệp là tư vấn cho các chuyên gia phân tích của họ về cách xử lý các mối đe dọa chưa biết chỉ dẫn cho họ trong suốt quá trình. Đây là lúc các trợ lý GenAI như Kaspersky Investigation and Response Assistant (KIRA), phát huy tác dụng.

Sử dụng lượng kiến thức khổng lồ có được từ các mô hình ngôn ngữ lớn trong quá trình đào tạo, những trợ lý này có thể cung cấp thông tin chi tiết quan trọng về các sự kiện bảo mật trong quá trình phân tích, hỗ trợ cho việc ra quyết định.

Ví dụ: KIRA có thể phân tích các lệnh PowerShell phức tạp (một cách phổ biến để thực thi các lệnh được sử dụng bởi quản trị viên và cả bởi kẻ tấn công), giải thích từng phần tử và đánh giá mức độ đe dọa mà các lệnh này gây ra.

Điều đó không chỉ giúp ích cho các chuyên gia phân tích ít kinh nghiệm mà còn đóng vai trò là phương án dự phòng cho các nhân viên cấp cao hơn. Tất nhiên, trợ lý GenAI có thể giải quyết nhiều nhiệm vụ khác từ tóm tắt sự cố thành các báo cáo hành động cho đến đánh giá rủi ro bảo mật của ảnh Docker và phạm vi ứng dụng tiếp tục mở rộng.

Sức mạnh của tích hợp

AI luôn khát dữ liệu, đó là lý do tại sao các công ty thiên về dữ liệu cũng thường là những công ty dẫn đầu về AI. Mức độ bao phủ toàn cầu và văn hóa dữ liệu phát triển chuyển thành thông tin chuyên sâu đang trở thành công nghệ mới.

Ví dụ: nhờ Kaspersky Security Network (KSN) mà Kaspersky có vị trí độc tôn để nghiên cứu hành vi của phần mềm trong tự nhiên trên toàn cầu, điều này chuyển thành các khả năng độc đáo, chẳng hạn như công nghệ Phát hiện DLL Hijack trong Kaspersky MDR, SIEM và XDR.

Thành phần AI này cho phép các sản phẩm phát hiện DLL hijack, một kỹ thuật phổ biến (đặc biệt là trong các cuộc tấn công có chủ đích) mà kẻ xấu sử dụng để nhúng mã độc vào phần mềm đáng tin cậy.

Kiểu tấn công này nổi tiếng là khó phát hiện, nhưng với AI, các chuyên gia phân tích SOC có thể có được khả năng quan sát chưa từng có về hành vi bất thường của phần mềm, cho phép họ ngăn chặn cuộc tấn công khi xảy ra.

Không có giải pháp duy nhất là sử dụng AI hay không sử dụng AI, có thể giải quyết tất cả các vấn đề bảo mật mạng và đáp ứng mọi nhu cầu bảo mật mạng của doanh nghiệp hiện đại.

Tuy nhiên, việc tích hợp một cách có phương pháp các công nghệ ngày càng tiên tiến vào quy trình làm việc SOC có thể làm cho các lợi ích về số lượng chẳng hạn như thời gian phản hồi trung bình thấp hơn trở thành chất lượng, tạo nên cơ sở hạ tầng bảo mật hơn. Và với AI, sự thay đổi về chất này có thể gần hơn chúng ta nghĩ.