AI giúp giải mã các chiến lược của tội phạm mạng như thế nào?
An toàn thông tin - Ngày đăng : 14:30, 13/07/2024
AI giúp giải mã các chiến lược của tội phạm mạng như thế nào?
Trong lĩnh vực tình báo mối đe dọa thì các công cụ AI đang cho thấy những triển vọng to lớn đối với các nhóm an ninh mạng, bao gồm cả việc vạch trần các mối đe dọa trên web đen.
Thuật ngữ như “AI washing” đang dần trở nên phổ biến trong tư duy kinh doanh chính thống. Sự cường điệu hóa xung quanh AI khiến người ta khó phân biệt được đâu là các ứng dụng thực sự và đâu là những lời hứa suông của công nghệ.
Cuộc tìm kiếm những lợi ích kinh doanh đang diễn ra sôi nổi trong tất cả các ngành cũng như trong cả thế giới an ninh mạng, nhưng điều quan trọng là phải nhận biết được đâu là sự triển khai các công nghệ AI chỉ vì lợi ích cá nhân, đâu là các trường hợp sử dụng AI tạo ra giá trị khác biệt thực sự. Việc cường điệu hóa AI là giải pháp cho mọi vấn đề khiến mọi thứ trở nên phức tạp hơn và có thể dẫn đến bỏ lỡ các cơ hội.
Tuy nhiên, trong lĩnh vực tình báo mối đe dọa thì các công cụ AI đang cho thấy những triển vọng to lớn đối với các nhóm an ninh mạng, bao gồm cả việc vạch trần các mối đe dọa trên web đen.
Web đen là một môi trường vô cùng phức tạp, là nơi tội phạm mạng tổ chức và lên kế hoạch tấn công. AI có thể thu thập dữ liệu từ web đen, áp dụng cấu trúc vào dữ liệu đó và biến dữ liệu đó thành thông tin tình báo mà các tổ chức có thể sử dụng cho chiến lược bảo mật của mình.
AI phát huy hiệu quả trên web đen
Web đen là trường hợp điển hình của dữ liệu phi cấu trúc, rời rạc và khó phân tích. Từ các cuộc thảo luận trên diễn đàn đến danh sách thị trường và thông tin liên lạc của nhóm ransomware thường nằm rải rác trên nhiều nền tảng và ngôn ngữ khác nhau khiến việc hiểu được web đen và điều hướng được môi trường đang phát triển này rất khó khăn đối với cả các nhà phân tích mạng giàu kinh nghiệm.
Khả năng mạnh nhất của AI là xử lý, phân tích và biên dịch sang ngôn ngữ tự nhiên một cách hiệu quả. Thuật toán AI có thể nhanh chóng xác định các mẫu, mối tương quan và bất thường trong những tập dữ liệu khổng lồ, cung cấp cho các chuyên gia an ninh mạng những thông tin có giá trị.
Khả năng này không chỉ giúp nâng cao tốc độ và độ chính xác trong việc phát hiện mối đe dọa mà còn cho phép áp dụng phương pháp tiếp cận chủ động và toàn diện hơn để bảo vệ các tổ chức khỏi những mối đe dọa có nguồn gốc từ web đen. Điều này rất quan trọng trong việc phát hiện mối đe dọa sớm, hạn chế thất thoát tới hàng trăm nghìn USD khi kẻ tấn công đã đạt được mục tiêu.
Vai trò của AI trong việc vượt qua rào cản ngôn ngữ
AI rất hiệu quả trong thông dịch ngôn ngữ. Web đen là một không gian toàn cầu, tội phạm mạng ở đây hoạt động bằng nhiều ngôn ngữ khác nhau. Chúng sử dụng nhiều tiếng lóng phức tạp với những đặc thù riêng của web đen.
Dữ liệu của các nhà bảo mật cho thấy, 10 ngôn ngữ được sử dụng nhiều nhất trên web đen là các ngôn ngữ: Anh, Nga, Đức, Pháp, Tây Ban Nha, Bulgaria, Indonesia, Thổ Nhĩ Kỳ, Ý, Hà Lan và Trung. Ngôn ngữ được sử dụng nhiều nhất là tiếng Anh, tiếp đó là tiếng Nga, chiếm 66% nội dung ngôn ngữ không phải tiếng Anh.
Nhưng tiếng Nga sử dụng ở đây thường không phải là tiếng Nga trong sách giáo khoa. Cũng giống như tin tặc nói tiếng Anh với các thuật ngữ lóng, từ viết tắt và từ mã riêng thì các đối tác người Nga của họ cũng vậy. Điều này tạo ra một thách thức trong việc thu thập thông tin tình báo từ web đen, vì các chuyên gia bảo mật ngoài việc nắm bắt được cuộc trò chuyện giữa những tin tặc thì họ còn phải "giải mã" cuộc trò chuyện đó.
Trong trường hợp này, các công cụ dịch thuật truyền thống không được trang bị để dịch chính xác tiếng lóng mà tin tặc sử dụng. Nhưng bằng cách đào tạo một mô hình về các thuật ngữ lóng được sử dụng trên web đen, các công cụ dịch thuật được hỗ trợ bởi AI tùy chỉnh có thể giúp phá vỡ sự phức tạp đa ngôn ngữ này để xác định các mối đe dọa tiềm ẩn.
Phương pháp tiếp cận dựa trên AI giúp loại bỏ quy trình thủ công, dễ xảy ra những lỗi liên quan đến việc sao chép một lượng lớn nội dung hoặc tìm kiếm qua dữ liệu web đen với các thuật ngữ được dịch kém. Nhờ đó mà cải thiện hiệu quả cho các nhóm bảo mật cũng như tăng độ chính xác của thông tin tình báo.
Các mô hình AI tiên tiến cũng có thể tạo ra sự hiểu biết tốt hơn về ngữ nghĩa của bản dịch. Bằng cách sử dụng ngữ cảnh để suy ra ngữ nghĩa, AI cải thiện độ chính xác của bản dịch, cho phép các nhà phân tích dễ dàng “giải mã” các mối đe dọa.
Hiểu bản chất của mối đe dọa
Một trường hợp sử dụng tiềm năng khác của AI là nhanh chóng xác định và cảnh báo các mối đe dọa cụ thể liên quan đến một tổ chức. Một điều mà AI có thể tìm kiếm trong dữ liệu là ý định nhằm đánh giá xem một tác nhân có đang lên kế hoạch tấn công, đang xin lời khuyên, đang tìm cách mua hay bán quyền truy cập hoặc công cụ hay không. Từ đó chỉ ra mức độ rủi ro khác nhau cho mỗi tổ chức và thông báo các hoạt động bảo mật.
Ví dụ, từ những quảng cáo mà các tội phạm mạng đăng trên web đen để bán quyền truy cập vào mạng của một tổ chức thì việc giám sát những bài đăng này là một nhiệm vụ mất nhiều thời gian đối với một nhà phân tích, vì nó yêu cầu họ phải đọc qua các diễn đàn web đen hằng ngày để phát hiện ra những bài đăng liên quan trong số rất nhiều bài.
Nhưng với mô hình AI có thể được đào tạo để xác định và trích xuất những thành phần chính của các bài đăng cũng như xác định mục tiêu, cung cấp cảnh báo cho công ty để họ kiểm tra lại các giao thức bảo mật của mình, nâng cao trạng thái bảo mật và bắt đầu chủ động tìm kiếm các dấu hiệu truy cập.
Tăng cường thông tin tình báo về mối đe dọa thông qua AI
AI không phải là phương thuốc chữa bách bệnh trong an ninh mạng, nhưng nó có thể đóng một vai trò lớn trong các lĩnh vực mà con người không thể làm việc hiệu quả bởi lượng lớn dữ liệu phi cấu trúc, đặc biệt khi nguồn dữ liệu về mối đe dọa ngày càng tăng, gây khó khăn cho nhóm an ninh trong việc giám sát, trích xuất thông tin tình báo. Trong trường hợp này, AI có thể hỗ trợ hiệu quả cho các nhà phân tích an ninh mạng bằng cách nhanh chóng tìm ra các mối đe dọa nghiêm trọng nhất với độ chính xác cao nhất.
Hơn nữa, vì những cải tiến của AI giúp thu thập thông tin tình báo dễ dàng hơn và ít tốn tài nguyên hơn nên có thể cho phép các nhóm an ninh mạng nhỏ hơn thực hiện những hoạt động tình báo về những mối đe dọa tinh vi như chủ động giám sát web đen để tìm ra các mối nguy cơ tiềm ẩn đối với tổ chức của họ. Nó có thể cho phép nhiều công ty áp dụng chính sách an ninh mạng chủ động hơn. Khi có thêm những tiến bộ công nghệ thì việc tích hợp AI vào thông tin tình báo về mối đe dọa sẽ trở thành tiêu chuẩn. Tương lai, AI có thể là chất xúc tác chính trong việc đưa hoạt động giám sát web đen chủ động vào xu hướng chính thống./.