Điều đó không có nghĩa là các nhà phân tích an ninh mạng lành nghề là không cần thiết. Thay vào đó, nó đặt câu hỏi về việc thiết kế một đối tác công nghệ phù hợp để bù đắp cho những hạn chế về lỗi và tài nguyên của con người trong các chiến lược bảo mật. Đây là một vấn đề làm thế nào các giám đốc thông tin có thể tận dụng các công nghệ mới, tiên tiến để phù hợp với quy mô và mức độ phức tạp của bối cảnh các mối đe dọa đang ngày càng phát triển.
Những mối đe dọa nằm ngoài mong đợi của con người
Các cuộc tấn công lớn như từ chối dịch vụ phân tán botnet Mirai (DDoS) và ransomware WannaCry là một minh chứng rõ ràng về phạm vi và chiều rộng của các tác nhân đe dọa mạng vượt quá những gì trước đây con người có thể nghĩ. Thêm vào đó, 2,6 tỷ hồ sơ đã bị xâm phạm trên toàn thế giới vào năm 2017, tăng 87% so với năm 2016, tương đương với 7,1 triệu hồ sơ bị đánh cắp hoặc bị mất mỗi ngày.
Việc dân chủ hóa các công cụ và kiến thức cần có để thực hiện các mối đe dọa mạng tiên tiến là một lý do chính khiến cho môi trường đe dọa này càng leo thang. Bạn không còn cần phải là một công dân tại một quốc gia nhất định mới có thể có quyền truy cập vào các công cụ hack tinh vi. Phần mềm độc hại như một dịch vụ (Malware-as-a service), và tất cả các biến thể của nó, có sẵn trên Dark Web và được bán trên một cách rộng rãi. Bất cứ ai muốn kiếm tiền nhanh và biết cách truy cập Dark Web đều có thể trở thành một hacker. Mục đích đầu tiên của các bài đăng đã thay đổi.
Nơi khả năng của con người đáp ứng nhu cầu thực tế
Tội phạm mạng là thủ phạm chính đứng đằng sau các mối đe dọa ở quy mô máy móc, nhưng chúng không đơn độc. Cho dù chỉ là một sai lầm ngớ ngẩn hay sự bất cẩn tuyệt đối, nhân viên cũng đóng một vai trò quan trọng. Sự phức tạp và quy mô của các nền tảng số hóa ngày nay đặt ra một thách thức nghiêm trọng đối với các mô hình bảo mật truyền thống, vì vẫn có khả năng xảy ra lỗi của con người.
An ninh mạng doanh nghiệp rất phức tạp và có nhiều lý do tại sao việc bảo mật nó hiện nay đòi hỏi một cách tiếp cận được tích hợp bởi các phân tích của chuyên gia và trí tuệ nhân tạo:
- Với tính liên kết và lưu trữ đám mây của nhiều dịch vụ, bề mặt tấn công được phóng to lên rất nhiều. Hầu hết mọi người cho rằng các tổ chức của họ sử dụng tới 40 ứng dụng đám mây, trong khi trên thực tế, con số này thường gần 1.000.
- Vì các công nghệ này tương đối mới, các nhóm bảo mật thường không rõ ràng về cách tốt nhất để bảo mật các ứng dụng này. Vào tháng 6/2017, tên, địa chỉ và chi tiết tài khoản của khoảng 14 triệu khách hàng Verizon đã được tìm thấy trong kho lưu trữ dữ liệu không bảo mật trên máy chủ đám mây. Đây không phải là kết quả của một cuộc tấn công độc hại; kho lưu trữ chỉ đơn giản là bị phơi nhiễm trên internet vì cấu hình không chính xác.
- Nhiều tổ chức chuyển sang các công ty công nghệ với cơ sở hạ tầng đám mây nổi tiếng vì họ cho rằng các công ty đó có các hoạt động bảo mật tốt hơn. Điều này đúng về mặt bảo mật của cơ sở hạ tầng, nhưng doanh nghiệp (khách hàng trên đám mây) đảm nhận nhiều trách nhiệm mới trong việc định cấu hình các cài đặt bảo mật có sẵn và bảo mật dữ liệu của riêng họ.
- Con người không có khả năng phát hiện các mẫu ở quy mô dữ liệu lớn. Lớn như thế nào? Đến năm 2025, sẽ tồn tại 163 zettabyte dữ liệu số
Dưới sự quản lý (thay đổi) mới
Với những ảnh hưởng này, các giám đốc công nghệ thông tin nên chọn công nghệ nào? Những vấn đề quy mô máy này đòi hỏi các giải pháp quy mô máy, như học máy. Nhưng câu hỏi đặt ra là về cách áp dụng các công nghệ này một cách đúng đắn, để tăng cường cho các nhà phân tích, chứ không phải thay thế họ. Việc sử dụng học máy tích hợp có thể có tác động thích hợp và mạnh mẽ đến ứng dụng của nó trong an ninh mạng.
Các tổ chức cần một khuôn khổ an ninh mạng mới để sử dụng hiệu quả học máy hoặc rộng hơn là trí tuệ nhân tạo. Thay vì tìm kiếm các mẫu mức thấp trong đống dữ liệu và sau đó tổng hợp đầu ra, nên tập trung vào tìm kiếm các mẫu quan trọng trong dữ liệu được tổng hợp trên nhiều nguồn.
Sử dụng các công cụ này theo cách tiếp cận tích hợp sẽ tối ưu hóa việc sử dụng các công nghệ mới này, đảm bảo rằng dữ liệu được sử dụng để xác định xu hướng và mô hình sự cố an ninh mạng có liên quan, nhiều thông tin và mang tính chính xác cao.
Triển vọng của trí tuệ nhân tạo là giúp các tổ chức tự động hóa quá trình phân tích dữ liệu tốn thời gian để tìm hiểu các mối đe dọa và tăng cường khả năng phân tích của các nhà phân tích, những người sau đó phải thêm bối cảnh và xác định cách ứng phó.
Có ba giai đoạn quản lý thay đổi trong quá trình phát triển từ quy mô con người sang quy mô máy trong phòng thủ an ninh mạng. Đó là:
- Máy móc kết hợp với các nhà phân tích lành nghề: Các nền tảng an ninh mạng dựa trên trí tuệ nhân tạo nên cố gắng phát hiện các mối đe dọa bằng cách giám sát thiết bị đo từ nhiều nguồn (như mạng và thiết bị đầu cuối). Kết quả phân tích phải được gửi đến một nhà phân tích có tay nghề cao, người sau đó sẽ tiến hành thực hiện hành động.
- Bỏ qua sự cảnh báo: Giai đoạn tiếp theo là tự động hóa quy trình từ máy móc sang con người để vượt qua hàng loạt những cảnh báo được tạo ra bởi hầu hết các công cụ hiện nay.
- Tích hợp: Giai đoạn thứ ba của quản lý thay đổi cho phép các nền tảng an ninh mạng dựa trên trí tuệ nhân tạo đạt được kết quả tốt nhất với việc sử dụng học máy tích hợp được áp dụng một cách toàn diện trong toàn bộ chiến lược bảo mật của doanh nghiệp. Các hệ thống này sử dụng tự động hóa để hoàn thành các nhiệm vụ phức tạp của con người bằng cách sử dụng dữ liệu từ toàn bộ hệ thống, không chỉ là một điểm tập trung duy nhất.
Vượt qua kẻ thù
An ninh mạng dường như trở nên khó khăn hơn với mỗi lần khai thác và các lỗ hổng mới, nhưng các giám đốc công nghệ thông tin hiện có quyền truy cập vào các vũ khí hiệu quả hơn, bao gồm cả trí tuệ nhân tạo và học máy. Chiến thắng trước các mối đe dọa tiên tiến của ngày hôm nay đòi hỏi sự hợp tác giữa con người và máy móc, sử dụng các nền tảng trí tuệ nhân tạo tích hợp giúp trao quyền cho các nhà phân tích. Đây là chiến lược sẽ giúp làm chủ làn sóng an ninh mạng.