An toàn thông tin trong thời đại trí tuệ nhân tạo


An toàn thông tin trong thời đại trí tuệ nhân tạo

Trí tuệ nhân tạo (AI) đã và đang được nghiên cứu và ứng dụng mạnh mẽ trong lĩnh vực an toàn thông tin (ATTT). AI được sử dụng để phân tích dữ liệu mạng nhằm phát hiện kịp thời các cuộc tấn công vào hệ thống máy tính và được ứng dụng trong tự động phân tích và phát hiện hành vi của mã độc, phân tích và dò quét lỗ hổng bảo mật trong mã nguồn.…

An toàn thông tin trong thời đại trí tuệ nhân tạo

Đôi nét về ATTT trong thời đại Cách mạng công nghiệp 4.0

ATTT đã, đang và sẽ tiếp tục là đề tài nóng không chỉ ở Việt Nam mà trên phạm vi toàn cầu. Các cuộc tấn công mạng được ghi nhận năm sau luôn cao hơn năm trước. Theo thống kê trên toàn cầu của hãng bảo mật Symantec, trong đầu năm 2019, số lượng website bị tấn công tăng 56%, số lượng các cuộc tấn công sử dụng mã độc tăng 25%, số lượng email chứa mã độc tăng 48%….

Cùng với sự phát triển mạnh mẽ của công nghệ trong thời kỳ Cách mạng Công nghiệp 4.0 thì nguy cơ mất ATTT càng gia tăng. Số lượng các thiết bị kết nối internet tăng cao, các dịch vụ, ứng dụng trực tuyến bùng nổ trong quá trình chuyển đổi số… tạo môi trường cho các cuộc tấn công mạng xuất hiện nhiều hơn, đa dạng hơn. Ngày càng nhiều các nguy cơ mới nhằm đến các hệ thống kết nối như IoT, mobile, SCADA… với các kỹ thuật tấn công ngày càng đa dạng, phức tạp, gây khó khăn cho lực lượng đảm bảo ATTT.

AI đã có lịch sử phát triển trong nhiều năm, nhưng để đạt được các thành tựu quan trọng thì mới trong vài năm trở lại đây. AI đang được triển khai nghiên cứu, ứng dụng mạnh mẽ trong rất nhiều lĩnh vực khác nhau như trong y tế, giáo dục, kinh tế, xã hội, an ninh, quân sự…. Các bài toán trước đây khó khăn để thực hiện, nhờ các bước tiến trong phát triển và ứng dụng AI trở nên dễ dàng hơn như: nhận dạng hình ảnh, âm thanh, xử lý ngôn ngữ tự nhiên, xử lý và phân tích dữ liệu lớn. Riêng trong lĩnh vực ATTT, AI đã được nghiên cứu và ứng dụng trong nhiều sản phẩm, nhưng có thể nói giai đoạn này đang là giai đoạn phù hợp để AI có thể ứng dụng mạnh mẽ và hiệu quả. Cuộc Cách mạng Công nghiệp 4.0 đã tạo ra môi trường kết nối số làm số lượng các cuộc tấn công ngày càng gia tăng, các kỹ thuật tấn công ngày càng đa dạng và phức tạp. Các phương pháp bảo vệ truyền thống dựa vào dấu hiệu, dựa vào luật để phòng chống tấn công. Nhu cầu thực tế đòi hỏi các hệ thống phải có khả năng “dự đoán” để có thể phòng chống được cả các cuộc tấn công chưa từng được biết đến. Môi trường kết nối số bùng nổ cũng dẫn tới lượng dữ liệu mạng lớn, phức tạp, đòi hỏi các phương pháp phân tích, xử lý “thông minh” hơn. Đây chính là tiền đề để các thuật toán AI được nghiên cứu và hứa hẹn ứng dụng hiệu quả trong ATTT.

AI có thể được ứng dụng để giải quyết nhiều vấn đề khác nhau trong ATTT. Tuy nhiên theo đánh giá của các chuyên gia, AI phù hợp và có khả năng ứng dụng tốt ở các bài toán đòi hỏi phân tích dữ liệu lớn như phát hiện xâm nhập mạng, phát hiện mã độc, phát hiện lỗ hổng phần mềm, chống rò rỉ dữ liệu mật, phát hiện thư rác, tin giả…

Ví dụ, trong bài toán phát hiện xâm nhập mạng sử dụng AI đã được nghiên cứu từ khoảng 20 năm trước. Các bộ dữ liệu mạng, bao gồm cả dữ liệu tấn công mạng được nhiều cơ quan nghiên cứu, trường đại học xây dựng công phu giúp các nhóm nghiên cứu AI phát triển và đánh giá các thuật toán phát hiện xâm nhập. Các bộ dữ liệu nổi tiếng có thể kể ra như KDD99, NSL-KDD, ADFA-LD, UNSW-NB15, CSE-CIC-IDS2018… Các thuật toán AI đã tạo ra các nhóm nghiên cứu ứng dụng vào bài toán phát hiện xâm nhập và mang lại hiệu quả cao.

Bên cạnh đó, trong thời gian gần đây, các thuật toán sử dụng mô hình học sâu đã chứng minh được tiềm năng ứng dụng bằng các kết quả thử nghiệm và đạt kết quả cao với các bộ dữ liệu thử nghiệm. Nhiều công trình nghiên cứu đã đạt được mức 98-99% kết quả phát hiện chính xác các dữ liệu tấn công mạng, trong đó bao gồm cả các kỹ thuật tấn công zero-day, với tỉ lệ cảnh báo nhầm thấp (dưới 1%). Đây là kết quả với các tập dữ liệu thử nghiệm. Tuy nhiên, nó cũng cho thấy khả năng ứng dụng của AI trong bài toán này. Có nhiều hãng công nghệ cũng đã cập nhật các kết quả nghiên cứu này vào trong các giải pháp phát hiện tấn công của mình như Checkpoint, Palo Alto, IBM….

Những thách thức mới trong lĩnh vực ATTT

AI có thể được các chuyên gia nghiên cứu ứng dụng với mục đích tăng cường các biện pháp bảo mật hệ thống, nhưng cũng là mảnh đất tiềm năng để tin tặc có thể tạo ra các công cụ tấn công, khai thác tự động. Đã có nhiều tin tặc sử dụng các công cụ học máy để vượt qua các phương pháp xác thực sử dụng CAPTCHA, sử dụng AI phát triển công cụ tìm kiếm trên mạng xã hội những mục tiêu tấn công tiềm năng, sử dụng AI trong phát hiện lỗ hổng bảo mật, lỗ hổng phần mềm.

Các nhà nghiên cứu của IBM đã thử nghiệm phát triển Deep Locker, phần mềm sử dụng AI cho phép tự ẩn giấu các mã độc trong các ứng dụng thông thường để có thể qua mặt các sản phẩm antivirus hiện nay. Trong cuộc thi Cyber Grand Challenge do Cơ quan chỉ đạo các Dự án Nghiên cứu Quốc phòng Tiên tiến Hoa Kỳ (DARPA) tổ chức, các đội thi đã phát triển các công cụ tấn công hoàn toàn tự động, từ tìm kiếm lỗ hổng bảo mật, sinh mã khai thác và thực hiện tấn công. Nhóm thắng cuộc AllForSucure, đến từ đại học Carnegie Mellon, sau đó đã thành lập công ty (AllforSucure.com) với dịch vụ dựa trên hệ thống này, hướng tới tạo ra các mã khai thác tiềm năng cho các hệ thống, nhằm cảnh báo kịp thời khả năng bị tấn công. Đây là xu hướng xây dựng các công cụ tấn công hoàn toàn tự động đã và đang được phát triển, nhưng đồng thời cũng là nguy cơ mới trong lĩnh vực ATTT.

Các chuyên gia khuyến nghị 

Trong bối cảnh hiện nay, việc đảm bảo ATTT cần thực hiện đồng bộ cả về chính sách – pháp luật, giáo dục và công nghệ. Đây cũng chính là 3 lớp trong mô hình phòng thủ, bảo mật nhiều lớp được mô hình hóa để bảo đảm bảo mật và ATTT trong không gian mạng.

Lớp chính sách – pháp luật: ở nước ta thời gian vừa qua đã ban hành Luật ATTT mạng, Luật An ninh mạng tạo khung pháp lý để giải quyết các vấn đề liên quan đến ATTT trên không gian mạng. Trong quá trình triển khai thực hiện, cần tổng kết, rút kinh nghiệm, bổ sung và hoàn thiện hệ thống pháp luật trong lĩnh vực này.

Lớp công nghệ: trong những năm tiếp theo, không gian mạng sẽ phải đối mặt với các cuộc tấn công sử dụng các kỹ thuật phức tạp hơn, thông minh hơn như các hệ thống trinh sát thông minh, tấn công, khai thác hệ thống thông minh, mã độc thông minh… Chính vì vậy, các giải pháp công nghệ sẽ có xu hướng tập trung nhiều hơn vào an toàn thông minh. Các giải pháp công nghệ ứng dụng AI như giám sát mạng, phân tích dữ liệu mạng, phòng chống mã độc, phát hiện và phòng chống tấn công mạng… sẽ được chú trọng phát triển. An toàn thông minh sẽ đóng vai trò quan trọng trong mô hình đảm bảo ATTT thế hệ mới.

Lớp giáo dục ý thức bảo đảm ATTT, biện pháp giáo dục vẫn là biện pháp cần nhận được sự quan tâm nhiều hơn nữa từ các cấp. Con người vẫn luôn là yếu tố dễ gây mất ATTT nhất trong hệ thống. Chính sách tốt, công nghệ tốt, nhưng chỉ cần thao tác không đúng yêu cầu bảo mật từ những hành động đơn giản của bất kỳ nhân viên nào trong hệ thống cũng có thể tạo cơ hội cho tin tặc khai thác, tấn công. Nước ta đã có đề án tuyên truyền, phổ biến, nâng cao nhận thức về trách nhiệm về ATTT, nhưng cần mở rộng hơn, nâng cao nhận thức về bảo mật và ATTT cho nhiều đối tượng trong cộng đồng và cả xã hội.                                                                               

TS. Nguyễn Việt Hùng


Những công ty hàng đầu về áp dụng trí tuệ nhân tạo trong an ninh mạng

Việc sử dụng trí tuệ nhân tạo (AI) trong an ninh mạng ngày càng trở lên phổ biến. Mới đây, trang tin Information Age đã đưa ra danh sách các các công ty đứng đầu trong việc ứng dụng công nghệ này.

Những công ty hàng đầu về áp dụng trí tuệ nhân tạo trong an ninh mạng

Darktrace

Những dịch vụ được cung cấp bởi công ty an ninh mạng Darktrace (Anh) bao gồm phân tích dữ liệu của tổ chức/doanh nghiệp theo thời gian thực bằng học máy. Điều này cho phép kiểm tra bất kỳ sai lệch nào so với hành vi thông thường, từ đó đưa ra cảnh báo tới hệ thống của tổ chức/doanh nghiệp là đang có mối đe dọa.

Một nền tảng sử dụng AI mạnh mẽ đáng chú ý được cung cấp bởi Darktrace là Hệ thống Miễn nhiễm doanh nghiệp (Enterprise Immune System).

Sophos

Trọng tâm trong các dịch vụ an ninh mạng của công ty Sophos (Anh) là bảo vệ điểm cuối sử dụng AI, được thực hiện thông qua sản phẩm Intercept X Endpoint. Ngoài ra, Sophos cũng cung cấp tường lửa XG, sử dụng công cụ Xstream DPI, được kết nối với điểm cuối thông qua Security Heartbeat của Sophos.

Fortinet

Việc sử dụng AI trong các giải pháp của công ty Fortinet (Mỹ) liên quan đến việc phân tích hàng tỷ tấn công mạng, với thông tin tình báo dựa trên phân tích được gửi từ phòng thí nghiệm FortiGuard tới khách hàng.

Fortinet cũng cung cấp công nghệ tường lửa sử dụng AI với giải pháp FortiWeb, có tính năng phát hiện mối đe dọa đối với các ứng dụng web, được quản lý bởi 2 lớp thống kê.

Symantec

Các dịch vụ bảo mật sử dụng AI được cung cấp bởi công ty an ninh mạng Symantec (Mỹ) là các giải pháp bao gồm từ bảo vệ điểm cuối, email tới các ứng dụng đám mây. Hệ thống bảo vệ mạng tích hợp (Integrated Cyber Defence – ICD) của Symantec dựa trên đám mây, cho phép tích hợp nhiều dịch vụ lên cơ sở hạ tầng đám mây, tại chỗ và hỗn hợp.

Check Point

Công ty bảo mật Check Point (Israel) cung cấp tới khách hàng tùy chọn chỉnh sửa chức năng thông tin tình báo mối đe dọa mà hệ thống nhận được thông qua nền tảng IntelliScore, cho phép bảo vệ cụ thể theo nhu cầu của tổ chức/doanh nghiệp. Các dịch vụ bảo mật của Check Point có trên cơ sở hạ tầng đám mây, tại chỗ và di động.

Ngoài ra, Check Point cung cấp dịch vụ tới các cơ quan chính phủ cũng như các tổ chức/doanh nghiệp.

FireEye

Nền tảng thống nhất dịch vụ và thông tin tình báo của công ty bảo mật FireEye (Mỹ) bao gồm phát hiện, phòng chống và ứng phó với mối đe dọa. Giải pháp thông tin tình báo mối đe dọa Mandiant của FireEye bao gồm một loạt các gói dịch vụ, đáp ứng nhiều yêu cầu khác nhau mà tổ chức/doanh nghiệp cần, bao gồm chiến lược tài nguyên, ưu tiên lỗ hổng và thông tin tình báo theo khu vực.

Cynet

Giải pháp an ninh mạng dựa trên AI của Cynet (Israel) có tên Cynet 360 – một nền tảng bảo vệ khỏi vi phạm một cách tự động và tập trung, giúp người dùng có thể hiểu rõ hơn về những mối đe dọa và lỗ hổng, cũng như được bảo mật thông qua hệ thống phòng thủ tích hợp.

Hệ thống phòng thủ này cũng bao gồm giải pháp phòng chống antivirus thế hệ tiếp theo (next-generation antivirus – NGAV) và phát hiện, ứng phó điểm cuối (endpoint detection and response – EDR)…

Vectra

Nền tảng Cognito dựa trên đám mây của công ty AI Vectra (Mỹ) tự động hóa các hoạt động bảo mật thường được thực hiện bởi nhân viên an ninh nội bộ. Siêu dữ liệu hệ thống mạng được trích xuất và phân tích bởi các cảm biến, nhằm vận hành học máy và phát hiện mối đe dọa trước khi cho phép thực hiện biện pháp ứng phó nhanh.

BlackBerry Cylance

Những mối đe dọa mà nền tảng bảo mật AI Cylance của công ty BlackBerry (Mỹ) chống lại bao gồm: mã độc, tấn công không dùng file và tải trọng zero-day (zero-day payload). Mục đích chính của giải pháp này là loại bỏ mối đe dọa trước khi chúng xâm nhập vào hệ thống của tổ chức/doanh nghiệp và gây ra thiệt hại.

BlackBerry đã mua lại Cylance vào năm 2019. Nhà sản xuất này cũng cung cấp giải pháp Cylance Protect để bảo vệ điểm cuối.

Quang Minh


5 ứng dụng của học máy trong lĩnh vực an toàn thông tin

Học máy sẽ làm rõ ràng hơn những mối đe dọa an toàn thông tin mà các tổ chức/doanh nghiệp phải đối mặt, giúp nhân viên của họ có thể tập trung vào các nhiệm vụ có nhiều giá trị và chiến lược. Học máy cũng có thể là chìa khóa để phòng chống các tấn công như WannaCry tiếp theo.

5 ứng dụng của học máy trong lĩnh vực an toàn thông tin

Nói một cách đơn giản nhất, học máy được định nghĩa là “khả năng học (của máy tính) mà không cần lập trình cụ thể”. Với khả năng sử dụng các kỹ thuật toán học để xử lý các bộ dữ liệu khổng lồ, các thuật toán học máy xây dựng lên các mô hình hành vi và dùng các mô hình đó như cơ sở để đưa ra các dự đoán tương lai dựa trên dữ liệu đầu vào mới. Học máy được Netflix sử dụng để đề xuất các series truyền hình mới dựa trên lịch sử xem trước đó của người dùng, hay xe tự lái có thể học điều kiện của môi trường di chuyển từ những sự cố có thể va chạm với người đi bộ.

Những ứng dụng của kỹ thuật học máy trong an toàn thông tin là gì? Về nguyên tắc, học máy có thể giúp doanh nghiệp phân tích mối đe dọa và ứng phó với tấn công hay sự cố an toàn thông tin một cách tốt hơn. Học máy cũng giúp tự động hóa những nhiệm vụ đơn giản được thực hiện bởi đội ngũ an toàn thông tin quá bận rộn hay đôi khi là thiếu kỹ thuật.

Xu hướng sử dụng học máy trong an toàn thông tin đang phát triển nhanh chóng. Các nhà phân tích tại hãng nghiên cứu thị trường ABI Research (Mỹ) ước tính rằng, học máy trong an ninh mạng sẽ thúc đẩy chi tiêu vào dữ liệu lớn (big data), trí tuệ nhân tạo (AI) và phân tích dữ liệu lên tới 96 triệu USD vào năm 2021, trong khi một vài công ty công nghệ khổng lồ trên thế giới đã sẵn sàng những bước đi của mình trong lĩnh vực này để bảo vệ khách hàng của mình tốt hơn.

Google đang sử dụng học máy để phân tích những mối đe dọa đối với các điểm cuối là thiết bị di động sử dụng hệ điều hành Android, cũng như nhận diện và loại bỏ mã độc khỏi lây nhiễm tới các thiết bị cầm tay. Trong khi đó, công ty khổng lồ về dịch vụ đám mây Amazon đã mua lại công ty bảo mật mạng harvest.AI và ra mắt Macie – một dịch vụ sử dụng học máy để khám phá, sắp xếp và phân loại dữ liệu được lưu trữ trên dịch vụ lưu trữ đám mây S3.

Đồng thời, các nhà cung cấp sản phẩm an toàn thông tin cho doanh nghiệp đã nỗ lực để kết hợp học máy vào các sản phẩm mới và cũ, chủ yếu để cải thiện khả năng phát hiện mã độc. “Phần lớn các công ty bảo mật lớn đã chuyển từ hệ thống thuần túy sử dụng hệ thống dựa trên dấu hiệu (signature-based) để phát hiện mã độc sang hệ thống học máy. Hệ thống này cố gắng diễn giải các hành động, sự kiện và học từ nhiều nguồn khác nhau về những gì là an toàn hoặc không an toàn”, theo Jack Gold, Chủ tịch và nhà phân tích của hãng phân tích công nghệ J. Gold Associates (Mỹ). “Tuy vẫn là một lĩnh vực mới mẻ, nhưng rõ ràng đây là con đường để đi đến tương lai. Trí tuệ nhân tạo và học máy sẽ thay đổi đáng kể cách thức xây dựng hệ thống an toàn thông tin”.

Mặc dù sự chuyển đổi này không thể hoàn thành ngay lập tức, nhưng học máy đã bắt đầu nổi lên trong một số lĩnh vực nhất định. “AI – một định nghĩa rộng bao gồm học máy và học sâu – đang ở trong giai đoạn đầu trong việc nâng cao sức mạnh cho an ninh mạng. Trong đó, chúng ta chủ yếu thấy các ứng dụng rõ ràng trong việc phát hiện mô hình các hoạt động độc hại, cho dù ở điểm cuối, trong hệ thống mạng, các gian lận lừa đảo hay tại đám mây SIEM. Nhưng tôi tin rằng chúng ta sẽ nhìn thấy nhiều hơn nữa các ứng dụng của AI trong lĩnh vực phòng chống gián đoạn dịch vụ, sửa đổi quyền hạn và hành vi người dùng”, Dudu Mimran, Giám đốc công nghệ (CTO) của Phòng thí nghiệm đổi mới Deutsche Telekom (đồng thời của Trung tâm Nghiên cứu an ninh mạng, Đại học Ben-Gurion tại Israel). 

Dưới đây sẽ làm rõ những ứng dụng phổ biến nhất của học máy trong lĩnh vực an toàn thông tin.

1. Sử dụng học máy để phát hiện hành vi độc hại và ngăn chặn tấn công

Thuật toán học máy sẽ giúp doanh nghiệp phát hiện các hành vi độc hại nhanh hơn và ngăn chặn tấn công trước khi bắt đầu. David Palmer, Giám đốc công nghệ của công ty khởi nghiệp Darktrace (Anh) – công ty có nhiều thành công về giải pháp miễn nhiễm cho doanh nghiệp dựa trên học máy kể từ khi thành lập năm 2013 đã nhìn thấy sự ảnh hưởng của các công nghệ này.

Palmer phát biểu rằng, mới đây Darktrace đã giúp một casino ở Bắc Mỹ phát hiện sự cố đánh cắp dữ liệu sử dụng “bể cá thông minh” là lối xâm nhập mạng. Công ty cũng tuyên bố đã ngăn chặn những cuộc tấn công tương tự trong cuộc khủng hoảng tấn công mã độc tống tiền WannaCry vào mùa hè năm 2016.

“Những thuật toán của chúng tôi đã phát hiện ra cuộc tấn công tới mạng của một cơ quan Dịch vụ chăm sóc sức khỏe quốc gia trong vòng vài giây và mối đe dọa này đã được giảm thiểu mà không gây bất kỳ thiệt hại nào tới tổ chức”, Palmer phát biểu về mã độc tống tiền WannaCry đã gây thiệt hại tới hơn 200.000 nạn nhân trên 150 quốc gia.

2. Sử dụng học máy để phân tích điểm cuối di động

Học máy đã trở thành xu hướng phổ biến trên các thiết bị di động, nhưng cho đến nay, hầu hết các hoạt động này là để phát triển các trải nghiệm dựa trên giọng nói như của Google Now, Siri của Apple và Alexa của Amazon, đồng thời, cũng có ứng dụng trong an toàn thông tin. Như đã đề cập ở trên, Google đang sử dụng học máy để phân tích các mối đe dọa đối với những điểm cuối di động, trong khi đó các doanh nghiệp nhìn thấy khả năng bảo vệ số lượng các thiết bị di động tự mang (bring-your-own-device) và tự chọn (choose-your-own-device) ngày một tăng lên.

Tháng 10/2017, hai công ty MobileIron và Zimperium có trụ sở tại Mỹ đã công bố sự hợp tác nhằm hỗ trợ doanh nghiệp áp dụng các giải pháp phòng chống mã độc di động kết hợp học máy. MobileIron cho biết, đây là sự kết hợp giữa tính năng phát hiện đe dọa dựa trên học máy của Zimperium với công cụ bảo mật và chuẩn hóa của MobileIron để cung cấp cho thị trường một giải pháp kết hợp. Từ đó, giải quyết các thách thức như phát hiện các mối đe dọa đối với thiết bị, trên mạng, trong ứng dụng và lập tức đưa ra những hành động tự động để bảo vệ dữ liệu của doanh nghiệp.

Các nhà cung cấp khác cũng đang tìm kiếm các biện pháp tăng cường cho di động. Cùng với các hãng bảo mật Zimperium, thì LookOut, Skycure (đã được Symantec mua lại) và Wandera đang được xem là những hãng đi đầu trong thị trường phòng chống và phát hiện mối đe dọa di động. Mỗi hãng đều sở hữu một thuật toán học máy riêng để phát hiện các mối đe dọa tiềm tàng. Wandera gần đây đã công bố rộng rãi công nghệ phát hiện đe dọa MI: RIAM, được báo cáo đã phát hiện hơn 400 biến thể của mã độc tống tiền Slocker đã đóng gói, nhằm vào các thiết bị di động của doanh nghiệp.

3. Sử dụng học máy để tăng cường khả năng phân tích của con người

Đối với ứng dụng học máy trong an toàn thông tin, nó có thể giúp con người phân tích đối với mọi khía cạnh công việc, bao gồm phát hiện các cuộc tấn công độc hại, phân tích mạng, bảo vệ điểm cuối, đánh giá lỗ hổng. Mặc dù, lĩnh vực được coi là có tiềm năng nhất là thông tin tình báo mối đe dọa.

Ví dụ, năm 2016, Phòng thí nghiệm khoa học máy tính và trí tuệ nhân tạo của MIT (CSAIL) đã phát triển một hệ thống gọi là AI2, một nền tảng bảo mật sử dụng học máy thích nghi để giúp cho các nhà phân tích tìm ra “kim đáy bể”. Với việc theo dõi hàng triệu lượt đăng nhập mỗi ngày, hệ thống có khả năng lọc dữ liệu và chuyển đến nhà phân tích, giảm cảnh báo xuống còn 100 lượt mỗi ngày. Một thí nghiệm được thực hiện bởi CSAIL và công ty khởi nghiệp PatternEx – cho thấy rằng tỷ lệ phát hiện các cuộc tấn công tăng lên 85% và tỷ lệ phát hiện sai giảm gấp 5 lần.

4. Sử dụng học máy để tự động hóa các nhiệm vụ bảo mật lặp lại

Lợi ích thực sự của học máy là có thể tự động hóa các nhiệm vụ lặp lại, cho phép nhân viên có thể tập trung vào những công việc quan trọng. Palmer cho rằng, xét cho cùng thì học máy nên nhằm mục đích loại bỏ sự cần thiết của những hoạt động lặp lại, hoạt động quyết định có giá trị thấp đối với con người, như xử lý thông tin tình báo mối đe dọa. Để máy móc đảm nhận những công việc lặp lại và ứng phó với tấn công như làm gián đoạn mã độc tống tiền, từ đó giải phóng con người khỏi những nhiệm vụ này để giải quyết những vấn đề chiến lược.

Nhà quản lý người Mỹ Booz Allen Hamilton đã đi theo con đường này. Ông được biết đến sử dụng các công cụ AI để phân bổ nguồn lực an ninh con người hiệu quả hơn, xử lý các mối đe dọa. Từ đó, nhân viên có thể tập trung vào các cuộc tấn công nghiêm trọng.

5. Sử dụng học máy để vá lỗ hổng zero-day

Nhiều người cho rằng học máy có thể giúp vá lỗ hổng, cụ thể là các mối đe dọa zero-day và các mối đe dọa khác mà mục tiêu chủ yếu là những thiết bị IoT không bảo mật. Theo Tạp chí doanh nghiệp Forbes (Mỹ), một nhóm tại Trường đại học Bang Arizona đã sử dụng học máy để giám sát các luồng truy cập dark web để xác định dữ liệu có liên quan đến các khai thác lỗ hổng zero-day. Khi được trang bị giải pháp này, các tổ chức sẽ có khả năng vá các lỗ hổng và ngăn chặn các khai thác trước khi dẫn đến rò rỉ dữ liệu.

Tuy nhiên, học máy không phải là một “viên đạn bạc”, giải pháp tổng thể cho mọi vấn đề, ít nhất là với một ngành công nghiệp vẫn còn đang thử nghiệm các công nghệ trong chứng minh khái niệm, nên tồn tại nhiều khó khăn. Các hệ thống học máy vẫn có thể báo cáo phát hiện sai (từ hệ thống học không giám sát mà các thuật toán phân loại dựa trên dữ liệu). Trong khi đó, một vài nhà phân tích đã phát biểu thẳng thắn rằng học máy trong an toàn thông tin được ví như một giải pháp “hộp đen”, trong đó các giám đốc bảo mật (CISO) không hoàn toàn chắc chắn về cách thức thực hiện bên trong nó. Do đó, họ buộc phải đặt niềm tin và trách nhiệm của mình lên vai của nhà cung cấp và máy móc.

Dù sao, ý tưởng về sự tin cậy này là không lý tưởng trong thế giới mà các biện pháp bảo mật có thể không cần đến học máy. Theo Palmer, “Hầu hết các phát minh về học máy được quảng cáo không thực sự học được những gì cần phải học trong môi trường của khách hàng. Thay vào đó là những mô hình được huấn luyện dựa trên các mẫu mã độc trên đám mây của nhà cung cấp và được các doanh nghiệp tải xuống như một chương trình chống virus dựa trên dấu hiệu. Đây không thực sự là một tiến bộ trong an toàn thông tin đối với khách hàng và về cơ bản vẫn lạc hậu”.

Ngoài ra, tồn tại một vấn đề trong dữ liệu mẫu huấn luyện cần thiết để thuật toán huấn luyện mô hình trước khi áp dụng vào thực tế là việc sử dụng và triển khai dữ liệu ít hoặc kém sẽ dẫn đến kết quả còn tệ hơn. Học máy chỉ tốt nếu thông tin đầu vào được cung cấp là tốt. Do vậy, nếu thuật toán học máy không được thiết kế tốt, kết quả sẽ không thực sự hữu dụng. Có những thuật toán xử lý được dữ liệu huấn luyện là một mặt, nhưng một trong những thách thức lớn nhất về an toàn mạng sử dụng học máy là cần thiết kế hoạt động ở quy mô mạng phức tạp và thực tế.

Quang Minh (Theo CSOonline)


Học máy: Sức mạnh lớn ẩn chứa nhiều lỗ hổng mới

Học máy đã mang đến cho con người rất nhiều ứng dụng vượt trội như ô tô tự lái, phần mềm xử lý hình ảnh, nhận diện giọng nói, xác thực sinh trắc học và khả năng giải mã hệ gen di truyền của con người. Song song, nó cũng có thể cung cấp cho tin tặc nhiều phương diện tấn công và phương thức phá hoại.

Học máy: Sức mạnh lớn ẩn chứa nhiều lỗ hổng mới

Những ứng dụng của học máy không giống như của các công nghệ trước đó, nên việc hiểu rõ các nguy cơ khi ứng dụng trở thành một điều thiết yếu. Những hậu quả có thể xảy ra sau một tấn công vào mô hình kiểm soát mạng của các phương tiện tự hành được kết nối, hay điều phối điều khiển truy cập của nhân viên bệnh viện sẽ rất khó lường. Cần phải xem xét các mối đe dọa thông thường hơn, như gian lận hệ thống điều khiển sinh trắc học để xâm nhập trái phép.

Học máy vẫn đang trong giai đoạn đầu của sự phát triển và hướng tấn công vào học máy vẫn còn chưa rõ nét. Vì vậy, chiến lược bảo vệ không gian mạng cũng đang ở những giai đoạn đầu. Mặc dù không thể ngăn chặn mọi hình thức tấn công, nhưng việc hiểu rõ cách thức chúng xảy ra giúp chúng ta giới hạn được và đưa ra chiến lược ứng phó.

Sự tiếp cận có cấu trúc của an toàn thông tin sử dụng học máy

Mô hình phát hiện mối đe dọa là tiến trình tối ưu hóa bảo mật áp dụng sự tiếp cận có cấu trúc nhằm nhận diện và giải quyết mối đe dọa. Mô hình phát hiện đe dọa bảo mật bằng học máy làm nhiệm vụ tương tự những mô hình học máy khác. Nó được sử dụng trong giai đoạn đầu của việc xây dựng và phát triển các mô hình học máy để phát hiện mọi mối đe dọa và hướng tấn công có thể có.

Có 4 câu hỏi cơ bản cần trả lời đối với sự tiếp cận có cấu trúc này.

Đối tượng gây ra mối đe dọa là ai?

Đối tượng gây ra mối đe dọa có thể là một quốc gia, tin tặc hay nhân viên lừa đảo. Mỗi loại đối thủ có những đặc điểm khác nhau, từ đó yêu cầu những biện pháp phòng chống, ứng phó khác nhau. Lý do để tấn công rất đa dạng, đó là vì sao mà câu hỏi “tại sao” và “là gì” được mô tả phía dưới là rất quan trọng.

Tại sao tấn công và động cơ tấn công là gì?

Có rất nhiều yếu tố có thể ảnh hưởng đến kẻ tấn công nhắm vào hệ thống học máy. Các chiến lược phòng thủ nên bắt nguồn từ CIA – 3 mặt của mô hình quản lý bảo mật thông tin, bao gồm: bảo mật (confidentiality), toàn vẹn (integrity) và sẵn sàng (availability). Cụ thể:

– Tính bảo mật đảm bảo rằng chỉ những người có quyền hợp pháp thì mới có thể truy cập thông tin. Sự bảo vệ này có thể ngăn chặn đối tượng muốn truy xuất dữ liệu nhạy cảm bằng cách xâm phạm dữ liệu huấn luyện.

– Một cuộc tấn công nhắm đến tính toàn vẹn sẽ cố gắng ảnh hưởng đến hành vi của mô hình, ví dụ: như trả về trạng thái dương tính giả trong hệ thống nhận diện khuôn mặt. Những cách bảo vệ như sao lưu thường xuyên, chữ ký điện tử, kiểm toán sẽ đảm bảo rằng thông tin không bị thay đổi hay giả mạo.

– Một tấn công vào tính sẵn sàng có thể nhắm đến việc giảm tính đồng nhất, hiệu suất hoặc quyền truy cập tới mô hình học máy. Những biện pháp hiệu quả trong thực tế để bảo vệ tính sẵn sàng, ví dụ: duy trì máy chủ dự phòng và áp dụng các công cụ chống mất mát dữ liệu, khiến thông tin luôn sẵn sàng khi cần thiết.

Phương thức tấn công là gì?

Các hệ thống học máy mở ra những con đường mới cho những cuộc tấn công mà không xuất hiện trong những chương trình thủ tục truyền thống. Một trong số đó là tấn công lẩn tránh hoặc tấn công đối kháng, trong đó tin tặc cố gắng chèn các dữ liệu đầu vào vào các mô hình học máy để cố ý gây ra các sai sót. Dữ liệu đó có thể trông vô hại với con người, nhưng những thay đổi nhỏ đó có thể khiến các thuật toán học máy đi lệch hướng.

Những kỹ thuật tấn công đó có thể xảy ra tại thời điểm suy luận (inference) bằng cách khai thác thông tin trong mô hình, thông thường theo một trong hai cách sau: Trong cuộc tấn công hộp trắng, kẻ tấn công có một vài thông tin về mô hình, thu được một cách trực tiếp hoặc thông qua các tác nhân không tin cậy trong đường xử lý dữ liệu. Nếu trong tình huống hộp đen, kẻ tấn công không biết gì về các hoạt động bên trong của hệ thống, nhưng phát hiện các lỗ hổng bằng cách liên tục thăm dò và tìm các mẫu cho kết quả trái với mô hình học.

Các hướng tấn công dữ liệu mới

Dựa vào thời điểm tấn công, có thể phân ra 2 loại phương thức của một cuộc tấn công học máy: tấn công trong giai đoạn suy luận và tấn công trong giai đoạn huấn luyện. Trong một cuộc tấn công tại giai đoạn suy luận, tin tặc có thông tin cụ thể về mô hình và/hoặc dữ liệu huấn luyện. Không cần thiết phải truy cập trực tiếp tới hệ thống để thu thập thông tin. Các kỹ thuật thăm dò, chẳng hạn như các cuộc tấn công kênh kề và từ xa, có thể cho phép kẻ thù xâm nhập các hệ thống học máy đã được triển khai bằng cách suy luận ra lôgic của hệ thống thông qua các phản hồi từ dữ liệu vào, hoặc bằng cách sử dụng kỹ thuật đầu độc dữ liệu (data poisoning). Từ đó, kể tấn công có thể nhắm trực tiếp vào phần cứng.

Tấn công tại giai đoạn huấn luyện là cố gắng học và phá hỏng mô hình. Dựa trên tính có sẵn của dữ liệu, tin tặc có thể sử dụng những mô hình thay thế để kiểm tra đầu vào trước khi tấn công nạn nhân.

Cũng có hai cách để thay thế mô hình. Phương pháp nhiễm độc sẽ sửa đổi các dữ liệu sẵn có bằng cách chèn các thành phần không tin cậy, dẫn đến kết quả của mô hình cũng trở nên không chính xác. Phương pháp thay thế nguy hiểm hơn là phá hoại tính lôgic của mô hình, mà kẻ tấn công thay đổi chính thuật toán học máy. Kỹ thuật này đặc biệt nguy hiểm bởi vì kẻ tấn công có thể chiếm quyền điều khiển hệ thống một cách hiệu quả và chỉ định bất cứ đầu ra nào mà chúng muốn.

Các tấn công mô hình học máy

Khi liên kết tất cả các yếu tố với nhau, có thể xác định 3 phương thức tấn công riêng biệt nhắm vào các giai đoạn khác nhau của quá trình học máy:

Tấn công lẩn tránh (Evasion attacks): Đây là loại tấn công phổ biến nhất. Thường xảy ra trong thời điểm suy luận. Tấn công né tránh cố gắng thay đổi dữ liệu đầu vào khiến cho mô hình đưa ra kết quả không chính xác.

Tấn công nhiễm độc (Poisoning attacks): Kiểu tấn công này được thực hiện trong giai đoạn suy luận, nhằm vào tính toàn vẹn và sẵn sàng của hệ thống học máy. Tấn công nhiễm độc thay đổi các tập dữ liệu huấn luyện bằng chèn, xóa bỏ, hoặc sửa đổi những điểm có tính quyết định để thay đổi các đường biên (boundary) của mô hình đích.

Tấn công quyền riêng tư (Privacy attacks): Loại tấn công này thường xảy ra trong quá trình huấn luyện. Mục đích không phải phá hủy mô hình huấn luyện mà để thu thập thông tin nhạy cảm.

Thêm vào đó, có nhiều loại tấn công xảy ra trong một hoặc cả hai giai đoạn huấn luyện và suy luận. Chúng bao gồm tấn công điểm neo, tấn công mô phỏng, trích xuất mô hình, tìm đường dẫn….

Mặc dù, các kiểu tấn công mới có thể xuất hiện khi học máy đang trở nên phổ biến, nhưng việc hiểu những lỗ hổng và các chiến thuật phòng chống cơ bản là bước đầu để chống lại các kiểu tấn công này.

Quang Minh (Theo Security Intelligence)

Nguoidentubinhduong tổng hợp tại website : http://www.antoanthongtin.vn

2 thoughts on “An toàn thông tin trong thời đại trí tuệ nhân tạo

Thank you so much

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s