[CEH Tiếng Việt] Module 1 – Phần 7: Trí tuệ nhân tạo và học máy trong bảo mật thông tin

Học máy (ML) và Trí tuệ nhân tạo (Al) hiện được sử dụng phổ biến trong nhiều ngành và ứng dụng khác nhau do sự gia tăng sức mạnh tính toán, khả năng thu thập dữ liệu và lưu trữ. Cùng với những tiến bộ công nghệ trong Al, chẳng hạn như ô tô tự lái, trình dịch ngôn ngữ và dữ liệu lớn thì cũng có sự gia tăng đáng kể của các mối đe dọa như ransomware, botnet, phần mềm độc hại và nạn lừa đảo qua mạng. Chúng ta sẽ cùng tìm hiểu về những công nghệ này trong bài này của Series CEH Tiếng Việt

Sử dụng Al và ML trong an ninh mạng giúp xác định các khai thác và điểm yếu mới, có thể dễ dàng phân tích để giảm thiểu các cuộc tấn công tiếp theo. Nó làm giảm áp lực cho các chuyên gia bảo mật và cảnh báo bất cứ khi nào cần hành động.

AI và ML là gì?

Trí tuệ nhân tạo là giải pháp duy nhất để bảo vệ chống lại các cuộc tấn công khác nhau mà phương pháp chống virus bình thường không thể phát hiện được. Một lượng lớn dữ liệu đã thu thập sẽ đưa vào Al để xử lý và phân tích nhằm hiểu chi tiết và xu hướng của nó. ML là một nhánh của trí tuệ nhân tạo (Al) cung cấp cho hệ thống khả năng tự học. Hệ thống tự học này kiểm tra lại và báo cáo sai lệch hoặc bất thường nào trong thời gian thực.

Có hai loại kỹ thuật phân loại ML:

• Học có giám sát (Supervised Learning): sử dụng các thuật toán lấy vào một tập hợp dữ liệu đào tạo được gắn nhãn để cố gắng tìm hiểu sự khác biệt giữa các nhãn đã cho. Nó được chia thành hai loại phụ, đó là phân loại (classification) và hồi quy (regression). Phân loại bao gồm các lớp được phân chia hoàn toàn. Nhiệm vụ chính của nó là xác định mẫu test để xác định loại của nó. Hồi quy được sử dụng khi các lớp dữ liệu không được tách biệt.
• Học không giám sát (Unsupervised Learning): sử dụng các thuật toán nhập dữ liệu đào tạo không được gắn nhãn để cố gắng suy luận tất cả các category mà không cần hướng dẫn. Học không giám sát được chia thành hai loại phụ, cụ thể là phân cụm (clustering) và giảm kích thước (dimentionality). Phân cụm chia dữ liệu thành các cụm dựa trên các điểm tương đồng của chúng, không phụ thuộc vào thông tin lớp. Giảm kích thước là quá trình giảm các kích thước (thuộc tính) của dữ liệu.

Tại sao cần sử dụng trí tuệ nhân tạo và học máy trong bảo mật thông tin?

Các mối đe dọa an ninh tiếp tục phát triển không chỉ về quy mô, mà quan trọng hơn, về mức độ tinh vi. Các tổ chức đã phải vật lộn để bắt kịp với các công nghệ và kỹ thuật mà những kẻ tấn công sử dụng. Dần dần khả năng “xác định và dự đoán” là không đủ để chống lại thách thức cơ bản ngày càng tăng này.

Sự phát triển của phân tích bảo mật nâng cao là một cân nhắc quan trọng đối với các tổ chức đang tìm cách triển khai học máy để bảo vệ chống lại một loạt các mối đe dọa bảo mật bên trong và bên ngoài. Thị trường an ninh mạng được dự đoán sẽ vượt 300 tỷ USD vào năm 2024 và thị trường an ninh mạng liên quan đến Al được dự đoán sẽ đạt giá trị 38,2 tỷ USD vào năm 2026.

Nguồn: https://www.gartner.com, https://www.morketsondmarkets.com

Theo Al Deals Tracker của CB Insights, an ninh mạng là ngành năng động thứ tư cho các giao dịch với các công ty áp dụng Al. Theo dữ liệu của CB Insights, có hơn 80 công ty tư nhân trong lĩnh vực an ninh mạng đang sử dụng Al, được phân loại thành 9 lĩnh vực chính mà họ hoạt động:

• Chống gian lận và quản lý danh tính (Anti-fraud and identity management)
• Quản lý rủi ro mạng (Cyber-risk management)
• Bảo mật di động
• Bảo mật ứng dụng
• Trí thông minh dự đoán (Predictive Intelligence)
• Bảo mật loT
• Phân tích hành vi và phát hiện bất thường (Behavioral analytics and anomaly detection)
• Bảo mật chống lừa đảo (Deception security)
• Bảo mật tự động (Automated security)

Làm thế nào Al và ML ngăn chặn tấn công?

Trí tuệ nhân tạo (Al) và cùng với nó là Học máy (ML), là một công nghệ mới nổi trong lĩnh vực an ninh mạng. Nó được áp dụng rộng rãi bởi các ngành quy mô lớn như tự động hóa, dịch vụ CNTT, chế tạo, sản xuất và tài chính.

AI và ML giúp:

• Bảo vệ và xác thực mật khẩu: Thông tin đăng nhập mật khẩu đóng một vai trò quan trọng trong việc ngăn chặn truy cập bất hợp pháp vào dữ liệu của tổ chức hoặc người dùng. Nếu thông tin đăng nhập bị xâm phạm, danh tiếng của tổ chức hoặc cá nhân có thể bị tổn hại. Al có thể được sử dụng để cải thiện xác nhận sinh trắc học và nhận dạng khuôn mặt để tăng bảo mật. Al cung cấp các mô hình mới nhất để nhận dạng khuôn mặt của một cá nhân bằng cách theo dõi các mối tương quan.
• Phát hiện và ngăn chặn lừa đảo: Al và ML thể quét và xác định các email lừa đảo nhanh hơn nhiều so với khả năng của con người. Chúng cũng có thể nhanh chóng phân biệt các trang web độc hại với các trang web hợp pháp.
• Phát hiện mối đe dọa: ML hỗ trợ phát hiện các cuộc tấn công mạng trước khi hệ thống bị xâm phạm, liên tục thông báo cho quản trị viên về các mối đe dọa mạng sắp xảy ra bằng cách thực hiện phân tích dữ liệu logic. ML cho phép các hệ thống chạy các thuật toán của nó khi dữ liệu được nhận, sau đó thực hiện học sâu và hiểu được những tiến bộ cần thiết để đảm bảo an toàn cho hệ thống thông tin.
• Quản lý lỗ hổng bảo mật: Các hệ thống dựa trên Al và ML không bao giờ cho phép lỗ hổng tồn tại lâu; chúng tự động quét tất cả các loại lỗ hổng và cảnh báo cho quản trị viên trước khi hệ thống bị khai thác. Chúng cũng có thể cung cấp thông tin của kẻ tấn công và các patterns được sử dụng để thực hiện tấn công. Các hệ thống dựa trên Al và ML này cũng có thể dự báo cách thức và thời điểm khai thác lỗ hổng bảo mật có thể xảy ra.
• Phân tích hành vi: Al và ML tạo ra các patterns người dùng cụ thể dựa trên mức độ sử dụng thường xuyên của họ. Phần mềm Al cảnh báo ngay lập tức cho quản trị viên nếu nó phát hiện bất kỳ hoạt động đáng ngờ hoặc sai lệch nào trong việc sử dụng thường xuyên.
• Chống virus dựa trên Al: Các công cụ chống virus truyền thống thực hiện quét tệp trên mạng của tổ chức để kiểm tra xem có chữ ký nào khớp với chữ ký của vi-rút hoặc phần mềm độc hại đã biết hay không. Do đó công cụ chống virus phải được cập nhật thường xuyên và bị trễ 1 khoảng thời gian. Để khắc phục những vấn đề này, các tổ chức sử dụng các chương trình chống virus dựa trên Al, sử dụng tính năng phát hiện bất thường để hiểu hành vi của chương trình. Phần mềm chống virus dựa trên Al phát hiện hành vi đáng ngờ của chương trình thay vì khớp chữ ký với virus.
• Phát hiện gian lận: ML có thể dễ dàng phân biệt giữa các giao dịch xác thực và bất hợp pháp và chặn các giao dịch gian lận.
• Phát hiện botnet: Botnet có thể bỏ qua Hệ thống phát hiện xâm nhập (IDS) bằng cách tận dụng tính kém hiệu quả của nó trong việc khớp chữ ký. Các botnet có thể được nhúng bằng cách sử dụng một mã rất phức tạp khiến chúng không thể truy cập được bằng các triển khai IDS truyền thống. Do đó, các chuyên gia bảo mật sử dụng các thuật toán Al và ML để cảnh báo về hành vi đáng ngờ và phát hiện các hành vi xâm nhập trái phép.
• Al để chống lại các mối đe dọa của Al: Attacker cũng có thể tận dụng công nghệ Al để xâm nhập. Phần mềm Al có thể phát hiện các cuộc tấn công Al sắp xảy ra trước khi mạng bị xâm phạm.