Nguyen Le PhongNguyen Le Phong

AI trong an ninh mạng

AI có thể giúp đội ngũ an ninh mạng sàng lọc cảnh báo, hỗ trợ viết mã an toàn và ứng phó sự cố nhanh hơn. Nhưng tốc độ chỉ có ích khi bằng chứng, quyền hạn và trách nhiệm kiểm chứng vẫn nằm trong tầm mắt.

Cảnh báo an ninh xuất hiện đúng lúc chẳng ai muốn: cuối buổi chiều, trình duyệt còn mở cả chục tab, một bản phát hành vẫn chờ duyệt. Dòng log thoạt nhìn rất bình thường, nhìn thêm lần nữa mới thấy hơi sai sai. Một người đưa nó vào công cụ nội bộ để hỏi nhanh. Vài giây sau, AI đã gom các dấu hiệu liên quan, đối chiếu với những sự kiện tương tự và gợi ý chỗ nên kiểm tra tiếp.

Hai người ngồi trước nhiều màn hình hiển thị các cụm điểm và sơ đồ mạng; một người dùng bút chỉ vào màn hình.
AI có ích khi giúp con người nhận ra mẫu bất thường sớm hơn mà dữ liệu gốc vẫn hiện rõ để đối chiếu.

Khoảnh khắc nhỏ ấy cho thấy cả mặt hay lẫn mặt nguy hiểm của AI trong an ninh mạng. Đội ngũ bảo mật luôn phải lội qua quá nhiều tín hiệu, quá nhiều nhiễu và quá ít thời gian. AI giỏi gom nhóm, tóm tắt, tìm mối liên hệ và diễn giải. Nhưng đây cũng là lĩnh vực mà một câu trả lời sai nhưng nghe rất chắc chắn có thể khiến mọi người yên tâm quá sớm. Câu chữ trôi chảy không thay được bằng chứng.

Sàng lọc cảnh báo là một chỗ dùng hợp lý. Một hệ thống hiện đại phát ra log, metric, trace, sự kiện ở thiết bị đầu cuối, bản ghi kiểm toán trên cloud, hoạt động định danh và cảnh báo từ nhiều nhà cung cấp. AI có thể ghép những tín hiệu có liên quan, chỉ ra điều vừa thay đổi, làm nổi bật kiểu truy cập khác thường rồi phác một hướng điều tra. Nó không thay chuyên viên phân tích; nó bớt cho họ phần đọc dữ liệu thô lặp đi lặp lại để dành sức cho phán đoán.

Trong việc viết code an toàn, AI cũng hữu ích nếu được đối xử như một trợ lý, không phải người chịu trách nhiệm cuối cùng. Nó có thể giải thích vì sao một câu SQL không an toàn, đề xuất cách kiểm tra đầu vào chặt hơn, so sánh hai luồng xác thực hoặc phát hiện chỗ thiếu kiểm tra quyền. Một nhận xét bảo mật còn mơ hồ có thể được chuyển thành kế hoạch sửa rõ ràng hơn. Dù vậy, mã nguồn vẫn phải qua kiểm thử, rà soát và phân tích mối đe dọa. AI có thể chỉ đường; nó không sở hữu rủi ro thay cho đội ngũ.

Khi xảy ra sự cố, lợi ích càng dễ thấy. Mọi người cần dựng dòng thời gian, giữ các giả thuyết, xác định hệ thống bị ảnh hưởng, soạn cập nhật và theo dõi việc tiếp theo. AI có thể ghép timeline từ log, viết nháp thông báo trạng thái hoặc tóm lại mạch trao đổi để người điều phối không bị hụt ngữ cảnh. Giá trị ở đây không phải làm căn phòng trông hiện đại hơn, mà là giảm bớt gánh nặng suy nghĩ khi sự chú ý đã bị kéo căng.

Năm người đứng quanh bàn họp, phía sau là màn hình hiển thị các thanh thời gian và một sơ đồ luồng.
Trong lúc ứng phó sự cố, một dòng thời gian và sơ đồ chung giúp cả nhóm giữ cùng ngữ cảnh khi phải quyết định nhanh.

Phía tấn công cũng dùng được AI. Email phishing có thể được cá nhân hóa kỹ hơn, việc trinh sát diễn ra nhanh hơn, phân tích mã độc hay điều chỉnh exploit bớt tốn công hơn, còn lời lẽ social engineering thì tự nhiên hơn. Điều đó không biến mọi kẻ tấn công thành chuyên gia sau một đêm, nhưng hạ thấp chi phí của nhiều thao tác. Bên phòng thủ nên chuẩn bị cho số lượng và kiểu tấn công đa dạng hơn khi tự động hóa trở nên rẻ.

Bản thân AI lại mở thêm một lớp rủi ro. Prompt injection có thể khiến công cụ làm trái chỉ dẫn ban đầu. Log nhạy cảm có thể chứa bí mật hoặc dữ liệu cá nhân không được phép gửi sang mô hình bên ngoài. Mô hình có thể bịa ra một lỗ hổng, bỏ sót lỗi thật hoặc đề xuất cách khắc phục nghe xuôi tai nhưng vô dụng. Nếu công cụ được quyền hành động chứ không chỉ gợi ý, cơ chế phân quyền của nó trở thành một phần của biên an ninh.

Vì thế, những cách dùng an toàn thường có phạm vi hẹp và ranh giới rõ. Cho AI tóm tắt cảnh báo nhưng luôn kèm sự kiện nguồn. Cho nó soạn nháp hướng khắc phục nhưng bắt buộc có người duyệt. Cho nó nêu truy vấn đáng ngờ nhưng chỉ chặn người dùng sau một phép kiểm tra xác định. Cho nó hỗ trợ viết code an toàn nhưng vẫn giữ test và static analysis trong quy trình. AI giúp sự chú ý đi nhanh hơn; quyền quyết định vẫn phải có người và cơ chế chịu trách nhiệm.

Hai người ngồi trước hai màn hình hiển thị sơ đồ khối và các cụm điểm; một người chỉ vào màn hình bên phải.
Đặt gợi ý cạnh sơ đồ và dữ liệu nguồn là cách giữ cho việc kiểm tra không bị khuất sau một câu trả lời nghe có vẻ thuyết phục.

Công cụ AI cũng cần được đo như mọi biện pháp bảo mật khác. Nó đã giảm bao nhiêu false positive? Sự cố nào được điều tra nhanh hơn? Nó bỏ sót những ca kiểm thử đã biết nào? Chuyên viên phải bác bỏ gợi ý của nó bao nhiêu lần? Không có đánh giá, cả đội chỉ còn dựa vào một bản demo đẹp và trí nhớ gần đây. Có số liệu, công cụ mới có thể được cải thiện, giới hạn hoặc gỡ bỏ nếu không tạo ra đủ niềm tin.

Cách nhìn tôi thấy hữu ích nhất khá giản dị: AI trong an ninh mạng nên làm bằng chứng dễ thấy hơn và quyết định dễ kiểm tra hơn. Nó trở nên nguy hiểm khi dùng giọng văn chắc nịch để che sự không chắc chắn, hoặc tự hành động mà không có ranh giới. Đích đến không phải một hệ thống bảo mật “tự chạy”. Đích đến là giúp những người cẩn trọng nhận ra dòng log lạ sớm hơn, đặt câu hỏi đúng hơn và xử lý tín hiệu nhỏ trước khi nó thành sự cố lớn.

Bạn thấy bài viết thế nào?