Hãy tưởng tượng một sáng đầu tuần, hệ thống doanh nghiệp đột ngột tê liệt. Dữ liệu bị khóa kèm theo yêu cầu tiền chuộc. Đây không còn là viễn cảnh xa vời. Tháng 2/2025, tập đoàn truyền thông Lee Enterprises (Mỹ) đã trở thành nạn nhân của một cuộc tấn công ransomware. Sự cố gây gián đoạn hoạt động tại 77 tờ báo hàng ngày và hơn 350 ấn phẩm. Trước các mối đe dọa ngày càng tinh vi, hệ thống phòng thủ truyền thống đang tỏ ra quá tải. Đây cũng chính là lúc các công nghệ tiên tiến như AI tạo sinh (GenAI) bắt đầu được kỳ vọng sẽ mở ra hướng đi mới trong bảo mật an ninh mạng. GenAI không chỉ giúp phát hiện nhanh hơn, mà còn phản ứng thông minh hơn với các cuộc tấn công.
GenAI trong cuộc chiến ransomware
Năm 2024 chứng kiến bước ngoặt quan trọng trong thế giới ransomware. Sau hàng loạt chiến dịch truy quét quốc tế, nhóm ransomware LockBit suy yếu đáng kể. Tuy nhiên, điều đó không đồng nghĩa với việc mối đe dọa suy giảm. Khoảng trống nhanh chóng được thay thế bởi những nhóm mới. Điển hình là RansomHub. Với chiến thuật ngày càng tinh vi, phạm vi tấn công mở rộng hơn trên toàn cầu.
Top 5 nhóm Ransomware hoạt động tích cực nhất trong năm 2024
Theo báo cáo từ Trellix (tháng 11/2024), các nhóm ransomware không chỉ nhắm vào tập đoàn lớn. Chúng còn chuyển hướng mạnh mẽ sang các doanh nghiệp vừa và nhỏ, cơ quan công quyền, tổ chức giáo dục và y tế. Đặc biệt, những ngành trọng yếu như y tế, sản xuất và hạ tầng liên tục trở thành mục tiêu chính. Hậu quả thường rất nghiêm trọng, bao gồm gián đoạn hoạt động, mã hóa dữ liệu và các vụ tống tiền tinh vi.
Top 5 lĩnh vực bị nhắm đến nhiều nhất
Thực tế cho thấy, triệt phá một nhóm ransomware như LockBit là chưa đủ. Hiểm họa này vẫn tiếp diễn. Tội phạm mạng liên tục thích nghi, biến đổi chiến thuật để khai thác các lỗ hổng bảo mật mới. Chính vì vậy, GenAI cần được tích hợp sâu vào hệ thống bảo mật an ninh mạng để nâng cao khả năng phòng thủ.
Thách thức lớn nhất trong việc phòng chống ransomware là phát hiện sớm các cuộc tấn công ngay từ giai đoạn đầu xâm nhập. Trong trường hợp này, chỉ số Mean Time To Detection (MTTD) chính là thước đo quan trọng cho khả năng này. GenAI đã được chứng minh hiệu quả khi rút ngắn đáng kể MTTD. Nhờ đó, doanh nghiệp phản ứng nhanh hơn. Phát hiện sớm hơn. Và ngăn chặn thành công các cuộc tấn công trước khi dữ liệu quan trọng bị mã hóa.
Quy trình tự động hóa điều tra bảo mật nhờ GenAI
GenAI trong bảo mật an ninh mạng cho phép doanh nghiệp tự động hóa hoàn toàn quá trình điều tra bảo mật qua các bước chuyên nghiệp và rõ ràng:
- Phân loại hành vi: GenAI nhanh chóng phân tích các hành vi hệ thống, xác định rõ hành động hợp pháp và bất thường
- Xác định các thực thể liên quan: Tự động nhận diện tài khoản người dùng, địa chỉ IP và công cụ, giúp điều tra nhanh chóng và chính xác
- Xây dựng baseline hành vi: Xác định hành vi chuẩn của người dùng và hệ thống, giúp nhận diện ngay các bất thường nhỏ nhất
- Tái hiện chuỗi sự kiện: Dựng lại chi tiết toàn bộ diễn biến cuộc tấn công để phân tích nhanh nguyên nhân và hậu quả
- Ra quyết định ứng phó nhanh: GenAI tự động đề xuất các hành động phù hợp theo mức độ nghiêm trọng và ngữ cảnh cụ thể, giúp giảm thiểu thiệt hại nhanh chóng và hiệu quả
Lựa chọn đúng mô hình AI bảo mật
Không phải mọi mô hình ngôn ngữ lớn (Large Language Model – LLM) đều được tạo ra như nhau. Việc chọn sai mô hình AI có thể dẫn đến quyết định bảo mật sai lầm. Những sai lầm này có thể gây hậu quả nghiêm trọng. Trellix đã phát triển một khung đánh giá chuyên biệt. Mục tiêu là lựa chọn các mô hình LLM phù hợp nhất cho các tác vụ bảo mật. Khung này dựa trên ba tiêu chí quan trọng:
- Chất lượng phân tích: Khả năng cung cấp các phân tích chi tiết, sâu sắc
- Độ chính xác của phản hồi: Đảm bảo tính chính xác trong các quyết định bảo mật
- Chi phí vận hành hợp lý: Cân bằng giữa hiệu quả và chi phí để triển khai rộng rãi
Hiệu suất của các mô hình có sự khác biệt rõ rệt. Sự khác biệt này dựa trên các tiêu chí quan trọng với chuyên gia an ninh mạng. Bao gồm chất lượng, chi phí, độ chính xác và mức độ chi tiết
Các mô hình LLM được Trellix khuyến nghị:
- Claude Sonnet (Anthropic): Nổi bật trong các phân tích phức tạp, với khả năng giải mã và tra cứu thông tin hệ thống vượt trội. Thậm chí, chính xác hơn cả con người trong một số tác vụ
- Amazon Nova Micro: Tối ưu cho xử lý nhanh, định dạng dữ liệu và tác vụ đơn giản với chi phí hợp lý
- Amazon Nova Lite: Phù hợp với các tác vụ tự động hóa kỹ thuật như viết mã, tạo hoặc nâng cấp plugin bảo mật – hỗ trợ tạo nội dung mới một cách linh hoạt
Đánh giá hiệu năng thực tế của các mô hình AI trong phân tích mã độc
Trong một thử nghiệm phân tích script PowerShell được mã hóa base64. Các mô hình AI thể hiện khả năng khác biệt rõ rệt:
- Claude Sonnet 3.5 V2: Giải mã đầy đủ, hiểu đúng ngữ cảnh và xác định chính xác đây là thao tác quản trị hợp lệ (MDM). Khả năng phân tích vượt trội hơn cả chuyên gia bảo mật
- Gemini 1.5 Pro: Dù giải mã thành công nhưng đánh giá sai ngữ cảnh – hiểu nhầm thao tác cập nhật Windows chuẩn thành hành vi độc hại. Còn hạn chế trong hiểu biết về thực tiễn quản trị hệ thống doanh nghiệp
- Amazon Nova Pro: Nhận diện đúng tính hợp lệ nhưng chỉ ở mức khái quát, thiếu khả năng phân tích sâu hoặc giải mã cụ thể
Hiệu năng của các mô hình dao động từ mức “Sai lệch” đến “Vượt trội hơn con người”
Trellix Wise: Phát triển GenAI trong bảo mật an ninh mạng
Ra mắt vào năm 2024, Trellix Wise là nền tảng GenAI tiên phong của Trellix trong lĩnh vực an ninh mạng. Giải pháp được phát triển trên nền tảng hơn 25 năm kinh nghiệm tình báo mối đe dọa. Đồng thời, kết hợp 10 năm xây dựng mô hình AI, học máy.
Lấy GenAI làm cốt lõi, Trellix Wise mang đến 4 khả năng đột phá:
- Tự động điều tra cảnh báo
- Hiểu rõ ngữ cảnh
- Tạo dựng chuỗi sự kiện chi tiết
- Ra quyết định tự động
Bảng điều khiển điều tra cảnh báo
Bằng cách giảm thiểu cảnh báo giả, phát hiện các mối đe dọa ẩn và rút ngắn thời gian phản hồi. Trellix Wise giúp các nhóm an ninh mạng vận hành hiệu quả hơn. Đặc biệt là trong những tình huống ưu tiên cao như ransomware và đánh cắp danh tính.
Khác với các chatbot cần prompt từ chuyên gia. Trellix Wise đã được huấn luyện trước để tập trung vào các tín hiệu giá trị. Giải pháp này còn tích hợp chặt với hệ thống bên thứ ba. Điều này giúp tăng cường khả năng phản ứng một cách chủ động.
Đọc thêm: Trellix Wise: GenAI giải quyết mọi thách thức an ninh mạng
Tội phạm mạng cũng dùng GenAI – Thách thức cấp bách cho doanh nghiệp
Không chỉ các tổ chức, doanh nghiệp mà cả tội phạm mạng cũng đang tận dụng GenAI để gia tăng tốc độ và mức độ tinh vi trong các cuộc tấn công mạng. Các diễn đàn ngầm như XSS và Exploit ghi nhận AI tạo sinh được ứng dụng vào spear phishing, botnet và ransomware. Điển hình như hacker hackeryaroslav. Người này đã rao bán công cụ phân tích bảo mật tích hợp Gemini API và chia sẻ mã tạo email spear phishing dùng OpenAI API, nhằm tăng khả năng lừa đảo. Botnet ứng dụng AI cũng ngày càng phát triển, dễ dàng vượt qua các lớp bảo mật thông thường.
Diễn biến này nhấn mạnh GenAI đã trở thành vũ khí quan trọng của tội phạm mạng. Doanh nghiệp phải chủ động hơn nữa trong việc tích hợp GenAI vào hệ thống phòng thủ an ninh số.
Kết luận
An ninh mạng giờ đây là một cuộc đua khốc liệt về tốc độ và khả năng thích nghi. Doanh nghiệp tận dụng hiệu quả GenAI sẽ luôn dẫn trước các mối đe dọa và đối thủ cạnh tranh.
Doanh nghiệp có thể trải nghiệm Trellix Wise thông qua các bản demo hoặc workshop chuyên sâu. Để tìm hiểu và trải nghiệm trực tiếp năng lực bảo mật vượt trội của GenAI từ Trellix. Vui lòng liên hệ Mi2 JSC ngay hôm nay để được tư vấn chi tiết.
