AI đã thay đổi hoàn toàn cục diện kinh tế của các cuộc tấn công lừa đảo mạng. Giờ đây, một kẻ tấn công có thể tạo ra hàng ngàn email lừa đảo tinh vi, danh tính giả mạo và các kịch bản lừa đảo tùy chỉnh nhanh hơn nhiều so với thời gian để một đội phòng thủ hoàn thành một chu trình kiểm soát thay đổi.
Đây chính là thách thức bảo mật mới: các hoạt động lừa đảo trở nên nhanh hơn và rẻ hơn, trong khi quá trình xác minh lại không hề được cải thiện. Phần lớn các cuộc thảo luận về AI trong phòng thủ tập trung vào các mô hình phát hiện. Phát hiện rất quan trọng, nhưng đó không phải là nút thắt duy nhất. Hạn chế sâu hơn chính là bằng chứng: dữ liệu nằm ở đâu, liệu có sẵn khi cần không, tốc độ tương quan dữ liệu, thời gian lưu trữ, và liệu các nhà phân tích hay hệ thống có thể tin tưởng vào những gì họ truy xuất. Phòng thủ trong kỷ nguyên AI là vấn đề về dữ liệu trước khi là vấn đề về phát hiện.
Lợi thế của nhà phòng thủ chính là sự thật
Kẻ tấn công có đủ khả năng để "nói dối" ở quy mô doanh nghiệp. Chúng có thể thử nghiệm vô số kết hợp tin nhắn, danh tính, miền và đường tấn công, và hầu hết đều có thể thất bại mà gần như không tốn chi phí nào.
Các nhà phòng thủ không có được sự xa xỉ đó. Lợi thế của họ là sự thật: nhanh chóng biết điều gì đã xảy ra, ở đâu, khi nào, danh tính nào liên quan, tài sản nào bị ảnh hưởng, điều gì đã thay đổi và quy trình kinh doanh nào có thể gặp rủi ro. Sự thật đó phải được ghi lại, quản lý, kiểm toán được và có khả năng bảo vệ. Kẻ tấn công đang sử dụng AI để mở rộng khả năng lừa đảo, mạo danh, kỹ thuật xã hội và tốc độ. Các nhà phòng thủ cần AI để mở rộng khả năng xác minh. Mục tiêu không chỉ là hành động nhanh hơn kẻ tấn công, mà là thực hiện hành động mà cả con người và máy móc đều có thể tin tưởng.
Dữ liệu phân mảnh phá vỡ hệ thống phòng thủ hiện đại
Hãy xem xét một lần đăng nhập đáng ngờ từ một tài khoản nhà thầu. Riêng nó, đó chỉ là một bất thường xác thực khác. Để biết liệu nó có quan trọng hay không, một nhóm bảo mật có thể cần lịch sử danh tính, hoạt động điểm cuối, nhật ký truy cập đám mây, hồ sơ yêu cầu, quyền sở hữu tài sản, thay đổi cấu hình, dữ liệu mạng và ngữ cảnh kinh doanh.
Nếu những hồ sơ đó nằm trong các công cụ khác nhau, hết hạn vào các thời điểm khác nhau hoặc yêu cầu nhiều nhóm để truy xuất, thì các nhà phòng thủ không thực sự điều tra sự cố; họ đang phải "đàm phán" với chính kho dữ liệu của mình. Khi các tín hiệu có thể được truy cập tại chỗ và tương quan nhanh chóng, vấn đề không còn chỉ là liệu việc đăng nhập có vẻ bất thường hay không. Vấn đề trở thành liệu doanh nghiệp có đủ bằng chứng, trong đủ ngữ cảnh, để thực hiện hành động mà họ có thể bảo vệ.
Thách thức đó càng trở nên cấp bách hơn với các trợ lý và tác nhân AI. AI chỉ có thể suy luận dựa trên những gì nó có thể truy xuất kịp thời để tạo ra giá trị. Nếu dữ liệu bị thiếu, lỗi thời, phân mảnh, không khả dụng hoặc bị tước bỏ ngữ cảnh, AI không tạo ra sự thật; nó tăng tốc sự không chắc chắn.
Hệ thống hồ sơ cần trở thành mặt phẳng kiểm soát phòng thủ
Trong nhiều năm, các doanh nghiệp coi các nền tảng bảo mật, SIEM và data lake là các kho lưu trữ thụ động: nơi để lưu trữ dữ liệu cho việc tìm kiếm và phân tích sau này. Mô hình đó không còn đủ.
Điều các tổ chức hiện cần là một mặt phẳng kiểm soát phòng thủ (defensive control plane): một lớp kết nối những gì đã xảy ra, ý nghĩa của nó, và những gì doanh nghiệp được phép làm với nó. Về mặt kiến trúc, nó liên kết dữ liệu máy thô, ngữ cảnh kinh doanh và chính sách. Nó không chỉ lưu trữ bằng chứng. Nó làm cho bằng chứng có thể sử dụng được cho các quyết định và hành động cần phải giải thích được và đáng tin cậy.
Trên thực tế, điều đó có nghĩa là thực hiện tốt bốn điều: bảo toàn bằng chứng, truy cập dữ liệu ở bất cứ đâu, thêm ngữ cảnh kinh doanh và quản lý hành động. Hệ thống hồ sơ cũ trả lời một câu hỏi: Hồ sơ chính thức là gì? Một mặt phẳng kiểm soát phòng thủ trả lời các câu hỏi quan trọng về mặt vận hành: Điều gì đã xảy ra? Nó có ý nghĩa gì? Bằng chứng nào hỗ trợ kết luận đó? Và hành động nào chúng ta có thể tin tưởng? AI không làm giảm nhu cầu về các hồ sơ có thẩm quyền. Nó nâng cao tiêu chuẩn về những gì các hồ sơ đó phải làm.
Một mặt phẳng kiểm soát phòng thủ phải làm được bốn điều
1. Bảo toàn bằng chứng. Nhật ký, số liệu, dấu vết, sự kiện, hồ sơ danh tính, thay đổi cấu hình, yêu cầu và trạng thái tài sản đều giúp thiết lập điều gì đã xảy ra. Giá trị của chúng thường chỉ trở nên rõ ràng sau khi một sự cố bắt đầu. 2. Làm cho dữ liệu có thể truy cập ở bất cứ đâu. Dữ liệu liên quan đến bảo mật đã phân tán trên các kho đối tượng, nền tảng đám mây, công cụ vận hành và hệ thống kinh doanh. Di chuyển mọi byte vào một nơi thường quá chậm, quá tốn kém và quá khó quản lý. Mô hình tốt hơn là đưa phân tích đến dữ liệu. 3. Thêm ngữ cảnh kinh doanh. Tương quan dữ liệu máy với thông tin kinh doanh biến "bất thường trên máy chủ X" thành "hệ thống hỗ trợ dịch vụ thanh toán cho các tài khoản hàng đầu đang bị thăm dò." Đó là điều cho phép các tổ chức ưu tiên đúng. 4. Quản lý hành động. Trong kỷ nguyên của các tác nhân AI, các hệ thống sẽ làm được nhiều hơn là chỉ tóm tắt sự cố. Chúng sẽ làm phong phú cảnh báo, mở các trường hợp, kích hoạt quy trình làm việc, cô lập tài sản, cập nhật chính sách và leo thang các quyết định. Các doanh nghiệp cần biết tác nhân đã sử dụng bằng chứng nào, chính sách nào quản lý hành động, liệu hành động đó có nằm trong phạm vi không, và cách quyết định có thể được xem xét sau đó.
Vấn đề thực sự của SOC không phải là thiếu dữ liệu
Các trung tâm điều hành an ninh mạng (SOC) hiện đại không phải đang thiếu dữ liệu. Họ đang thiếu ngữ cảnh có thể sử dụng được. Theo báo cáo Splunk State of Security 2025, các nhà phân tích SOC tiếp tục vật lộn với quá nhiều cảnh báo (59%), quá nhiều cảnh báo sai (55%), và các cảnh báo thiếu ngữ cảnh (46%). Vấn đề không phải là khối lượng dữ liệu. Vấn đề là khó khăn trong việc biến các tín hiệu phân mảnh thành các quyết định đáng tin cậy.
Ngày nay, các nhà phân tích phải tự tay ghép nối ngữ cảnh, chuyển đổi giữa các công cụ không kết nối và đưa ra các quyết định rủi ro cao mà không có bức tranh toàn cảnh kịp thời. Ngay cả khi AI cải thiện, kết quả vẫn phụ thuộc vào việc con người có sẵn lòng phê duyệt các thay đổi trên các môi trường phân mảnh hay không. Điều này tạo ra một cuộc khủng hoảng ngữ cảnh hàng ngày. Các nhóm buộc phải đưa ra các quyết định quan trọng dựa trên dữ liệu mà họ không dễ dàng nhìn thấy, tương quan hoặc tin tưởng. Kết quả là độ trễ, không nhất quán, bỏ lỡ cơ hội và rủi ro không cần thiết.
Hành động đáng tin cậy là lợi thế bền vững
Kiến trúc mạng lưới dữ liệu (data fabric) mang lại một hướng đi mới bằng cách tạo ra một lớp thống nhất, thông minh trên các nguồn dữ liệu trải rộng khắp SecOps (hoạt động bảo mật), ITOps (hoạt động CNTT) và NetOps (hoạt động mạng). Mục tiêu không phải là tập trung hóa vì mục đích riêng, mà là phá vỡ các kho chứa dữ liệu riêng lẻ và cung cấp thông tin chi tiết giàu ngữ cảnh với tốc độ mà các hoạt động dựa trên AI yêu cầu.
Đây là một mô hình hoạt động trước khi nó là một sản phẩm. Phòng thủ dựa trên AI phụ thuộc vào một nền tảng có thể bảo toàn bằng chứng, truy cập dữ liệu ở bất cứ đâu, thêm ngữ cảnh và duy trì một liên kết có thể xem xét giữa dữ liệu, quyết định và hành động. Đó là sự thay đổi kiến trúc đằng sau Cisco Data Fabric được cung cấp bởi Nền tảng Splunk, vốn kết hợp dữ liệu máy, liên kết, ngữ cảnh kinh doanh, quản trị và nguồn gốc để giúp các nhóm chuyển từ tín hiệu sang hành động đáng tin cậy.
Kẻ tấn công sẽ tiếp tục làm cho lừa đảo rẻ hơn, nhanh hơn và cá nhân hóa hơn. Các nhà phòng thủ không thắng cuộc đua đó bằng cách tạo ra nhiều "nhiễu" hơn. Họ thắng bằng cách làm cho sự thật nhanh hơn, và bằng cách căn cứ mọi hành động vào bằng chứng mà cả con người và máy móc đều có thể tin tưởng. 🚀