Trí tuệ nhân tạo và máy học đang cải thiện an ninh mạng, giúp doanh nghiệp phát hiện và ngăn ngừa các mối đe dọa trên không gian mạng tốt hơn. Nhưng chúng cũng giúp các tác nhân đe dọa phát động các cuộc tấn công lớn hơn, phức tạp hơn
Máy học (ML) và trí tuệ nhân tạo (AI) đang trở thành công nghệ cốt lõi cho các công cụ phát hiện và ứng phó với mối đe dọa trong không gian mạng. Khả năng học hỏi nhanh chóng và tự động thích ứng với các mối đe dọa mạng luôn thay đổi mang lại cho các nhóm an ninh mạng một lợi thế.
Theo một cuộc khảo sát, 62% các tổ chức có kế hoạch đầu tư nhiều hơn vào bảo mật AI trong 12 tháng tới. Tuy nhiên, một số tác nhân đe dọa cũng đang sử dụng máy học và AI để mở rộng quy mô các cuộc tấn công mạng của chúng, trốn tránh các biện pháp kiểm soát bảo mật và tìm ra các lỗ hổng mới với tốc độ nhanh chưa từng có và dẫn đến hậu quả tàn khốc.
Theo một cuộc khảo sát hacker hàng năm được công bố vào tháng 10, 77% hacker sử dụng AI để tấn công và 86% cho biết AI đã thay đổi cơ bản cách tiếp cận đối với việc tấn công. Ngày nay, 71% cho biết công nghệ AI cho thấy giá trị trong việc tấn công mạng, tăng từ mức chỉ 21% vào năm 2023.
Theo các chuyên gia an ninh mạng, AI thế hệ mới, cũng như AI nói chung, đang hạ thấp rào cản trong khả năng triển khai và phát triển các cuộc tấn công của hacker, các khía cạnh không xác định của AI tạo ra khiến các biện pháp phòng thủ truyền thống dựa trên quy tắc khó có thể duy trì được tính phù hợp.
Trên thực tế, theo một báo cáo trong tháng 10, 51% lãnh đạo CNTT và an ninh cho biết các cuộc tấn công do AI hỗ trợ là mối đe dọa nghiêm trọng nhất mà tổ chức của họ phải đối mặt.
Sau đây là những cách phổ biến nhất mà kẻ tấn công tận dụng công nghệ AI và máy học.
1. Thư rác
Việc sử dụng máy học (ML) để phát hiện thư rác (spam) đã được thực hiện trong nhiều thập kỷ.
Nếu bộ lọc thư rác cho biết lý do tại sao một email không được gửi đi hoặc tạo ra thì kẻ tấn công có thể sử dụng nó để sửa đổi hành vi của chúng. Chúng sẽ sử dụng công cụ hợp pháp để khiến các cuộc tấn công thành công hơn. Nếu gửi nội dung thường xuyên, bạn có thể tái tạo mô hình và sau đó có thể tinh chỉnh cuộc tấn công của mình để vượt qua mô hình này.
2. Email lừa đảo tốt hơn
Kẻ tấn công không chỉ sử dụng các công cụ bảo mật máy học để kiểm tra xem tin nhắn của chúng có thể vượt qua bộ lọc thư rác hay không. Chúng cũng sử dụng máy học để tạo ra những email đó ngay từ đầu, tạo ra email lừa đảo tốt hơn, và tạo ra các nhân vật giả mạo để thúc đẩy những chiến dịch lừa đảo.
Máy học cho phép kẻ tấn công tùy chỉnh email lừa đảo (phishing email) theo những cách sáng tạo để chúng không hiển thị trong danh sách email và được tối ưu hóa để kích hoạt sự tương tác và nhấp chuột. Chúng không chỉ dừng lại ở văn bản của email mà AI có thể được sử dụng để tạo ra các bức ảnh chân thực, hồ sơ truyền thông xã hội và các tài liệu khác để làm cho thông tin liên lạc có vẻ hợp pháp nhất có thể.
Theo một cuộc khảo sát được công bố, 45% công ty đã chứng kiến sự gia tăng của lừa đảo do AI và 55% những người ra quyết định cấp cao cho biết công ty của họ có nguy cơ bị tống tiền cao hơn do sự gia tăng sử dụng AI trong số các tác nhân đe dọa. Một nghiên cứu khác cho thấy 84% lãnh đạo CNTT và bảo mật cho biết các công cụ AI khiến các cuộc tấn công lừa đảo trở nên khó phát hiện hơn.
3. Đoán mật khẩu tốt hơn
Tội phạm cũng sử dụng máy học để đoán mật khẩu tốt hơn. Bằng chứng về điều này dựa trên tần suất và tỷ lệ thành công của các công cụ đoán mật khẩu. Tội phạm đang xây dựng các từ điển tốt hơn để hack các hàm băm bị đánh cắp. Chúng sử dụng máy học để xác định các biện pháp kiểm soát bảo mật.
Công dụng đáng sợ nhất của trí tuệ nhân tạo là giả mạo sâu (deep fake) có thể tạo ra video hoặc âm thanh khó phân biệt với người thật. Khả năng mô phỏng giọng nói hoặc khuôn mặt của ai đó rất hữu ích đối với kẻ lửa đảo.
Trên thực tế, một vài vụ việc nổi cộm đã được công khai trong vài năm qua, trong đó âm thanh giả khiến nhiều doanh nghiệp thiệt hại hàng trăm nghìn đến hàng triệu USD. Ví dụ như bạn có thể nhận được cuộc gọi điện thoại từ sếp của họ, mà không biết rằng đó là cuộc gọi giả mạo.
Thông thường hơn, kẻ lừa đảo sử dụng AI để tạo ra những bức ảnh, hồ sơ người dùng, email trông giống thật - thậm chí là âm thanh và video - để khiến tin nhắn của họ có vẻ đáng tin hơn. Đây là một ngành kinh doanh lớn. Theo FBI, các vụ lừa đảo xâm phạm email doanh nghiệp đã gây ra thiệt hại hơn 55 tỷ USD trong mười năm qua. Ngay cả vào năm 2021, đã có báo cáo về một ngân hàng ở Hồng Kông bị lừa chuyển 35 triệu USD cho một băng đảng tội phạm, vì một viên chức ngân hàng đã nhận được cuộc gọi từ một giám đốc công ty mà anh ta đã từng nói chuyện trước đó. Anh ta nhận ra giọng nói đó nên đã cho phép chuyển tiền. Ngày nay, haker có thể tạo một video zoom khó phân biệt với người thật.
Theo một cuộc khảo sát do một công ty bảo hiểm công bố vào cuối tháng 9, 52% chủ doanh nghiệp nhỏ thừa nhận đã bị lừa bởi hình ảnh hoặc video deep fake và 9 trong số 10 người cho biết các vụ lừa đảo AI tạo ra trở nên tinh vi hơn.
Và nhiều doanh nghiệp lớn cũng không miễn nhiễm. Theo một khảo sát, mạo danh AI là phương thức tấn công mạng khó phòng thủ nhất.
5. Vô hiệu hóa các công cụ bảo mật
Nhiều công cụ bảo mật phổ biến hiện nay được tích hợp sẵn một số dạng trí tuệ nhân tạo hoặc máy học. Ví dụ, các công cụ chống virus ngày càng tìm kiếm các hành vi đáng ngờ vượt ra ngoài dấu hiệu cơ bản. Bất kỳ thứ gì có sẵn trực tuyến, đặc biệt là mã nguồn mở, đều có thể bị kẻ xấu lợi dụng.
Kẻ tấn công có thể sử dụng các công cụ này không phải để chống lại các cuộc tấn công mà để điều chỉnh phần mềm độc hại của chúng cho đến khi chúng có thể tránh bị phát hiện. Các mô hình AI có nhiều điểm mù, và có thể thay đổi chúng bằng cách thay đổi các tính năng của cuộc tấn công, chẳng hạn như số lượng gói gửi hoặc tài nguyên bị tấn công.
Kẻ tấn công không chỉ sử dụng các công cụ bảo mật hỗ trợ AI. AI là một phần của rất nhiều công nghệ khác nhau. Ví dụ, hãy xem xét rằng người dùng thường học cách phát hiện email lừa đảo bằng cách tìm lỗi ngữ pháp. Các công cụ kiểm tra ngữ pháp hỗ trợ AI như Grammarly có thể giúp kẻ tấn công cải thiện khả năng viết của mình, trong khi các công cụ AI tạo ra như ChatGPT có thể viết email thuyết phục từ đầu.
6. Do thám
AI và máy học có thể được sử dụng để nghiên cứu và do thám, để kẻ tấn công có thể xem thông tin công khai và các mẫu lưu lượng truy cập, biện pháp phòng thủ và lỗ hổng tiềm ẩn của mục tiêu. Đây là nơi tin tặc luôn bắt đầu. Tất cả các hoạt động này có thể được thực hiện hiệu quả và nhanh hơn khi được AI hỗ trợ.
Nhiều tổ chức không biết là có nhiều dữ liệu của họ được phát tán ra ngoài. Và không chỉ có danh sách mật khẩu bị hack được phân phối trên các trang web đen và các bài đăng trên mạng xã hội của nhân viên. Ví dụ, khi các công ty đăng tin tuyển dụng hoặc kêu gọi đề xuất, họ có thể tiết lộ các loại công nghệ mà họ sử dụng. Trước đây, việc thu thập tất cả dữ liệu đó và thực hiện phân tích rất tốn công sức, nhưng hiện nay, việc này có thể được tự động hóa.
Theo một khảo sát về hacker, 62% sử dụng AI để phân tích dữ liệu, 61% sử dụng AI để tự động hóa các tác vụ và 38% sử dụng AI để xác định lỗ hổng.
7. Các tác nhân tự động
Nếu doanh nghiệp nhận biết mình đang bị tấn công và ngắt quyền truy cập internet vào các hệ thống bị ảnh hưởng, thì phần mềm độc hại có thể không thể kết nối lại với máy chủ chỉ huy và kiểm soát để nhận hướng dẫn. Những kẻ tấn công có thể muốn đưa ra một mô hình thông minh sẽ tồn tại ngay cả khi chúng không thể trực tiếp kiểm soát nó, để tồn tại lâu hơn.
Giờ đây, các loại tác nhân tự động này có sẵn cho bất kỳ ai, nhờ các dịch vụ thương mại từ Microsoft và một số nền tảng nguồn mở không có bất kỳ rào cản nào để ngăn chúng bị sử dụng vào những mục đích độc hại. Trước đây, hacker cần các điểm tiếp xúc của con người để thực hiện cuộc tấn công, vì hầu hết các cuộc tấn công đều bao gồm nhiều bước. Và nếu chúng có thể triển khai các tác nhân để thực hiện các bước đó, thì đó chắc chắn là một mối đe dọa đang rình rập. Đó là một trong những điều mà AI đang biến thành hiện thực.
8. Đầu độc AI
Kẻ tấn công có thể đánh lừa một mô hình học máy bằng cách cung cấp cho nó thông tin mới, tìm cách thao túng tập dữ liệu đào tạo. Chúng cố tình làm sai lệch dữ liệu và kết quả là máy học theo cách sai.
Ví dụ, một tài khoản người dùng bị chiếm đoạt có thể đăng nhập vào hệ thống vào lúc 2 giờ sáng hàng ngày để thực hiện công việc vô hại, khiến hệ thống nghĩ rằng không có gì đáng ngờ khi làm việc lúc 2 giờ sáng và giảm bớt các rào cản bảo mật mà người dùng phải vượt qua.
9. Làm mờ AI
Các nhà phát triển phần mềm hợp pháp và người kiểm tra sử dụng phần mềm làm mờ để tạo các đầu vào mẫu ngẫu nhiên nhằm cố gắng làm sập ứng dụng hoặc tìm lỗ hổng. Các phiên bản cải tiến của phần mềm này sử dụng máy học để tạo đầu vào theo cách tập trung hơn, có tổ chức hơn, ưu tiên các chuỗi văn bản có nhiều khả năng gây ra sự cố nhất. Điều đó khiến các công cụ làm mờ hữu ích hơn đối với doanh nghiệp, nhưng cũng nguy hiểm hơn trong tay kẻ tấn công.
Tất cả các kỹ thuật này là lý do tại sao vệ sinh an ninh mạng cơ bản như vá lỗi, giáo dục chống lừa đảo và phân đoạn vi mô vẫn tiếp tục trở nên quan trọng. Và đó là một trong những lý do tại sao phòng thủ chuyên sâu lại quan trọng đến vậy. Tổ chức cần phải đặt ra nhiều rào cản, không chỉ một thứ mà kẻ tấn công cuối cùng sử dụng để chống lại bạn.
10. Phần mềm độc hại AI
Vào tháng 9, một công ty đã báo cáo rằng họ đã xác định được một chiến dịch phần mềm độc hại rất có thể được viết với sự trợ giúp của AI. .
Và đây không phải là trường hợp duy nhất. Theo một báo cáo, 32% các tổ chức được khảo sát đang chứng kiến sự gia tăng của phần mềm độc hại dựa trên AI.
Các nhà nghiên cứu thậm chí đã chứng minh rằng AI có thể được sử dụng để phát hiện ra các lỗ hổng zero-day.
Và, cũng giống như các nhà phát triển phần mềm hợp pháp có thể sử dụng AI để tìm kiếm các vấn đề trong mã của họ, thì những kẻ tấn công cũng có thể làm như vậy. Đó có thể là mã nguồn mở có sẵn trong các kho lưu trữ công khai hoặc mã đã được lấy thông qua các phương tiện khác. Hacker có thể lấy mã và chạy nó thông qua ChatGPT hoặc một số mô hình nền tảng khác và yêu cầu nó tìm ra điểm yếu trong mã có thể bị khai thác.
AI bù đắp cho việc thiếu chuyên môn
Trước đây, chỉ những tác nhân đe dọa tiên tiến nhất, chẳng hạn như các quốc gia, mới có khả năng tận dụng máy học và AI cho các cuộc tấn công của họ.
Ngày nay, bất kỳ ai cũng có thể làm được điều đó.
Điều khiến việc phòng thủ trở nên đặc biệt khó khăn là AI hiện đang phát triển nhanh hơn bất kỳ công nghệ nào. Doanh nghiệp nên ưu tiên theo kịp mức độ hiểu biết của họ về bối cảnh mối đe dọa và thích ứng với các kỹ năng.