AI - Người gác cổng mạng lưới...

AI là một công nghệ có khả năng giải quyết vấn đề như con người. Cách thức hoạt động của AI dường như mô phỏng trí tuệ của con người. Các tổ chức hiện đại thu thập khối lượng dữ liệu cực lớn từ nhiều nguồn khác nhau như cảm biến thông minh, nội dung do con người tạo ra, công cụ giám sát và bản ghi hệ thống và sau đó AI  phân tích, sử dụng dữ liệu để hỗ trợ hoạt động kinh doanh một cách hiệu quả. Ngoài ra, AI còn làm cho phần mềm thông minh hơn để đáp ứng tương tác người dùng tùy chỉnh và giải quyết vấn đề phức tạp.

Đối với hệ thống an ninh, AI giúp: Phát hiện hành vi bất thường trong mạng như truy cập lạ vào lúc nửa đêm hoặc tải dữ liệu lớn từ tài khoản nhân viên; phân tích nhật ký và lưu lượng mạng để nhận ra mẫu tấn công như ransomware, phishing, DDoS…; tự học từ dữ liệu mới bởi càng nhiều dữ liệu, AI càng giỏi phát hiện các mối đe dọa chưa từng thấy trước đó. Khi phát hiện sự cố, AI cũng có thể tự phản ứng nhanh chóng như cô lập thiết bị bị nhiễm virus; vô hiệu hóa truy cập của người dùng khả nghi; giảm thời gian phản ứng từ vài giờ xuống vài giây hoặc phút - điều rất quan trọng trong các vụ tấn công nhanh như ransomware…

Rõ ràng, AI đã trở thành vũ khí thiết yếu trong kho vũ khí an ninh mạng. Theo báo cáo năm 2024 của IBM Security, các tổ chức sử dụng AI và tự động hóa trong bảo mật có thể phát hiện và khắc phục sự cố nhanh hơn 74% so với các tổ chức không ứng dụng AI. Trong bối cảnh thời gian là yếu tố sống còn, đặc biệt với các loại mã độc tự sao chép như Worm hay tấn công kiểu chưa từng có, AI được kỳ vọng là “lính gác" không mỏi mệt.

Mô hình “Enterprise Immune System” của công ty Darktrace.

Một trong những ví dụ điển hình là Công ty An ninh mạng Darktrace của Anh đã sử dụng AI để tạo ra mô hình “hệ miễn dịch kỹ thuật số” cho từng doanh nghiệp mang tên “Enterprise Immune System” có khả năng phát hiện và phản hồi các hành vi bất thường giống như cách hệ miễn dịch hoạt động trong cơ thể con người.

Theo Financial Times, năm 2021, hệ thống này từng giúp một tổ chức tài chính ngăn chặn cuộc tấn công nội bộ khi AI phát hiện một nhân viên đang truy cập dữ liệu bất thường trong thời gian nghỉ lễ. Tương tự, Google đã tích hợp AI vào dịch vụ Gmail để tự động phát hiện và chặn hơn 100 triệu email spam mỗi ngày, nhờ vào khả năng nhận diện mẫu tấn công mới.

Trong lĩnh vực quốc phòng, Cơ quan An ninh Quốc gia Mỹ (NSA) và các đơn vị tình báo khác cũng đang triển khai các mô hình AI để giám sát lưu lượng mạng, phát hiện mã độc và theo dõi hoạt động bất thường từ các đối tượng có nguy cơ cao, giúp bảo vệ hạ tầng trọng yếu quốc gia.

AI phòng thủ, AI dự đoán

Một điểm đáng chú ý nữa là, khác với giải pháp bảo mật truyền thống vốn chỉ “chữa cháy”, hệ thống an ninh mạng tích hợp AI giờ đây học hỏi hành vi tấn công, phân tích hàng triệu mẫu mã độc và xây dựng các mô hình dự đoán rủi ro. Điều này đồng nghĩa với việc thay vì chờ sự cố xảy ra, các tổ chức có thể đi trước một bước, phát hiện và ngăn chặn tấn công trước khi thiệt hại xảy ra.

Nghĩa là, AI có thể phân tích xu hướng và mẫu tấn công trong quá khứ để dự đoán nguy cơ tương lai. AI đặc biệt hữu ích trong việc phát hiện email lừa đảo nhờ nhận diện các mẫu từ ngữ, liên kết đáng ngờ, hoặc kỹ thuật giả mạo. Một số AI còn nhận diện deepfake, bảo vệ doanh nghiệp khỏi giả mạo giọng nói hoặc video…

Như Microsoft Defender for Endpoint chẳng hạn, nền tảng bảo vệ điểm cuối tích hợp AI không chỉ theo dõi phần mềm độc hại theo cách tuyến tính, mà còn áp dụng học sâu để phân loại mối đe dọa tiềm tàng dựa trên hành vi của tập tin, tương tác người dùng và lưu lượng mạng. Thay vì đánh giá mã độc dựa trên "danh sách đen" như trước đây, hệ thống này chấm điểm rủi ro động và đưa ra cảnh báo sớm.

Microsoft Defender for Endpoint chẳng hạn, nền tảng bảo vệ điểm cuối tích hợp AI tích hợp AI không chỉ theo dõi phần mềm độc hại theo cách tuyến tính, mà còn áp dụng học sâu để phân loại mối đe dọa tiềm tàng dựa trên hành vi của tập tin, tương tác người dùng và lưu lượng mạng.

FireEye Helix - nền tảng SIEM (quản lý sự kiện và thông tin bảo mật) sử dụng AI để tự động phát hiện các chuỗi tấn công phức hợp như các chiến dịch APT (Advanced Persistent Threat) cũng vậy. AI của FireEye Helix không chỉ phân tích mẫu mã độc, mà còn đối chiếu chúng với chiến thuật, kỹ thuật và quy trình của các nhóm hacker đã biết rồi dự đoán các bước tiếp theo của kẻ tấn công.

Còn trong lĩnh vực bảo vệ hạ tầng tài chính, JP Morgan Chase hiện đang sử dụng hệ thống AI phân tích hơn 100 triệu giao dịch/ngày, nhằm phát hiện dấu hiệu rửa tiền, chiếm đoạt tài khoản hoặc gian lận nội bộ. Theo báo cáo nội bộ công bố hồi đầu năm 2025, ngân hàng này đã giảm được 38% tổn thất do gian lận nhờ hệ thống này AI nói trên.

Theo thống kê của Proofpoint, một nền tảng bảo mật email, AI cũng đang được dùng để sàng lọc hàng triệu email mỗi ngày, xác định các chiến dịch lừa đảo ngày càng tinh vi. AI mà Proofpoint sử dụng đã giúp ngăn chặn hơn 2 triệu email phishing mỗi tuần trong quý 1/2025, tăng 47% so với cùng kỳ năm trước. Bên cạnh đó, hệ thống còn phát hiện chiến dịch lừa đảo có chủ đích, nơi tin tặc sử dụng thông tin cá nhân công khai trên mạng xã hội LinkedIn, X/Twitter... để gửi email có nội dung sát thực, đánh vào niềm tin của nạn nhân.

JP Morgan Chase hiện đang sử dụng hệ thống AI phân tích hơn 100 triệu giao dịch/ngày.

Một ví dụ khác trong lĩnh vực bảo vệ cơ sở hạ tầng quốc gia là tại Singapore, nơi AI được triển khai để giám sát hệ thống SCADA trong các nhà máy nước và điện. AI học các mô hình vận hành bình thường, từ đó cảnh báo những bất thường nhỏ nhất như việc van xả nước mở chậm vài mili-giây, vốn có thể là dấu hiệu của xâm nhập hệ thống điều khiển công nghiệp…

AI là vũ khí nguy hiểm trong tay các tội phạm số cụ thể ra sao, mời các bạn đón đọc kỳ tiếp theo vào ngày mai, 1/8.

Huyền Chi