Điều đó cũng mở ra cơ hội cho AI trong vai trò phòng thủ. Khi AI tác nhân (hay Agentic AI) ngày càng được tích hợp sâu vào doanh nghiệp ở các lĩnh vực như tài chính và pháp lý, các tác nhân AI trong an ninh mạng cũng gia tăng, trở thành tài sản quan trọng cho việc phát hiện, phân tích và cảnh báo.

Ảnh minh họa

“Việc phát hiện, cô lập, điều tra và ứng phó với các cuộc tấn công mạng ở quy mô các công ty lớn là một thách thức khổng lồ,” ông Brian Murphy, CEO của công ty công nghệ an ninh mạng ReliaQuest, cho biết. “AI đang giúp chúng tôi loại bỏ rất nhiều những công việc cấp 1 hay cấp 2 vốn không liên quan nhiều đến mối đe dọa thực sự với tổ chức,” ông Murphy nói.

Việc trao cho nhân viên một công cụ có thể tự động hóa những nhiệm vụ lặp đi lặp lại hoặc tốn thời gian, để họ có thể tập trung vào những công việc quan trọng hơn, từ lâu đã là điểm mạnh trong lời giới thiệu về AI tác nhân.

Trong một thông điệp gửi nhân viên Amazon vào tháng 6, CEO Andy Jassy nói: “Chúng tôi tin tưởng mạnh mẽ rằng các tác nhân AI sẽ thay đổi cách tất cả chúng ta làm việc và sống,” đồng thời dự đoán tương lai có “hàng tỷ tác nhân như vậy, trong mọi công ty và mọi lĩnh vực có thể tưởng tượng,” giúp nhân viên “ít phải làm việc lặp đi lặp lại hơn và tập trung nhiều hơn vào tư duy chiến lược,” đồng thời khiến “công việc trở nên thú vị và hấp dẫn hơn so với hiện nay.”

Ông Murphy có chung quan điểm khi nhìn vào ngành an ninh mạng — nơi ông thấy lực lượng lao động bị quá tải với những nhiệm vụ mà lẽ ra họ không nên mất thời gian xử lý, dẫn đến kiệt sức và làm trầm trọng thêm tình trạng thiếu nhân lực vốn đã tồn tại. Ông cũng đã chứng kiến cách AI bị lợi dụng để tấn công doanh nghiệp. “Trước đây, email phishing trông gần như buồn cười với lỗi chính tả và font chữ sai,” ông nói. “AI có thể biến một kẻ xấu trung bình thành một kẻ tấn công giỏi hơn, và vì vậy nếu bạn ở phe phòng thủ, bạn buộc phải dùng AI vì những gì AI có thể làm là rất thực tế.”

Gần đây, ReliaQuest đã ra mắt một giải pháp gọi là GreyMatter Agentic Teammates — các tác nhân AI tự động, phân vai theo chức năng, có thể đảm nhận những nhiệm vụ mà các kỹ sư phát hiện hoặc nhà nghiên cứu tình báo mối đe dọa thường xử lý trong nhóm vận hành an ninh. “Hãy hình dung đó như một ‘nhân vật đồng đội’ phối hợp với con người, con người sẽ đưa yêu cầu cho AI tác nhân này, để người đó biết mình cần làm gì,” Murphy nói, ví von rằng nó giống như “một đồng đội giúp chuyên viên phản ứng sự cố nhân lên năng lực của họ.”

Ông Murphy đưa ra một ví dụ thường gặp với bất kỳ nhóm an ninh nào tại một công ty toàn cầu: chuyến công tác nước ngoài của lãnh đạo. Mỗi khi một máy tính xách tay hoặc điện thoại được kết nối vào mạng tại, chẳng hạn, Trung Quốc, nhóm vận hành an ninh sẽ nhận cảnh báo và phải xác minh mỗi ngày rằng vị lãnh đạo đó đang ở nước ngoài và đang sử dụng thiết bị một cách an toàn trong suốt chuyến đi. Với một đồng đội AI tác nhân, nhân viên an ninh có thể tự động hóa nhiệm vụ này, hoặc thiết lập một chuỗi quy trình tương tự cho các cuộc họp hội đồng quản trị, các buổi làm việc ngoài trụ sở, hoặc các sự kiện tập trung đông người khác.

“Có hàng trăm việc như vậy,” ông Murphy nói. Ông Justin Dellaportas, Giám đốc An ninh Thông tin của công ty công nghệ truyền thông Syniverse, cho biết rằng trong khi các tác nhân AI đã có thể tự động hóa một số nhiệm vụ an ninh mạng cơ bản như rà soát nhật ký hệ thống (logs), thì hiện nay chúng cũng bắt đầu có khả năng tự động hóa các hành động như cách ly email bị gắn cờ và xóa khỏi hộp thư, hoặc hạn chế quyền truy cập của một tài khoản bị xâm phạm trên nhiều hệ thống đăng nhập khác nhau.

“AI đang được tội phạm mạng sử dụng để nhanh chóng tìm ra các lỗ hổng và khai thác chúng trên quy mô lớn, dẫn đến tỷ lệ thành công cao hơn, xâm nhập ban đầu sớm hơn và di chuyển ngang trong hệ thống của tổ chức nhanh hơn chúng ta từng thấy,” ông nói. “Những người phòng thủ mạng thực sự cần tận dụng công nghệ này ngay lúc này hơn bao giờ hết để đi trước một bước trong bối cảnh mối đe dọa đang thay đổi và tốc độ tấn công của tội phạm mạng.”

Ông Dellaportas cho biết rằng mặc dù mỗi công ty đều có hồ sơ rủi ro và mức độ chấp nhận khác nhau khi triển khai các loại công cụ an ninh mạng, ông xem việc áp dụng AI tác nhân trong an ninh mạng là một quá trình theo từng giai đoạn “bò, đi bộ, rồi chạy” (crawl, walk, run methodology).

“Bạn triển khai công nghệ này, nó sẽ suy luận và sau đó thực hiện hành động, nhưng rồi nó phải lặp lại, cải tiến dựa trên những hành động đã làm trước đó,” ông Dellaportas nói. “Tôi quay lại nguyên tắc kiểu ‘tin tưởng nhưng cần xác minh’, và khi chúng ta dần có niềm tin vào hiệu quả của nó, chúng ta sẽ chuyển sang giải quyết các vấn đề khác.”

Nguyễn Yến (theo CNBC)