- Từ các kịch bản đến trí tuệ nhân tạo tác chiến trong các hoạt động an ninh.
- Các trường hợp sử dụng bảo mật AI tác nhân cốt lõi quan trọng nhất
- Kiểm tra tuân thủ liên tục và thực thi chính sách.
- Các mô hình kiến trúc kết hợp trí tuệ nhân tạo tác nhân với XDR và SIEM
- Lộ trình áp dụng thực tiễn dành cho các CISO thuộc phân khúc thị trường tầm trung
Các trường hợp ứng dụng thực tế của trí tuệ nhân tạo tác nhân trong an ninh mạng
Các nhà lãnh đạo an ninh mạng tầm trung phải đối mặt với những kẻ tấn công cấp doanh nghiệp với nguồn nhân lực và ngân sách hạn chế. Sự chồng chéo công cụ, dữ liệu đo lường nhiễu loạn và các bản cập nhật sản phẩm liên tục tạo ra một hệ thống dễ bị tổn thương, vốn đã quá tải trước khi sự cố nghiêm trọng đầu tiên xảy ra. Trí tuệ nhân tạo tác động (Agentic AI) xuất hiện trong bối cảnh này, chứ không phải trong phòng thí nghiệm.
Các cuộc khảo sát cho thấy khoảng 18% các tổ chức thuộc phân khúc thị trường tầm trung báo cáo bị tấn công mạng trong năm qua, trong đó tấn công bằng mã độc tống tiền chiếm khoảng một phần tư số doanh nghiệp này. Tại Anh, 45% doanh nghiệp quy mô vừa đã trải qua tội phạm mạng trong 12 tháng qua, với tấn công lừa đảo (phishing) vẫn là phương thức xâm nhập chủ yếu. Chi phí thiệt hại do tấn công mạng gây ra cho các công ty quy mô vừa hiện nay trung bình khoảng 3.5 triệu đô la mỗi vụ. Đối với một nhóm CNTT và bảo mật có nguồn lực hạn chế, một sai lầm có thể gây thiệt hại ngân sách cả năm.
Bạn có thể thấy áp lực này trong các sự cố gần đây. Vụ tấn công ransomware Change Healthcare năm 2024 đã làm gián đoạn việc thanh toán bảo hiểm y tế trên toàn quốc tại Mỹ và dự kiến sẽ khiến công ty mẹ UnitedHealth phải chi hơn 2.3 tỷ đô la cho việc ứng phó và phục hồi, chưa kể khoản tiền chuộc 22 triệu đô la. MGM Resorts báo cáo thiệt hại hơn 100 triệu đô la từ vụ tấn công năm 2023 sau khi kỹ thuật xã hội nhắm vào bộ phận hỗ trợ khách hàng dẫn đến ransomware lan rộng toàn hệ thống. Vụ rò rỉ dữ liệu quốc gia (National Public Data) có khả năng làm lộ 2.9 tỷ hồ sơ vào năm 2024, cho thấy một vụ xâm phạm duy nhất có thể gây ra hậu quả nghiêm trọng vượt xa phạm vi một công ty.
Cách AI và Học máy cải thiện an ninh mạng của doanh nghiệp
Kết nối tất cả các điểm trong bối cảnh mối đe dọa phức tạp
Trải nghiệm hoạt động bảo mật được hỗ trợ bởi AI!
Khám phá AI tiên tiến của Stellar Cyber để phát hiện và ứng phó ngay lập tức với mối đe dọa. Lên lịch demo của bạn ngay hôm nay!
Biểu đồ cột ở trên nêu bật ba sự thật đơn giản. Các vụ xâm phạm an ninh mạng nhắm vào các tổ chức quy mô vừa rất phổ biến, tội phạm mạng nhắm vào các doanh nghiệp tầm trung vẫn ở mức cao, và một vụ xâm phạm duy nhất có thể xóa sạch nhiều năm đầu tư vào an ninh mạng. Đối với một CISO không thể chỉ đơn giản bổ sung thêm năm mươi chuyên viên phân tích, việc tự động hóa thông minh hơn không còn là điều tùy chọn nữa.
Đối với nhiều nhóm, hạn chế thực sự là sự chú ý của con người, chứ không phải là công cụ. Một ví dụ điển hình SIEM or XDR Nền tảng này sẽ hiển thị hàng nghìn cảnh báo mỗi ngày, nhưng các nhà phân tích chỉ có thể điều tra một cách có ý nghĩa một phần nhỏ trong số đó. Nghiên cứu về AI SOC Các triển khai thực tế cho thấy các nhóm thường phải giảm khối lượng công việc xử lý cảnh báo của nhà phân tích từ 70 đến 80% để giành lại quyền kiểm soát hoạt động. Nếu không có sự thay đổi đó, các tín hiệu quan trọng sẽ bị chôn vùi. Các hướng dẫn như của các nền tảng phát hiện mối đe dọa hàng đầu giải thích cách thức lượng cảnh báo khổng lồ này phát triển theo thời gian.
Các cuộc tấn công dựa trên danh tính làm cho tình hình trở nên tồi tệ hơn. Verizon và các nghiên cứu khác ước tính rằng khoảng 70% các vụ vi phạm hiện nay bắt đầu bằng thông tin đăng nhập bị đánh cắp hoặc lạm dụng. Các chiến dịch Salt Typhoon nhắm vào các nhà cung cấp dịch vụ viễn thông của Mỹ đã không bị phát hiện trong vòng một đến hai năm trong khi kẻ thù sử dụng các kỹ thuật "sống nhờ nguồn lực sẵn có" và các tài khoản hợp lệ để di chuyển ngang qua các mạng. Các vụ vi phạm của Snowflake năm 2024 đã ảnh hưởng đến ít nhất 165 tổ chức sử dụng thông tin đăng nhập bị đánh cắp mà không có xác thực đa yếu tố. Những sự cố này phù hợp trực tiếp với các kỹ thuật MITRE ATT&CK về truy cập ban đầu, truy cập thông tin đăng nhập, di chuyển ngang và đánh cắp dữ liệu, đồng thời phơi bày những lỗ hổng mà các quy tắc cảnh báo truyền thống thường bỏ sót.
Việc áp dụng điện toán đám mây làm tăng nguy cơ bị tấn công. Sự cố Change Healthcare cho thấy một điểm truy cập từ xa không được bảo vệ trong môi trường kết nối đám mây có thể làm gián đoạn các dịch vụ quốc gia quan trọng như thế nào. Nghiên cứu về phát hiện và ứng phó sự cố trên đám mây cho thấy cấu hình sai, vai trò quá lỏng lẻo và tài khoản dịch vụ không được giám sát là nguyên nhân gây ra phần lớn các vụ vi phạm an ninh mạng hiện đại. Hơn một nửa số công ty báo cáo các sự cố an ninh mạng nghiêm trọng liên quan đến lỗ hổng giám sát và sự sai lệch cấu hình. Các nguồn tài liệu như hướng dẫn phát hiện và ứng phó sự cố trên đám mây đi sâu hơn vào các mô hình này.
Đồng thời, áp lực pháp lý ngày càng gia tăng. Các công ty tầm trung phải chứng minh các biện pháp kiểm soát phù hợp với các khuôn khổ như NIST SP 800-207 về Kiến trúc Zero Trust, đồng thời phải đối chiếu các phát hiện và phạm vi bảo mật với MITRE ATT&CK để chứng minh tính hiệu quả hoạt động. Hội đồng quản trị hiện đặt ra những câu hỏi thẳng thắn: Những chiến thuật ATT&CK nào được đáp ứng và những chiến thuật nào còn thiếu sót? Các danh tính có rủi ro cao được cách ly nhanh chóng như thế nào sau khi nghi ngờ bị xâm phạm? Các công cụ phân tích phạm vi bảo mật phù hợp với MITRE ATT&CK, như những công cụ được mô tả trong tài liệu của Stellar Cyber, tồn tại vì các kiểm toán viên và công ty bảo hiểm mong muốn có câu trả lời định lượng.
Trong bối cảnh đó, việc tự động hóa quy trình đơn giản có ích, nhưng chưa đủ. Nó chỉ xử lý các tác vụ riêng lẻ. Nó không thực hiện các cuộc điều tra phức tạp, không liên kết giữa các lĩnh vực, hoặc thích ứng khi kẻ tấn công thay đổi kỹ thuật. Đó là lúc trí tuệ nhân tạo tác động (agentic AI) xuất hiện. Trí tuệ nhân tạo tác động (agentic AI) SOC Các chuyên gia mô tả sự thay đổi này như là quá trình chuyển từ các kịch bản do con người kích hoạt sang các nhà phân tích kỹ thuật số tự động, hướng đến mục tiêu.
Từ các kịch bản đến trí tuệ nhân tạo tác chiến trong các hoạt động an ninh.
Trước khi đi sâu vào các trường hợp sử dụng bảo mật AI tác nhân cụ thể, chúng ta cần phân biệt rõ ràng giữa tự động hóa truyền thống và quy trình làm việc thực sự mang tính tác nhân. Nhiều CISO đã thất vọng với các công cụ hứa hẹn tính tự chủ nhưng chỉ cung cấp các sổ tay vận hành dễ bị lỗi. Định nghĩa rõ ràng sẽ ngăn chặn làn sóng mệt mỏi do quảng cáo quá mức tiếp theo.
Tự động hóa đơn giản thực hiện một chuỗi các bước cố định khi một tác nhân kích hoạt đã biết xảy ra. SIEM Khi một quy tắc được kích hoạt, một playbook SOAR sẽ thu thập một số ngữ cảnh, có thể chặn địa chỉ IP hoặc vô hiệu hóa tài khoản. Hữu ích, nhưng tĩnh. Nếu dữ liệu đầu vào không khớp với các mẫu dự kiến, quá trình tự động hóa sẽ bị đình trệ hoặc thất bại mà không báo lỗi. Các nhà phân tích con người vẫn chịu trách nhiệm xây dựng câu chuyện và đưa ra hầu hết các quyết định.
Trí tuệ nhân tạo dựa trên tác nhân (Agentic AI) hoạt động theo cách khác. Nó bao gồm các tác nhân AI có khả năng lập kế hoạch, hành động và thích ứng trong các quy trình làm việc nhiều bước. Với một mục tiêu như “điều tra vụ đánh cắp thông tin đăng nhập tiềm năng này”, các tác nhân sẽ quyết định truy vấn nguồn dữ liệu nào tiếp theo, kỹ thuật MITRE ATT&CK nào có thể áp dụng, cần thêm bằng chứng gì và tùy chọn phản hồi nào phù hợp nhất với chính sách và mức độ chấp nhận rủi ro. Chúng có thể đọc các sự kiện thô, gọi API, cập nhật phiếu yêu cầu và gọi các tác nhân khác trong một chuỗi.
Tự động hóa đơn giản hơn so với quy trình làm việc dựa trên tác nhân và các nhà phân tích con người.
Sự so sánh này phản ánh những gì chúng ta thấy trong thực tế. Tự động hóa đơn giản loại bỏ một số thao tác gõ phím lặp đi lặp lại, nhưng vẫn yêu cầu một nhà phân tích phải ghép nối toàn bộ bức tranh lại với nhau. Các nhà phân tích con người có khả năng phán đoán, nhưng chỉ có một lượng thời gian nhất định. Quy trình làm việc của AI tác nhân nằm ở giữa: chúng hoạt động như những nhà phân tích cấp dưới không biết mệt mỏi, có thể tự mình thực hiện toàn bộ cuộc điều tra, sau đó chuyển tiếp các trường hợp được cấu trúc tốt với bằng chứng, lập bản đồ ATT&CK và các phản hồi được đề xuất.
Nếu bạn đọc tin mới nhất AI SOC hướng dẫn kiến trúcBạn sẽ nhận thấy một mô hình chung. Trí tuệ nhân tạo tác nhân không thay thế trí tuệ nhân tạo. SIEM or XDRNó nằm ở vị trí cao hơn, điều phối dữ liệu, đối chiếu các cảnh báo và tiến hành các cuộc điều tra liên tục. Sự khác biệt này rất quan trọng đối với việc lập kế hoạch ngân sách và giải thích chiến lược cho hội đồng quản trị của bạn.
Các trường hợp sử dụng bảo mật AI tác nhân cốt lõi quan trọng nhất
Phát hiện và ngăn chặn các mối đe dọa xuyên miền
Hầu hết các cuộc tấn công nghiêm trọng hiện nay đều nhắm vào các thiết bị đầu cuối, mạng, đám mây, email và danh tính. Các công cụ truyền thống chỉ nhìn thấy một phần nhỏ của câu chuyện đó. Một lần đăng nhập quản trị viên thất bại ở đây, một sự bất thường về DNS ở đó, hoặc có thể là một lệnh gọi API S3 bất thường. Không có hệ thống nào có đủ ngữ cảnh để khẳng định chắc chắn đó là một sự cố.
Các vụ tấn công mạng như National Public Data, Salt Typhoon và Snowflake đều cho thấy sự phân mảnh này. Kẻ tấn công đã kết hợp việc đánh cắp thông tin đăng nhập, các kỹ thuật "sống dựa vào tài nguyên hệ thống" và truy cập đám mây để âm thầm dàn dựng và đánh cắp các tập dữ liệu khổng lồ. Mỗi bước riêng lẻ trông gần như bình thường. Chỉ khi xem xét hành vi trên nhiều lĩnh vực khác nhau mới thấy được mô hình chung.
AI tác nhân trong hoạt động bảo mật giải quyết vấn đề này bằng cách chỉ định các tác nhân khác nhau tập trung vào các mặt phẳng dữ liệu cụ thể: một tác nhân giám sát luồng mạng, một tác nhân khác giám sát nhật ký EDR điểm cuối, một tác nhân khác giám sát các sự kiện kiểm toán đám mây và một tác nhân khác giám sát dữ liệu đo từ xa về danh tính và quyền truy cập. Sau đó, các tác nhân tương quan sẽ tập hợp các mối quan hệ giữa các thực thể, ánh xạ các hành động đến các kỹ thuật ATT&CK và xây dựng dòng thời gian chuỗi tấn công cho thấy cách một quy trình đáng ngờ trên điểm cuối kết nối với một điểm chuyển hướng danh tính bất thường trong Azure và các truy vấn cơ sở dữ liệu kỳ lạ trong Snowflake.
Điều này trực tiếp hỗ trợ tham vọng Zero Trust từ tiêu chuẩn NIST SP 800-207. Tài liệu đó nhấn mạnh việc xác minh liên tục và thực thi chính sách dựa trên ngữ cảnh hơn là sự tin tưởng ngầm định dựa trên vị trí mạng. Các tác nhân phát hiện cung cấp đánh giá hành vi liên tục mà các công cụ chính sách cần để đưa ra các quyết định cho phép, thách thức hoặc từ chối chính xác hơn trong thời gian thực.
Các nguồn tài liệu mô tả về XDR Phương pháp chuỗi tiêu diệt Bài viết này sẽ mô tả cách phân tích chuỗi tấn công giúp các nhóm phát hiện các cuộc tấn công nhiều giai đoạn sớm hơn và một cách có cấu trúc hơn. Về cơ bản, AI tác nhân tự động hóa việc diễn giải chuỗi tấn công trên toàn bộ dữ liệu đo từ xa của bạn.
Quy trình điều tra và ứng phó sự cố tự động
Việc điều tra, chứ không phải phát hiện, thường chiếm phần lớn thời gian của các nhà phân tích. Sau khi nhận được cảnh báo mức độ nghiêm trọng cao, ai đó phải tổng hợp bằng chứng, kiểm tra các thực thể tương tự, tham khảo thông tin tình báo về mối đe dọa và lập kế hoạch ứng phó. Đối với các sự cố phức tạp như Change Healthcare hoặc MGM, các bước này đã tiêu tốn nhiều ngày. Trong thời gian đó, hệ thống vẫn bị suy giảm hiệu suất và các nhà quản lý thiếu sự rõ ràng.
Các hệ thống AI tác nhân thay đổi mô hình này bằng cách tự động thực hiện các cuộc điều tra từ đầu đến cuối. Khi một tín hiệu ban đầu vượt qua một ngưỡng rủi ro nhất định, một tác nhân phân tích vụ việc sẽ thu thập tất cả các cảnh báo và dữ liệu đo từ xa liên quan, xác định các thực thể bị ảnh hưởng và tóm tắt nguyên nhân gốc rễ có thể xảy ra cùng với các chiến thuật ATT&CK liên quan. Các tác nhân khác kiểm tra sự lây lan: hoạt động tương tự trên các máy chủ cùng hệ thống, việc sử dụng cùng một thông tin đăng nhập, kết nối với cơ sở hạ tầng độc hại đã biết từ các nguồn cấp dữ liệu tình báo về mối đe dọa.
Khi có đủ bằng chứng, các tác nhân phản hồi sẽ đề xuất các tùy chọn phù hợp với chính sách. Ví dụ: cách ly máy chủ, vô hiệu hóa mã thông báo, chuyển người dùng vào nhóm bị hạn chế hoặc thực thi xác thực tăng cường. Trong các triển khai hoàn thiện hơn, các tác nhân có thể thực hiện trực tiếp các hành động phản hồi được giới hạn đối với các mẫu được xác định rõ ràng, đồng thời chuyển các tình huống mơ hồ cho các nhà phân tích con người. Mô hình "con người tham gia vào quy trình" này phản ánh cả các thực tiễn bảo mật tốt nhất và các kỳ vọng quy định hiện hành.
Ví dụ, phiên bản 6.2 của Stellar Cyber cho thấy cách phân tích vụ việc dựa trên tác nhân và tạo tường thuật tự động có thể rút ngắn thời gian hiểu vấn đề từ nhiều ngày xuống còn vài phút. Các nguyên tắc tương tự áp dụng trên toàn thị trường, đặc biệt là ở những nơi mà... phát hiện, điều tra và ứng phó với mối đe dọa Các nền tảng đóng vai trò trung tâm trong hoạt động.
SOC Phân loại và ưu tiên cảnh báo cho các nhóm tinh gọn
Mệt mỏi do căng thẳng có lẽ vẫn là điều đau đớn nhất. SOC Vấn đề là, nhiều nhóm phân tích thị trường tầm trung vẫn phải tự tay mở từng cảnh báo mức cao hoặc nghiêm trọng, chỉ để phát hiện ra những cảnh báo sai gây nhiễu hoặc ngữ cảnh không đầy đủ. Các nhà phân tích kiệt sức, và các cuộc tấn công thực sự lọt lưới lúc 2 giờ sáng.
Các báo cáo sự cố hiện đại nhấn mạnh khoảng trống này. Các cuộc tấn công lừa đảo bằng trí tuệ nhân tạo đã tăng hơn 700% từ năm 2024 đến năm 2025, trong khi các sự cố mã độc tống tiền tăng hơn 100% trong cùng kỳ. Không một nhóm nhân viên nào có thể tự tay phân loại mọi email đáng ngờ, dòng nhật ký và bất thường trên thiết bị đầu cuối mà các chiến dịch này tạo ra.
Các tác nhân phân loại cảnh báo liên tục đánh giá các cảnh báo mới khi chúng xuất hiện, không chỉ dựa trên mức độ nghiêm trọng của quy tắc mà còn dựa trên ngữ cảnh: mức độ quan trọng của thực thể, phạm vi ảnh hưởng, hành vi trong quá khứ, các chiến dịch hiện tại và sự kết hợp các kỹ thuật ATT&CK. Các cảnh báo có ngữ cảnh thấp về các tài sản có giá trị thấp có thể được tự động đóng sau khi kiểm tra nhanh. Các sự kết hợp có rủi ro cao, chẳng hạn như tài khoản có đặc quyền đăng nhập từ một khu vực địa lý mới trong khi tạo khóa đám mây mới, sẽ được ưu tiên xử lý ngay lập tức và tiến hành điều tra đầy đủ.
Các báo cáo triển khai thực tế cho thấy những hệ thống như vậy có thể nén hàng nghìn cảnh báo thô thành hàng trăm trường hợp mỗi ngày, thường giảm đáng kể khối lượng phân loại thủ công của các nhà phân tích đồng thời cải thiện chất lượng phát hiện. Điều đó giúp các nhân viên cấp cao tập trung vào việc săn lùng mối đe dọa, hoạt động nhóm bảo mật (purple teaming) và tăng cường bảo mật kiến trúc hệ thống. đại lý SOC tổng quan về nền tảng Bài viết này giải thích chi tiết hơn một số mô hình phân loại ưu tiên này.
Quản lý an ninh đám mây và khắc phục lỗi cấu hình
Các lỗi cấu hình đám mây vẫn là nguyên nhân hàng đầu gây ra các vụ xâm phạm an ninh mạng. Các bucket công cộng, quyền được cấp quá mức, môi trường thử nghiệm bị lãng quên và tài khoản dịch vụ lỗi thời tạo ra một bề mặt dễ bị tấn công. Các sự cố của Snowflake và Change Healthcare đều làm nổi bật rủi ro từ các điểm yếu về thông tin xác thực và cấu hình trong các hệ thống kết nối đám mây.
Các công cụ quản lý tư thế bảo mật đám mây truyền thống xác định các vấn đề, nhưng thường chỉ cung cấp cho các nhóm bảo mật những danh sách tĩnh lớn. Khắc phục chúng trên quy mô lớn đòi hỏi sự phối hợp giữa nhóm DevOps, chủ sở hữu ứng dụng và nhân viên tuân thủ. Trên thực tế, nhiều phát hiện tồn tại trong nhiều tháng.
Trí tuệ nhân tạo (AI) dựa trên tác nhân mang đến khả năng giám sát liên tục, nhận biết ngữ cảnh cho việc quản lý bảo mật đám mây. Các tác nhân chuyên dụng theo dõi sự thay đổi cấu hình, thay đổi danh tính và hành vi khối lượng công việc so với các tiêu chuẩn cơ bản. Khi một nhóm lưu trữ S3 đột nhiên trở nên công khai hoặc một tài khoản dịch vụ có được các vai trò mới, mạnh mẽ hơn, tác nhân có thể ngay lập tức gắn cờ sự thay đổi, đánh giá mức độ quan trọng đối với hoạt động kinh doanh và đề xuất hoặc thực hiện các biện pháp khắc phục an toàn như khôi phục lại chính sách trước đó hoặc đính kèm một mẫu tốt đã biết.
Đối với các khóa KMS, chính sách IAM hoặc cụm Kubernetes, các tác nhân có thể mô phỏng các thay đổi được đề xuất trước khi áp dụng chúng, kiểm tra các rủi ro gây lỗi. Khi kết hợp với các định nghĩa chính sách dựa trên các nguyên tắc Zero Trust của NIST SP 800-207, điều này tạo ra một vòng phản hồi giúp duy trì trạng thái đám mây sát với thiết kế ban đầu hơn. Các nhóm doanh nghiệp tầm trung không thể thành lập đội ngũ bảo mật đám mây chuyên trách sẽ có được quyền thực thi mạnh mẽ hơn.
Tổng quan về phát hiện và phản hồi đám mây Bài viết này đi sâu hơn vào cách phân tích liên tục trên các mặt phẳng điều khiển đám mây và mặt phẳng dữ liệu giúp phát hiện các chuỗi tấn công mà các công cụ quét tĩnh bỏ sót. Các quy trình làm việc dựa trên tác nhân được xây dựng trên nền tảng khả năng hiển thị đó để biến các phát hiện thành hành động.
Quản trị danh tính và quyền truy cập với tính năng phát hiện lạm dụng đặc quyền.
Danh tính đã trở thành ranh giới bảo mật mới. Vụ tấn công MGM, các vụ rò rỉ thông tin đăng nhập quy mô lớn năm 2025 và các sự cố Snowflake đều liên quan đến những kẻ tấn công sử dụng thông tin đăng nhập hợp lệ thay vì phần mềm độc hại rõ ràng. Các nghiên cứu về mối đe dọa nội bộ cho thấy gần 60% các vụ vi phạm bảo mật hiện nay liên quan đến người nội bộ hoặc các tài khoản bị xâm phạm.
Các quy trình quản trị danh tính và quyền truy cập truyền thống thường được thực hiện hàng quý hoặc hàng năm. Việc xem xét quyền hạn, phân tích vai trò và kiểm tra đặc quyền đột xuất rất hữu ích, nhưng lại không hiệu quả lắm đối với kẻ tấn công lạm dụng một tài khoản trong chín ngày liên tiếp. Chiến dịch Salt Typhoon năm 2024 đã cho thấy chính xác vấn đề này, duy trì quyền truy cập lâu dài bên trong mạng viễn thông bằng các thông tin đăng nhập trông có vẻ hợp pháp.
Trí tuệ nhân tạo (AI) hỗ trợ quản trị danh tính và quyền truy cập theo hai cách. Thứ nhất, các tác nhân phân tích hành vi liên tục giám sát cách thức hoạt động thông thường của từng danh tính: các ứng dụng mà nó truy cập, khối lượng dữ liệu điển hình, khu vực địa lý thường xuyên và thời gian hoạt động bình thường trong ngày. Nếu một tài khoản đột nhiên tải xuống hàng gigabyte dữ liệu lúc 3 giờ sáng từ một khu vực mới, các tác nhân có thể gắn cờ hoặc thậm chí tạm dừng phiên truy cập, bất kể có sử dụng xác thực đa yếu tố (MFA) hay không.
Thứ hai, các tác nhân tập trung vào quản trị sẽ quét biểu đồ quyền hạn để tìm ra các tổ hợp vai trò độc hại, tài khoản mồ côi và đặc quyền quá mức, từ đó đưa ra cho chủ sở hữu các khuyến nghị ưu tiên, giàu ngữ cảnh để loại bỏ rủi ro. Các trường hợp như vụ vi phạm dữ liệu MGM, nơi kỹ thuật xã hội dẫn đến quyền truy cập quản trị, minh họa lý do tại sao việc xem xét đặc quyền như vậy phải được thực hiện liên tục, chứ không phải theo từng giai đoạn.
hiện đại phát hiện và ứng phó với các mối đe dọa danh tính Tài liệu này mô tả cách thức kết hợp IAM cổ điển với kỹ thuật phát hiện các lỗ hổng bảo mật như Tài khoản hợp lệ, Nâng cao đặc quyền và Di chuyển ngang. Hệ thống tác nhân tự động hóa phần lớn kỹ thuật này và việc giám sát hàng ngày.
Kiểm tra tuân thủ liên tục và thực thi chính sách.
Việc tuân thủ quy định đối với các tổ chức tầm trung luôn tốn nhiều nguồn lực. PCI DSS, HIPAA, GDPR, các quy định cụ thể theo từng ngành và giờ là các sắc lệnh hành pháp về an ninh chuỗi cung ứng phần mềm đều yêu cầu bằng chứng liên tục. Tuy nhiên, nhiều công ty vẫn coi việc tuân thủ chỉ là một đợt chạy đua hàng quý với các bảng tính và ảnh chụp màn hình.
Tiêu chuẩn NIST SP 800-207 định nghĩa Zero Trust là một quy trình liên tục phải thích ứng với những thay đổi về tài sản, mối đe dọa và hành vi người dùng. Các công cụ phân tích phạm vi bảo mật do MITRE ATT&CK cung cấp cho thấy các biện pháp kiểm soát phù hợp với các kỹ thuật thực tế của kẻ thù, làm nổi bật các điểm mù. Cả hai khuôn khổ đều ngầm kêu gọi tự động hóa và xác thực liên tục. Con người đơn thuần không thể theo kịp.
Trí tuệ nhân tạo dựa trên tác nhân (Agentic AI) đáp ứng tốt yêu cầu này. Các tác nhân chính sách có thể mã hóa các quy tắc như “tất cả các danh tính có đặc quyền phải yêu cầu xác thực đa yếu tố chống lừa đảo” hoặc “không đơn vị kinh doanh nào được phép để lộ trực tiếp cơ sở dữ liệu ra internet”. Sau đó, các tác nhân khác liên tục kiểm tra dữ liệu đo từ xa, trạng thái cấu hình và hồ sơ danh tính có liên quan so với các chính sách đó, mở hoặc cập nhật các phát hiện khi có vi phạm.
Điều này chuyển việc tuân thủ từ xác nhận tại một thời điểm nhất định sang bằng chứng sống động. Đối với một kiến trúc sư bảo mật khi trình bày trước hội đồng quản trị, việc hiển thị bản đồ nhiệt về phạm vi phủ sóng ATT&CK được tạo ra hàng ngày, kết hợp với điểm số tuân thủ chính sách tự động, sẽ có trọng lượng hơn nhiều so với một đánh giá lỗi thời chỉ được thực hiện một lần mỗi năm. Tài liệu phân tích vùng phủ sóng MITRE ATT&CK Minh họa cách thức các hình ảnh trực quan như vậy hỗ trợ cả các cuộc đàm phán về an ninh và bảo hiểm.
Săn lùng mối đe dọa tự động bằng cách sử dụng dữ liệu đa miền.
Hầu hết các nhóm chuyên trách về bảo mật tầm trung đều mong muốn thực hiện việc săn lùng mối đe dọa. Tuy nhiên, rất ít nhóm có thể duy trì được điều đó. Các nhà phân tích hầu như chỉ theo kịp các cảnh báo đến; các cuộc săn lùng có cấu trúc thường bị xếp xuống cuối danh sách ưu tiên. Tuy nhiên, các vụ vi phạm bảo mật gần đây, từ Salt Typhoon đến Change Healthcare, cho thấy rằng việc săn lùng chủ động có thể đã phát hiện ra những bất thường từ rất lâu trước khi chúng gây ra hậu quả nghiêm trọng.
Các tác nhân săn lùng mối đe dọa AI hoạt động theo hướng đảo ngược phương trình này. Thay vì chờ đợi cảnh báo, chúng tạo ra và kiểm tra các giả thuyết dựa trên các kỹ thuật ATT&CK và thông tin tình báo về mối đe dọa. Ví dụ, một tác nhân có thể tìm kiếm các dấu hiệu rò rỉ thông tin đăng nhập hoặc sử dụng công cụ quản trị từ xa bất thường trên tất cả các thiết bị đầu cuối, sau đó chuyển hướng sang nhật ký mạng và dấu vết kiểm toán đám mây.
Vì các tác nhân có thể hoạt động liên tục và với tốc độ máy móc, chúng khám phá nhiều giả thuyết hơn bất kỳ nhóm người nào. Khi phát hiện ra các mô hình đáng ngờ, chúng sẽ mở các vụ án với bối cảnh có sẵn, lập bản đồ các kỹ thuật bị nghi ngờ, các thực thể liên quan và các bước tiếp theo được đề xuất. Theo thời gian, phản hồi từ các nhà phân tích sẽ huấn luyện các tác nhân này về những cuộc săn lùng nào mang lại giá trị, từ đó tinh chỉnh các nỗ lực trong tương lai.
Tổng quan về tình báo mối đe dọa mạng Bài viết này mô tả cách lập bản đồ ATT&CK có cấu trúc cho phép săn lùng mục tiêu một cách có hệ thống trong suốt vòng đời của cuộc tấn công. Các hệ thống tác nhân chỉ đơn giản là tự động hóa phương pháp tiếp cận có cấu trúc đó và tích hợp nó vào hệ thống đo lường từ xa hiện có của bạn.
Các mô hình kiến trúc kết hợp trí tuệ nhân tạo tác nhân với XDR và SIEM
Ngay cả những giải pháp bảo mật AI dựa trên tác nhân tốt nhất cũng sẽ thất bại nếu được triển khai một cách tùy tiện. Đối với một CISO dẫn dắt một tổ chức tầm trung, câu hỏi quan trọng không chỉ là "các tác nhân có thể làm gì", mà còn là "làm thế nào để chúng tích hợp với hệ thống hiện tại của tôi". SIEM, XDRvà đầu tư vào siêu tự động hóa mà không làm tăng rủi ro hoặc ngân sách?”
Hầu hết các thiết kế thành công đều có một số đặc điểm chung. Thứ nhất, chúng xử lý vấn đề... Open XDR hoặc một kiến trúc dữ liệu tương tự làm nền tảng. Lớp này chuẩn hóa dữ liệu đo lường từ các điểm cuối, mạng, đám mây, định danh và ứng dụng SaaS. Sau đó, các tác nhân AI sẽ sử dụng luồng dữ liệu đã được chuẩn hóa này thay vì cố gắng tích hợp riêng lẻ với từng công cụ. Điều này giảm thiểu rủi ro tích hợp và giúp việc bổ sung các nguồn dữ liệu mới trở nên đơn giản hơn.
Thứ hai, chúng tích hợp với SIEM thay vì thay thế hoàn toàn. Di sản SIEMHệ thống vẫn xử lý việc ghi nhật ký tuân thủ, lưu trữ dài hạn và một số tương quan. Trí tuệ nhân tạo tác nhân và công nghệ hiện đại XDR Các nền tảng này hoạt động song song với chúng, đảm nhiệm việc phát hiện theo thời gian thực, tương quan đa miền và điều phối phản hồi. Nhiều tổ chức bắt đầu bằng cách sao chép nhật ký vào một hệ thống nào đó. Open XDR trên nền tảng đó, các đại lý cho thuê hoạt động dựa trên nội dung đó trước khi xem xét lại. SIEM chu kỳ đổi mới.
Thứ ba, các hành động phản hồi được kết nối thông qua các hệ thống siêu tự động hóa hiện có và nền tảng SOAR. Thay vì bỏ qua các quy trình kiểm soát thay đổi đã được thiết lập, các tác nhân AI sẽ gọi các kịch bản và quy trình công việc đã được phê duyệt, chỉ với các trình kích hoạt thông minh hơn và ngữ cảnh phong phú hơn. Điều này phù hợp với các nguyên tắc quản trị trong NIST SP 800-207, nhấn mạnh việc kiểm soát dựa trên chính sách đối với quyền truy cập mạng và tài nguyên.
Cuối cùng, sự giám sát của con người vẫn là yếu tố then chốt. Thông cáo báo chí về con người tăng cường tự động SOCs Nhấn mạnh rằng các tác nhân sẽ phân loại, liên kết và đề xuất, trong khi con người sẽ xác nhận các hành động có tác động cao và điều chỉnh chiến lược. Mô hình này đáp ứng cả kỳ vọng về văn hóa bảo mật và các yêu cầu quản trị AI mới nổi.
Đối với các nhà lãnh đạo đang lên kế hoạch cho quá trình chuyển đổi này, trí tuệ nhân tạo cấp cao là rất quan trọng. SOC các tài liệu tham khảo như AI SOC hướng dẫn kiến trúc và AI tốt nhất SOC Tổng quan về các nền tảng Cung cấp các tiêu chí đánh giá thực tiễn. Đặc biệt chú ý đến cách mỗi nền tảng ánh xạ các phát hiện với MITRE ATT&CK, hiển thị ngữ cảnh liên quan đến Zero Trust và đo lường mức giảm khối lượng công việc của nhà phân tích bằng các con số thực tế.
Lộ trình áp dụng thực tiễn dành cho các CISO thuộc phân khúc thị trường tầm trung
Ngay cả khi giá trị đã rõ ràng, việc áp dụng trí tuệ nhân tạo tác nhân (agentic AI) vẫn có thể tiềm ẩn rủi ro. Những lo ngại bao gồm việc đưa ra kết luận sai gây gián đoạn hoạt động kinh doanh và việc các hệ thống AI hoạt động ngoài phạm vi chính sách. Những lo lắng này là hoàn toàn có cơ sở, đặc biệt là trong các ngành công nghiệp được quản lý chặt chẽ hoặc môi trường có các ứng dụng kế thừa dễ bị lỗi. Giải pháp nằm ở việc triển khai theo từng giai đoạn với các biện pháp bảo vệ rõ ràng.
Một cách tiếp cận thực tế bắt đầu bằng việc triển khai chế độ chỉ đọc, tập trung vào khả năng hiển thị và phân loại sự cố. Cho phép các tác nhân chấm điểm cảnh báo, xây dựng trường hợp và đề xuất phản hồi, nhưng yêu cầu sự chấp thuận của con người đối với bất kỳ hành động nào thay đổi hệ thống. Đo lường sự thay đổi về thời gian trung bình để phát hiện, thời gian trung bình để phản hồi và thời gian phân tích viên dành cho mỗi trường hợp. Nếu bạn không thấy những cải thiện đáng kể trong vòng vài tháng, hãy điều chỉnh cấu hình hoặc xem xét lại nhà cung cấp.
Tiếp theo, hãy xác định một lĩnh vực hẹp, có khối lượng giao dịch lớn nhưng rủi ro thấp để áp dụng quyền tự chủ một phần, chẳng hạn như xử lý email lừa đảo hoặc cách ly các điểm cuối phòng thí nghiệm không quan trọng. Nhiều tổ chức đã tin tưởng vào các kịch bản SOAR trong những lĩnh vực này; trí tuệ nhân tạo (AI) chỉ đơn giản là quyết định khi nào cần thực thi chúng. Theo dõi tỷ lệ lỗi, tần suất khôi phục và khiếu nại của người dùng.
Chỉ sau khi các phi công này chứng minh được sự an toàn, các nhóm mới nên xem xét việc trao quyền tự chủ rộng hơn, đặc biệt là về kiểm soát danh tính và khôi phục cấu hình đám mây. Ngay cả khi đó, mọi loại hành động tự chủ cũng cần tuân thủ chính sách rõ ràng, sự chấp thuận của chủ sở hữu doanh nghiệp và cấu trúc ghi nhật ký cho phép xem xét pháp lý sau này.
Xuyên suốt quá trình, hãy liên tục theo dõi tiến độ so với MITRE ATT&CK và NIST SP 800-207. Sử dụng các công cụ phân tích phạm vi và đánh giá Zero Trust để chứng minh những kỹ thuật tấn công và biện pháp kiểm soát chính sách nào hiện đang được chú trọng liên tục, thông qua tác nhân. Liên kết mỗi tiến bộ với một ví dụ về vi phạm thực tế mà lẽ ra đã được phát hiện sớm hơn hoặc ngăn chặn nhanh hơn. Các nhà quản lý cấp cao sẽ phản hồi dựa trên các kịch bản cụ thể: “Hệ thống này có thể đã phát hiện ra hành vi lạm dụng thông tin đăng nhập kiểu Change Healthcare trong vòng vài giờ, chứ không phải vài ngày.”
Để nghiên cứu sâu hơn về các khối cấu tạo cụ thể, các nguồn tài liệu như... hướng dẫn phân tích hành vi người dùng và thực thể và Tổng quan về phát hiện mối đe dọa danh tính Cung cấp bối cảnh tập trung vào phân tích hành vi và kiểm soát dựa trên danh tính. Kết hợp với Open XDR và một tác nhân SOC Về mặt cấu trúc, chúng vạch ra một lộ trình thực tế từ các hoạt động căng thẳng hiện nay sang một tư thế tự chủ và bền bỉ hơn, phù hợp với những hạn chế của thị trường tầm trung.