Firewalls Không Ngừng Chặn Hacker. Trí Tuệ Nhân Tạo Có Thể.

Ngành công nghiệp an ninh mạng luôn có tư duy như trong một pháo đài: Bao vây biên giới! Tăng cường hệ thống! Nhưng tư duy đó đã thất bại - thảm hại, như mỗi vụ hack tạo tiêu đề mới nhắc nhở chúng ta. Ngay cả khi bạn vá tất cả phần mềm của mình, như Equifax không làm, hoặc bạn tạo mật khẩu ngẫu nhiên cho tất cả, như hầu hết chúng ta không làm, kẻ xấu sẽ vượt qua cổng bảo vệ chặt chẽ của bạn, vào mạng của bạn. Và khi họ làm được điều đó, họ có thể tự do hoạt động một cách tự do.

Đó là lý do tại sao một số người trong ngành đang bắt đầu tập trung ít hơn vào việc niêm phong biên giới khỏi các mối đe dọa từ bên ngoài và nhiều hơn vào việc cảm nhận hành vi xấu bên trong khi nó xảy ra - khi nó có thể được ngăn chặn. Họ đang chuyển từ phép ẩn dụ quân sự sang ngôn ngữ của sinh học; họ đang thiết kế các hệ thống miễn dịch thay vì các rào cản.

Darktrace, được thành lập bởi các nhà toán học tại Đại học Cambridge và cựu điệp viên người Anh, sử dụng học máy để xác định cái gì là “bình thường” đối với bất kỳ mạng nào và tất cả các thiết bị của nó, sau đó báo cáo về sự sai lệch và bất thường trong thời gian thực. Điều đó khác biệt lớn so với quy trình bảo mật thông thường của việc liệt kê các cuộc tấn công trước đó và phòng ngự lại các cuộc tấn công lặp lại. CEO của Darktrace, Nicole Eagan, lập luận rằng trí tuệ nhân tạo là cách duy nhất để bảo vệ mạng khỏi những “điều không biết không biết” - những hành động nội bộ và khai thác mới mẻ mà quét antivirus của bạn không thể phát hiện.

Eagan là cựu nhân viên của Oracle, như nhiều người đồng sáng lập của cô, cũng từng làm việc tại Autonomy, công ty đổi mới dữ liệu lớn đặt trụ sở tại Cambridge và được Hewlett Packard mua lại vào năm 2011 (và gây ra một cuộc chiến tranh pháp lý sau khi HP quyết định đã trả giá quá đắt). Darktrace không phải là công ty duy nhất hứa hẹn phát hiện kẻ xấu đang hoạt động trong mạng; các công ty khác như AlienVault, NetWatcher và SS8 cũng nói họ có thể cung cấp loại phòng thủ sâu như vậy. Nhưng không một trong số các đối thủ này phụ thuộc nhiều vào khả năng trí tuệ nhân tạo như Darktrace - và một số lời bày tỏ hoài nghi rằng điều này có thể thực hiện được.

Gần đây, Eagan đã ngồi xuống với Backchannel để giải thích cách tiếp cận của Darktrace có thể giúp các nền dân chủ cố gắng bảo vệ cuộc bầu cử của họ và cách việc hack của Equifax sẽ thay đổi cách doanh nghiệp kết nối với nhau.

Scott Rosenberg: Giả sử bạn đang vận hành một nhà bán lẻ trực tuyến. Bạn đã có tất cả các phòng thủ mạng thông thường. Bạn cần trí tuệ nhân tạo để làm gì?

Nicole Eagan: Thách thức lớn mà toàn bộ ngành an ninh và các giám đốc an ninh chủ chốt đang phải đối mặt là họ luôn đuổi theo cuộc tấn công của ngày hôm qua. Đó là tư duy mà toàn bộ ngành công nghiệp đang có - nếu bạn phân tích cuộc tấn công của ngày hôm qua đối với người khác, bạn có thể giúp dự đoán và ngăn chặn cuộc tấn công của ngày mai đối với bạn. Điều đó là không chính xác, bởi vì những kẻ tấn công liên tục thay đổi vector tấn công. Tuy nhiên, các công ty đã chi tiêu rất nhiều tiền cho các công cụ dựa trên giả thiết sai lầm đó. Phương pháp của chúng tôi hoàn toàn khác biệt: Điều này chỉ là việc học trong thời gian thực về những gì đang diễn ra và sử dụng trí tuệ nhân tạo để đề xuất các hành động cần thực hiện, ngay cả khi cuộc tấn công chưa từng được nhìn thấy trước đó. Đó là sự chuyển đổi lớn mà Darktrace đang cố gắng thuyết phục các nhà bán lẻ trực tuyến như vậy: đặt mình vào vị trí lập kế hoạch tiến về phía trước về rủi ro mạng, không phải phản ứng với quá khứ.

Tôi biết ngôn ngữ quân sự được sử dụng quá mức trong ngành này, nhưng nghe có vẻ như bạn đang dịch chuyển phòng thủ từ biên giới mạng sang toàn bộ bên trong. Liệu Darktrace chỉ thay thế các tường lửa và bộ bắt virus cũ?

Tôi nghĩ rằng có sự đầu tư quá mức vào ranh giới, cố gắng làm cho nó cứng cáp—cũng như việc xem dark web để xem liệu dữ liệu của bạn đã được công khai hay mua các luồng thông tin đe dọa của bên thứ ba về các cuộc tấn công lịch sử trên các công ty khác. Nếu họ có đầu tư bên trong, thì thường chỉ làm trên những gì được gọi là quy tắc và chữ ký [so khớp mẫu tấn công và virus đã biết], lại một lần nữa, chỉ là cuộc tấn công của ngày hôm qua được viết trong một quy tắc, và sau đó bạn cố gắng bắt nó.

Khi chúng tôi bắt đầu làm việc với các công ty, nó thay đổi cách họ nghĩ về an ninh. Nó cung cấp cho họ khả năng nhìn thấy mà trước đây họ chưa bao giờ có được về mẫu số cuộc sống của mỗi người dùng và thiết bị bên trong mạng của họ. Nó cho họ thấy mạng của họ trực quan trong thời gian thực, điều đó làm mở ra đôi mắt. Họ cũng nhận ra rằng bạn có thể bắt được những điều này sớm. Trung bình kẻ tấn công ở trong một mạng 200 ngày trước khi gây ra thiệt hại thực sự. Bạn có rất nhiều thời gian.

Chúng tôi nói nhiều về hệ thống miễn dịch của con người. Chúng tôi đã thấy đó là một phép so sánh rất hiệu quả vì hội đồng quản trị có thể hiểu được, người không chuyên về công nghệ cũng có thể hiểu được, cũng như những người chuyên sâu về công nghệ. Chúng ta có da, nhưng đôi khi virus hoặc vi khuẩn sẽ xâm nhập bên trong. Hệ thống miễn dịch của chúng ta không gây ra sự đóng băng hoàn toàn cơ thể chúng ta. Nó sẽ có phản ứng rất chính xác. Đó là nơi an ninh cần đến. Nó cần trở thành điều gì đó, giống như hệ thống miễn dịch của chúng ta, luôn chạy ở nền—tôi không cần phải suy nghĩ về nó.

Người tấn công có thông minh hơn và thích ứng với cách tiếp cận của bạn không?

Giống như mọi người khác, chúng tôi không chính xác biết khi nào trí tuệ nhân tạo sẽ bắt đầu được sử dụng rộng rãi trong vector tấn công chính. Chúng tôi đã thấy một trường hợp, khoảng sáu tháng trước trong một mạng ở Ấn Độ. Đó không phải là một cuộc tấn công cực kỳ tinh vi. Tôi không gọi đó là một cuộc tấn công trí tuệ nhân tạo toàn diện. Nhưng nó đã sử dụng một số phần nhỏ của học máy để học cái gì là bình thường trong mạng này và cố gắng hòa mình vào nhiễu động nền. May mắn thay, chúng tôi phát hiện ra nó vì nó đang thực hiện rất nhiều chuyển động bên cạnh và hành vi bất thường, vì vậy mô hình của chúng tôi đã phát hiện được rõ ràng.

Có thể không phải là việc cố gắng đánh cắp dữ liệu; có thể chỉ là muốn ở lại và học hỏi, phải không? Nếu bạn muốn tìm hiểu về nghiên cứu y khoa mới hoặc năng lượng thay thế, có thể bạn chỉ muốn cắm trại trong mạng và quan sát. Hoặc có thể đó là về việc thay đổi dữ liệu một cách tinh sub, hồ sơ bệnh nhân, nhóm máu, số dư tài khoản ngân hàng và điều đó sẽ gây ra hỗn loạn vì không ai biết được dữ liệu nào họ có thể tin cậy.

Đó là những cuộc tấn công chúng tôi nghĩ rằng có khả năng xảy ra khi trí tuệ nhân tạo trở nên quan trọng hơn. Học máy, đặc biệt là các hệ thống tự học không giám sát, càng lâu chúng ở đó, chúng càng thông minh và mạnh mẽ hơn. Giống như càng lâu hệ thống miễn dịch của chúng ta đã ở đó, nó càng mạnh mẽ, nó đã tiếp xúc với nhiều thứ hơn.

Một số phương pháp học máy hiện đang sử dụng toàn bộ dữ liệu của khách hàng của họ, tải nó lên đám mây và so sánh. Một phần tư khách hàng của chúng tôi là ngành dịch vụ tài chính. Một số người sáng lập của chúng tôi đến từ cộng đồng tình báo, MI5, MI6. Chúng tôi nhìn vào điều này và nói rằng, nếu bạn là một công ty dịch vụ tài chính, hoặc nếu bạn thậm chí là trong lĩnh vực chăm sóc sức khỏe, hoặc bạn là ai—tại sao bạn lại tải dữ liệu của bạn lên đám mây của người khác? Bây giờ bạn đã tăng nguy cơ bảo mật của mình, không phải giảm đi.

Nếu bạn nghe về một tình huống như câu chuyện Equifax, bạn nghĩ gì?

Một trong những điều tôi nghĩ đến là: Đối với nhiều khách hàng của chúng tôi, Equifax là một phần của chuỗi cung ứng của họ. Họ đã tin cậy vào Equifax để thực hiện một số kiểm tra và đánh giá tín dụng nền. Tôi nghĩ lần cuối cùng vấn đề này trở nên quan trọng đến mức đó là xung quanh Target. Chuỗi cung ứng của bạn thực sự quan trọng. Mọi người trong đó, đặc biệt là trong chuỗi cung ứng dữ liệu, có thể tăng nguy cơ mạng của bạn. Rất nhiều người tiêu dùng rõ ràng bị ảnh hưởng bởi việc vi phạm này, nhưng còn rất nhiều đối tác chuỗi cung ứng khác của Equifax cũng bị ảnh hưởng bởi việc vi phạm. Làm thế nào chúng ta có thể giúp, trong tương lai, tất cả những người phụ thuộc vào Equifax, người thuộc chuỗi cung ứng dữ liệu của họ, biết rằng việc vi phạm đang diễn ra khi nó đang diễn ra? Không sau khi việc vi phạm được Equifax báo cáo.

Tôi nghĩ chúng ta sẽ thấy một điều nào đó nổi lên—nó có thể là tương đương của một điểm FICO, thực tế—nơi mọi người trong chuỗi cung ứng có một loại nguồn cấp dữ liệu thời gian thực vào [tình trạng của các công ty khác]. Bạn sẽ thấy điều gì đó chuyển từ điểm báo động mà chúng tôi gọi là cảnh báo vàng sang cảnh báo đỏ. Điều gì đó sẽ xuất hiện trên bảng điều khiển của bạn thông báo: “Một người trong chuỗi cung ứng dữ liệu của bạn có các chỉ báo sớm cho thấy có điều gì đó không ổn.”

Những vi phạm này được báo cáo như là những sự kiện lịch sử, lâu sau khi đã có thể thực hiện điều gì đó về vấn đề đó. Điều đó phải thay đổi.

Làm thế nào để bạn có thể thuyết phục các công ty chia sẻ thông tin nhạy cảm như vậy?

Hiện nay, điều xảy ra là, mọi người đều có một thỏa thuận pháp lý với Equifax. Để trở thành đối tác chuỗi cung ứng, thường có một bảng khảo sát rủi ro mạng lưới mà bạn điền thông tin. Thường có từ 200 đến 1.000 câu hỏi trong mỗi bảng khảo sát về an ninh và điều đó là một khái niệm chủ quan. Bạn đưa nó cho bên kia; họ nói, có, không, có, không, có, có, có. Điều đó có thể hoặc không hoàn toàn chính xác về mặt sự thật.

Thực tế là, điểm rủi ro mạng của bạn thay đổi thường xuyên - giống như điểm tín dụng của bạn, điểm FICO của bạn. Các cuộc tấn công đến từ mọi công ty xảy ra hàng ngày. Mỗi ngày, hồ sơ rủi ro mạng của họ thay đổi một cách động. Nó không cố định, nhưng cả cái khảo sát chuỗi cung ứng này chỉ là một bảng câu hỏi chủ quan, vào một thời điểm nào đó ở đầu mối quan hệ. Mối quan hệ đó đã tồn tại từ 2 năm, 5 năm, 10 năm; bảng câu hỏi có thể không bao giờ được cập nhật.

Chúng tôi nghĩ rằng lĩnh vực đánh giá rủi ro mạng lưới sẽ cần phải chuyển sang mô hình thời gian thực. Thay vì một thỏa thuận pháp lý mà chúng ta ký kết từ đầu và sau đó để vào ngăn kéo, sẽ có việc chia sẻ điểm rủi ro mạng lưới giữa chuỗi cung ứng. Bạn có thể không biết chính xác sự vi phạm là gì, nhưng bạn sẽ có một dấu hiệu rằng nhà cung cấp đó có vấn đề ở một khía cạnh nào đó ngay bây giờ.

Các mô hình này đang được phát triển trong ngày hôm nay. Tôi nghĩ nó sẽ thay đổi tương lai của bảo hiểm rủi ro mạng. Có khả năng nó cũng có thể mở rộng sang phía người tiêu dùng. Có lẽ tôi không muốn thực hiện giao dịch ngân hàng hoặc kinh doanh với một thực thể có điểm rủi ro mạng thấp.

Hãy nói về phần công cộng. Có cách nào áp dụng những gì bạn đang làm trong an ninh doanh nghiệp để bảo vệ cuộc bầu cử của chúng ta chẳng hạn?

Thường, phần của Defcon và Blackhat mà mọi người đều hào hứng nhất là về việc tấn công vào các phương tiện vận chuyển - như cách thể hiện bạn có thể kiểm soát một chiếc Jeep và làm ngừng hoạt động hệ thống phanh. Nhưng năm nay, điều thú vị nhất thực sự là về cách dễ dàng để làm giả máy bỏ phiếu.

Điều đó rất dễ dàng! Có rất nhiều lo ngại - không chỉ ở Hoa Kỳ, mà ở các quốc gia khác chưa chuyển sang việc bỏ phiếu điện tử. Họ đang dần chuyển sang hệ thống tự động hóa hơn và bây giờ họ đã dừng lại kế hoạch. Họ đã đến với Darktrace, nói rằng, “Chúng tôi thực sự muốn tự động hóa một số phần của quá trình bỏ phiếu, nhưng an ninh là vấn đề hàng đầu của chúng tôi.” Chúng tôi sẽ sớm triển khai một số dự án thử nghiệm để giúp các quốc gia khác cũng lo ngại dựa trên những gì họ thấy xảy ra ở Mỹ.

Sử dụng phương pháp của chúng tôi, chúng tôi nhìn thấy mọi thứ, và khi nói mọi thứ, tôi có nghĩa là bất kỳ thiết bị nào kết nối. Vì vậy, thiết bị IoT, có rất nhiều loại đang xuất hiện trên thị trường ngay bây giờ.

Tôi đọc về vụ cái nắp bể cá kết nối.

Đúng vậy, và mọi người đang cố gắng tìm hiểu xem họ sẽ đặt bất kỳ tác nhân hoặc chip nào vào mỗi thiết bị để bảo mật nó. Điều tuyệt vời về phương pháp của chúng tôi là, họ không cần phải đặt bất cứ điều gì vào thiết bị của họ. Thực tế, chúng tôi sẽ mô hình hóa hành vi của nó, mô hình chuẩn của cuộc sống và không bình thường, và biết liệu nó đang bị tấn công hay không. Điều này hoàn toàn đúng đối với các máy bỏ phiếu, nếu chúng kết nối qua internet hoặc wifi, cũng như là với một máy chủ doanh nghiệp.