Firewalls Không Ngừng Được Hacker. Trí Tuệ Nhân Tạo Có Thể.

Công nghiệp an ninh mạng luôn có tư duy thành lũy: Tường lửa xung quanh biên giới! Tăng cường hệ thống! Nhưng tư duy đó đã thất bại - thảm hại, như mỗi vụ hack tạo tiêu đề mới nhắc nhở chúng ta. Ngay cả khi bạn vá tất cả phần mềm của mình, như Equifax không làm, hoặc bạn ngẫu nhiên tạo mật khẩu, như phần lớn chúng ta không làm, những kẻ xấu vẫn sẽ vượt qua cổng bảo vệ chặt chẽ của bạn, vào mạng của bạn. Và khi họ làm được điều đó, họ sẽ tự do tung hoành.

Đó là lý do tại sao một số người trong ngành đang bắt đầu tập trung ít hơn vào việc phong tỏa biên giới khỏi mối đe dọa bên ngoài và nhiều hơn vào việc cảm nhận hành vi xấu bên trong khi nó diễn ra - khi nó có thể được ngăn chặn. Họ đang dời khỏi phép ẩn dụ quân sự sang ngôn ngữ của sinh học; họ đang thiết kế hệ thống miễn dịch thay vì các vật chắn.

Darktrace, được thành lập bởi các nhà toán học Đại học Cambridge và các điệp viên người Anh cũ, sử dụng học máy để xác định điều gì là 'bình thường' đối với mạng và tất cả các thiết bị của nó, sau đó báo cáo về sự sai lệch và bất thường trong thời gian thực. Điều này khác biệt lớn so với quy trình bảo mật thông thường của việc liệt kê các vụ tấn công trước đó và bảo vệ chống lại các vụ diễn xuất lại. Giám đốc điều hành Darktrace, Nicole Eagan, cho rằng trí tuệ nhân tạo là cách duy nhất để bảo vệ mạng chống lại 'những điều không biết' - các hành vi lừa đảo từ bên trong và khai thác mới mẻ mà quét antivirus của bạn không thể phát hiện.

Eagan là một cựu nhân viên Oracle, như nhiều người đồng sáng lập của cô, cũng đã làm việc tại Autonomy, công ty đổi mới dữ liệu lớn có trụ sở tại Cambridge, được Hewlett Packard mua lại vào năm 2011 (và gây ra một cuộc tranh cãi pháp lý sau khi HP quyết định trả giá quá cao). Darktrace không phải là công ty duy nhất hứa hẹn phát hiện những kẻ ác ý đang hoạt động trong các mạng; các công ty khác như AlienVault, NetWatcher và SS8 cũng cho rằng họ có thể cung cấp loại bảo vệ sâu rộng như vậy. Nhưng không có đối thủ nào dựa nhiều vào khả năng trí tuệ nhân tạo như Darktrace - và một số người lên tiếng hoài nghi rằng điều đó có thể làm được.

Gần đây, Eagan đã ngồi xuống với Backchannel để giải thích cách tiếp cận của Darktrace có thể giúp các nền dân chủ cố gắng bảo vệ cuộc bầu cử của họ và làm thế nào vụ hack của Equifax sẽ thay đổi cách các doanh nghiệp kết nối với nhau.

Scott Rosenberg: Giả sử bạn đang điều hành một cửa hàng bán lẻ trực tuyến. Bạn đã có tất cả các phòng thủ mạng thông thường. Bạn cần trí tuệ nhân tạo để làm gì?

Nicole Eagan: Thách thức lớn của toàn bộ ngành an ninh và các quan chức an ninh chính hiện nay là họ luôn đuổi theo cuộc tấn công của ngày hôm qua. Đó là tư duy mà cả ngành công nghiệp này đều có - rằng nếu bạn phân tích cuộc tấn công của ngày hôm qua đối với người khác, bạn có thể giúp dự đoán và ngăn chặn cuộc tấn công của ngày mai đối với bạn. Điều này là sai lầm, vì những kẻ tấn công tiếp tục thay đổi vector tấn công. Nhưng các công ty đã tiêu rất nhiều tiền cho các công cụ dựa trên giả thiết sai này. Phương pháp tiếp cận của chúng tôi hoàn toàn khác biệt: Đây chỉ là việc học theo thời gian thực về những gì đang diễn ra và sử dụng trí tuệ nhân tạo để đề xuất các hành động cần thực hiện, ngay cả khi cuộc tấn công chưa từng được nhìn thấy trước đây. Đó là bước chuyển mà Darktrace đang cố gắng thuyết phục những người như nhà bán lẻ trực tuyến đóng vai trò quan trọng trong việc lập kế hoạch chiến lược về rủi ro mạng, không phải phản ứng với quá khứ.

Tôi biết ngôn ngữ quân sự được sử dụng quá nhiều trong ngành này, nhưng nghe có vẻ như bạn đang chuyển phòng thủ từ ranh giới mạng đến toàn bộ bên trong. Liệu Darktrace chỉ thay thế các tường lửa cũ và các chương trình bắt virus cũ?

Tôi nghĩ đã có sự đầu tư quá nhiều vào ranh giới, cố gắng làm cho nó cứng cáp cũng như trong việc nhìn vào dark web để xem liệu dữ liệu của bạn đã được công bố chưa hoặc mua các luồng thông tin đe dọa của bên thứ ba về các cuộc tấn công lịch sử trên các công ty khác. Nếu họ đã đầu tư vào bên trong, thường là chỉ dựa vào những gì được gọi là quy tắc và chữ ký [so khớp mẫu tấn công và virus đã biết], một lần nữa, đó chỉ là cuộc tấn công của ngày hôm qua được viết thành quy tắc và sau đó bạn cố bắt giữ nó.

Khi chúng tôi bắt đầu làm việc với các công ty, nó thay đổi cách họ nghĩ về bảo mật. Nó mang lại cho họ khả năng nhìn thấy mà trước đây họ chưa bao giờ có được về mô hình sống của mỗi người dùng và thiết bị bên trong mạng của họ. Nó cho phép họ nhìn thấy mạng của mình một cách trực quan và thời gian thực, điều này thực sự mở mang kiến thức. Họ cũng nhận ra rằng bạn có thể bắt kịp những điều này sớm. Trung bình, kẻ tấn công nằm trong một mạng trong 200 ngày trước khi gây thiệt hại thực sự. Bạn có nhiều thời gian.

Chúng ta thường nói nhiều về hệ thống miễn dịch của con người. Chúng tôi đã thấy rằng đây là một phép so sánh rất hiệu quả vì các hội đồng quản trị có thể hiểu, những người không chuyên về công nghệ cũng có thể hiểu được, cũng như những người chuyên sâu về công nghệ. Chúng ta có da bọc ngoài, nhưng đôi khi virus hoặc vi khuẩn sẽ xâm nhập bên trong. Hệ thống miễn dịch của chúng ta sẽ không đóng cửa toàn bộ cơ thể. Nó sẽ có một phản ứng rất chính xác. Đó là nơi mà bảo mật cần đến. Nó cần trở thành một thứ gì đó tương tự như hệ thống miễn dịch của chúng ta, luôn chạy ngầm - tôi không cần phải suy nghĩ về nó.

Liệu những kẻ tấn công có thông minh hơn và thích nghi với phương pháp của bạn không?

Giống như mọi người khác, chúng tôi không biết chính xác khi nào trí tuệ nhân tạo sẽ bắt đầu được sử dụng rộng rãi trong các phương thức tấn công. Chúng tôi đã thấy một trường hợp, khoảng sáu tháng trước trong một mạng ở Ấn Độ. Nó không phải là rất tinh vi. Tôi không gọi đó là một cuộc tấn công trí tuệ nhân tạo hoàn chỉnh. Nhưng nó sử dụng một số phần của học máy để tìm hiểu về cái nhìn bình thường trong mạng này và cố gắng hòa mình vào tiếng ồn nền. May mắn thay, chúng tôi phát hiện ra nó vì nó đang thực hiện nhiều chuyển động ngang và hành vi bất thường, vì vậy các mô hình của chúng tôi đã phát hiện ra một cách rõ ràng.

Nó có thể không cố gắng ăn cắp dữ liệu; có thể chỉ muốn theo dõi, phải không? Nếu bạn muốn tìm hiểu về nghiên cứu y học mới hoặc năng lượng thay thế, có lẽ bạn chỉ muốn cắm trại trong mạng và quan sát. Hoặc có thể nó liên quan đến việc thay đổi dữ liệu một cách tinh subtile, hồ sơ bệnh nhân, nhóm máu, số dư tài khoản ngân hàng, và điều đó sẽ gây ra hỗn loạn vì không ai biết được dữ liệu nào họ có thể tin tưởng.

Những cuộc tấn công này chúng tôi nghĩ sẽ xảy ra nhiều hơn khi trí tuệ nhân tạo trở nên quan trọng hơn. Học máy, đặc biệt là các hệ thống tự học không giám sát, càng lâu chúng ở trong vị trí, chúng càng thông minh và mạnh mẽ hơn. Giống như hệ thống miễn dịch của chúng ta, càng lâu nó ở cùng chúng ta, nó càng mạnh mẽ, càng gặp nhiều thứ.

Một số phương pháp học máy hiện có lấy tất cả dữ liệu của khách hàng, tải lên đám mây và so sánh. Một phần tư khách hàng của chúng tôi thuộc ngành dịch vụ tài chính. Một số người sáng lập của chúng tôi đến từ cộng đồng tình báo, MI5, MI6. Chúng tôi nhìn vào điều này và nói, nếu bạn là một công ty dịch vụ tài chính, hoặc nếu bạn thậm chí là trong lĩnh vực y tế, nếu bạn là ai - tại sao bạn lại tải dữ liệu của mình lên đám mây của người khác? Bây giờ bạn đã tăng nguy cơ bảo mật của mình, không giảm bớt.

Bạn nghĩ gì khi nghe về tình huống như câu chuyện của Equifax?

Một trong những điều đến với tôi là: Đối với nhiều khách hàng của chúng tôi, Equifax là một phần của chuỗi cung ứng của họ. Họ đã phụ thuộc vào Equifax để thực hiện một số kiểm tra và điểm tín dụng nền. Tôi nghĩ lần cuối cùng điều này trở nên quan trọng như vậy có lẽ đã xảy ra xung quanh Target. Chuỗi cung ứng của bạn thực sự quan trọng. Mọi người trong đó, đặc biệt trong chuỗi cung ứng dữ liệu, có thể tăng nguy cơ an ninh mạng của bạn. Rất nhiều người tiêu dùng rõ ràng bị ảnh hưởng bởi việc vi phạm này, nhưng cũng có rất nhiều đối tác chuỗi cung ứng khác của Equifax cũng bị ảnh hưởng bởi việc vi phạm. Làm thế nào chúng ta có thể giúp đỡ, trong tương lai, tất cả những người đang phụ thuộc vào Equifax, người nằm trong chuỗi cung ứng dữ liệu của họ, biết rằng việc vi phạm đó đang diễn ra khi nó đang diễn ra? Không phải sau khi việc vi phạm được báo cáo bởi Equifax.

Tôi nghĩ chúng ta sẽ thấy một điều gì đó nảy sinh - thực tế có thể là tương đương của điểm FICO - mà trong thực tế, mỗi người trong chuỗi cung ứng đều có một loại thông tin hiển thị thời gian thực vào [tình trạng của các công ty khác]. Bạn sẽ thấy một thông báo chuyển từ điều chúng tôi gọi là cảnh báo vàng sang cảnh báo đỏ. Một cái gì đó sẽ sáng lên trên bảng điều khiển của bạn nói rằng, “Có ai đó trong chuỗi cung ứng dữ liệu của bạn có các chỉ báo sớm rằng có điều gì đó không ổn.”

Những việc vi phạm này được báo cáo như là những sự kiện lịch sử, lâu sau khi đã có thể làm gì đó về nó. Điều đó phải thay đổi.

Làm thế nào để bạn thuyết phục các công ty chia sẻ thông tin nhạy cảm như vậy?

Hiện nay điều xảy ra là, mỗi người đều có một thỏa thuận pháp lý với Equifax. Để trở thành đối tác chuỗi cung ứng, thường có một cuộc khảo sát rủi ro mạng bạn phải điền. Thường có từ 200 đến 1,000 câu hỏi trong mỗi cuộc khảo sát an ninh, và nó là chủ quan. Bạn đưa nó cho bên kia; họ nói, có, không, có, không, có, có, có. Nó có thể đúng hoặc không đúng về sự thật.

Thực tế là, điểm rủi ro mạng của bạn thay đổi thường xuyên - giống như điểm tín dụng của bạn, điểm FICO của bạn. Mỗi ngày xảy ra hàng loạt cuộc tấn công vào mọi công ty. Hồ sơ rủi ro mạng của họ thay đổi động địa hàng ngày. Nó không tĩnh, nhưng cả cái vụ chuỗi cung ứng này chỉ là một cuộc khảo sát chủ quan, tại một thời điểm ở đầu mối quan hệ. Mối quan hệ đó kéo dài 2 năm, 5 năm, 10 năm; biểu mẫu đó có thể không bao giờ được cập nhật.

Chúng tôi nghĩ rằng toàn bộ lĩnh vực đánh giá rủi ro mạng cần phải chuyển sang một mô hình thời gian thực. Thay vì một thỏa thuận pháp lý mà chúng ta ký kết từ đầu và sau đó đặt vào ngăn kéo, sẽ có việc chia sẻ điểm rủi ro mạng giữa các chuỗi cung ứng. Bạn có thể không biết chính xác sự vi phạm là gì, nhưng bạn sẽ có dấu hiệu rằng nhà cung cấp đó có vấn đề ở một khía cạnh nào đó ngay bây giờ.

Những mô hình này đang được phát triển ngày nay. Tôi nghĩ rằng điều này sẽ thay đổi tương lai của bảo hiểm rủi ro mạng. Có thể nó cũng mở rộng ra phía người tiêu dùng. Có lẽ tôi không muốn làm ngân hàng hoặc kinh doanh với một tổ chức có điểm rủi ro mạng thấp.

Đàm thoại về lĩnh vực công cộng. Có cách nào áp dụng những gì bạn đang làm trong lĩnh vực bảo mật doanh nghiệp vào việc bảo vệ cuộc bầu cử của chúng ta, ví dụ như vậy không?

Thường, phần của Defcon và Blackhat mà mọi người thích nhất là về các vụ hack trên các phương tiện giao thông - như cách để kiểm soát một chiếc Jeep và làm ngừng hoạt động hệ thống phanh của nó. Nhưng năm nay, điều thú vị nhất thực sự là về việc dễ dàng can thiệp vào các máy bỏ phiếu.

Rất dễ dàng! Có rất nhiều lo ngại - không chỉ ở Hoa Kỳ, mà ở các quốc gia khác chưa chuyển sang việc bỏ phiếu điện tử. Họ đang dần chuyển sang các hệ thống tự động hóa hơn và bây giờ họ đã hoãn kế hoạch đó. Họ đã đến với Darktrace, nói rằng, “Chúng tôi thực sự muốn tự động hóa một số quy trình bỏ phiếu, nhưng an ninh là vấn đề hàng đầu của chúng tôi.” Sớm, chúng tôi sẽ có một số dự án thử nghiệm để giúp các quốc gia khác cũng lo lắng dựa trên những gì họ đã thấy xảy ra tại Hoa Kỳ.

Sử dụng phương pháp của chúng tôi, chúng tôi nhìn thấy mọi thứ, và bằng mọi thứ, tôi có nghĩa là bất kỳ thiết bị nào kết nối. Vì vậy, các thiết bị IoT, hiện có một đợt dữ liệu lớn đang đổ vào thị trường ngay bây giờ.

Tôi đã đọc về vụ việc kết nối hồ cá.

Ừ, và mọi người đang cố gắng tìm ra nguyên tắc hoặc chip họ sẽ đặt vào mỗi thiết bị để bảo mật. Điều tuyệt vời ở phương pháp của chúng tôi là, họ không cần phải đặt bất cứ thứ gì vào thiết bị của họ. Thực tế là chúng tôi sẽ mô hình hóa hành vi của nó, mẫu mô phỏng chuẩn và không chuẩn, và biết liệu nó có đang bị tấn công hay không. Điều này hoàn toàn đúng đối với máy bỏ phiếu, nếu chúng kết nối qua internet hoặc wifi, cũng như đối với một máy chủ doanh nghiệp.