“Trong kỷ nguyên AI tự động hóa toàn bộ chuỗi tấn công mạng, hệ thống quản trị vá lỗi của doanh nghiệp cũng phải thay đổi từ gốc.”

Ngày 9/6, Tanium Korea, doanh nghiệp toàn cầu trong lĩnh vực bảo mật điểm cuối và quản trị vận hành CNTT, tổ chức họp báo để chia sẻ chiến lược bảo mật doanh nghiệp trong bối cảnh môi trường đe dọa thay đổi nhanh dưới tác động của AI. Công ty cho rằng doanh nghiệp cần tái cấu trúc quy trình quản trị vá lỗi theo hướng tự động hóa dựa trên chính sách, khi tốc độ tấn công mạng đang tăng mạnh nhờ AI.

Theo Tanium Korea, cách vá lỗi truyền thống hiện không còn đủ khả năng theo kịp diễn biến mới.

Kang Du-won, Giám đốc Tanium Korea, cho biết trước đây một cuộc tấn công mạng thường đòi hỏi đội ngũ chuyên gia bảo mật có trình độ cao và kỹ thuật chuyên sâu. Nhưng hiện nay, AI đã có thể xử lý gần như toàn bộ chuỗi tấn công, từ phân tích mã, phát hiện lỗ hổng, tạo mã khai thác đến triển khai ngoài thực tế.

Ông cho biết vài năm trước, sau khi một lỗ hổng được công bố, thị trường thường mất khoảng ba ngày mới xuất hiện các đợt tấn công quy mô lớn. Hiện khoảng thời gian này đã rút xuống chỉ còn vài giờ, thậm chí trong một số trường hợp gần đây chỉ khoảng 30 phút.

Ở phía phòng thủ, quy trình vẫn phụ thuộc nhiều vào con người trong hầu hết các khâu: xác định lỗ hổng, xác nhận bộ phận phụ trách, rà soát tài sản bị ảnh hưởng, gửi yêu cầu thay đổi, phê duyệt, triển khai bản vá và kiểm tra kết quả. “Có thống kê cho thấy một chu kỳ triển khai bản vá trung bình mất từ 60 đến 150 ngày”, ông nói, đồng thời nhấn mạnh đây không chỉ là bài toán công nghệ mà còn là vấn đề về quy trình vận hành trong bối cảnh rủi ro do AI gia tăng.

Tanium Korea cũng nêu rõ chi phí phát sinh từ việc chậm vá lỗi. Theo công ty, chi phí xử lý trung bình cho mỗi sự cố bảo mật vào khoảng 4,83 tỷ won; nếu kéo theo gián đoạn dịch vụ, thiệt hại còn có thể lớn hơn.

Tuy nhiên, theo Tanium Korea, chỉ đẩy nhanh tốc độ là chưa đủ. Kang Du-won cho rằng nếu chỉ chạy theo tốc độ triển khai bản vá, doanh nghiệp sẽ gặp khó trong việc kiểm chứng độ ổn định, làm gia tăng rủi ro đối với tài sản CNTT và gây áp lực lên yêu cầu tuân thủ.

Ông cũng lưu ý việc tăng nhân sự không đồng nghĩa tốc độ xử lý sẽ tăng tương ứng. Thay vào đó, công ty đề xuất mô hình “tự động hóa theo chính sách”, trong đó con người thiết kế chính sách, hệ thống tự thực thi và kiểm chứng kết quả theo thời gian thực.

Theo ông, bất kỳ khâu can thiệp thủ công nào cũng có thể khiến quy trình chậm lại, trong khi tỷ lệ hoàn tất vá lỗi còn phụ thuộc vào từng cá nhân phụ trách. “Hệ thống cần vận hành nhất quán theo các tiêu chí rõ ràng”, ông nhấn mạnh.

Để đáp ứng nhu cầu này, Tanium cung cấp giải pháp “Autonomous Patch Management” (APM), cho phép doanh nghiệp tự động hóa quản trị vá lỗi.

APM được xây dựng trên ba trụ cột gồm quan sát theo thời gian thực, thực thi tự động theo chính sách và kiểm chứng liên tục. Ở lớp quan sát theo thời gian thực, hệ thống tổng hợp nhiều yếu tố như mức độ phơi lộ trên Internet, mức độ quan trọng của tài sản, khả năng bị khai thác, điểm CVSS và độ tin cậy của tệp vá để tự động đánh giá rủi ro.

Với cơ chế thực thi theo chính sách, hệ thống sẽ tự triển khai bản vá theo các tiêu chí đã được định nghĩa sẵn, thay vì chờ thao tác thủ công từ người vận hành. Ở lớp kiểm chứng liên tục, hệ thống không chỉ xác nhận bản vá đã được áp dụng mà còn kiểm tra xem mối đe dọa đã thực sự bị loại bỏ khỏi môi trường hay chưa. “Điều quan trọng không phải là đã vá hay chưa, mà là mối đe dọa đã biến mất khỏi môi trường của chúng ta hay chưa”, Kang Du-won nói.

Tại buổi họp báo, Kim Do-hyun, Giám đốc Tanium Korea, cũng phác họa sự thay đổi của môi trường bảo mật qua ba giai đoạn: trước Mitos, hiện tại và sau Mitos. Theo ông, trước Mitos, việc phát hiện lỗ hổng chủ yếu do chuyên gia thực hiện trực tiếp và bản vá thường được phát hành theo tháng hoặc theo quý.

Hiện nay, AI có thể phát hiện lỗ hổng gần như không giới hạn, trong khi các nhà cung cấp phần mềm đang đề nghị Anthropic làm chậm tốc độ công bố lỗ hổng. Ông dự báo trong giai đoạn sau Mitos, không chỉ Mitos mà nhiều mô hình AI khác cũng sẽ phát hiện các lỗ hổng tương tự và nhanh chóng tận dụng chúng cho tấn công.

Kim Do-hyun cho rằng thị trường sẽ bước vào giai đoạn mỗi ngày có hàng trăm lỗ hổng được công bố cùng hàng trăm bản vá mới. Trong bối cảnh đó, kẻ tấn công sẽ khai thác khoảng trễ giữa thời điểm công bố lỗ hổng và thời điểm doanh nghiệp hoàn tất vá lỗi, khiến việc rút ngắn khoảng thời gian này trở thành yếu tố then chốt.

Theo ông, với doanh nghiệp, ngoài tự động hóa vá lỗi và triển khai theo thời gian thực, gần như không còn lựa chọn khả thi nào khác. Việc điều chỉnh kiến trúc nội bộ và thiết lập lại cơ chế quản trị là nhiệm vụ cấp bách ngay lúc này.

Bên cạnh APM, Tanium cũng đang mở rộng danh mục sản phẩm bảo mật phục vụ kỷ nguyên AI. Cuối năm ngoái, công ty ra mắt Tanium Ask, sản phẩm AI agent đầu tiên của Tanium, có khả năng không chỉ trả lời câu hỏi mà còn thực hiện hành động thực tế.

Park Young-seon, Giám đốc Tanium Korea, lấy sự cố Log4j năm 2021 làm ví dụ. Bà cho biết khi đó nhiều doanh nghiệp mất hơn ba tuần chỉ để xác định Log4j đang tồn tại ở đâu trong hệ thống của mình. Với Tanium Ask, người dùng có thể nhập câu hỏi liên quan đến lỗ hổng để kiểm tra theo thời gian thực các tài sản bị ảnh hưởng, đồng thời lập tức thực hiện các biện pháp như triển khai bản vá hoặc chặn gọi từ xa.

Tháng 3 năm nay, Tanium tiếp tục giới thiệu Tanium Valiant Spotlight, giải pháp quản trị Shadow AI. Sản phẩm này giúp doanh nghiệp phát hiện và quản lý các công cụ AI mà nhân viên đang sử dụng ngoài danh mục chính thức trong nội bộ.

Theo Park Young-seon, một khi dữ liệu đã được đưa lên các dịch vụ AI bên ngoài, doanh nghiệp gần như không thể thu hồi. Bà cho rằng các tổ chức hiện ở trong tình thế rất khó kiểm soát việc nhân viên đang dùng công cụ AI nào, và Valiant Spotlight được thiết kế để phát hiện, theo dõi và quản lý theo thời gian thực các hoạt động sử dụng AI ẩn trong doanh nghiệp.

Gần đây, Tanium cũng công bố Tanium Atlas, một tác tử vận hành tự chủ. Đến tháng trước, Atlas vẫn ở giai đoạn private preview và hiện đã được chuyển sang public beta.

Theo công ty, Atlas gồm ba thành phần chính là Intent Outcome, Ambient AI và multi-model.

Với Intent Outcome, người dùng chỉ cần nhập “ý định”, còn hệ thống sẽ tự thực thi. Park Young-seon cho biết nếu người dùng đưa ra yêu cầu cô lập các endpoint chưa được vá trước cuối tuần, sau đó tự mở lại khi đã vá xong và được xác minh, Atlas có thể tự xử lý toàn bộ quy trình từ rà soát tài sản dễ bị tấn công, phân phối bản vá, kiểm chứng cho đến gỡ cô lập.

Ambient AI cho phép hệ thống chủ động phát hiện dấu hiệu bất thường và phát cảnh báo trước cả khi người dùng đặt câu hỏi.

Trong khi đó, multi-model hỗ trợ tích hợp nhiều mô hình AI như ChatGPT, Claude và Gemini để đưa ra phản hồi phù hợp hơn. Park Young-seon cho rằng trong thời đại mà thông tin nghe hôm qua có thể đã lỗi thời vào hôm nay, mô hình vận hành CNTT của doanh nghiệp cũng phải thay đổi để theo kịp tốc độ tự động hóa của các cuộc tấn công dùng AI.