Bảo vệ tổ chức của bạn chống lại tin tặc do AI cung cấp

Với sự gia tăng mức độ phổ biến của các công cụ AI tổng quát và các mô hình ngôn ngữ lớn, các cá nhân giờ đây có khả năng đáng kinh ngạc để khuếch đại số lượng và tầm cỡ công việc của họ hơn bao giờ hết.

Tuy nhiên, tất cả những tiến bộ vĩ đại đều có mặt tối. Thế giới an ninh mạng không nằm ngoài cuộc cách mạng này, vì các tác nhân độc hại hiện có thể sử dụng các công cụ hỗ trợ AI để đánh lừa các tổ chức và tận dụng các lỗ hổng trên quy mô lớn.

Để đón đầu các mối đe dọa mới nổi do AI cung cấp, điều quan trọng là tổ chức của bạn phải được chuẩn bị đầy đủ. Bài đăng này phác thảo các bước cần thiết mà bạn có thể thực hiện để bảo vệ trước những thách thức này.

Tăng cường nền tảng bảo mật của tổ chức của bạn

Ngay cả trước khi phổ biến các công cụ AI, hầu hết các tổ chức vẫn chưa chuẩn bị đầy đủ cho các cuộc tấn công an ninh mạng nghiêm trọng. Có hàng tá lý do giải thích cho điều này, nhưng về cốt lõi, việc duy trì tình trạng bảo mật mạnh mẽ cũng giống như chạy trên máy chạy bộ.

Luôn có những lỗ hổng mới được phát hiện và khai thác. Các tác nhân độc hại không đứng yên trong khi các tổ chức trải qua các thay đổi về quản lý, chèn lấp thành viên nhóm, triển khai chính sách mới hoặc tích lũy nợ kỹ thuật.

Khoảng cách giữa nhu cầu về công việc an ninh mạng và nguồn cung cấp các chuyên gia đã được tài liệu tốt . Thực tế là nhiều tổ chức đang tụt lại phía sau so với các mối đe dọa mà họ phải đối mặt. Việc xây dựng một nhóm an ninh mạng mạnh mẽ và trao quyền cho họ phát triển các hệ thống bảo mật lâu dài chưa bao giờ quan trọng hơn thế.

Hiểu đúng các vấn đề cơ bản về bảo mật

Mặc dù các công nghệ AI mới có thể tăng tốc cách thức tấn công của tin tặc, nhưng các tổ chức vẫn cần thực hiện các biện pháp bảo mật cơ bản tốt nhất:

• MFA có được bật trên các ứng dụng quan trọng không?

• Bạn có đang sử dụng mật khẩu mạnh không?

• Bạn có cài đặt các công cụ quản lý thiết bị và bảo mật điểm cuối ở mọi nơi không?

• Bạn có tường lửa và cài đặt bảo mật mạng mạnh không?

• Bạn có đang xoay các phím truy cập định kỳ không?

• Bạn có tuân theo nguyên tắc đặc quyền tối thiểu khi gán quyền không?

  
  

Bằng cách giảm các liên kết yếu và sự thay đổi trên bề mặt tấn công của bạn, bạn có thể đảm bảo tình trạng bảo mật cơ bản có thể duy trì được. Nếu bạn không giải quyết được những vấn đề cơ bản, bạn sẽ dễ bị tổn thương bất kể những kẻ xấu đang sử dụng công nghệ nào.

Mở rộng giáo dục bảo mật giữa các nhóm

Bảo mật của bạn chỉ mạnh bằng liên kết yếu nhất của bạn. Trong nhiều cuộc tấn công, tất cả chỉ cần một nhân viên không cảnh giác là có thể mở ra cánh cửa dẫn đến vi phạm. Giáo dục và đào tạo nhất quán cho tất cả nhân viên là một thành phần cốt lõi của thế trận an ninh mạnh mẽ.

Các cuộc tấn công lừa đảo nói riêng đã trở nên thuyết phục một cách kỳ lạ. Thật đơn giản khi sử dụng các công cụ AI tổng quát để xây dựng trang web, viết thông điệp thuyết phục và thậm chí bắt chước giọng điệu của ai đó bằng mẫu bài viết của họ.

Các tổ chức có hiểu biết về mạng cao hơn và văn hóa nhận thức về bảo mật có lợi thế cạnh tranh và có khả năng chống lại các cuộc tấn công tốt hơn. Xem xét chương trình đào tạo bảo mật của bạn trông như thế nào đối với nhân viên trong toàn công ty.

• Những mối đe dọa nào hiện không được đề cập trong khóa đào tạo thường xuyên của bạn?

• Bạn có thường xuyên nhắc nhở nhân viên về các dấu hiệu cảnh báo tấn công kỹ thuật xã hội không?

• Làm cách nào bạn có thể giúp nhân viên dễ dàng biết được hành động nào là rủi ro?

  
  

Bằng cách cung cấp giáo dục và đào tạo về bảo mật, các tổ chức có thể đảm bảo nhân viên của họ được trang bị tốt hơn để phát hiện và báo cáo các mối đe dọa. Văn hóa công ty ưu tiên bảo mật giúp phản ứng nhanh hơn và dễ dàng hơn trước các mối đe dọa nghiêm trọng từ nhóm bảo mật.

Giám sát các bề mặt tấn công và quản lý cảnh báo

Điều quan trọng là phải trang bị cho tổ chức của bạn các công cụ phù hợp để giám sát hoạt động độc hại và phần mềm độc hại. Bây giờ là lúc để xem xét mọi bề mặt tấn công có thể xảy ra: công ty và thiết bị cá nhân, hộp thư đến email, mạng, tài nguyên kỹ thuật số bị lộ, API, ứng dụng SaaS và thậm chí cả văn phòng công ty.

Bạn có các công cụ hoặc quy trình giám sát trạng thái của tổ chức trong từng khu vực và thông báo cho bạn về bất kỳ hoạt động đáng ngờ nào không?

Nhiều tổ chức có một Trung tâm điều hành bảo mật (SOC) chuyên dụng để nhận cảnh báo từ nhiều công cụ bảo mật khác nhau, ưu tiên cảnh báo nào là mối đe dọa nghiêm trọng và điều tra để xác định xem chúng là quan trọng, bị chặn hay dương tính giả.

Nếu bạn đang ở trong một tổ chức lớn với bề mặt tấn công lớn, bạn có thể thấy hàng nghìn cảnh báo mỗi ngày.

Một số cảnh báo này có nguồn gốc từ các công cụ bạn sử dụng. Ví dụ, Okta sẽ thông báo cho bạn về những nỗ lực đăng nhập đáng ngờ và Đám đông đình công sẽ thông báo cho bạn nếu phần mềm độc hại được phát hiện trên thiết bị. Nếu bạn có các quy tắc và chính sách tùy chỉnh mà nhóm của bạn đã đặt bằng cách sử dụng nền tảng tự động hóa bảo mật hoặc bảo mật đám mây, thì bạn sẽ nhận được thông báo từ các sự kiện đáp ứng tiêu chí đó.

Xử lý các cảnh báo bảo mật trên quy mô lớn là một nguyên tắc đòi hỏi nhóm của bạn phải lặp đi lặp lại liên tục. Họ phải ưu tiên những cảnh báo nào cần điều tra kỹ lưỡng, những cảnh báo nào cần được giải quyết bằng quy trình công việc tự động và những chính sách nào có thể được triển khai và thực thi để giảm thiểu các cảnh báo cấp thấp phổ biến.\

Nếu bạn không có cách xử lý cảnh báo hiệu quả, nhóm của bạn sẽ rơi vào tình trạng mệt mỏi khi cảnh báo, kiệt sức nhanh hơn và gặp khó khăn trong việc tận dụng tối đa thời gian của họ.

Khởi chạy Tự động hóa bảo mật chủ động ở quy mô lớn

Cho đến nay, chúng ta đã tìm hiểu một số nguyên tắc cơ bản để đầu tư vào nhóm bảo mật, triển khai các phương pháp bảo mật cơ bản tốt nhất, tạo văn hóa nhận thức về bảo mật và theo dõi hoạt động độc hại trong tổ chức của bạn. Nếu nhóm của bạn đã ở giai đoạn này, thì bạn đang ở trong tình trạng tốt để đối mặt với các mối đe dọa bảo mật của… 2015?

Bối cảnh an ninh thay đổi liên tục. Việc chuyển sang điện toán đám mây, ứng dụng SaaS và thế hệ công cụ giám sát mới đã làm tăng thêm độ phức tạp đáng kể cho các nhóm bảo mật và CNTT để quản lý.

Hợp lý hóa quy trình giao tiếp trong toàn tổ chức của bạn

Việc duy trì một thế trận bảo mật vững chắc vào năm 2023 cần có sự phối hợp giữa nhiều nhóm. Các tổ chức lớn có các nhóm được chỉ định cho các trường hợp sử dụng bảo mật cụ thể:

• Trung tâm điều hành an ninh (SOC)

• Quản lý danh tính và truy cập (IAM)

• Rủi ro quản trị và tuân thủ (GRC)

• Bảo mật CNTT/SaaS

• Bảo mật đám mây

  
  

Để tạo giao tiếp hợp lý và khuếch đại tác động của nhóm bảo mật, bạn cần có quy trình công việc tự động để kết nối các công cụ của bạn với mọi người một cách liền mạch.

Ví dụ, khi Okta gửi một cảnh báo cho một đăng nhập đáng ngờ , nhóm của bạn có cần đọc cảnh báo theo cách thủ công, soạn thảo email hoặc tin nhắn, gửi cho nhân viên để xác minh rằng họ là người đang cố đăng nhập và giải quyết cảnh báo nếu đó là cảnh báo sai không?

Xử lý các tác vụ như thế này theo cách thủ công có chi phí cơ hội nghiêm trọng khi bạn có thể dành thời gian đó để chủ động cải thiện tình trạng bảo mật của mình.

Thực thi các phương pháp hay nhất về bảo mật với Tự động hóa hiện đại ở quy mô lớn

Mặc dù việc xử lý cảnh báo theo cách phức tạp là rất quan trọng, nhưng việc thực hiện các bước để triển khai các biện pháp bảo mật tốt nhất vì các chính sách được thi hành có thể giảm tổng số lượng cảnh báo.

Ví dụ: khi bạn đặt chính sách tự động kiểm tra xem bộ chứa AWS S3 mới có thể truy cập công khai hay không, bạn có thể phát hiện trước các cấu hình bảo mật kém và thông báo cho người dùng AWS đã khởi chạy bộ chứa đó rằng họ cần thay đổi cài đặt.

Nếu không có tự động hóa để chạy kiểm tra này, bạn chỉ tránh được các bộ chứa có thể truy cập công khai bằng cách thường xuyên truy vấn trên tài khoản AWS của mình và theo dõi thủ công người dùng cũng như cập nhật cài đặt. Việc chuyển đổi ngữ cảnh cần thiết cho việc này khiến việc này trở nên không thực tế, đặc biệt là khi xem xét có bao nhiêu tài nguyên AWS khác nhau có thể không có đủ cài đặt bảo mật.

Trong khuôn khổ này, hãy xem xét việc nhóm của bạn tạo quy trình công việc tự động dễ dàng như thế nào. Nó có yêu cầu viết kịch bản hoặc gửi yêu cầu tới nhà phân tích bảo mật không?

Khả năng tạo quy trình làm việc tự động của nhóm bạn (cho dù đó là xử lý cảnh báo, thực thi chính sách hay hợp lý hóa giao tiếp) là đòn bẩy cấp số nhân đối với tác động của công việc hàng ngày của bạn.

Tự động hóa bảo mật trước đây yêu cầu phải có tập lệnh, sau đó là các công cụ mã thấp cho phép bạn kéo và thả các hành động vào canvas và xây dựng tự động hóa tùy chỉnh trên các công cụ nhanh hơn bao giờ hết. Và bây giờ, có một sự thay đổi địa chấn khác.

Kết hợp khả năng AI vào hệ thống bảo mật của bạn

“Khi một bộ chứa S3 mới được tạo, hãy kiểm tra xem nó có thể truy cập công khai hay không. Nếu nó có thể truy cập công khai, hãy thông báo cho người dùng AWS rằng họ cần cập nhật cài đặt để chặn truy cập công cộng.”

Đây là một quy trình làm việc bảo mật trong hai câu. Một vài dòng có thể mạnh mẽ như thế nào? Mạnh mẽ hơn nhiều so với bạn nghĩ.

Việc đưa AI tổng quát vào phương trình tự động hóa bảo mật có nghĩa là giờ đây tất cả những gì bạn cần là lời nhắc để tạo quy trình làm việc tự động. Nói cách khác, việc biến các biện pháp bảo mật tốt nhất thành các chính sách bảo mật tích cực cho tổ chức của bạn chưa bao giờ dễ dàng hơn thế.

Cái này thế hệ tự động hóa bảo mật tiếp theo đến vào thời điểm quan trọng vì các tác nhân độc hại cũng đang áp dụng công nghệ AI để hình thành các cuộc tấn công mới và gây ra nhiều thiệt hại hơn.

Nếu bạn có cơ sở hạ tầng bảo mật cũ hoặc dễ vỡ, bạn có thể chuẩn bị sẵn sàng cho các loại tấn công mà chúng tôi đã thấy trong những năm gần đây, nhưng bạn có thể không thích ứng được với các loại tấn công mới mà chúng tôi chưa thấy.

Về cơ bản, các nhóm bảo mật sẽ cần sử dụng các công cụ do AI cung cấp để thu thập thông tin nhanh hơn, thực thi các chính sách bảo mật mới trên quy mô lớn và tương tác với các nhân viên mục tiêu trong thời gian thực để xác thực danh tính của họ và có được bối cảnh bổ sung.