Ứng dụng trí tuệ nhân tạo và học máy để giảm rủi ro tấn công mạng

12/5/2021 2:40:00 PM

Ứng dụng công nghệ trí tuệ nhân tạo (AI) và học máy (ML) giúp xác định sự cố, tạo ra các quy tắc phát hiện bất thường chính xác hơn và phân tích các sự kiện để ứng phó và giảm thiểu sự cố.


20211206-ta3.jpg

Những kẻ tấn công ransomware thường dựa vào ổ USB để phát tán phần mềm độc hại. Theo Báo cáo về mối đe dọa USB năm 2021 của Honeywell, 79% các cuộc tấn công qua USB có khả năng làm gián đoạn các công nghệ vận hành (OT). 

Công nghệ vận hành (Operational Technology - OT), là sự kết hợp giữa phần mềm - phần cứng để phát hiện những thay đổi trong hoạt động sản xuất công nghiệp thông qua việc giám sát hoặc điều khiển các thiết bị máy móc. Tuy nhiên, OT đang phải đối mặt với một loạt các vấn đề như phần mềm độc hại, quản lý danh tính và kiểm soát truy cập. Vì rất khó phát triển các bản sửa lỗi hoặc bản vá nên các hệ thống OT dễ bị tấn công mạng. Các lỗ hổng trong hệ thống OT có thể khiến cơ sở hạ tầng quan trọng có nguy cơ bị phá hoại, có thể dẫn đến các tình huống mang tính sống còn nếu không được giải quyết kịp thời, điển hình là các vụ tấn công vào hạ tầng điện tại Iran (2007), Ukraina (2015).

Số vụ tấn công mạng nhằm vào các cơ sở dịch vụ điện, nước tăng mạnh

Nghiên cứu cho thấy tỷ lệ tấn công phần mềm độc hại qua USB là một trong những vectơ đe dọa phát triển nhanh nhất và khó phát hiện nhất mà các ngành công nghiệp phải đối mặt ngày nay, như vụ Colonial Pipeline và JBS Foods vừa qua. Theo cơ sở dữ liệu ThreatCloud của Check Point Software Technologies, các nhà máy dịch vụ điện, nước của Mỹ đã bị tấn công 300 lần mỗi tuần với mức tăng 50% chỉ trong hai tháng.

Những kẻ tấn công bằng ransomware đã đẩy nhanh quá trình xác định mục tiêu yếu nhất và nhanh chóng tận dụng những mục tiêu này bằng cách lấy cắp dữ liệu, sau đó đe dọa tung ra công chúng trừ khi nạn nhân trả tiền chuộc. Các nhà máy chế biến và các công trình tiện ích như điện, nước trên toàn cầu chạy trên Hệ thống Điều khiển Công nghiệp (ICS - tổ hợp các phương tiện kỹ thuật, các chương trình phần mềm và con người thực hiện điều khiển quy trình công nghệ sản xuất tại cơ sở công nghiệp). Tuy nhiên, hệ thống điều khiển công nghiệp (ICS) lại nằm trong số các hệ thống doanh nghiệp kém an toàn nhất, do đó dễ bị tấn công và trở thành mục tiêu hàng đầu của ransomware.

Theo Báo cáo ICS CERT của Kaspersky, 1/3 máy tính ICS đã bị tấn công trong nửa đầu năm 2021. Kaspersky tuyên bố rằng số lượng lỗ hổng ICS được báo cáo trong nửa đầu năm 2021 đã tăng 41%, với hầu hết (71%) số vụ được phân loại vào mức độ nghiêm trọng hoặc nghiêm trọng cao. Các cuộc tấn công vào ngành sản xuất đã tăng gần 300% vào năm 2020 so với số lượng của năm trước, chiếm 22% tổng số các cuộc tấn công. Nửa đầu năm 2021 là thời gian thử thách an ninh mạng công nghiệp lớn nhất trong lịch sử. 63% các lỗ hổng liên quan đến ICS khiến các nhà máy xử lý mất quyền kiểm soát hoạt động và 71% có thể làm xáo trộn hoặc chặn chế độ xem hoạt động ngay lập tức.

Khảo sát về tình hình an toàn thông tin mạng (ATTTM) liên quan đến hệ thống OT / ICS (OT / ICS Cybersecurity) trong năm 2021, phát hiện ra rằng 59% những thách thức bảo mật lớn nhất của các tổ chức là tích hợp các hệ thống và công nghệ OT cũ với các hệ thống CNTT hiện đại. Khoảng cách ngày càng gia tăng khi các hệ thống CNTT hiện đại ngày càng dựa trên đám mây và giao diện lập trình ứng dụng (API) nhiều hơn, khiến việc tích hợp với các công nghệ OT cũ trở nên khó khăn hơn.

USB: Vectơ đe dọa ít được nhắc đến

Cuộc tấn công vào SolarWinds đã cho thấy cách thức tấn công của tội phạm mạng là dựa trên loại tấn công có chủ đích (APT), có thể sửa đổi các tệp thực thi hợp pháp và khiến chúng lan truyền khắp các chuỗi cung ứng phần mềm mà không bị phát hiện. Đó cũng là mục tiêu mà những kẻ tấn công ransomware đang cố gắng thực hiện bằng cách sử dụng ổ USB để cung cấp các tệp thực thi đã được sửa đổi trong hệ thống ICS và lây nhiễm toàn bộ nhà máy, vì vậy nạn nhân không có lựa chọn nào khác ngoài việc trả tiền chuộc.

Các mối đe dọa qua cổng USB đã tăng từ 19% trong tổng số các cuộc tấn công mạng ICS vào năm 2019 lên hơn 37% vào năm 2020, năm thứ hai liên tiếp tăng trưởng đáng kể, theo báo cáo của Honeywell.

Những kẻ tấn công ransomware ưu tiên USB làm cơ chế phân phối và véc tơ tấn công chính để xử lý các mục tiêu sản xuất và dịch vụ điện, nước chung. Hơn 1/3 cuộc tấn công bằng phần mềm độc hại (37%) được xây dựng có mục đích để phân phối bằng thiết bị USB.

Theo bài viết trên trang Venture Beat, tình hình thực sự đáng lo ngại khi các mã ransomware được phân phối qua USB đã trở nên phát triển tinh vi như thế nào. Mã thực thi được thiết kế để mạo danh các tệp thực thi hợp pháp đồng thời có khả năng cung cấp truy cập từ xa bất hợp pháp. Honeywell phát hiện ra rằng 51% mã độc có thể thiết lập thành công khả năng truy cập từ xa. Những kẻ tấn công ransomware đang sử dụng SolarWinds như một mô hình để thâm nhập sâu vào hệ thống ICS và nắm bắt thông tin xác thực truy cập đặc quyền, lấy dữ liệu và trong một số trường hợp, thiết lập lệnh và kiểm soát.

Dữ liệu của Honeywell cho thấy các nhà sản xuất, cung cấp các dịch vụ tiện ích như điện, nước phải đối mặt với thách thức lớn, là những kẻ tấn công ransomware, APT và các tổ chức tội phạm mạng do nhà nước tài trợ có ý định nắm quyền kiểm soát toàn bộ nhà máy. Những kẻ tấn công ransomware dựa vào cổng USB để phát tán mã độc. Trong khi đó, các cơ sở dịch vụ tiện ích này đã dựa vào USB trong nhiều thập kỷ và đó là một thuộc tính thiết kế phổ biến trong các cấu hình ICS cũ. 

Ứng dụng công nghệ AI và học máy để tăng hiệu quả phát hiện, giảm thiểu rủi ro

Một trong những điểm yếu lớn nhất của hệ thống ICS kế thừa khi nói đến an toàn thông tin mạng là chúng không được thiết kế để tự học và không được thiết kế để thu thập dữ liệu về các mối đe dọa. Thay vào đó, chúng là các hệ thống giám sát quy trình và sản xuất theo thời gian thực cung cấp khả năng hiển thị và kiểm soát vòng kín cho quá trình sản xuất.

Do những hạn chế về hệ thống, không có gì đáng ngạc nhiên khi 46% các cuộc tấn công mạng OT hầu như bị phát hiện muộn hoặc hoàn toàn không bị phát hiện. Ngoài ra, Honeywell phát hiện ra rằng 11% sự cố không bao giờ bị phát hiện và hầu hết các công cụ và kỹ thuật phát hiện chỉ dò ra 35% các hành vi vi phạm.

Trong khi một số nhà sản xuất, cung cấp dịch vụ tiện ích sử dụng phương pháp tiếp cận không tin cậy để giải quyết các thách thức bảo mật của họ, có những nhà sản xuất đang sử dụng công nghệ AI và học máy (ML) để học hỏi, tạo và tinh chỉnh liên tục các quy tắc phát hiện bất thường và phân tích các sự kiện, vì vậy họ có thể xác định và phản ứng với các sự cố và ngăn chặn các cuộc tấn công. Họ cũng đang sử dụng ML để xác định một sự cố thực sự từ các cảnh báo sai, tạo ra các quy tắc phát hiện bất thường chính xác hơn và phân tích các sự kiện để ứng phó và giảm thiểu sự cố. Các kỹ thuật dựa trên AI và ML cũng góp phần mang lại phân tích chính xác hơn, nhằm cải thiện hiệu quả phát hiện nguy cơ tấn công.

Các nhà cung cấp bảo mật mạng có chuyên môn sâu về AI và ML cần phải đẩy mạnh tốc độ đổi mới và chấp nhận thử thách xác định các mối đe dọa tiềm ẩn, sau đó tắt chúng đi. Cải thiện hiệu quả phát hiện bằng cách giải thích các mẫu dữ liệu và thông tin chi tiết chính là chìa khóa. Nghiên cứu của Honeywell cho thấy các hệ thống ICS lỏng lẻo như thế nào và khoảng cách giữa các công nghệ OT kế thừa và các hệ thống CNTT hiện đại càng khiến rủi ro xảy ra tấn công mạng tăng cao. Hệ thống ICS được thiết kế để giám sát quá trình và sản xuất với khả năng hiển thị và kiểm soát vòng kín. Đó là lý do tại sao phương pháp tiếp cận dựa trên sự tin cậy không xử lý mọi điểm cuối, bề mặt mối đe dọa và danh tính vì chu vi bảo mật cần tăng tốc nhanh hơn khả năng của kẻ tấn công ransomware trong việc mạo danh các tệp hợp pháp và khởi chạy các cuộc tấn công ransomware.

4 lợi ích của việc sử dụng AI và ML trong đảm bảo an toàn thông tin mạng

Công nghệ ngày càng trở nên tốt hơn: Khi AI / ML học hỏi hành vi của mạng doanh nghiệp và nhận ra các mẫu trên mạng theo thời gian, tin tặc sẽ khó xâm nhập vào mạng của doanh nghiệp hơn.

AI / ML có thể xử lý nhiều dữ liệu: công nghệ có thể quét hàng trăm nghìn tệp hàng ngày mà không làm giảm dịch vụ đối với người dùng mạng.

Thời gian phát hiện và phản hồi nhanh hơn: Sử dụng phần mềm AI / ML trong tường lửa và phần mềm chống phần mềm độc hại trên máy tính xách tay hoặc máy tính để bàn hiệu quả hơn và phản ứng nhanh hơn với các mối đe dọa, hạn chế sự can thiệp của con người.

Bảo mật tổng thể tốt hơn: AI / ML cung cấp khả năng bảo vệ ở cấp độ vĩ mô và vi mô, khiến phần mềm độc hại rất khó xâm nhập vào mạng doanh nghiệp. Điều này giúp giải phóng các nhóm nhân sự CNTT để họ tập trung đối phó với các mối đe dọa phức tạp hơn, cải thiện tình hình bảo mật tổng thể.