Bạn có biết rằng các cuộc tấn công phishing — lừa đảo qua email/tin nhắn giả mạo đã tăng đến 1200% không? Sự trỗi dậy của AI — trí tuệ nhân tạo đã trở thành một con dao hai lưỡi: AI có thể hỗ trợ doanh nghiệp, nhưng cũng có thể được sử dụng để nhắm mục tiêu vào chính doanh nghiệp đó.

Các cuộc tấn công mạng được hỗ trợ bởi AI hiện đã phát triển lên một cấp độ mới. Chúng ta đang chứng kiến sự gia tăng của các cuộc tấn công phishing do AI điều khiển, lạm dụng thông tin đăng nhập với sự hỗ trợ của AI, intelligent ransomware — mã độc tống tiền thông minh, và nhiều hình thức khác.

Doanh nghiệp cần chủ động bảo vệ dữ liệu công ty, dựa vào một giải pháp backup hiện đại và tuân theo chiến lược sao lưu 3-2-1-1-0.

Các mối đe dọa mạng do AI hỗ trợ đang tác động đến doanh nghiệp hiện nay như thế nào

Các cuộc tấn công mạng được hỗ trợ bởi AI hiện đang dần trở thành điều phổ biến, chứ không còn là ngoại lệ.

Vì AI có khả năng thích nghi và tự học, nó có thể tăng tốc độ của các cuộc tấn công ransomware bằng cách tạo email phishing, hoặc thậm chí chèn mã độc hay prompt độc hại.

Nếu như trước đây các cuộc tấn công phishing truyền thống thường khá dễ nhận biết, thì phishing do AI điều khiển mạnh hơn rất nhiều. Chúng sử dụng machine learning — học máy, generative AI — AI tạo sinh và tự động hóa để triển khai tấn công.

AI có khả năng tạo ra các email phishing được cá nhân hóa, không mắc lỗi chính tả, có sức thuyết phục cao và nhắm đúng vào từng cá nhân cụ thể.

AI có thể làm điều này vì nó thu thập thông tin từ website công ty, hồ sơ LinkedIn, mạng xã hội và nhiều nguồn khác để tạo ra những email cá nhân hóa trông rất chân thật.

Các email phishing truyền thống thường dễ bị phát hiện vì có nhiều lỗi chính tả, hoặc có giọng văn quá sốt sắng, thân thiện một cách bất thường.

AI hiện đã loại bỏ gần như toàn bộ những dấu hiệu đó.

Điều này có nghĩa là phishing do AI điều khiển hiện có thể vượt qua bộ lọc email, cơ chế phát hiện từ khóa và thậm chí cả các quy tắc bảo mật, vì nó có khả năng điều chỉnh và tiến hóa ngay trong quá trình tấn công.

Ví dụ, nội dung tin nhắn có thể được tùy chỉnh riêng cho từng cá nhân. Ngay cả liên kết độc hại được gửi đến mỗi người nhận cũng có thể được thay đổi.

AI cũng có thể sử dụng giọng văn hội thoại tự nhiên để khiến nội dung trông ít giống lừa đảo hơn.

Lạm dụng thông tin đăng nhập bằng AI

Trong trường hợp AI-based credential abuse — lạm dụng thông tin đăng nhập dựa trên AI, các thông tin đăng nhập hợp lệ hiện có thể được tự động phát hiện nhờ AI.

Trước đây, kẻ tấn công phải đoán, đánh cắp hoặc lạm dụng thông tin đăng nhập để cố gắng truy cập vào hệ thống của công ty.

Vì AI có khả năng học và dự đoán tốt, nó có thể đoán mật khẩu, nhận diện quy luật đặt mật khẩu hoặc thậm chí phát hiện các thói quen đặt mật khẩu đặc trưng theo từng khu vực.

Điều này có nghĩa là AI có thể dự đoán các biến thể mật khẩu, đồng thời thích nghi theo thời gian thực ngay cả khi các lần đăng nhập thất bại.

AI cũng có thể dự đoán các mẫu hành vi của doanh nghiệp, dựa trên dữ liệu mà kẻ tấn công cung cấp.

Nhờ đó, nó có thể bắt chước hành vi của nhân viên bằng cách thử đăng nhập vào một thời điểm cụ thể, từ một vị trí cụ thể, theo các mẫu hành vi có thể dự đoán được.

Điều này giúp vượt qua các cơ chế phòng thủ dựa trên phát hiện bất thường của công ty, vì hệ thống có thể không nhận ra có điều gì sai.

Hậu quả có thể dễ dàng dẫn đến data exfiltration — rò rỉ hoặc đánh cắp dữ liệu, hoặc thậm chí triển khai ransomware.

Một khi AI đã xâm nhập vào hệ thống, nó có thể leo thang đặc quyền và truy cập vào những hệ thống mà lẽ ra nó không bao giờ được phép truy cập.

Ransomware thông minh ngày càng khó phát hiện hơn

Mặt khác, intelligent ransomware — mã độc tống tiền thông minh khó bị phát hiện hơn rất nhiều.

Nó có thể nằm im trong hệ thống, quan sát các mẫu hành vi và chỉ tấn công khi xác định thời điểm là phù hợp.

Thay vì xâm nhập rồi ngay lập tức mã hóa toàn bộ dữ liệu và yêu cầu công ty trả tiền chuộc, ransomware thông minh sẽ quan sát môi trường mà nó đang ở trong đó, xác định các hệ thống trọng yếu và từ từ vô hiệu hóa các lớp phòng thủ.

Một số biến thể ransomware thậm chí có thể tự vô hiệu hóa nếu phát hiện các công cụ phân tích.

Điều này có nghĩa là chúng có thể phân loại dữ liệu bị đánh cắp, xác định dữ liệu nào có thể gây thiệt hại lớn cho công ty và ra tay vào thời điểm phù hợp — chẳng hạn như trong kỳ nghỉ lễ hoặc các sự kiện lớn khác.

Mối đe dọa từ các cuộc tấn công được hỗ trợ bởi AI là rất thực tế, vì chúng có thể làm tăng nguy cơ mất dữ liệu và ảnh hưởng nghiêm trọng đến business continuity — tính liên tục trong hoạt động kinh doanh.

Đây là lý do vì sao doanh nghiệp cần có một giải pháp bảo vệ dữ liệu mạnh mẽ, nhằm đảm bảo các bản sao dữ liệu được lưu trữ an toàn và có thể được khôi phục mà không gặp sự cố khi cần thiết.

Đối phó với các mối đe dọa từ tấn công AI bằng Synology ActiveProtect

Với sự phát triển của AI, việc duy trì các lớp phòng thủ, lưu giữ nhiều bản sao backup và đảm bảo data resiliency — khả năng phục hồi dữ liệu bằng các kỹ thuật bảo mật nâng cao là điều rất quan trọng.

Doanh nghiệp cần triển khai một giải pháp bảo vệ dữ liệu có khả năng cyber-resilient — chống chịu trước các mối đe dọa mạng, có thể cô lập dữ liệu và ngăn chặn các tác nhân đe dọa.

Một hệ thống nhiều lớp là cần thiết để tuân theo chiến lược backup 3-2-1-1-0, nhằm đảm bảo nhiều bản sao backup được lưu trữ trên các phương tiện khác nhau và tại một vị trí an toàn, biệt lập.

Điều này giúp các bản sao lưu trở nên khó bị tác động, đồng thời cho phép khôi phục dữ liệu một cách đáng tin cậy.

Là một thiết bị backup tích hợp, Synology ActiveProtect đi kèm phần cứng được cấu hình sẵn và hệ điều hành riêng có tên ActiveProtect Manager.

Nhờ đó, doanh nghiệp có thể tinh gọn quy trình bảo vệ dữ liệu, tự động thực hiện backup, khôi phục dữ liệu nhanh chóng và bảo mật dữ liệu bằng các tính năng bảo mật nâng cao như:

• Built-in immutability — bất biến dữ liệu tích hợp sẵn
• Backup ngoại tuyến
• Kiểm soát truy cập
• Và nhiều tính năng khác

Kiểm soát truy cập theo vai trò và nguyên tắc đặc quyền tối thiểu

Role-based access controls — RBAC, tức kiểm soát truy cập dựa trên vai trò, là một thành phần rất quan trọng trong chiến lược bảo mật này.

Doanh nghiệp chỉ nên cấp quyền cho nhân viên theo nguyên tắc least privilege — đặc quyền tối thiểu.

Điều này có nghĩa là nhân viên chỉ nên được truy cập vào những hệ thống mà họ thực sự cần sử dụng trong công việc.

Doanh nghiệp nên giới hạn số lượng nhân viên có quyền truy cập vào dữ liệu quan trọng, đồng thời thiết lập các cơ chế kiểm soát truy cập để chỉ một số lượng người dùng nhất định có thể thực hiện backup hoặc khôi phục dữ liệu.

Kiểm thử backup và xây dựng chiến lược khôi phục sau thảm họa

Doanh nghiệp cũng nên thường xuyên kiểm thử các bản backup và có sẵn một chiến lược disaster recovery — khôi phục sau thảm họa.

ActiveProtect đi kèm một hypervisor tích hợp sẵn, có thể được sử dụng cho việc DR testing — kiểm thử khôi phục sau thảm họa.

Điều này giúp đảm bảo rằng các bản sao backup sạch có thể được khôi phục trong trường hợp xảy ra mất dữ liệu đột ngột.

Kết luận

Điều các doanh nghiệp cần là một giải pháp bảo vệ dữ liệu mạnh mẽ, có khả năng chống chịu cao và được xây dựng theo nhiều lớp, nhằm đối phó với các mối đe dọa từ những cuộc tấn công mạng dựa trên AI.

Một giải pháp như vậy có thể giúp giảm thời gian gián đoạn hoạt động và đảm bảo dữ liệu được khôi phục trong vài phút, thay vì vài giờ.

Nguồn:: 📝 TMĐT Bảo Minh Ân | 📸 Unsplash