Gemini AI: Bước Đột Phá Vượt Trội Về Threat Intelligence

Google đã chính thức triển khai các tác nhân AI Gemini trong Google Threat Intelligence để tự động giám sát các diễn đàn dark web trong giai đoạn public preview. Sự phát triển này đánh dấu một bước tiến quan trọng trong lĩnh vực threat intelligence, hứa hẹn thay đổi cách thức thu thập và phân tích thông tin về các mối đe dọa.

Những tác nhân AI này có khả năng xử lý hàng triệu bài đăng mỗi ngày. Chúng sử dụng khả năng phân tích hồ sơ tổ chức nâng cao để phát hiện các rủi ro bảo mật cụ thể như rò rỉ dữ liệu và hoạt động của các bên môi giới truy cập ban đầu.

Thách Thức Với Giám Sát Dark Web Truyền Thống

Các phương pháp giám sát dark web truyền thống thường dựa vào biểu thức chính quy (regex) và cạo dữ liệu từ khóa tĩnh. Cách tiếp cận này có những hạn chế đáng kể trong việc xác định chính xác các mối đe dọa tiềm ẩn.

Theo Google, phương pháp truyền thống thường tạo ra tỷ lệ dương tính giả (false-positive) từ 80 đến 90 phần trăm cho các nhóm threat intelligence. Điều này làm tiêu tốn đáng kể thời gian và nguồn lực của các nhà phân tích bảo mật.

Sự thiếu chính xác khiến việc tập trung vào các mối đe dọa thực sự trở nên khó khăn, làm chậm quá trình phản ứng với các rủi ro an ninh mạng.

Gemini AI Nâng Cao Khả Năng Threat Intelligence

Vượt Qua Giới Hạn Phương Pháp Cũ

Để khắc phục những hạn chế này, các tác nhân Gemini của Google tiếp nhận thông tin tình báo nguồn mở (OSINT) và dữ liệu do người dùng cung cấp. Quá trình này giúp xây dựng một hồ sơ toàn diện về các nhân vật quan trọng (VIP), thương hiệu và kiến trúc công nghệ của một tổ chức.

AI sau đó áp dụng so sánh vector để liên kết các tuyên bố không rõ ràng trên dark web trực tiếp với hồ sơ đã định. Phương pháp này giúp giảm đáng kể nhiễu thông tin không cần thiết và tăng cường độ tin cậy của threat intelligence.

Khả Năng Xử Lý và Độ Chính Xác Vượt Trội

Gemini có khả năng xử lý từ 8 đến 10 triệu sự kiện dark web mỗi ngày. Khả năng này có được nhờ vào hệ thống đo từ xa (telemetry) quy mô lớn của Google.

Trong các thử nghiệm nội bộ, các nhà nghiên cứu mối đe dọa của Google đã phát hiện rằng hệ thống này phân tích các sự kiện với độ chính xác lên đến 98 phần trăm. Brandon Wood, Giám đốc sản phẩm Threat Intelligence tại Google, đã xác nhận những số liệu ấn tượng này với The Register.

Xác Định Rủi Ro Nghiêm Trọng

Công cụ tình báo này được thiết kế để đặc biệt xác định các rủi ro mức độ nghiêm trọng cao. Các rủi ro này bao gồm mối đe dọa nội bộ, hoạt động của các bên môi giới truy cập ban đầu (initial access broker activity) và các vụ rò rỉ dữ liệu chưa được xác minh trước khi chúng có thể leo thang.

Ví dụ minh họa cụ thể: Khi một tác nhân đe dọa đăng bài trên một diễn đàn dark web để bán quyền truy cập vào một tổ chức ở Bắc Mỹ với tài sản 50 tỷ USD, các công cụ truyền thống thường bỏ lỡ kết nối nếu tên công ty bị bỏ qua.

Các mô hình ngôn ngữ của Gemini tự động đối chiếu các tuyên bố tài chính và nhân khẩu học mơ hồ này với hồ sơ doanh nghiệp đã được thiết lập. Bằng cách thiết lập các kết nối ngữ cảnh này, hệ thống ngay lập tức gắn cờ bài đăng là một mối đe dọa nghiêm trọng cao cho tổ chức mục tiêu, củng cố khả năng threat intelligence của tổ chức.

Tích Hợp Với Tình Báo Mối Đe Dọa Rộng Hơn

Ngoài việc giám sát thụ động, module tình báo dark web còn tương quan các phát hiện của mình với dữ liệu từ Google Threat Intelligence Group. Nhóm này hiện đang theo dõi tích cực 627 nhóm mối đe dọa riêng biệt.

Sự tích hợp này tạo nên một bức tranh toàn diện về các mối đe dọa. Điều này giúp các tổ chức có thể đưa ra quyết định tốt hơn về chiến lược an ninh mạng của mình.

Tìm hiểu thêm về cách Google sử dụng AI để phòng thủ trước các mối đe dọa mạng tại Google Cloud Blog.

AI Tự Động Hóa Hoạt Động Bảo Mật

Google cũng đã giới thiệu các tác nhân AI tự động trong Google Security Operations để xử lý các quy trình phân loại và điều tra cảnh báo. Các tác nhân thứ cấp này tự động thu thập bằng chứng pháp y (forensic evidence) và cung cấp các phán quyết có cấu trúc về các cảnh báo.

Việc tự động hóa này giúp giảm thiểu đáng kể khối lượng công việc thủ công cho các nhà phân tích bảo mật. Điều này tăng cường hiệu quả trong việc phát hiện tấn công và phản ứng nhanh chóng với các sự cố.

Cân Nhắc Về Bảo Mật Vận Hành (OpSec)

Việc triển khai các mô hình ngôn ngữ lớn (LLM) để xử lý các diễn đàn độc hại đặt ra những lo ngại tiềm ẩn về bảo mật vận hành. Vì vậy, Google đã phải cẩn thận trong việc hạn chế cách dữ liệu khách hàng tương tác với công cụ.

Các mô hình này chỉ dựa vào thông tin có sẵn công khai và ngữ cảnh cụ thể được các nhóm bảo mật ủy quyền trong nền tảng. Đây là một khía cạnh quan trọng của việc triển khai AI trong threat intelligence.

Bằng cách cung cấp trích dẫn cho tất cả dữ liệu nguồn mở được sử dụng trong việc lập hồ sơ, Google hướng tới việc giảm tính chất “hộp đen” của các LLM và duy trì sự minh bạch. Điều này góp phần vào một hệ sinh thái an ninh mạng đáng tin cậy và an toàn hơn.

Đối Phó Với AI Của Kẻ Tấn Công

Việc giới thiệu các tác nhân AI phòng thủ trùng hợp với các báo cáo gần đây. Những báo cáo này xác nhận rằng các tác nhân đe dọa được nhà nước hậu thuẫn đang tích cực sử dụng Gemini để đẩy nhanh các hoạt động tấn công mạng của riêng chúng.

Kẻ tấn công đang tích hợp AI vào các giai đoạn tiền xâm nhập của vòng đời tấn công, bao gồm trinh sát, phân tích mục tiêu và phát triển mã độc. Điều này đòi hỏi các biện pháp đối phó tiên tiến.

Do đó, việc triển khai các công cụ giám sát AI có độ chính xác cao đã trở thành một biện pháp đối phó cần thiết để phát hiện tấn công và ngăn chặn các chiến dịch tấn công tốc độ máy trước khi đạt được quyền truy cập ban đầu.

Những cải tiến trong threat intelligence và tự động hóa bảo mật của Google nhấn mạnh tầm quan trọng của việc áp dụng AI để duy trì lợi thế trong cuộc chiến chống lại các mối đe dọa mạng ngày càng tinh vi.