Tóm hacker theo cách ... không bình thường

(Nguồn: Internet)

Vào năm 2013, một nhóm chuyên gia bảo mật Anh nhận ra một điều kỳ lạ: trong khi hầu hết các nỗ lực để bảo mật cơ sở hạ tầng số đều được dành cho việc ngăn chặn kẻ xấu đột nhập, trong khi rất ít làm điều ngược lại: ngăn chặn chúng để lộ thông tin. Từ ý tưởng đó, một công ty an ninh mạng mang tên Darktrace đã ra đời.

Darktrace hợp tác với các nhà toán học thuộc Đại học Cambridge phát triển một công cụ sử dụng máy học để tóm gọn các vụ để lộ thông tin nội bộ. Thay vì dạy các thuật toán dựa trên lịch sử tấn công, họ cần phải tìm một cách cho hệ thống nhận diện được các phương thức mới của hành vi dị thường. Giải pháp là máy học không giám sát (unsupervised learning), một công nghệ dựa trên dạng thuật toán máy học hiếm có mà không cần con người xác định rõ cần phải làm gì.

(Nguồn: Internet)

CEO của công ty Nicole Eagan giới thiệu: "Tương tự như hệ thống miễn dịch của con người, vô cùng phức tạp và có cả cảm giác về những thứ thuộc về hay không thuộc về bản thân. Và khi phát hiện ra thứ không thuộc về, hệ thống sẽ đưa ra phản ứng vô cùng chính xác và nhạy bén".

Đa số các ứng dụng máy học đều dựa trên học có giám sát (supervised learning), bao gồm cung cấp một khối lượng vô cùng lớn dữ liệu đã được sắp xếp cẩn thận cho cỗ máy nhằm đào tạo nó nhận ra một biểu mẫu được định nghĩa kỹ lưỡng. Ví dụ, bạn muốn máy nhận dạng một giống chó. Bạn sẽ đưa ra hàng trăm hay hàng nghìn bức ảnh của giống chó cũng như vật khác, và chỉ rõ cho nó đúng hay sai trong số ảnh đó. Kết quả là bạn sẽ có cỗ máy nhận diện được giống chó riêng biệt khá tốt.

Trong bảo mật, học có giám sát đem lại hiệu quả khá tốt. Chuyên gia dạy máy xác định các nguy cơ hệ thống đã từng đối diện trước đó, và từ đó chúng sẽ bị theo dõi chặt chẽ. Nhưng có hai vấn đề chính. Một là phương thức này chỉ hoạt động với nguy cơ đã biết, các nguy cơ chưa biết sẽ lọt lưới giám sát. Hai là thuật toán học có giám sát hoạt động tốt nhất trong điều kiện dữ liệu cân bằng, có nghĩa là số lượng ví dụ đồng đều giữa những biểu hiện cần xử lý hoặc không cần xử lý. Dữ liệu bảo mật thường không đơn giản như thế: có rất ít ví dụ của hành vi đe dọa giữa vô vàn biểu hiện bình thường.

(Nguồn: Internet)

Thật may mắn khi học không giám sát lại đem lại hiệu quả không ngờ trong trường hợp này. Nó có thể quan sát khối lượng dữ liệu không được sắp xếp và tìm ra các mảnh ghép không theo biểu mẫu vốn có. Từ đó, các nguy cơ mà hệ thống chưa từng trải nghiệm có thể được nhận diện.

Khi Darktrace triển khai phần mềm của mình, các cảm biến thực và ảo được đặt xung quanh mạng lưới của khách hàng nhằm thiết lập bản đồ hoạt động của nó. Dữ liệu thô sau đó được chuyển qua 60 thuật toán học không giám sát cùng cạnh tranh để tìm ra hành vi bất thường. Các thuật toán lại gửi kết quả đánh giá về thuật toán chủ đạo sử dụng các phương pháp thống kê khác nhau để quyết định xem trong số 60 kết quả đó, nên lắng nghe hay bỏ qua kết quả nào. Tất cả sự phức tạp trên được đóng gói vào bản mô hình hóa cuối cùng để các nhân viên vận hành nhận biết và đưa ra hành vi phản ứng kịp thời trước tấn công. Trong thời gian đó, hệ thống cũng bao vây điểm bị tấn công bằng cách ngắt kế nối bên ngoài tới thiết bị.

Mặc dù vậy, học không giám sát không hoàn toàn là "viên đạn bạc". Khi những kẻ tấn công trở nên tinh vi và xảo quyệt hơn, chúng đủ sức đánh lừa máy móc, bất kể phương thức máy học được sử dụng. Nhằm đối phó với hacker, cộng đồng bảo mật đã chủ động hơn khi xây dựng hệ thống bảo đảm an toàn từ đầu với quy tắc và hạ tầng an toàn hơn. Vẫn còn nhiều việc phải làm nhằm hạn chế tối đa các vụ tấn công và phạm pháp.