Chỉ chưa đầy hai tháng, chính xác là 44 ngày, thế giới đã chứng kiến hai cuộc tấn công liên tiếp của mã độc tống tiền (ransomware) WannaCry và Petya.
Mã độc WannaCry đã khiến hàng trăm ngàn máy tính khốn đốn là thế, nhưng giới phân tích cho rằng Petya còn nguy hiểm hơn gấp bội. Matt Suiche, nhà sáng lập Hãng bảo mật Comae, cho rằng chuyện Petya đòi 300 USD tiền chuộc bằng cách mã hóa các tập tin trên máy nạn nhân chỉ là “vỏ bọc”.
Theo Suiche, bản chất thật của virút máy tính này là wiper - nhóm mã độc (malware) quét sạch và phá sạch dữ liệu trên máy nạn nhân.
Đồng minh mạnh mẽ
WannaCry và Petya một lần nữa cho thấy tấn công mạng ngày càng nguy hiểm. Thế giới cần có công cụ bảo mật tốt hơn và AI đang được kỳ vọng là cứu tinh mới.
Vốn đang là cái tên bị “réo” nhiều nhất trong vòng gần hai tháng qua khi cả hai vụ mã độc đình đám đều liên quan đến lỗ hổng bảo mật của Windows, Microsoft đã quyết định nhờ đến AI để bảo vệ uy tín của hãng cũng như bảo vệ người dùng tốt hơn.
Ngày 27-6, Microsoft tuyên bố sẽ ứng dụng AI vào bản nâng cấp kế tiếp cho phần mềm chống virút dành riêng cho Windows 10 - Defender Advanced Threat Protection.
Theo đó, Microsoft sẽ sử dụng dữ liệu đến từ các dịch vụ điện toán đám mây của mình như Azure, Endpoint và Office để “tạo ra phần mềm diệt virút sử dụng AI có thể nhận diện mã độc ngay cả khi chúng chưa từng xuất hiện trước đó” như lời của Rob Lefferts, giám đốc phụ trách Windows, dành cho khách hàng doanh nghiệp.
Trong bài viết trên blog của Microsoft, Lefferts cho biết ngay khi phát hiện mã độc trên bất kỳ máy tính nào chạy Windows 10, phần mềm chống virút dùng AI sẽ “lập hồ sơ” chi tiết thông tin về mã độc đó và cập nhật vào hệ thống để bảo vệ các máy tính khác không tiếp tục bị lây nhiễm.
Máy tính nạn nhân đầu tiên của mã độc này cũng an toàn vì cơ chế mới sẽ cách ly ngay virút đó lên “đám mây”, tức không ảnh hưởng gì đến thiết bị của người dùng.
Theo Microsoft, bản nâng cấp Defender Advanced Threat Protection chỉ được cung cấp cho khách hàng là doanh nghiệp, vốn phải trả phí dịch vụ cao hơn so với người dùng phổ thông.
Lefferts cho biết AI là giải pháp duy nhất để có thể đương đầu với các loại mã độc vốn thay đổi liên tục.
Thực tế, 96% các vụ tấn công mạng đã được phát hiện đều do virút mới xuất hiện lần đầu gây ra, tức không nằm trong “danh sách đen” mà các chương trình chống virút đã cập nhật, dẫn đến việc chống trả bị động và không hiệu quả.
Với sự trợ giúp của AI, Microsoft có thể nhanh chóng cung cấp công cụ sửa lỗi hay bảo vệ người dùng mỗi khi có mã độc mới. Trước đây, dù các kỹ sư giỏi của Microsoft có bắt tay vào tìm cách phòng chống ngay sau mỗi cuộc tấn công thì thường cũng mất vài giờ, khoảng thời gian đủ để mã độc lây lan khắp nơi.
“Nếu muốn thắng cuộc chiến với tội phạm mạng, không có lựa chọn nào khác là phải dựa vào AI” - Sandy Bird, giám đốc kỹ thuật Hãng bảo mật IBM Security, khẳng định trong một bài viết vào đầu tháng 6. Bird cho rằng AI là “đồng minh mạnh mẽ của con người” trong cuộc chiến an ninh mạng, và rằng “nếu chỉ dựa vào kinh nghiệm và kỹ năng của con người thì việc thua cuộc chiến này là điều tất yếu”.
Ảnh minh họa |
Từ “biểu hiện bất thường”
Trước đây, để phát hiện một chương trình có phải là mã độc hay không, phần mềm diệt virút sẽ phải phân tích mã nguồn của nó và đối chiếu với cơ sở dữ liệu của các mã độc đã ghi nhận trước đó. Nếu phát hiện đoạn mã đó có trong “danh sách đen”, phần mềm sẽ xác định đây là mã độc và tiêu diệt.
Hiển nhiên nếu cơ sở dữ liệu chưa kịp cập nhật thì các mã độc mới sẽ dễ dàng “lọt lưới”. Thực tế là mã độc luôn sinh sôi nảy nở, có nhiều biến thể, còn người dùng hay lười cập nhật “danh sách đen” cho phần mềm diệt virút trên máy vì mất thời gian.
Để khắc phục bất lợi này, các hãng bảo mật sau này bắt đầu đổi lối tiếp cận, chuyển từ so mã nguồn sang theo dõi “hành vi” của các phần mềm và xác định nó là mã độc khi có biểu hiện đáng ngờ.
Trong đời sống, nếu nhân viên an ninh sân bay muốn ngăn hành khách mang vật cấm lên máy bay có thể chưa cần khám người hay soi chiếu mà vẫn có thể ngăn được đối tượng tình nghi, bằng cách quan sát hành vi và biểu hiện của họ.
Nét mặt bồn chồn, hay lân la ở cửa an ninh, thỉnh thoảng lại ngó nghiêng hoặc cho tay vào túi, tất cả đều có thể xem là “hành vi bất thường” để nhân viên an ninh tin rằng vị khách này đáng ngờ.
Chương trình bảo mật máy tính cũng sẽ tìm kiếm và nhận diện những hành vi đáng ngờ như thế. Ví dụ, nếu chương trình nào đó bỗng dưng muốn tải một file có dung lượng lớn hoặc kết nối với máy chủ lạ, hoặc “tìm cách mã hóa tập tin trên máy mà không có dấu hiệu gì cho người dùng nhận biết quá trình mã hóa đó thì có thể bị nghi là mã độc tống tiền” - Fabian Wosar, giám đốc kỹ thuật Công ty bảo mật Emisoft (New Zealand), nói với Hãng tin AP ngày 28-6.
Phương pháp theo dõi hành vi này không cần đến cơ sở dữ liệu lưu trữ mã nguồn của các mã độc nữa và vì không cần đối chiếu với “danh sách đen”, phần mềm diệt virút vẫn có thể nhận biết mã độc mới mà không cần biết nó từng xuất hiện trước đó hay chưa.
Nhưng vấn đề là không phải mọi hành vi bất thường đều nhằm mục đích xấu. Một phần mềm chuyên dụng có thể cần phải mã hóa hay nén tập tin để thực thi một tác vụ nào đó, song sẽ bị lầm là mã độc bởi đã có hành vi đáng ngờ.
“Rất nhiều ứng dụng, đặc biệt trên Windows, có hoạt động giống như malware và rất khó phân biệt chúng” - Ryan Kalember, chuyên gia Công ty bảo mật Proofpoint (Mỹ), nhận định.
Điều này tương tự nhân viên an ninh sân bay nói trên có thể “nghi oan” nếu hành khách nọ có thói quen đưa tay vào túi - biểu hiện bị coi là bất thường - dù họ hoàn toàn vô hại.
Để khắc phục vấn đề này, phần mềm diệt virút cần phải quan sát kỹ hơn, ghi nhận nhiều hành vi hơn. Điều này không phải đơn giản nếu số lượng mã độc và hành vi cần ghi nhận lên đến hàng trăm hay hàng ngàn và sức người không thể cứ chỉnh sửa, cập nhật chương trình diệt virút mãi được.
Đây chính là lúc AI, vốn có thể xử lý lượng thông tin khổng lồ nhanh chóng và không bao giờ biết mệt, phát huy tác dụng.
“Trong tương lai, các hệ thống bảo mật có thể dùng AI theo dõi hành vi và hoạt động người dùng, cảnh báo khi sắp có nguy hiểm, ngăn ransomware hoạt động hay thậm chí “bật lại” bọn tội phạm mạng” - tác giả John Brandon nhận định trên Fox News ngày 18-5.
Với công nghệ học máy (machine learning), AI sẽ học được cách xây dựng bộ tiêu chuẩn riêng để phân biệt mã độc với phần mềm thông thường và áp dụng để kịp thời ngăn chặn virút trước khi nó kịp kích hoạt.
Trong trường hợp của Microsoft, nguồn dữ liệu khổng lồ từ 400 triệu máy tính chạy Windows 10 trên toàn cầu sẽ được dùng để “dạy” phần mềm bảo mật chạy AI học cách phân biệt chương trình tốt và chương trình xấu.
Phần mềm quét virút cũ dù chọn lối phát hiện bằng hành vi vẫn cần phải có con người tham gia cập nhật, nâng cấp khi có sự cố bảo mật mới. Với lợi thế làm việc không biết mệt và khả năng tự học, AI sẽ có thể ghi nhận ngay những hành vi bất thường của các biến thể virút mới nhanh hơn và hoàn toàn tự động.
“Chạy đua vũ trang”
Nếu hãng bảo mật có thể tận dụng AI để trao thêm sức mạnh cho phần mềm diệt virút của mình, tội phạm mạng cũng hoàn toàn có thể cậy đến AI để tạo ra mã độc ngày càng phức tạp và nguy hiểm hơn. “AI đã châm ngòi cho cuộc đua vũ trang, nơi doanh nghiệp và tin tặc đối đầu trực tiếp với nhau” - trang Information Age ngày 20-3 bình luận.
Derek Manky, chuyên gia chiến lược bảo mật toàn cầu của Hãng phần mềm Fortinet, cho rằng chỉ trong vài năm tới, malware có thể tự rút ra “bài học kinh nghiệm” sau mỗi cuộc tấn công để có thể khắc phục điểm yếu và phát huy điểm mạnh trong cuộc tấn công tiếp theo.
“Mã độc với AI sẽ hành xử như tin tặc là con người thực thụ: theo dõi và xác định con mồi, lựa chọn phương thức tấn công và bật chế độ tránh phát hiện một cách thông minh” - Manky cảnh báo.
Nhờ AI, thế hệ mã độc mới cũng có khả năng thích nghi với hoàn cảnh - tùy theo môi trường máy tính của nạn nhân mà nó biết sẽ phải làm gì.
Đây là thực tế: một số biến thể ransomware tự xác định vị trí địa lý của máy tính bị lây nhiễm và điều chỉnh mức tiền chuộc tương ứng (thấy người dùng ở nước nghèo thì ra giá thấp) để tăng khả năng nạn nhân chịu móc hầu bao.
Các phần mềm gửi email lừa đảo cũng theo dõi thói quen của người bị mạo danh để nhái phong cách viết y chang như thật, khiến người nhận thư hoàn toàn không biết mình đang bị lừa.
Tội phạm mạng cũng hoàn toàn có thể phân tích mã nguồn các phần mềm diệt virút chạy AI để tìm “thuốc giải”. Và cuối cùng, tin tặc có thể sử dụng công nghệ học máy cho mã độc để “đối đầu” với phần mềm diệt virút chạy AI. “Ngay cả khi một phần mềm có khả năng bảo mật 99%, việc tấn công vào 1% còn lại không phải là bất khả thi nếu mã độc cũng sử dụng AI” - Dmitri Alperovitch, giám đốc kỹ thuật Công ty bảo mật CrowdStrike, cảnh báo.