CyberThao
Writer
Trong quá trình đánh giá các nền tảng SOC sử dụng trí tuệ nhân tạo (AI), bạn có thể sẽ thấy hàng loạt lời quảng bá đầy tự tin: xử lý nhanh hơn, phản ứng thông minh hơn, ít nhiễu hơn. Nhưng thực tế đằng sau không hoàn toàn như vậy. Không phải hệ thống AI nào cũng được tạo ra giống nhau. Nhiều công cụ vẫn dựa vào các mô hình AI huấn luyện sẵn – vốn chỉ xử lý được một vài tình huống cụ thể. Điều đó có thể phù hợp với SOC của ngày hôm qua, nhưng không còn hiệu quả trong môi trường hiện đại ngày nay.
Hiện tại, các đội ngũ an ninh mạng phải đối mặt với hàng loạt cảnh báo phức tạp và liên tục thay đổi: từ hệ thống đám mây đến thiết bị đầu cuối, từ nhận dạng người dùng đến OT, từ tấn công nội bộ đến lừa đảo phishing, từ mạng lưới đến DLP. Các nhà quản lý SOC và CISO có lý do chính đáng để hoài nghi: Liệu AI này có thể xử lý toàn bộ cảnh báo hay chỉ là một công cụ "tự động hóa theo kịch bản" được cải trang?
AI huấn luyện sẵn thường được đào tạo từ các bộ dữ liệu lịch sử xoay quanh một số tình huống bảo mật cụ thể, như phát hiện lừa đảo phishing, cảnh báo phần mềm độc hại từ thiết bị đầu cuối,... Sau khi được triển khai, mô hình này có thể nhanh chóng phân loại cảnh báo, đưa ra điểm tin cậy và đề xuất hành động tiếp theo – miễn là loại cảnh báo đó nằm trong phạm vi được đào tạo.
Những hệ thống như vậy rất phù hợp với các tổ chức có luồng cảnh báo ổn định, ít thay đổi. Nó giúp rút ngắn thời gian xử lý, hướng dẫn khắc phục rõ ràng và tự động hóa các quy trình phổ biến. Tuy nhiên, trong thực tế, những tổ chức có "cảnh báo ổn định" như vậy rất hiếm.
Điểm yếu lớn nhất của AI huấn luyện sẵn là: nó chỉ xử lý được những gì đã được lập trình sẵn. Mỗi khi có một cảnh báo mới, nhà cung cấp phải tạo mô hình mới – một quy trình tốn kém thời gian và tài nguyên. Trong khi đó, SOC vẫn phải xử lý thủ công các loại cảnh báo chưa được hỗ trợ. Điều này khiến AI bị tụt hậu, tạo ra "điểm mù", làm tăng khối lượng công việc và khiến lợi ích ban đầu của AI trở nên vô nghĩa.
AI thích ứng – khả năng học và xử lý cảnh báo chưa từng thấy
AI thích ứng là bước tiến mới trong SOC hiện đại. Khác với các mô hình cứng nhắc, AI thích ứng có thể xử lý bất kỳ loại cảnh báo nào, kể cả khi chưa từng gặp trước đó.
Khi tiếp nhận một cảnh báo mới, AI thích ứng sẽ chủ động "nghiên cứu" cảnh báo đó: phân tích cấu trúc, ngữ nghĩa và ngữ cảnh để hiểu bản chất và đánh giá rủi ro. Nếu cảnh báo tương tự với loại đã biết, hệ thống sẽ tái sử dụng lộ trình xử lý sẵn có. Nếu cảnh báo là hoàn toàn mới, AI sẽ chuyển sang chế độ khám phá, sử dụng các tác nhân nghiên cứu để tìm kiếm thông tin từ tài liệu nhà cung cấp, cơ sở dữ liệu đe dọa, diễn đàn chuyên ngành… để xây dựng lộ trình xử lý mới hoàn toàn.
Hệ thống này không phụ thuộc vào một mô hình duy nhất. Nó là tập hợp của hàng chục AI chuyên biệt, mỗi "tác nhân" đảm nhận một nhiệm vụ khác nhau. Trong các trường hợp phức tạp, hệ thống có thể thực hiện hơn 150 tác vụ AI liên tiếp để xử lý một cảnh báo – từ phân tích dữ liệu đến xác thực mối đe dọa và lập kế hoạch khắc phục.
Vì sao dùng nhiều LLM (mô hình ngôn ngữ lớn) lại tốt hơn?
Sử dụng nhiều LLM thay vì một mô hình duy nhất mang lại lợi thế rõ rệt. Mỗi LLM có khả năng riêng: mô hình này giỏi phân tích log, mô hình kia giỏi đọc hiểu email, mô hình khác lại giỏi tạo mã lệnh hay tóm tắt thông tin. Việc phân bổ công việc cho mô hình phù hợp giúp SOC xử lý cảnh báo hiệu quả hơn, giảm sai sót và thích nghi tốt hơn với môi trường đa dạng.
Hơn nữa, khi một mô hình gặp khó khăn, mô hình khác có thể đưa ra giải pháp thay thế, giúp giảm thiên lệch và cải thiện chất lượng xử lý. Hệ thống sẽ tự động chuyển đổi giữa các mô hình dựa trên độ chính xác, tốc độ hoặc chi phí – giúp SOC luôn đạt hiệu quả tối ưu.
Lợi ích kinh doanh thực tế từ AI thích ứng
AI thích ứng không chỉ nâng cao hiệu quả vận hành của SOC mà còn mang lại giá trị rõ rệt cho doanh nghiệp. Thay vì phải đợi mô hình mới từ nhà cung cấp, AI thích ứng xử lý ngay cả những cảnh báo chưa từng thấy trước đó. Điều này giúp phát hiện và phản hồi mối đe dọa nhanh hơn, giảm thời gian xử lý từ hàng ngày xuống còn vài phút, tăng khả năng ứng phó trước môi trường tấn công liên tục thay đổi.
Với các nhà phân tích bảo mật, AI thích ứng giống như một "trợ lý cấp cao" – tự động hóa các bước phân tích, loại bỏ cảnh báo giả, đưa ra thông tin có ngữ cảnh rõ ràng, giúp tập trung vào những vấn đề chiến lược và nghiêm trọng nhất.
Đọc chi tiết tại đây: https://thehackernews.com/2025/07/the-hidden-weaknesses-in-ai-soc-tools.html
Hiện tại, các đội ngũ an ninh mạng phải đối mặt với hàng loạt cảnh báo phức tạp và liên tục thay đổi: từ hệ thống đám mây đến thiết bị đầu cuối, từ nhận dạng người dùng đến OT, từ tấn công nội bộ đến lừa đảo phishing, từ mạng lưới đến DLP. Các nhà quản lý SOC và CISO có lý do chính đáng để hoài nghi: Liệu AI này có thể xử lý toàn bộ cảnh báo hay chỉ là một công cụ "tự động hóa theo kịch bản" được cải trang?
Sự khác biệt giữa AI huấn luyện sẵn và AI thích ứng trong SOC
AI huấn luyện sẵn – hiệu quả nhưng hạn chếAI huấn luyện sẵn thường được đào tạo từ các bộ dữ liệu lịch sử xoay quanh một số tình huống bảo mật cụ thể, như phát hiện lừa đảo phishing, cảnh báo phần mềm độc hại từ thiết bị đầu cuối,... Sau khi được triển khai, mô hình này có thể nhanh chóng phân loại cảnh báo, đưa ra điểm tin cậy và đề xuất hành động tiếp theo – miễn là loại cảnh báo đó nằm trong phạm vi được đào tạo.
Những hệ thống như vậy rất phù hợp với các tổ chức có luồng cảnh báo ổn định, ít thay đổi. Nó giúp rút ngắn thời gian xử lý, hướng dẫn khắc phục rõ ràng và tự động hóa các quy trình phổ biến. Tuy nhiên, trong thực tế, những tổ chức có "cảnh báo ổn định" như vậy rất hiếm.
Điểm yếu lớn nhất của AI huấn luyện sẵn là: nó chỉ xử lý được những gì đã được lập trình sẵn. Mỗi khi có một cảnh báo mới, nhà cung cấp phải tạo mô hình mới – một quy trình tốn kém thời gian và tài nguyên. Trong khi đó, SOC vẫn phải xử lý thủ công các loại cảnh báo chưa được hỗ trợ. Điều này khiến AI bị tụt hậu, tạo ra "điểm mù", làm tăng khối lượng công việc và khiến lợi ích ban đầu của AI trở nên vô nghĩa.
AI thích ứng – khả năng học và xử lý cảnh báo chưa từng thấy
AI thích ứng là bước tiến mới trong SOC hiện đại. Khác với các mô hình cứng nhắc, AI thích ứng có thể xử lý bất kỳ loại cảnh báo nào, kể cả khi chưa từng gặp trước đó.
Khi tiếp nhận một cảnh báo mới, AI thích ứng sẽ chủ động "nghiên cứu" cảnh báo đó: phân tích cấu trúc, ngữ nghĩa và ngữ cảnh để hiểu bản chất và đánh giá rủi ro. Nếu cảnh báo tương tự với loại đã biết, hệ thống sẽ tái sử dụng lộ trình xử lý sẵn có. Nếu cảnh báo là hoàn toàn mới, AI sẽ chuyển sang chế độ khám phá, sử dụng các tác nhân nghiên cứu để tìm kiếm thông tin từ tài liệu nhà cung cấp, cơ sở dữ liệu đe dọa, diễn đàn chuyên ngành… để xây dựng lộ trình xử lý mới hoàn toàn.
Hệ thống này không phụ thuộc vào một mô hình duy nhất. Nó là tập hợp của hàng chục AI chuyên biệt, mỗi "tác nhân" đảm nhận một nhiệm vụ khác nhau. Trong các trường hợp phức tạp, hệ thống có thể thực hiện hơn 150 tác vụ AI liên tiếp để xử lý một cảnh báo – từ phân tích dữ liệu đến xác thực mối đe dọa và lập kế hoạch khắc phục.
Vì sao dùng nhiều LLM (mô hình ngôn ngữ lớn) lại tốt hơn?
Sử dụng nhiều LLM thay vì một mô hình duy nhất mang lại lợi thế rõ rệt. Mỗi LLM có khả năng riêng: mô hình này giỏi phân tích log, mô hình kia giỏi đọc hiểu email, mô hình khác lại giỏi tạo mã lệnh hay tóm tắt thông tin. Việc phân bổ công việc cho mô hình phù hợp giúp SOC xử lý cảnh báo hiệu quả hơn, giảm sai sót và thích nghi tốt hơn với môi trường đa dạng.
Hơn nữa, khi một mô hình gặp khó khăn, mô hình khác có thể đưa ra giải pháp thay thế, giúp giảm thiên lệch và cải thiện chất lượng xử lý. Hệ thống sẽ tự động chuyển đổi giữa các mô hình dựa trên độ chính xác, tốc độ hoặc chi phí – giúp SOC luôn đạt hiệu quả tối ưu.
Lợi ích kinh doanh thực tế từ AI thích ứng
AI thích ứng không chỉ nâng cao hiệu quả vận hành của SOC mà còn mang lại giá trị rõ rệt cho doanh nghiệp. Thay vì phải đợi mô hình mới từ nhà cung cấp, AI thích ứng xử lý ngay cả những cảnh báo chưa từng thấy trước đó. Điều này giúp phát hiện và phản hồi mối đe dọa nhanh hơn, giảm thời gian xử lý từ hàng ngày xuống còn vài phút, tăng khả năng ứng phó trước môi trường tấn công liên tục thay đổi.
Với các nhà phân tích bảo mật, AI thích ứng giống như một "trợ lý cấp cao" – tự động hóa các bước phân tích, loại bỏ cảnh báo giả, đưa ra thông tin có ngữ cảnh rõ ràng, giúp tập trung vào những vấn đề chiến lược và nghiêm trọng nhất.
Đọc chi tiết tại đây: https://thehackernews.com/2025/07/the-hidden-weaknesses-in-ai-soc-tools.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview