NDR với AI: Từ ‘Biển Cảnh Báo’ Đến ‘Phát Hiện Thông Minh’

Công nghệ Network Detection and Response (NDR) đang thay đổi nhanh chóng nhờ sự tích hợp của AI, giúp các chuyên gia an ninh mạng chuyển từ việc bị ‘ngập lụt’ trong cảnh báo sang phát hiện và phản ứng hiệu quả hơn với các mối đe dọa thực sự.

Khi nhắc đến Network Detection and Response (NDR), nhiều chuyên gia an ninh mạng vẫn còn than phiền về sự “ồn ào” hay “quá nhiều dữ liệu”. Tuy nhiên, với các đội ngũ đang triển khai NDR tích hợp khả năng AI tự động (agentic AI), câu chuyện đã hoàn toàn khác. Họ đang sử dụng công nghệ này để phát hiện sớm các mối đe dọa, phân loại nhanh hơn và giảm đáng kể các cảnh báo sai (false positives).

Lý do cho sự thay đổi này là danh tiếng của NDR thường khó thay đổi, trong khi công nghệ đã phát triển nhanh hơn nhiều so với nhận thức chung.

Nguồn gốc của sự “ồn ào”

Các hệ thống NDR truyền thống luôn cung cấp cho các nhà phân tích khả năng hiển thị sâu rộng về lưu lượng mạng, hành vi phiên mã hóa và các bất thường giao thức. Tuy nhiên, khả năng hiển thị này thường ở dạng dữ liệu thô, chưa được xử lý thành thông tin tình báo hoàn chỉnh.

Một số hệ thống yêu cầu tinh chỉnh thủ công rất nhiều trong quá trình triển khai để tránh làm quá tải SIEM. Các tổ chức không thể đầu tư thời gian này (hoặc không nhận thức được tầm quan trọng của nó) đã góp phần củng cố danh tiếng “biển cảnh báo” hay “ồn ào” của NDR.

NDR với Agentic AI: Biến “ồn ào” thành “câu chuyện”

Agentic AI tự động thu thập dữ liệu, phân loại cảnh báo, thực hiện tương quan và phân tích sơ bộ, xử lý các công việc tốn thời gian, lặp đi lặp lại mà trước đây thường “chôn vùi” các nhà phân tích. Điểm bất ngờ là: khối lượng dữ liệu từng có thể làm quá tải các đội ngũ nếu NDR không được tinh chỉnh phù hợp, giờ đây đã trở thành một tài sản chiến lược.

Vì AI có thể tiếp nhận và phân tích đồng thời hàng nghìn điểm dữ liệu, “tiếng ồn” có thể trở thành mảnh đất màu mỡ để tìm ra các tín hiệu có giá trị. Ví dụ, nó có thể phát hiện các mối liên hệ giữa các hoạt động có mức độ nghiêm trọng thấp, mang tính thông tin hoặc ít được chú ý mà hầu hết các đội SOC không có đủ năng lực để ghép nối. Hệ thống có thể đưa ra các phát hiện mà lẽ ra có thể bị bỏ lỡ.

Với việc AI xử lý khối lượng dữ liệu và các tác vụ tẻ nhạt, các nhà phân tích được giải phóng để tập trung vào các mối đe dọa hàng đầu. NDR với agentic AI sẽ ghép nối một câu chuyện hoàn chỉnh, có tương quan từ dữ liệu mạng và đưa ra một tập hợp các phát hiện được ưu tiên, chẳng hạn như một kết nối bất thường liên quan đến đăng nhập thất bại, một truy vấn DNS đáng ngờ hoặc truy cập tệp bất thường. Mỗi phát hiện đều đi kèm bằng chứng mạng mà các nhà phân tích cần để có ngữ cảnh tức thì.

NDR vẫn cần được tinh chỉnh để bỏ qua những “tiếng ồn” thực sự vô nghĩa. Tuy nhiên, khả năng tương quan của agentic AI cũng giảm bớt nhu cầu tinh chỉnh thủ công mà một số triển khai NDR từng gặp khó khăn trong quá khứ, bằng cách xác định và tự động hóa các cải tiến phát hiện.

So sánh NDR không có và có Agentic AI

Hãy bắt đầu với NDR không có agentic AI. Trong một khoảng thời gian 24 giờ điển hình, hãy tưởng tượng hệ thống NDR của bạn phát hiện 847 bất thường mạng và các mô hình ML gắn cờ 312 bất thường là có khả năng độc hại. Lúc này, các nhà phân tích sẽ phải can thiệp để phân loại và điều tra thủ công, có thể loại bỏ một số lượng lớn là false positives. Cuối cùng, bốn phát hiện cần hành động sẽ xuất hiện.

Bây giờ, hãy hình dung cùng một khoảng thời gian và cùng số lượng bất thường, nhưng với agentic AI xử lý việc phân loại. Nó tương quan các cảnh báo, suy luận thông qua bằng chứng và đưa ra kết luận. Sau đó, nó trình bày cho các nhà phân tích bốn phát hiện được ưu tiên để xem xét, mỗi phát hiện đều có bằng chứng liên quan và các hành động phản hồi được đề xuất. Ví dụ, nó có thể xác định rằng một bất thường DNS tương quan với một tiến trình mới trên một endpoint, gắn cờ một danh tính bị xâm phạm và khớp các mẫu TTP với Cobalt Strike beacons. NDR nâng cao thậm chí còn cho phép các nhà phân tích xem xét cách AI đưa ra kết luận của nó, để đảm bảo tính minh bạch hoàn toàn. Các nhà phân tích chỉ cần tiếp nhận các phát hiện được ưu tiên và bắt đầu xem xét.

Triển khai vận hành

Agentic AI vẫn không loại bỏ hoàn toàn nhu cầu triển khai đúng cách. Ba lĩnh vực chính góp phần giúp NDR trở thành một đối tác đáng tin cậy thay vì một “người hàng xóm ồn ào” là: thiết lập đường cơ sở (baselining), duy trì tinh chỉnh (staying tuned) và tích hợp SOC.

Baselining

NDR có các công cụ phát hiện có thể tạo cảnh báo ngay lập tức, nhưng một số phương pháp như phát hiện bất thường yêu cầu nền tảng phải chạy trong một khoảng thời gian để thiết lập đường cơ sở cho hành vi mạng bình thường. Trong giai đoạn này, nó quan sát các luồng lưu lượng điển hình, các hoạt động server và endpoint đã biết, và các thiết bị dự kiến. Hầu hết các nền tảng NDR đã tự động hóa quá trình này, giúp hệ thống phân biệt các hoạt động thường xuyên với các mối đe dọa thực sự và xác định lưu lượng độc hại. Việc tinh chỉnh được xây dựng dựa trên đường cơ sở đó. Khi false positives xuất hiện, các nhà phân tích có thể phân loại và loại bỏ chúng khỏi hàng đợi cảnh báo, giúp đào tạo lại các phát hiện và giảm thêm tiếng ồn.

Staying tuned

Mạng lưới luôn thay đổi. Các ứng dụng mới, khối lượng công việc cloud, các thiết bị không xác định và các luồng dữ liệu do AI điều khiển có thể làm dịch chuyển đường cơ sở, và một đường cơ sở lỗi thời có thể dẫn đến nhiều false positives hơn. Việc tinh chỉnh thường xuyên giúp NDR được hiệu chỉnh trong khi AI có thể giúp phát hiện các mẫu hình mới nổi trước khi chúng biến thành tiếng ồn.

SOC integration

Dữ liệu NDR có thể cung cấp cho các hệ thống khác trong một SOC được hỗ trợ bởi AI, và dữ liệu chất lượng cao hơn có thể mang lại kết quả sạch hơn. Điều này quan trọng đối với vấn đề tiếng ồn: khi AI có dữ liệu độ trung thực cao để làm việc, nó có thể phân biệt chính xác hơn các mối đe dọa thực sự với false positives.

Trong một ví dụ, một báo cáo gần đây đã chứng minh tầm quan trọng của chất lượng dữ liệu, với một loại dữ liệu cải thiện điểm kiểm tra CTF hơn 350%. Trong báo cáo này, cùng một dữ liệu đã tăng độ chính xác (95% so với 26%) và mang lại gần 300% phát hiện IR nhiều hơn so với các định dạng log thông thường. Trong các lần chạy thử nghiệm được thực hiện trong nghiên cứu, các mô hình AI tiên tiến hoạt động ở các cấp độ tương đương, có nghĩa là chất lượng dữ liệu, chứ không phải lựa chọn mô hình, có tác động lớn hơn đến kết quả bảo mật.

Cùng dữ liệu này có thể làm phong phú các công cụ AI SOC khác, SIEM được hỗ trợ bởi AI (ví dụ: Charlotte của CrowdStrike) và các kết nối với các mô hình cục bộ thông qua MCP. Các tổ chức tận dụng tối đa hệ thống của họ sử dụng API và nguồn cấp dữ liệu phát hiện một cách chiến lược, cho phép AI của NDR xử lý tương quan trước khi cảnh báo đến các nền tảng khác, giảm thêm tiếng ồn trước khi nó đến hàng đợi của nhà phân tích.

Điểm mấu chốt

Những lầm tưởng thường tồn tại vì chúng dễ lặp lại. Câu chuyện “NDR ồn ào” đang nhanh chóng được thay thế bởi AI được thiết kế để tương quan ở quy mô lớn, với khả năng:

  • Xử lý khối lượng dữ liệu lớn
  • Tạo ngữ cảnh
  • Tìm ra các tín hiệu có thể bị mất trong tiếng ồn
  • Giảm sự phụ thuộc vào tinh chỉnh thủ công
  • Chuyển trọng tâm của nhà phân tích sang các mối đe dọa nghiêm trọng

Việc triển khai đúng cách sẽ xử lý phần còn lại. Điều xuất hiện là NDR mang lại khả năng hiển thị tốt hơn và phản ứng nhanh hơn, đồng thời cung cấp năng lượng cho SOC để cuối cùng theo kịp tốc độ của mạng lưới.

Nguồn tham khảo: The Hacker News

Nguyen Hung

Nguyen Hung

Keep in touch with our news & offers

Subscribe to Our Newsletter

What to read next...

Comments

Leave a Reply

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *