Tóm hacker theo cách … không bình thường

(Nguồn: Internet)

Vào năm 2013, một nhóm chuyên gia bảo mật Anh nhận biết một điều kỳ lạ: trong khi hầu hết các nỗ lực để bảo mật cơ sở hạ tầng số đều được dành cho chuyện ngăn chặn kẻ xấu đột nhập, khi đang rất ít làm điều ngược lại: ngăn chặn chúng để lộ thông tin. Từ ý tưởng đó, một công ty an ninh mạng mang tên Darktrace đã ra đời.

Darktrace hợp tác với những nhà toán học thuộc Đại học Cambridge phát triển một công cụ sử dụng máy học để bắt gọn các vụ để lộ thông tin nội bộ. Thay vì dạy các thuật toán dựa trên lịch sử tấn công, họ càng phải tìm một cách cho hệ thống nhận diện được các phương thức mới của hành vi dị thường. Giải pháp là máy học không quan sát (unsupervised learning), một công nghệ dựa trên dạng thuật toán máy học hiếm có mà không cần con người xác định rõ cần phải làm gì.

(Nguồn: Internet)

CEO của công ty Nicole Eagan giới thiệu: “Tương tự như hệ thống miễn dịch của con người, vô cùng phức tạp và có cả cảm giác về những thứ thuộc về hay không thuộc về bản thân. Và khi phát hiện ra thứ không thuộc về, hệ thống sẽ mang ra phản ứng cực kì chính xác và nhạy bén”.

Đa số các phần mềm máy học đều dựa theo học có quan sát (supervised learning), cho dù là cung cấp một trọng lượng cực kì lớn dữ liệu đã được sắp xếp cẩn trọng cho cỗ máy nhằm đào tạo nó nhận ra một biểu mẫu được khái niệm kỹ lưỡng. Ví dụ, bạn muốn máy nhận dạng một giống chó. Bạn sẽ mang ra hàng trăm hay hàng nghìn bức hình của giống chó cũng giống vật khác, và chỉ rõ cho nó đúng hay sai trong những ảnh đó. Kết quả là bạn sẽ được cỗ máy nhận diện được giống chó riêng biệt khá tốt.

Trong bảo mật, học có quan sát đem lại hữu hiệu khá tốt. Chuyên gia dạy máy xác định các nguy cơ hệ thống đã từng đối diện trước đó, và từ đó chúng sẽ bị theo dấu chặt chẽ. Nhưng có hai vấn đề chính. Một là phương thức này chỉ hoạt động với nguy cơ đã biết, các nguy cơ chưa biết sẽ lọt lưới giám sát. Hai là thuật toán học có quan sát hoạt động tốt nhất trong điều kiện dữ liệu cân bằng, có nghĩa là số lượng ví dụ đồng đều giữa những biểu thị cần xử lý hoặc không cần xử lý. Dữ liệu bảo mật thường cực khó dàng như thế: có rất ít thí dụ của hành vi đe dọa giữa vô vàn biểu thị bình thường.

(Nguồn: Internet)

Thật vận may khi học không quan sát lại mang lại hữu hiệu không ngờ trong tình huống này. Nó cũng có thể quan sát cân nặng dữ liệu chưa được sắp xếp và tìm ra các mảnh ghép không theo biểu mẫu vốn có. Từ đó, các nguy nhưng mà hệ thống chưa trải đời nghiệm có thể được trao diện.

Khi Darktrace triển khai ứng dụng của mình, các cảm biến thực và ảo được đặt xung quanh mạng lưới của khách hàng nhằm thiết lập bản đồ hoạt động của nó. Dữ liệu thô sau kia được chuyển qua 60 thuật toán học không giám sát cùng cạnh tranh để tìm ra hành vi bất thường. Các thuật toán lại gửi kết quả xét về thuật toán chủ đạo sử dụng các phương pháp hoạch toán không giống nhau để quyết định xem trong số 60 kết quả đó, nên lắng tai hay bỏ qua kết quả nào. Tất cả sự phức tạp trên được đóng gói vào bản loại hình hóa cuối cùng để các nhân viên vận hành nhận ra và đem ra hành vi phản ứng kịp lúc trước tấn công. Trong thời gian đó, hệ thống cũng vây hãm điểm bị tấn công bằng cách ngắt kế nối bên ngoài tới thiết bị.

Mặc dù vậy, học không giám sát không tận gốc là “viên đạn bạc”. Khi những kẻ tấn công trở nên tinh vi và xảo quyệt hơn, chúng đủ sức gạt gẫm máy móc, bất kể phương thức máy học được sử dụng. Nhằm đối phó với hacker, cộng đồng bảo mật đã chủ động hơn lúc thành lập hệ thống bảo hiểm an toàn từ đầu với quy tắc và hạ tầng an toàn hơn. Vẫn còn nhiều việc nên làm nhằm có hạn tối đa những vụ tiến công và phạm pháp.