Mã độc sẽ tự học hỏi và tấn công nguy hiểm hơn trong năm 2018
(Dân trí) - Nhờ sự tiến bộ về trí thông minh nhân tạo và tự động hóa, rất có thể trong năm tới chúng ta sẽ chứng kiến những cuộc tấn công mạng đầy nguy hiểm, các malware hoàn toàn được máy tạo ra có thể tự động phát hiện điểm yếu và phân tích dữ liệu phức tạp hơn.
Tại TPHCM, ông Chew Poh Chang, Chiến lược gia An ninh mạng của Fortinet đã có buổi trò chuyện với Dân trí để đưa ra những dự báo xu hướng tấn công mạng trong năm 2018.
Chào ông, xin ông chia sẻ dự báo của Fortinet FortiGuard Labs về bối cảnh nguy cơ an ninh mạng trong năm 2018 mà hãng cho rằng đáng chú ý nhất?
Như bạn cũng biết, động lực của nền kinh tế số của chúng ta hiện nay là đổi mới công nghệ, một yếu tố tạo ra cả cơ hội tốt và xấu cho an ninh mạng và có thể nói rằng, chuyển đổi công nghệ số được cả cho người tốt và kể xấu sử dụng.
Cụ thể hơn, ngày nay, sự xuất hiện của hàng loạt các loại thiết bị trực tuyến cùng khả năng siêu kết nối chính là nguồn gốc tạo ra “sân chơi” dành cho tội phạm, khiến mọi thứ trở nên kém an toàn hơn. Đồng thời, các thế lực thù địch vẫn đang khai thác trí thông minh tự động và nhân tạo với một tốc độ và quy mô đáng sợ trên bình diện tấn công ngày càng mở rộng. Những cuộc tấn công như WannaCry và NotPetya chính là lời cảnh báo cho tình trạng không an toàn ở mọi nơi cũng như những tác động tiềm năng lên nền kinh tế trong tương lai gần, mà nguyên nhân là do tiền chuộc hay sự hỗn loạn của các dịch vụ thương mại hay sở hữu trí tuệ. Những biện pháp an ninh dạng kiến trúc (fabric-based) tận dụng được sức mạnh của tự động hóa, tích hợp và xác định phân khúc chiến lược đều có ý nghĩa to lớn trong việc chống lại những cuộc tấn công với trí thông minh cao trong tương lai.
Do đó, trong vài năm sắp tới, chúng ta sẽ thấy bình diện của những cuộc tấn công sẽ tiếp tục gia tăng trong khi sự hiện hữu và khả năng kiểm soát hạ tầng ngày một suy giảm. Sự sinh sôi nảy nở của những thiết bị trực tuyến cho phép truy cập vào thông tin cá nhân, thông tin tài chính, cùng với sự kết nối của vạn vật – từ những binh đoàn thiết bị IoT và hạ tầng trọng yếu như ô tô, nhà, văn phòng, đến sự xuất hiện và tăng trưởng của thành phố thông minh – đã tạo ra cơ hội mới cho tội phạm mạng cùng những nguy cơ khác. Thị trường tội phạm mạng rất giỏi áp dụng những tiến bộ mới nhất trong các lĩnh vực như trí thông minh nhân tạo để tấn công hiệu quả hơn. Chúng tôi dự báo xu hướng này sẽ gia tăng trong năm 2018, phát sinh thêm những xu hướng phá hoại mới.
Vậy trí thông minh nhân tạo đóng vai trò quan trọng như thế nào đối với tội phạm mạng và biến chúng trở nên nguy hiểm hơn, thưa ông?
Như đã nói trên, chúng tôi dự báo xu hướng này sẽ gia tăng mạnh trong năm 2018, phát sinh thêm những xu hướng phá hoại mới, có thể nói đến như “Sự trỗi dậy của Hivenet và Swarmbot có khả năng tự học hỏi” – Chúng được phát triển trên nền những cuộc tấn công tinh vi như Hajime và Devil’s Ivy hay Reaper, chúng tôi dự báo rằng tội phạm mạng sẽ áp dụng biện pháp thay thế botnet bằng những cụm thiết bị có trí thông minh đã bị xâm nhập được gọi là hivenet, tạo ra những hướng tấn công hiệu quả hơn. Hivenet sẽ lợi dụng khả năng tự học hỏi để tấn công hiệu quả những hệ thống yếu kém trên một quy mô chưa từng thấy. Chúng sẽ có khả năng liên lạc với nhau, tự hành động dựa trên trí thông minh cục bộ được chia sẻ.
Ngoài ra, những con xác sống (zombie) này sẽ trở nên cực kỳ thông minh, có thể hành động theo câu lệnh mà không cần chỉ dẫn từ chỉ huy. Vì lí do đó, hivenet sẽ có thể tăng trưởng theo cấp số nhân thành đàn, tăng khả năng tấn công nhiều nạn nhân tại cùng một thời điểm, đồng thời cản trở những biện pháp giảm thiểu hay ngăn chặn. Mặc dù những cuộc tấn công này vẫn chưa tận dụng công nghệ bầy đàn bởi vốn đã có dấu ấn trong mã code, nhưng các thế lực chống phá vẫn có thể tìm cách chuyển đổi nó nhằm tạo khả năng tự học hỏi cao hơn. Các thế lực này sẽ sử dụng bầy đàn những thiết bị đã bị xâm nhập, hay còn gọi là swarmbot, để xác định và tấn công đồng thời theo nhiều hướng khác nhau với tốc độ và biên độ đáng sợ, trong khi tốc độ phát triển triệt tiêu khả năng dự báo cần thiết để có thể đối đầu với những cuộc tấn công như thế. FortiGuard Labs đã ghi nhận được 2,9 tỷ lần liên lạc giữa các botnet chỉ trong một quý đầu năm nay, đủ để thấy mức độ nghiêm trọng của những gì hivenet và swarmbot có thể gây ra.
Một vấn đề khác đó là "Malware biến hình thế hệ mới" sẽ xuất hiện trong năm 2018 hoặc tương lai không xa, chúng ta sẽ được chứng kiến những malware hoàn toàn được máy tạo ra nhờ khả năng tự động phát hiện điểm yếu và phân tích dữ liệu phức tạp. Malware biến hình không phải là một khái niệm mới, nhưng chúng sẽ sớm có thêm một bộ mặt mới bằng cách khai thác công nghệ trí thông minh nhân tạo tạo ra những đoạn mã mới tinh vi hơn, có khả năng học hỏi để tránh bị phát hiện bởi những đoạn chương trình (routine) do máy tính viết.
Các thế lực thù địch sẽ có thể khai thác tối đa bản chất tiến hóa sẵn có của các công cụ trên cơ sở những đặc điểm của mỗi điểm yếu riêng. Malware đã có thể sử dụng các mô hình học hỏi để tránh biện pháp an ninh, đồng thời tạo ra hàng triệu biến thể virus mỗi ngày. Nhưng tính đến thời điểm này thì tất cả mới chỉ là dựa trên các thuật toán, và kết quả cũng không phải quá phức tạp hay khó kiểm soát. FortiGuard Labs đã ghi nhận 62 triệu lần phát hiện malware trong một quý năm 2017. Trong số hàng triệu những lần phát hiện malware ghi nhận được, chúng tôi nhận thấy có 16.582 biến thể phát sinh từ 2.534 dòng malware. Một trong năm tổ chức cũng báo cáo trường hợp malware tấn công thiết bị di động. Với việc malware ngày càng được tự động hóa cao thì tình hình sẽ càng trở nên cấp bách hơn trong những năm sắp tới.
Bên cạnh đó, một xu hướng cũng hết sức quan trọng trong an ninh mạng năm tới đó là "Web đen và tội phạm mạng lợi dụng tự động hóa để phát triển những dịch vụ mới" và hiện đã có thể thấy những dịch vụ tân tiến tận dụng khả năng học hỏi của máy móc xuất hiện trên thị trường web đen. Chẳng hạn, một dịch vụ có tên FUD (Fully Undetectable - Hoàn toàn không phát hiện được) đã được cung cấp cùng hàng loạt các dịch vụ khác, cho phép giới lập trình trả phí để tải mã tấn công và mã độc lên một dịch vụ phân tích. Sau cùng, họ sẽ nhận được một báo cáo cho biết mã này có bị phát hiện bởi các công cụ an ninh từ nhiều nhà cung cấp khác nhau hay không. Để rút ngắn chu kỳ này, chúng ta sẽ thấy được nhiều trường hợp khả năng học hỏi của máy tính được sử dụng để chỉnh sửa mã tức thời trên cơ sở nội dung và phương thức phát hiện trong phòng lab, khiến việc phát hiện tội phạm mạng và những công cụ thâm nhập trở nên khó khăn hơn. Các công cụ sandbox áp dụng khả năng học hỏi của máy tính cho phép chúng ta nhanh chóng phát hiện những nguy cơ chưa từng thấy trước đó và chủ động có các biện pháp bảo vệ. Không có lý do gì lại không thể tự động hóa phương pháp này để sử dụng cho những mục đích khác như khớp nối mạng lưới, tìm mục tiêu tấn công, xác định điểm yếu của mục tiêu hay thiết kế mục tiêu để thực hiện thử nghiệm xâm nhập, sau đó xây dựng và triển khai một cuộc tấn công bất kỳ.
Những thí dụ ông đưa ra, vậy hạ tầng hiện nay của các doanh nghiệp có đủ sức để “chạy kịp” sự biến đổi không ngừng nghỉ, áp dụng trí tuệ thông minh của tội phạm mạng không, thưa ông?
Giới tội phạm mạng táo tợn hoàn toàn có cơ hội áp dụng những tiến bộ trong tự động hóa và trí thông minh nhân tạo, và sử dụng những công cụ phù hợp để phá hoại nền kinh tế số của chúng ta. An ninh cần bắt kịp với tốc độ của công nghệ số bằng cách tự động hóa phản hồi và áp dụng trí thông minh cũng như khả năng tự học hỏi để các mạng lưới có thể tự đưa ra quyết định một cách hiệu quả. Kết quả sẽ không chỉ là tăng cường sự hiện hữu và kiểm soát tập trung, mà còn cho phép xác định phân khúc chiến lược để đưa các biện pháp an ninh vào thật sâu trong hạ tầng mạng nhằm nhanh chóng phát hiện, cô lập và xử lý những thiết bị đã bị xâm nhập, phá vỡ âm mưu tấn công, và thậm chí trên nhiều hệ sinh thái mạng khác nhau, từ các thiết bị đầu cuối, tài nguyên mạng nội bộ đến đám mây.
Chẳng hạn, gần đây, các nhà cung cấp hạ tầng trọng yếu tiếp tục đứng đầu danh sách quan ngại do cả các mối đe dọa về chiến lược và kinh tế. Những tổ chức này quản lý các mạng lưới giá trị cao, bảo vệ các dịch vụ và thông tin quan trọng. Tuy nhiên, hầu hết hạ tầng trọng yếu và mạng công nghệ vận hành đều được biết đến với khả năng bảo vệ kém do được thiết kế để hoạt động cô lập ngay từ đầu. Với kỳ vọng bắt kịp tốc độ phát triển của công nghệ số, đáp ứng nhu cầu của nhân viên và người tiêu dùng, yêu cầu đối với những mạng lưới này đã bắt đầu có bước chuyển biến, thúc đẩy nhu cầu nâng cao an ninh cho những mạng lưới vốn được thiết kế cô lập. Với tầm quan trọng của những mạng lưới này, và hậu quả nghiêm trọng có thể xảy ra nếu chúng bị xâm nhập hay ngừng hoạt động, các nhà cung cấp hạ tầng trọng yếu đang phải chạy đua vũ trang với các tổ chức quốc gia dân tộc, tội phạm và khủng bố. Sự táo tợn của những thế lực thù địch, cộng với sự giao thoa giữa công nghệ thông tin và vận hành khiến an ninh của hạ tầng trọng yếu trở thành ưu tiên của năm 2018 và về sau nữa.
Một vấn đề cũng đáng quan tâm khác là “Tiền chuộc từ các dịch vụ thương mại là mối làm ăn lớn” - Mặc dù mức độ nguy cơ của mã độc tống tiền (ransomware) đã tăng 35 lần trong năm qua với sâu mạng (ransomworm) và những hình thức tấn công khác, nhưng tình hình sẽ không chỉ dừng ở đó. Với mục tiêu tạo ra nhiều dòng doanh thu, ransomware có thể sẽ nhắm tới các nhà cung cấp dịch vụ đám mây và dịch vụ thương mại khác. Các mạng lưới siêu kết nối, phức tạp mà các nhà cung cấp dịch vụ đám mây đã phát triển có thể sẽ trở thành “điểm chết” cho hàng trăm doanh nghiệp, cơ quan nhà nước, hạ tầng trọng yếu, và tổ chức y tế. Chúng tôi dự báo tội phạm mạng sẽ tiến hành kết hợp công nghệ trí thông minh nhân tạo với các biện pháp tấn công đa hướng nhằm dò quét, phát hiện và lợi dụng những điểm yếu trên môi trường của các nhà cung cấp dịch vụ đám mây. Tác động của những cuộc tấn công này có thể giúp tổ chức tội phạm kiếm bộn tiền, đồng thời gây rối loạn hệ thống dịch vụ của hàng trăm, hàng ngàn doanh nghiệp cùng khách hàng của họ, có thể lên tới hàng chục ngàn, hay thậm chí là hàng triệu.
Do đó, cần xây dựng giải pháp an ninh xung quanh công nghệ an ninh tích hợp, thông tin về nguy cơ để đề ra biện pháp hành động, và kiến trúc an ninh cho phép chủ động cấu hình. Ngoài ra, cần đưa quy chuẩn an ninh cơ bản vào các giao thức bảo mật căn bản. Đây là nội dung thường bị xem nhẹ, trong khi đóng vai trò trọng yếu giúp hạn chế những hậu quả xấu chúng ta luôn muốn tránh.
Xin cảm ơn ông!
Gia Hưng