Các điểm mù về an toàn AI bị phơi bày qua "tấn công kênh phụ"… Việc phát hiện dựa trên quy tắc đã đạt đến giới hạn chưa?

Trò chuyện về an toàn trí tuệ nhân tạo (AI) chủ yếu tập trung vào việc mô hình bị vận hành sai hoặc lạm dụng. Nhưng có người chỉ ra rằng vấn đề cấp bách hơn nằm ở những điểm mà hệ thống phát hiện hiện tại “nhìn đi nơi khác”. Gần đây, “tấn công kênh phụ” (side-channel attack) được xem là ví dụ điển hình thể hiện rõ ràng khoảng trống trong khả năng phát hiện này.

Tấn công kênh phụ không phải là cách tấn công vào mã phần mềm. Ngược lại, nó là kỹ thuật phân tích các tín hiệu vật lý như tiêu thụ năng lượng, bức xạ điện từ, thời gian xử lý để trộm cắp thông tin hoặc gây nhiễu thực thi chương trình. Ngay cả các thông tin nhạy cảm như khoá mã hóa cũng có thể bị lấy qua việc đo lường các tín hiệu vô tình rò rỉ trong phần cứng.

Theo các nghiên cứu gần đây, các quan sát viên bên ngoài chỉ cần phân tích mô hình lưu lượng mã hóa để suy luận ra “chủ đề” của tương tác AI. Không cần giải mã, cũng không cần xem nội dung dữ liệu. Điều này có nghĩa là chỉ dựa vào cấu trúc lưu lượng, khoảng cách thời gian và thứ tự, có thể tiết lộ thông tin có ý nghĩa. Vấn đề là, các tín hiệu này nằm ngoài tầm nhìn của các công cụ an toàn hiện tại tập trung vào nội dung.

Hạn chế của phát hiện dựa trên quy tắc

Trong 20 năm qua, các biện pháp an toàn luôn dựa trên “quy tắc”. Chữ ký, ngưỡng, mẫu đã biết và các chuẩn phát hiện bất thường luôn là trung tâm của hoạt động an toàn. Ngành công nghiệp không chỉ giới thiệu nhiều quy tắc hơn, tinh vi hơn, mà còn tích hợp AI để làm cho hệ thống hoạt động nhanh hơn.

Tuy nhiên, phát hiện dựa trên quy tắc cuối cùng vẫn cần có “đối tượng so sánh” để hoạt động. Phải có dấu vết đã biết, lệch chuẩn rõ ràng, ranh giới rõ ràng để cảnh báo. Trong khi đó, tấn công kênh phụ hoặc nhiều kỹ thuật xâm nhập mới nhất có thể tránh khỏi những điều kiện này.

Nếu kẻ tấn công sử dụng kênh mã hóa, công cụ bình thường hoặc quy trình hỗ trợ AI, từng hành vi riêng lẻ có thể trông bình thường. Nếu chỉ xem từng bước, có thể không có dấu hiệu bất thường. Nhưng khi liên kết các bước theo thời gian, mô hình tấn công sẽ lộ ra. Đây chính là “khoảng trống trong phát hiện”. Không phải do phạm vi không đủ, mà là do hạn chế về cấu trúc.

Ngay cả AI cũng có thể bỏ lỡ các cuộc tấn công

Ý nghĩa thực tế của khoảng trống này rất đơn giản. Ngay cả khi kẻ tấn công hoạt động nội bộ, đội ngũ an ninh cũng có thể không nhận được tín hiệu nào. Không chỉ không có cảnh báo độ tin cậy thấp, mà còn không có manh mối nào để điều tra.

Tấn công kênh phụ là ví dụ điển hình. Dữ liệu có thật, nhưng ẩn trong các khoảng thời gian chênh lệch, thứ tự, mô hình tương tác. Các công cụ hiện tại không được thiết kế để giải mã những điều này. Các cuộc xâm nhập chậm, gọi là “tấn công chậm-lẹt” (low-and-slow), hoặc lạm dụng công cụ quản lý bình thường, cũng như các cuộc tấn công hỗ trợ AI thay đổi hình dạng theo đường đi của di chuyển, đều như vậy.

Vấn đề là, khi các doanh nghiệp ngày càng sử dụng AI trong cả hoạt động và tấn công, các điểm mù như vậy sẽ ngày càng mở rộng. Tuy nhiên, phần lớn các khoản đầu tư an ninh vẫn tập trung vào xử lý nhanh hơn, hiệu quả hơn các lĩnh vực đã có thể nắm bắt. Tự động hoá tạo quy tắc, phân loại cảnh báo, cải thiện phân tích đều có ý nghĩa, nhưng vẫn còn hạn chế đối với các cuộc tấn công không tạo ra cảnh báo từ ban đầu.

Không chỉ xem sự kiện, mà cần nhìn “hành vi”

Có ý kiến cho rằng, để thu hẹp khoảng trống này, cần một phương pháp có thể giải mã “liên tục hành vi” chứ không chỉ từng sự kiện đơn lẻ. Các tín hiệu mà đội ngũ an ninh cần đã tồn tại. Mối quan hệ giữa các hệ thống, thứ tự hành vi, sự thay đổi trong mô hình truy cập, tiến trình theo thời gian đều có thể tiết lộ ý định tấn công.

Ví dụ, khi kẻ tấn công cố gắng lan rộng trong nội bộ qua kênh mã hóa, dấu vết không nằm trong nội dung lưu lượng mà nằm trong sự thay đổi của cách truy cập. Mặc dù tấn công kênh phụ không trực tiếp hiển thị dữ liệu, nhưng lại tiết lộ cấu trúc của nó. Cuối cùng, điều quan trọng không phải là các sự kiện riêng lẻ, mà là quy trình và ngữ cảnh.

Chính vì vậy, quan điểm cho rằng chỉ dựa vào các quy tắc đã định sẵn hoặc điều kiện do con người viết ra là không đủ để hỗ trợ hệ thống phát hiện thế hệ tiếp theo ngày càng thuyết phục hơn. Cần học từ dữ liệu vận hành có cấu trúc, thậm chí là các mô hình có thể phát hiện các mẫu chưa được định nghĩa trước đó. Thật trớ trêu, một số đánh giá cho rằng, các phương pháp học sâu có thể được dùng để tấn công kênh phụ cũng có thể dùng để phát hiện các mô hình lưu lượng nhỏ này.

Tiêu chuẩn đầu tư an ninh cũng cần thay đổi

Từ góc nhìn của người phụ trách an ninh, vấn đề then chốt rất rõ ràng: cần phân biệt hệ thống AI này nhằm nâng cao hiệu quả của các phương pháp dựa trên quy tắc, hay có khả năng phát hiện các hành vi mà quy tắc không thể diễn đạt. Cả hai đều có giá trị, nhưng giải quyết các vấn đề khác nhau.

Đối với hầu hết tổ chức, bước đầu không phải là thêm công cụ mới, mà là bình tĩnh xem xét chiến lược phát hiện hiện tại thực sự có thể nhìn thấy đến đâu. Các hành động nhỏ trong giai đoạn trinh sát, lan rộng nội bộ bí mật, các hoạt động lẫn trong vận hành bình thường, đều là những khu vực dễ để lại khoảng trống lớn.

Thu hẹp các khoảng trống phát hiện không chỉ giúp tăng tốc phản ứng. Nó còn giúp tổ chức nhận thức sớm hơn về “đã có vấn đề”. Điều này giúp rút ngắn thời gian lưu trú của kẻ tấn công trong hệ thống, giới hạn phạm vi sự kiện, và tăng khả năng phòng thủ trước khi kẻ tấn công đạt mục tiêu. Đồng thời, cũng giúp doanh nghiệp hiểu rõ hơn về mức độ rủi ro thực tế.

Tấn công kênh phụ không chỉ là một kỹ thuật mới, mà còn tiết lộ những thông tin quan trọng nằm ngoài giới hạn của các hệ thống an toàn truyền thống. Cuối cùng, vấn đề không phải do AI tạo ra, mà chỉ rõ hơn những hạn chế trong khả năng phát hiện đã bị che giấu trước đó.