"Alert Fatigue": Mối nguy tiềm tàng từ việc quá tải cảnh báo bảo mật

Alert Fatigue (sự kiệt sức vì cảnh báo) và những tác động tiêu cực của nó đến hiệu quả của Trung tâm vận hành bảo mật (SOC) đang trở thành những vấn đề hiển nhiên. Tuy nhiên, nguyên nhân sâu xa, hệ quả cụ thể và các giải pháp khả thi cho vấn đề này lại phức tạp và ít rõ ràng hơn nhiều.

Môi trường SOC thường xuyên chịu áp lực lớn từ hàng loạt cảnh báo bảo mật

Các chuyên gia phân tích SOC hiện nay đang bị "ngập" trong một khối lượng cảnh báo khổng lồ và liên tục được tạo ra bởi các công cụ bảo mật. Mỗi cảnh báo riêng lẻ thường vô nghĩa nếu thiếu sự tương quan với các cảnh báo khác. Việc tìm kiếm mối liên hệ này tốn rất nhiều thời gian, và ngay cả khi tìm thấy, nó có thể không liên quan gì đến an ninh kinh doanh của doanh nghiệp. Phần lớn số lượng cảnh báo thực chất chỉ là "nhiễu" (noise), nhưng nỗ lực để tìm ra những báo động dương tính thật (signals) giữa biển cảnh báo dương tính giả này vừa khó, vừa tẻ nhạt và thường là vô nghĩa.

Nguyên nhân cốt lõi của sự quá tải

Có nhiều nguyên nhân dẫn đến tình trạng này, nhưng đáng chú ý nhất là sự thiếu hụt các quy trình ưu tiên tự động. Các công cụ bảo mật rất giỏi trong việc phát hiện tín hiệu cảnh báo nhưng lại kém hiệu quả trong việc sắp xếp mức độ ưu tiên cho chúng. Các cảnh báo đôi khi đi kèm với một điểm số.

"Một công cụ có thể nói: 'Tôi tìm thấy một mối đe dọa. Điểm số là 32 trên 100'. Điều đó có nghĩa là gì? Điểm số 100 trên 100 thực sự đại diện cho điều gì? Tại sao lại cho nó 32 điểm? Nếu thiếu ngữ cảnh, con số đó hoàn toàn vô nghĩa," Obbe Knoop, nhà sáng lập và CEO tại Lanxit, nhận định.

Một nguyên nhân khác là sự thiếu vắng ngữ cảnh cảnh báo. Một cảnh báo có thể gợi ý sự hiện diện của lỗ hổng bảo mật và trông có vẻ khẩn cấp; nhưng ngữ cảnh đầy đủ có thể chỉ ra rằng thiết bị tại vị trí đó không có kết nối outgoing nào và có mức độ liên quan bằng 0 đến tính liên tục của kinh doanh. Nó có thể được ghi chú và xếp hàng đợi sau những cảnh báo khẩn cấp hơn. Tất cả phụ thuộc vào việc có ngữ cảnh chính xác và đầy đủ để hiểu mức độ liên quan.

Jeff Reed, CTO tại SentinelOne, tóm tắt: "Alert fatigue không nhất thiết nằm ở số lượng cảnh báo, mà nằm ở mức độ liên quan của chúng."

Cuộc chạy đua vũ trang AI và áp lực lên con người

Việc tội phạm sử dụng AI đang gia tăng tốc độ, sự tinh vi và độ lén lút của các cuộc tấn công. "Những kẻ tấn công ngày càng sử dụng AI để mở rộng quy mô hoạt động — phân tích dữ liệu bị đánh cắp nhanh hơn, tạo ra các chiến dịch lừa đảo (phishing) thuyết phục hơn và tự động hóa một phần quá trình xâm nhập," Reed bổ sung. Kết quả là sự gia tăng liên tục về khối lượng cảnh báo.

Song song đó, việc sử dụng AI mang tính phòng thủ cũng đồng thời làm tăng bề mặt tấn công mà các tác nhân xấu có thể nhắm tới. "Các hệ thống AI đang trở thành một phần của bề mặt tấn công, giới thiệu các rủi ro mới xung quanh việc thao túng mô hình, lộ dữ liệu và sử dụng sai mục đích — và tạo ra nhiều cảnh báo hơn nữa," Reed giải thích.

Thực tế đơn giản là các chuyên gia phân tích con người không thể sàng lọc và điều tra mọi tín hiệu với tốc độ mà các môi trường hiện đại tạo ra chúng. Điều này dẫn đến hai hệ quả. Thứ nhất, áp lực là liên tục, mức độ căng thẳng luôn ở mức cao. Thứ hai, không có lối thoái nào khác ngoài việc chuyển sang công việc khác, trong khi tình trạng cá nhân của chuyên gia (như gia đình, thế chấp nhà ở) có thể ngăn cản điều này. Đây là mầm mống của sự kiệt sức (burnout).

Áp lực liên tục khiến các chuyên gia phân tích SOC dễ rơi vào tình trạng kiệt sức

Giải pháp: Tự động hóa và "Lớp lý luận"

Có hai cách tiếp cận rõ ràng để ngăn chặn alert fatigue: giảm số lượng cảnh báo thông qua lọc chính thức để cải thiện tỷ lệ tín hiệu trên nhiễu, hoặc cải thiện tốc độ và hiệu quả sàng lọc thông qua tự động hóa có hỗ trợ AI. Tuy nhiên, việc giảm cảnh báo có nguy cơ loại bỏ cả những mối đe dọa thật, còn việc dùng AI thì chưa hoàn toàn hoàn hảo.

Ariel Parnes, cựu đại tá tại Đơn vị 8200 (IDF) và hiện là đồng sáng lập kiện COO tại Mitiga, tin rằng giải pháp cho alert fatigue là tăng cường chứ không phải giảm số lượng cảnh báo, nhưng phải trình bày và tương quan các cảnh báo liên quan rõ ràng hơn cho các chuyên gia phân tích.

Mục tiêu là tái tạo lại mọi hành động, nhật ký và tín hiệu thành một chuỗi tấn công thống nhất, để các chuyên gia không phải sàng lọc từng sự kiện riêng lẻ mà đọc một câu chuyện hoàn chỉnh, đã được giải mã về hành vi của kẻ tấn công.

"Tự động hóa gốc AI (AI-native) có thể biến lũ lụt cảnh báo thành các ưu tiên rõ ràng: tự động hóa sàng lọc và tăng tốc điều tra để SOC dẫn đầu mọi phản hồi thay vì chỉ chạy đuổi theo nó," Parnes nhận định.

Ismael Valenzuela, VP của tình báo mối đe dọa tại Arctic Wolf, đồng ý với nguyên tắc sử dụng tự động hóa để dành thêm thời gian cho chuyên gia SOC điều tra mối đe dọa thay vì sàng lọc cảnh báo lặp đi lặp lại.

Các chuyên gia cho rằng sự kết hợp giữa Machine Learning (ML) và Large Language Models (LLM) là chìa khóa. ML có thể phân tích các tập dữ liệu khổng lồ để tìm ra mẫu, bất thường và các vi phạm tiềm ẩn, trong khi LLM có thể giải thích các cảnh báo và cung cấp tóm tắt trường hợp.

Tầm quan trọng của ngữ cảnh kinh doanh

Vấn đề then chốt dường như nằm ở ngữ cảnh (context). Mọi người đều chấp nhận rằng ngữ cảnh cảnh báo là cần thiết để tương quan và ưu tiên chính xác, nhưng có ít định nghĩa về những gì cấu thành và cung cấp ngữ cảnh cần thiết.

Rob Demain, CEO của e2e-assure, gợi ý rằng ngữ cảnh có thể được hiểu bởi chuyên gia phân tích sau khi AI đã loại bỏ lớp phân tích tẻ nhạt. "AI loại bỏ lớp công việc lặp đi lặp lại tiêu tốn quá nhiều thời gian của chuyên gia. Kết quả là thời gian phản hồi đầu nhanh hơn và nhất quán hơn."

Một khái niệm mới nổi gọi là "Security Decision Intelligence" (SDI) hoặc "Lớp lý luận" (Reasoning Layer) do Obbe Knoop đề xuất đang được phát triển. Lớp này phải hiểu doanh nghiệp một cách toàn diện. Ví dụ, đối với thiết bị, nó sử dụng CMDB (Cơ sở dữ liệu quản lý cấu hình) của công ty. Nó không chỉ biết mỗi thiết bị, mà còn biết thiết bị đó xử lý thông tin gì, thiết bị nào khác kết nối với nó và bán kính vỡ (blast radius) tiềm năng của một sự cố ảnh hưởng đến thiết bị đó.

"Đó là một hệ thống có thể lý luận theo ngữ cảnh giữa tất cả các tín hiệu hiện có — một lớp mới trong bảo mật nằm trên tất cả các giải pháp bảo mật hiện tại. Nó lấy đầu vào từ các giải pháp đó, các tín hiệu, và lý luận giữa chúng," Knoop giải thích.

Ví dụ, nếu một cảnh báo báo cáo lỗ hổng nghiêm trọng trên một máy tính, lớp lý luận này sẽ kiểm tra CMDB và nhận ra máy tính đó nằm trong phòng thí nghiệm, không kết nối đến bất kỳ thông tin kinh doanh nào. Do đó, hệ thống sẽ trả lời ngôn ngữ tự nhiên cho chuyên gia: "Thiết bị này không có quyền truy cập vào bất cứ thứ gì khác. Hãy giám sát và vá lỗi trong chu kỳ tới." Ngược lại, nếu nó ảnh hưởng đến tài chính, hệ thống sẽ cảnh báo hành động ngay lập tức.

Dù theo hướng đi nào trong tương lai, nhu cầu giải quyết vấn đề liên tục và ngày càng gia tăng của alert fatigue đang trở nên cấp bách hơn bao giờ hết. Sự kết hợp giữa công nghệ AI tiên tiến và sự hiểu biết sâu sắc về ngữ cảnh kinh doanh hứa hẹn là chìa khóa để biến "nhiễu" thành tín hiệu hữu ích.