SOC đã lỗi thời, và liệu chúng ta có đang chối nhận điều này?

SOC đã lỗi thời, và liệu chúng ta có đang chối nhận điều này?

Các doanh nghiệp đi đầu về AI đã chấp nhận các kiến trúc chủ quyền cho các sáng kiến chung; an ninh mạng — và Trung tâm Vận hành An ninh (SOC) — nên là bước tiếp theo. SOC hiện tại đang đối mặt với sự lạc hậu trước các mối đe dọa mạng hoạt động ở tốc độ máy tính.

Các nhóm phản ứng an ninh mạng

Trong nhiều thập kỷ, Trung tâm Vận hành An ninh (SOC) được coi là trái tim đập của hệ thống phòng thủ doanh nghiệp. Các chuyên gia phân tích luôn theo dõi bảng điều khiển, sàng lọc cảnh báo và điều tra các sự cố 24/7. SOC thường được mô tả là tuyến phòng thủ cuối cùng — nơi trí tuệ hội tụ với hành động. Tuy nhiên, nếu thành thật mà nói, mô hình SOC mà chúng ta biết hiện nay đã trở nên lỗi thời. Không phải vì các chuyên gia thiếu kỹ năng hay sự tận tụy, mà bởi bản chất của các mối đe dọa mạng đã thay đổi nhanh hơn nhiều so với khả năng thích ứng của các mô hình vận hành hiện tại.

SOC hiện tại: Lời hứa chưa thành hiện thực của AI

SOC hiện đại vẫn chủ yếu dựa trên quy trình làm việc tập trung vào con người. Các chuyên gia phải luân chuyển giữa các công cụ khác nhau, làm phong phú dữ liệu cảnh báo thủ công và kiên nhẫn xác thực các quy tắc phát hiện. Các nhà cung cấp giải pháp an ninh hứa hẹn một cuộc cách mạng: một SOC dựa trên AI có khả năng điều tra tự chủ, giảm đáng kể khối lượng công việc và phản ứng mối đe dọa một cách chủ động. Trong thực tế, những lời hứa này vẫn chưa thành hiện thực.

Thực tế, Anton Chuvakin và Oliver Rochford gần đây đã đồng tác giả cuốn "When Marketing Fails" (Khi Tiếp thị Thất bại), làm rõ khoảng cách giữa các tuyên bố tiếp thị về AI SOC và thực tế. Dựa trên các tương tác với nhà cung cấp, phỏng vấn các chuyên gia và dữ liệu tình báo nguồn mở (OSINT) từ cộng đồng SOC, báo cáo của họ cho thấy rằng mặc dù AI có thể hỗ trợ các chuyên gia SOC, nhưng hiếm khi nó thay thế nỗ lực của con người hay tự giải quyết các sự cố. Các chuyên gia phân tích vẫn là nút thắt cổ chai, và AI thường thiếu sự hiểu biết bối cảnh cần thiết để đưa ra các quyết định hoàn toàn đáng tin cậy.

Tấn công mạng đang gia tăng ở tốc độ máy tính

Trong khi đó, các tác nhân đe dọa không còn bị giới hạn bởi các hạn chế truyền thống của con người. Vào cuối năm 2025, Nhóm Tình báo Mối đe dọa của Google đã xác nhận rằng tội phạm mạng đang triển khai các phần mềm độc hại sử dụng AI có khả năng viết lại và thích nghi mã của chính nó trong quá trình thực thi, đánh dấu sự thay đổi mang tính bước ngoặt trong khả năng tấn công. Một ví dụ điển hình, PROMPTFLUX, sử dụng tương tác thời gian thực với mô hình Gemini của Google để tái tạo động tải trọng VBScript của nó, giúp tránh bị phát hiện và duy trì sự tồn tại giữa cuộc tấn công — một mức độ thích ứng tự chủ chưa từng thấy trong các họ phần mềm độc hại thông thường.

Tương tự, Anthropic đã báo cáo việc ngăn chặn những gì họ mô tả là một trong những chiến dịch gián điệp mạng được điều phối bởi AI quy mô lớn đầu tiên, trong đó một công cụ AI đã thực thi phần lớn khuôn khổ xâm nhập với sự can thiệp trực tiếp tối thiểu của con người.

Dữ liệu từ báo cáo M-Trends 2026 của Google/Mandiant cho thấy các tin tặc đang gia tăng tốc độ hoạt động trên tất cả các mặt, với việc khai thác lỗ hổng ngày càng diễn ra trước khi các bản vá được công bố và thời gian chuyển đổi di chuyển ngang rút xuống chỉ còn vài giây (chính xác là 22 giây!). Điều này có nghĩa là các đối thủ hiện đang hoạt động ở tốc độ gần như máy móc — thích nghi, nhắm mục tiêu và thực hiện các chiến dịch nhanh hơn nhiều so với quy trình SOC truyền thống tập trung vào con người có thể theo kịp.

Kiến trúc chủ quyền: Chìa khóa cho phòng thủ AI

Nền tảng của phòng thủ dựa trên AI là dữ liệu hoàn chỉnh và không bị lọc. Các nhóm an ninh phải có khả năng thu nạp và phân tích mọi tín hiệu liên quan — bao gồm cả thông tin nhạy cảm như mã nguồn, tài liệu nội bộ và các đặc quyền truyền thông — mà không làm tổn hại đến quyền riêng tư, an toàn hay chủ quyền của tổ chức. Trong bối cảnh này, chủ quyền có nghĩa là ngăn xếp an ninh mạng, dữ liệu và các mô hình AI phải nằm hoàn toàn dưới sự kiểm soát của tổ chức, không phụ thuộc vào các nền tảng đa thuê nhân bên thứ ba hạn chế quyền truy cập hoặc áp đặt các ràng buộc chính sách. Chỉ khi có quyền truy cập không hạn chế vào cả dữ liệu lịch sử và hiện tại, AI mới có thể được áp dụng hiệu quả, cho phép phát hiện chính xác, tương correl sâu sắc và phân tích xu hướng dài hạn có ý nghĩa.

An ninh mạng và AI

Khi nền tảng này được thiết lập, các khả năng AI của đại lý — bao gồm tính có thể giải thích, kiểm toán và tái tạo — có thể hoạt động đáng tin cậy. Các chuyên gia phân tích phải hiểu tại sao AI đưa ra các kết luận cụ thể, và mọi quyết định và hành động phải được ghi lại và có thể tái tạo để đảm bảo tuân thủ và niềm tin vận hành. Nếu không có quyền truy cập dữ liệu đầy đủ, các khả năng này chỉ là bề nổi: quyết định của AI trở nên mơ hồ, thiếu sót và dễ bị điểm mù, khiến tổ chức dễ bị tổn thương trước các cuộc tấn công thích ứng nhanh chóng.

Hạn chế không phải là kỹ năng của con người — mà là kiến trúc. Nhiều SOC vẫn dựa vào các nền tảng SIEM hoặc XDR dựa trên đám mây nơi chi phí lưu trữ và tính toán buộc các chuyên gia phải lọc, cắt ngắn hoặc xóa dữ liệu. Các lo ngại về quyền riêng tư và chủ quyền thường ngăn cản việc gửi một số bộ dữ liệu nhất định lên đám mây để phân tích. Điều này tạo ra các điểm mù mà tin tặc dễ dàng khai thác.

SOC của tương lai: Con người và AI hợp tác trên dữ liệu hoàn chỉnh

SOC của tương lai sẽ đảo ngược mô hình hiện tại. Các tín hiệu sẽ liên tục cung cấp cho các tác nhân AI, các tương correl sẽ được vẽ tự động, và các chuyên gia phân tích con người sẽ tập trung vào việc giám sát, xử lý ngoại lệ và phản ứng chiến lược. Con người sẽ không còn phải đuổi theo các cảnh báo — họ sẽ hướng dẫn các hệ thống tự chủ, điều tra những vấn đề khó khăn nhất và đưa ra các quyết định quan trọng với sự tự tin.

SOC không thất bại vì nó có khiếm khuyết bẩm sinh; nó lỗi thời vì các mối đe dọa đã phát triển nhanh hơn kiến trúc SOC đang bảo vệ chúng. Các doanh nghiệp thừa nhận thực tế này và triển khai các giải pháp an ninh bản địa AI với dữ liệu hoàn chỉnh cho SOC của họ sẽ có vị thế để tồn tại — và thậm chí phát triển — trước các đối thủ sử dụng tốc độ máy móc.