Vào năm 2024, Sophos đã giới thiệu các tính năng AI tạo sinh trong nền tảng Sophos Extended Detection and Response (XDR), giúp các nhà phân tích bảo mật vận hành một cách tự tin và đưa ra quyết định thông minh một cách nhanh chóng.

Hôm nay, Sophos đã mở rộng các khả năng này với việc ra mắt Trợ lý AI Sophos.

Được thiết kế bởi các chuyên gia, dành cho mọi người

Được thiết kế và phát triển bởi các chuyên gia Sophos, Trợ lý AI của Sophos hướng dẫn các chuyên gia bảo mật ở mọi cấp độ kỹ năng qua từng giai đoạn điều tra và dò xét, tối đa hóa hiệu quả để xác định và vô hiệu hóa các mối đe dọa nhanh chóng.

Video nổi bật: Giới thiệu Trợ lý AI Sophos

Trợ lý AI của Sophos giúp mọi người dùng — từ chuyên gia CNTT đến nhà phân tích SOC Bậc 3 — dễ dàng có được thông tin họ cần để tiến hành điều tra mối đe dọa và nhanh chóng vô hiệu hóa các mối đe dọa.

• Thực hiện nhiều tác vụ SecOps: Xác định các thực thể bị ảnh hưởng, kiểm tra uy tín URL, phân tích các lệnh phức tạp và đáng ngờ, làm giàu dữ liệu bằng thông tin tình báo về mối đe dọa mới nhất, v.v.
• Đẩy nhanh quá trình điều tra với thông tin chi tiết dễ tiếp cận: Trợ lý AI cung cấp các giải thích rõ ràng và thông tin tóm tắt để giúp bạn hiểu bối cảnh — và đề xuất các bước tiếp theo.
• Nhận dữ liệu bạn cần một cách nhanh chóng, mà không cần SQL phức tạp: Đặt câu hỏi của riêng bạn bằng ngôn ngữ hàng ngày hoặc sử dụng các lời nhắc được xác định trước do các chuyên gia phát hiện và ứng phó với mối đe dọa của Sophos cung cấp.
• Tạo báo cáo trường hợp chi tiết: Giao tiếp với các bên liên quan bằng các báo cáo rõ ràng, tập trung tóm tắt các cuộc điều tra, nêu bật các vấn đề và phác thảo các biện pháp bảo vệ.

Chuyên môn SecOps — từ nhóm của chúng tôi đến Doanh nghiệp của bạn

Trợ lý AI của Sophos không chỉ là một công cụ AI khác — mà là chuyên môn từ nhóm đứng sau dịch vụ Phát hiện và Phản hồi được Quản lý hàng đầu thế giới, được chắt lọc thành một tác nhân thông minh.

• Được thiết kế hợp tác với các nhà phân tích bảo mật tuyến đầu của Sophos, cho phép công ty của bạn được hưởng lợi từ quy trình làm việc thực tế và kinh nghiệm của các chuyên gia MDR của Sophos.
• Được phát triển bởi nhóm AI của Sophos, những người áp dụng chuyên môn sâu rộng về AI để thiết kế, xây dựng và duy trì hơn 50 mô hình AI dành riêng cho an ninh mạng. Các quy trình phát triển mạnh mẽ của chúng tôi — tuân theo các nguyên tắc bảo mật theo thiết kế — cho phép bạn sử dụng Sophos AI một cách tự tin.
• Được cập nhật liên tục dựa trên bối cảnh mối đe dọa đang thay đổi, đảm bảo bạn có quyền truy cập vào các kỹ thuật điều tra mới nhất và thông tin tình báo về mối đe dọa hiện tại từ Sophos X-Ops, lực lượng đặc nhiệm an ninh mạng đa chức năng của chúng tôi.

Demo: See the new Sophos AI Assistant in action in this end-to-end real-world scenario

AI tập trung vào kết quả

Chúng tôi đã nâng cao an ninh mạng bằng AI kể từ năm 2017, với khả năng học sâu và GenAI được tích hợp trong các sản phẩm và dịch vụ của Sophos và được cung cấp thông qua nền tảng AI gốc lớn nhất trong ngành. Chúng tôi biết cách tạo ra tác động thực tế. Trong khi các nhà cung cấp khác tập trung vào công nghệ AI, chúng tôi tập trung vào các lợi ích và kết quả bảo mật mà công nghệ này có thể mang lại.

Các giải pháp AI mạnh mẽ, đã được chứng minh qua thực chiến của chúng tôi tạo ra sự khác biệt đáng kể bằng cách vô hiệu hóa các mối đe dọa nhanh hơn và trao quyền cho các nhà phân tích đưa ra quyết định thông minh.

 Ngoài Trợ lý AI Sophos mới, các khả năng GenAI trong Sophos XDR cho phép nhóm bảo mật của bạn vô hiệu hóa kẻ thù nhanh hơn, tăng sự tự tin của cả nhà phân tích và doanh nghiệp:

• Tóm tắt trường hợp AI cung cấp tổng quan dễ hiểu về các phát hiện, giúp các nhà phân tích đưa ra quyết định thông minh nhanh chóng.
• Phân tích lệnh AI cung cấp thông tin chi tiết về hành vi của kẻ tấn công bằng cách kiểm tra các lệnh tạo ra phát hiện.
• Tìm kiếm AI sử dụng tìm kiếm ngôn ngữ tự nhiên để đẩy nhanh các tác vụ hàng ngày và giảm rào cản công nghệ đối với các hoạt động bảo mật.

Các tính năng GenAI của Sophos được bao gồm trong gói đăng ký Sophos XDR và ​​có sẵn khi bạn lựa chọn tham gia, giúp bạn kiểm soát hoàn toàn việc sử dụng chúng.

Nâng cao an ninh mạng của bạn với GenAI ngay hôm nay

Để khám phá cách các khả năng của GenAI trong Sophos XDR có thể giúp tổ chức của bạn phòng thủ tốt hơn trước các đối thủ đang hoạt động, hãy liên hệ với VACIF ngay để được tư vấn và sử dụng Demo miễn phí!

Nghiên cứu mới đây của Wing tiết lộ một con số đáng chú ý: 70% trong số 10 ứng dụng AI phổ biến nhất có thể sử dụng dữ liệu của bạn để huấn luyện mô hình của chúng. Thực tiễn này có thể vượt xa việc chỉ học và lưu trữ dữ liệu. Nó có thể bao gồm việc huấn luyện lại trên dữ liệu của bạn, có những người đánh giá xem xét nó và thậm chí chia sẻ nó với các bên thứ ba.

Thường thì những mối đe dọa này được chôn vùi trong các điều khoản và chính sách quyền riêng tư, mô tả về việc truy cập dữ liệu và các quy trình rút ra khỏi phức tạp. Cách tiếp cận âm thầm này mang lại những rủi ro mới, khiến các nhóm bảo mật phải vật lộn để duy trì quyền kiểm soát. Bài viết này sẽ đi sâu vào những rủi ro này, cung cấp ví dụ thực tế và đề xuất các thực hành tốt nhất để bảo vệ tổ chức của bạn thông qua các biện pháp bảo mật SaaS hiệu quả.

Khi các ứng dụng AI sử dụng dữ liệu của bạn để huấn luyện, một số rủi ro đáng kể nổi lên, có thể ảnh hưởng đến quyền riêng tư, bảo mật và tuân thủ của tổ chức bạn:

1. Rò rỉ sở hữu trí tuệ (IP) và dữ liệu:

Khi dữ liệu kinh doanh của bạn được sử dụng để huấn luyện AI, nó có thể vô tình tiết lộ thông tin độc quyền, chẳng hạn như chiến lược kinh doanh, bí mật thương mại và thông tin liên lạc bảo mật.

2. Sử dụng dữ liệu và mâu thuẫn về lợi ích:

Các ứng dụng AI thường sử dụng dữ liệu của bạn để cải thiện khả năng của chúng, điều này có thể dẫn đến sự mâu thuẫn về lợi ích. Ví dụ, dữ liệu của bạn có thể được sử dụng để nâng cao các tính năng sản phẩm hoặc phát triển các chức năng mới, nhưng đồng thời cũng có thể mang lại lợi ích cho các đối thủ cạnh tranh của bạn.

3. Chia sẻ với bên thứ ba:

Dữ liệu được thu thập để huấn luyện AI có thể được truy cập bởi các nhà cung cấp dữ liệu bên thứ ba. Điều này đặt ra mối quan ngại về bảo mật dữ liệu, vì các nhà cung cấp này có thể không có biện pháp bảo vệ dữ liệu chặt chẽ.

4. Vấn đề tuân thủ:

Các quy định khác nhau trên thế giới đặt ra quy tắc nghiêm ngặt về việc sử dụng, lưu trữ và chia sẻ dữ liệu. Khi các ứng dụng AI được huấn luyện trên dữ liệu của bạn, việc đảm bảo tuân thủ trở nên phức tạp hơn, có thể dẫn đến các khoản phạt nặng nề, các biện pháp pháp lý và thiệt hại uy tín.

Cuối cùng, hiểu được cách AI sử dụng dữ liệu của bạn là điều quan trọng để quản lý rủi ro và đảm bảo tuân thủ. Biết cách rút lui khỏi việc sử dụng dữ liệu cũng rất quan trọng để duy trì quyền riêng tư và bảo mật. Tuy nhiên, sự thiếu nhất quán về cách tiếp cận chuẩn hóa trên các nền tảng AI khiến các nhiệm vụ này trở nên khó khăn. Bằng cách ưu tiên tầm nhìn, tuân thủ và các tùy chọn rút lui dễ tiếp cận, các tổ chức có thể bảo vệ dữ liệu của họ tốt hơn khỏi các mô hình huấn luyện AI. Sử dụng một giải pháp SSPM tập trung và tự động hóa như Wing sẽ giúp người dùng điều hướng các thách thức về dữ liệu AI một cách tự tin và kiểm soát, đảm bảo rằng thông tin nhạy cảm và tài sản trí tuệ của họ vẫn an toàn.

Trong bài đăng này, chúng ta sẽ khám phá các cách tiềm năng mà Trí tuệ Nhân tạo có thể được áp dụng để làm cho các mối đe dọa qua email trở nên nguy hiểm hơn, những gì mà các tổ chức và kênh nên chú ý, và nhấn mạnh sự cần thiết của các biện pháp chủ động để đảm bảo an ninh mạng.

1. Các Cuộc Tấn Công Lừa Đảo Tiên Tiến.

Trí tuệ nhân tạo không thể phủ nhận sẽ làm cho việc phát triển email lừa đảo có tính cá nhân và thuyết phục ở quy mô lớn trở nên dễ dàng hơn rất nhiều! Mặc dù trước đây phải phụ thuộc vào khả năng cá nhân của các tác nhân đe dọa, các thuật toán học máy có thể phân tích lượng lớn dữ liệu một cách nhanh chóng. Điều này có thể bao gồm thông tin cá nhân bị đánh cắp, hành vi trực tuyến, hồ sơ trên mạng xã hội, và thậm chí là hồ sơ công khai. Với thông tin này, các tội phạm mạng sẽ có thể tùy chỉnh email lừa đảo của họ một cách rộng rãi, khiến chúng trở nên có vẻ chân thực hơn nhiều với việc sử dụng thông tin cá nhân, hoặc thậm chí là bắt chước phong cách viết của một người mà họ biết. Những cuộc tấn công lừa đảo tiên tiến được định hình bởi trí tuệ nhân tạo có thể tăng đáng kể tỉ lệ thành công của các chiến dịch độc hại này.

2. Các Cuộc Tấn Công Email Tự Động.

Trí tuệ nhân tạo có thể tạo điều kiện cho các cuộc tấn công email tự động ở quy mô chưa từng có. Sử dụng bot được điều khiển bởi trí tuệ nhân tạo, các tội phạm mạng sẽ có khả năng gửi hàng loạt các chiến dịch độc hại đến các người nhận không nghi ngờ. Những bot này có thể thậm chí làm giả hành vi của con người, chẳng hạn như trả lời email hoặc tham gia vào các cuộc trò chuyện, khiến chúng khó phân biệt được với người dùng hợp pháp. Sự khổng lồ và tốc độ của những cuộc tấn công email tự động này có thể làm quá tải các máy chủ email, gây ra sự cản trở cho doanh nghiệp và làm chậm các kênh giao tiếp, đặt tổ chức vào tình trạng nguy cơ bị xâm nhập hơn nữa.

3. Lừa Đảo Bắn Mũi Tên Tự Động.

Bằng cách kết hợp những chiến thuật tiên tiến này với tự động hóa, các tác nhân đe dọa sẽ có khả năng triển khai các chiến dịch spear phishing dễ dàng hơn nhiều. Spear phishing là một hình thức lừa đảo được định hướng cụ thể, trong đó các kẻ tấn công tập trung vào cá nhân hoặc tổ chức cụ thể. Với trí tuệ nhân tạo, các tội phạm mạng có thể tự động hóa và mở rộng các cuộc tấn công spear phishing, nhắm vào một lượng lớn cá nhân cùng một lúc và hiệu quả. Sự tự động hóa và tính mở rộng này sẽ làm tăng sự lan rộng và hiệu quả của các cuộc tấn công spear phishing, đe dọa nghiêm trọng đến cả cá nhân và tổ chức.

4. Email Giả Mạo Sâu.

Công nghệ Deepfake, sử dụng trí tuệ nhân tạo để tạo ra các video, hình ảnh hoặc bản ghi âm được tinh chỉnh và thực tế, có thể được áp dụng vào các email. Tại Cofense, chúng tôi đã nhận thấy một xu hướng tăng lên trong các cuộc tấn công dựa trên hình ảnh do sự khó nhận biết của chúng, và với việc áp dụng trí tuệ nhân tạo, các tội phạm mạng có thể tạo ra nội dung trong tương lai không chỉ khó phát hiện mà còn thuyết phục hơn. Với tổ chức là mục tiêu chính, họ có thể sử dụng công nghệ này để giả mạo các cá nhân cấp cao. Ví dụ, một đoạn video được tạo bởi trí tuệ nhân tạo của CEO yêu cầu chuyển khoản vốn cấp bách hoặc tiết lộ thông tin nhạy cảm. Email Deepfake đặt ra một mối nguy rất lớn về việc làm mờ niềm tin và cũng làm cho việc phân biệt giữa các thông điệp chính thống và gian lận ngày càng khó khăn hơn đối với các cá nhân.

5. Tránh Xa Hệ Thống Phát Hiện.

Trí tuệ nhân tạo có thể được sử dụng để phát triển các phần mềm độc hại và chiến lược tinh vi hơn nhằm mục đích tránh né các hệ thống bảo mật truyền thống. Học máy có thể phân tích các công nghệ bảo mật hiện có và các biện pháp đã biết của chúng để xác định các điểm yếu, cho phép các tội phạm mạng tiến hóa các chiến dịch lừa đảo có khả năng vượt qua các cổng SEG, phần mềm diệt virus và hệ thống phát hiện xâm nhập. Trí tuệ nhân tạo sẽ giúp cho các tác nhân đe dọa trở nên linh hoạt hơn trong những nỗ lực tiến hóa của họ, luôn ở trước một bước.

6. Giảm Thiểu Các Yếu Tố Nhận Dạng.

Một đặc điểm nhận dạng nổi tiếng cho các chiến dịch độc hại lịch sử đã là kiểm tra về ngữ pháp kém hoặc chính tả sai. Với việc sử dụng trí tuệ nhân tạo và nội dung được tạo bởi máy, đặc điểm nhận dạng này có thể bị ảnh hưởng nghiêm trọng. Nó có thể cải thiện đáng kể chất lượng văn bản và làm cho nó ít phân biệt được so với các tin nhắn hợp lệ.

Trong khi chúng ta đã có thể nhìn thấy một số khả năng tích cực rộng lớn của trí tuệ nhân tạo, chúng ta cũng phải nhận thức về những khả năng mà nó tạo ra cho các tội phạm mạng để tăng cường các mối đe dọa. Với công nghệ này, chúng ta không thể phủ nhận sự gia tăng liên tục về sự tinh vi và khối lượng lớn của các chỉ số đa dạng, mang lại các chiến dịch lừa đảo tiên tiến, thuyết phục và thậm chí tự động hóa. Để bảo vệ chống lại những cuộc tấn công ở cấp độ tiếp theo này, cách mà tổ chức phát triển bản thân sẽ rất quan trọng đối với sự thành công của họ và kênh cần phải cung cấp các công cụ và khả năng để làm điều này. Việc tiếp cận và sử dụng thông tin về mối đe dọa sẽ rất quan trọng để theo kịp các chiến thuật phát triển, và do đó điều này sẽ cần được cung cấp cho mọi yếu tố của bộ cơ sở an ninh của một tổ chức. Chỉ bằng cách truyền thông tin này vào các quy trình, cơ chế phòng thủ và đào tạo và mô phỏng cho nhân viên, kênh mới có thể giúp tổ chức chống lại các mối đe dọa tiến triển. Bằng cách giữ tinh thần cảnh giác và chủ động, chúng ta có thể làm việc để giảm thiểu các rủi ro liên quan đến mặt tối của trí tuệ nhân tạo và đảm bảo một môi trường kỹ thuật số an toàn hơn cho tất cả mọi người.

Trong bài viết này, chúng ta sẽ khám phá cách mà AI đang chuyển đổi cách chúng ta nghĩ về và ứng phó với an ninh mạng. Chúng ta sẽ thảo luận về những cách AI được sử dụng để phát hiện và ngăn chặn các cuộc tấn công mạng, cải thiện khả năng dự đoán và tối ưu hóa các phương pháp bảo mật.

1. Khái niệm về AI.

Trí Tuệ Nhân Tạo (Artificial Intelligence – AI) là một lĩnh vực của khoa học máy tính tập trung vào việc tạo ra máy tính và hệ thống máy tính có khả năng thực hiện các nhiệm vụ mà thông thường đòi hỏi sự “hiểu biết” hoặc “trí tuệ” như của con người. Mục tiêu chính của AI là phát triển các chương trình máy tính hoặc máy tính thông minh có khả năng học hỏi, tự động hoá quyết định, phân tích dữ liệu, và thực hiện các tác vụ cụ thể mà trước đây chỉ có con người mới có thể thực hiện.

2. Cách tiếp cận truyền thống đối với an ninh mạng trước khi AI được sử dụng.

Trước khi AI ra đời, an ninh mạng truyền thống chủ yếu dựa vào các hệ thống phát hiện dựa trên chữ ký. Các hệ thống này hoạt động bằng cách so sánh lưu lượng đến với cơ sở dữ liệu về các mối đe dọa đã biết hoặc chữ ký mã độc. Khi tìm thấy sự phù hợp, hệ thống sẽ kích hoạt cảnh báo và thực hiện hành động để chặn hoặc cách ly mối đe dọa.

Mặc dù cách tiếp cận này có hiệu quả đối với các mối đe dọa đã biết, nhưng nó không hiệu quả đối với các mối đe dọa mới và chưa biết. Tội phạm mạng có thể dễ dàng vượt qua các hệ thống phát hiện dựa trên chữ ký bằng cách sửa đổi mã hoặc tạo các biến thể phần mềm độc hại mới chưa có trong cơ sở dữ liệu.

Các hệ thống phát hiện dựa trên chữ ký có thể tạo ra một số lượng lớn thông báo sai, vì lưu lượng truy cập hợp pháp có thể bị gắn là độc hại nếu nó tình cờ chia sẻ các đặc điểm tương tự với một mối đe dọa đã biết. Điều này dẫn đến việc các nhà phân tích bảo mật dành một lượng thời gian đáng kể để điều tra các thông tin xác thực sai, điều này có thể làm cạn kiệt tài nguyên.

An ninh mạng truyền thống cũng dựa trên phân tích thủ công. Các nhà phân tích bảo mật sẽ điều tra thủ công các cảnh báo và nhật ký bảo mật, tìm kiếm các mẫu hoặc chỉ báo về vi phạm bảo mật. Quá trình này tốn nhiều thời gian và thường dựa vào chuyên môn của nhà phân tích bảo mật để xác định các mối đe dọa.

Các hệ thống hoạt động bằng cách thiết lập các quy tắc hoặc chính sách xác định hành vi có thể chấp nhận được trên mạng. Nếu lưu lượng truy cập vi phạm các quy tắc này, nó sẽ kích hoạt cảnh báo. Mặc dù các hệ thống dựa trên quy tắc có thể hiệu quả trong một số tình huống nhất định, nhưng chúng thường không linh hoạt và không thể thích ứng với các mối đe dọa mới và đang nổi lên.

Cách tiếp cận truyền thống đối với an ninh mạng trước khi AI được giới thiệu phần lớn là phản ứng, dựa vào phân tích thủ công, hệ thống phát hiện dựa trên chữ ký và hệ thống dựa trên quy tắc. Cách tiếp cận này thường không hiệu quả trước các mối đe dọa mới và chưa biết, đồng thời nó có thể tạo ra một số lượng lớn thông tin xác thực sai, điều này có thể làm cạn kiệt tài nguyên.

3. AI khác với các phương pháp tiếp cận truyền thống đối với an ninh mạng như thế nào

Như chúng ta vừa thảo luận, các phương pháp tiếp cận truyền thống đối với an ninh mạng chủ yếu dựa vào các hệ thống phát hiện dựa trên dấu hiệu chỉ hiệu quả trước các mối đe dọa đã biết. Điều này có nghĩa là các mối đe dọa mới và chưa biết có thể không bị phát hiện.

Ngược lại, các giải pháp dựa trên AI sử dụng các thuật toán học máy có thể phát hiện và phản hồi cả các mối đe dọa đã biết và chưa biết trong thời gian thực. Các thuật toán máy học được đào tạo bằng cách sử dụng lượng dữ liệu khổng lồ, bao gồm dữ liệu về mối đe dọa lịch sử và dữ liệu từ mạng và các điểm cuối, để xác định các mẫu mà con người khó nhìn thấy. Điều này cho phép các giải pháp dựa trên AI xác định và ứng phó với các mối đe dọa trong thời gian thực mà không cần sự can thiệp của con người.

Ví dụ: Thuật toán máy học có thể phân tích các mẫu lưu lượng truy cập mạng để xác định hành vi bất thường có thể chỉ ra một cuộc tấn công mạng, sau đó cảnh báo cho nhân viên an ninh hoặc thậm chí thực hiện hành động tự động để giảm thiểu mối đe dọa.

Một điểm khác khiến các giải pháp dựa trên AI khác với các phương pháp tiếp cận truyền thống là chúng được thiết kế để liên tục học hỏi và thích nghi. Khi các mối đe dọa mới xuất hiện, các thuật toán máy học có thể được đào tạo dựa trên dữ liệu mới để cải thiện khả năng phát hiện và ứng phó với các mối đe dọa này. Điều này có nghĩa là các giải pháp dựa trên AI có thể theo kịp bối cảnh các mối đe dọa đang phát triển và cung cấp khả năng bảo vệ an ninh mạng hiệu quả hơn theo thời gian.

Việc sử dụng AI trong an ninh mạng thể hiện một sự thay đổi lớn trong cách các tổ chức tiếp cận an ninh mạng. Các giải pháp dựa trên trí tuệ nhân tạo có thể cung cấp khả năng bảo vệ hiệu quả hơn trước cả các mối đe dọa đã biết và chưa biết sử dụng các thuật toán máy học để phát hiện và ứng phó với các mối đe dọa trong thời gian thực. Điều này giúp các tổ chức bảo vệ dữ liệu nhạy cảm và các hệ thống quan trọng của họ tốt hơn.

4. AI được sử dụng như thế nào trong an ninh mạng

Trí tuệ nhân tạo đang được sử dụng trong an ninh mạng để phát hiện và ứng phó với các mối đe dọa trên mạng trong thời gian thực. Các thuật toán AI có thể phân tích một lượng lớn dữ liệu và phát hiện các mẫu biểu thị mối đe dọa mạng.

4.1 Phát hiện phần mềm độc hại (Malware)

Phần mềm độc hại là một mối đe dọa đáng kể đối với an ninh mạng. Phần mềm chống vi-rút truyền thống dựa vào tính năng phát hiện dựa trên chữ ký để xác định các biến thể phần mềm độc hại đã biết.

Phát hiện dựa trên chữ ký là một kỹ thuật so sánh một tệp với cơ sở dữ liệu về các chữ ký của phần mềm độc hại đã biết và phát hiện sự trùng khớp. Kỹ thuật này chỉ hiệu quả đối với các biến thể phần mềm độc hại đã biết và có thể dễ dàng vượt qua phần mềm độc hại đã được sửa đổi để tránh bị phát hiện.

Các giải pháp dựa trên trí tuệ nhân tạo sử dụng thuật toán máy học để phát hiện và ứng phó với cả các mối đe dọa phần mềm độc hại đã biết và chưa biết. Các thuật toán máy học có thể phân tích một lượng lớn dữ liệu để xác định các mẫu và điểm bất thường mà con người khó phát hiện. Bằng cách phân tích hành vi của phần mềm độc hại, AI có thể xác định các biến thể phần mềm độc hại mới và chưa biết mà phần mềm chống vi-rút truyền thống có thể bỏ sót.

Các giải pháp phát hiện phần mềm độc hại dựa trên AI có thể được đào tạo bằng cách sử dụng cả dữ liệu được gắn nhãn và không được gắn nhãn. Dữ liệu được gắn nhãn đề cập đến dữ liệu đã được gắn thẻ với các thuộc tính cụ thể, chẳng hạn như liệu một tệp là độc hại hay lành tính. Mặt khác, dữ liệu không được gắn nhãn không được gắn thẻ và có thể được sử dụng để huấn luyện các thuật toán học máy nhằm xác định các mẫu và điểm bất thường trong dữ liệu.

Các giải pháp phát hiện phần mềm độc hại dựa trên AI có thể sử dụng nhiều kỹ thuật khác nhau để xác định phần mềm độc hại, chẳng hạn như phân tích tĩnh và phân tích động. Phân tích tĩnh liên quan đến việc phân tích các đặc điểm của tệp, chẳng hạn như kích thước, cấu trúc và mã của tệp, để xác định các mẫu và điểm bất thường. Phân tích động liên quan đến việc phân tích hành vi của tệp khi nó được thực thi để xác định các mẫu và điểm bất thường.

Các giải pháp dựa trên AI cung cấp phương pháp phát hiện phần mềm độc hại tiên tiến và hiệu quả hơn so với phần mềm chống vi-rút truyền thống. Họ có thể xác định các biến thể phần mềm độc hại mới và chưa biết mà phần mềm chống vi-rút truyền thống có thể bỏ sót.

4.2 Phát hiện lừa đảo (Phishing)

Lừa đảo là một hình thức tấn công mạng phổ biến nhắm vào các cá nhân và tổ chức. Các phương pháp phát hiện lừa đảo truyền thống thường dựa vào tính năng lọc dựa trên quy tắc hoặc danh sách đen để xác định và chặn các email lừa đảo đã biết. Những cách tiếp cận này có những hạn chế vì chúng chỉ hiệu quả đối với các cuộc tấn công đã biết và có thể bỏ lỡ các cuộc tấn công mới hoặc đang phát triển.

Các giải pháp phát hiện lừa đảo dựa trên trí tuệ nhân tạo sử dụng thuật toán máy học để phân tích nội dung và cấu trúc của email nhằm xác định các cuộc tấn công lừa đảo tiềm ẩn. Các thuật toán này có thể học hỏi từ lượng dữ liệu khổng lồ để phát hiện các mẫu và điểm bất thường cho thấy một cuộc tấn công lừa đảo.

Các giải pháp dựa trên AI cũng có thể phân tích hành vi của người dùng khi tương tác với email để xác định các cuộc tấn công lừa đảo tiềm ẩn. Ví dụ: nếu người dùng nhấp vào một liên kết đáng ngờ hoặc nhập thông tin cá nhân để phản hồi email lừa đảo, các giải pháp dựa trên AI có thể gắn cờ hoạt động đó và cảnh báo cho các nhóm bảo mật.

4.3 Phân tích logs bảo mật

Phân tích nhật ký bảo mật truyền thống dựa trên các hệ thống dựa trên quy tắc bị hạn chế về khả năng xác định các mối đe dọa mới và đang nổi lên.

Phân tích nhật ký bảo mật dựa trên AI sử dụng các thuật toán máy học có thể phân tích khối lượng lớn dữ liệu nhật ký bảo mật trong thời gian thực. Các thuật toán AI có thể phát hiện các mẫu và điểm bất thường có thể cho thấy vi phạm bảo mật, ngay cả khi không có chữ ký mối đe dọa đã biết. Sau đó, các tổ chức có thể nhanh chóng xác định và ứng phó với các sự cố bảo mật tiềm ẩn, giảm nguy cơ vi phạm dữ liệu và các sự cố bảo mật khác.

Phân tích nhật ký bảo mật dựa trên AI cũng có thể giúp các tổ chức xác định các mối đe dọa nội bộ tiềm ẩn. Bằng cách phân tích hành vi của người dùng trên nhiều hệ thống và ứng dụng, thuật toán AI có thể phát hiện hành vi bất thường có thể chỉ ra các mối đe dọa nội bộ, chẳng hạn như truy cập trái phép hoặc truyền dữ liệu bất thường. Sau đó, các tổ chức có thể thực hiện hành động để ngăn chặn vi phạm dữ liệu và các sự cố bảo mật khác trước khi chúng xảy ra.

Phân tích nhật ký bảo mật dựa trên AI cung cấp cho các tổ chức một công cụ mạnh mẽ để xác định các mối đe dọa tiềm ẩn và thực hiện hành động để giảm thiểu chúng.

4.3 Network Security

Các thuật toán AI có thể được đào tạo để giám sát các mạng về hoạt động đáng ngờ, xác định các mẫu lưu lượng truy cập bất thường và phát hiện các thiết bị không được phép kết nối mạng.

AI có thể cải thiện an ninh mạng thông qua phát hiện bất thường. Điều này liên quan đến việc phân tích lưu lượng mạng để xác định các mẫu nằm ngoài định mức. Bằng cách phân tích dữ liệu lưu lượng truy cập lịch sử, các thuật toán AI có thể tìm hiểu điều gì là bình thường đối với một mạng cụ thể và xác định lưu lượng truy cập bất thường hoặc đáng ngờ. Điều này có thể bao gồm việc sử dụng cổng bất thường, sử dụng giao thức bất thường hoặc lưu lượng truy cập từ các địa chỉ IP đáng ngờ.

AI cũng có thể cải thiện an ninh mạng bằng cách giám sát các thiết bị trên mạng. Các thuật toán AI có thể được đào tạo để phát hiện các thiết bị không được phép kết nối mạng và cảnh báo cho các nhóm bảo mật về các mối đe dọa tiềm ẩn.

Ví dụ: nếu một thiết bị mới được phát hiện trên mạng chưa được bộ phận CNTT cho phép, hệ thống AI có thể gắn cờ thiết bị đó là một rủi ro bảo mật tiềm ẩn. AI cũng có thể được sử dụng để giám sát hành vi của các thiết bị trên mạng, chẳng hạn như các kiểu hoạt động bất thường, nhằm phát hiện các mối đe dọa tiềm ẩn.

4.5 Bảo mật điểm cuối (Endpoint Security)

Các thiết bị đầu cuối, chẳng hạn như máy tính xách tay và điện thoại thông minh, thường là mục tiêu của tội phạm mạng. Phần mềm chống vi-rút truyền thống dựa trên tính năng phát hiện dựa trên chữ ký, chỉ có thể phát hiện các biến thể phần mềm độc hại đã biết. AI có thể phát hiện các biến thể phần mềm độc hại chưa biết bằng cách phân tích hành vi của chúng.

Các giải pháp bảo mật điểm cuối dựa trên AI sử dụng các thuật toán máy học để phân tích hành vi của điểm cuối và phát hiện các mối đe dọa tiềm ẩn. Ví dụ: giải pháp bảo mật điểm cuối dựa trên AI có thể quét tệp để tìm phần mềm độc hại và cách ly mọi tệp đáng ngờ. Nó cũng có thể giám sát hoạt động của điểm cuối và phát hiện hành vi bất thường có thể chỉ ra mối đe dọa bảo mật.

Các giải pháp bảo mật điểm cuối dựa trên AI cũng có thể chặn các nỗ lực truy cập trái phép và ngăn kẻ tấn công giành quyền truy cập vào dữ liệu nhạy cảm. Một lợi thế chính của các giải pháp bảo mật điểm cuối dựa trên AI là khả năng thích ứng và phát triển theo thời gian. Khi các mối đe dọa trên mạng phát triển và trở nên tinh vi hơn, các thuật toán AI có thể học hỏi từ dữ liệu mới và xác định các mẫu mới cho biết các mối đe dọa tiềm ẩn. Điều này có nghĩa là các giải pháp bảo mật điểm cuối dựa trên AI có thể cung cấp khả năng bảo vệ tốt hơn trước các mối đe dọa mới và chưa biết so với phần mềm chống vi-rút truyền thống.

Các giải pháp bảo mật điểm cuối dựa trên AI cung cấp khả năng bảo vệ theo thời gian thực. Các thuật toán AI có thể phân tích hành vi của điểm cuối trong thời gian thực và cảnh báo các nhóm bảo mật về các mối đe dọa tiềm ẩn. Điều này có nghĩa là các nhóm bảo mật có thể ứng phó với các mối đe dọa nhanh hơn và ngăn chúng gây ra thiệt hại.

1. Lịch sử phát triển của Ransomware.

Thập kỷ 1990: Ransomware đầu tiên xuất hiện vào những năm 1990 với loại ransomware có tên là AIDS (cũng được gọi là PC Cyborg). Ransomware này đã mã hóa các tệp trong hệ thống của nạn nhân và yêu cầu họ gửi tiền qua thư bưu điện để nhận được khóa giải mã. Tuy nhiên, việc trả tiền không đảm bảo nạn nhân sẽ nhận được khóa giải mã.

Năm 2005: Ransomware đã tiến hành mã hóa thông tin cá nhân của người dùng và đòi tiền chuộc thông qua các dịch vụ trực tuyến như Western Union hoặc PayPal. Một ví dụ nổi tiếng là Gpcode ransomware.

Năm 2010: Sự gia tăng đáng kể về số lượng và sự phức tạp của các mẫu ransomware đã được ghi nhận vào những năm này. Một số loại ransomware đã bắt đầu sử dụng mã hóa chìa khóa công khai để làm cho việc giải mã trở nên khó khăn hơn. Trong năm 2010, loại ransomware WinLock xuất hiện, khóa máy tính của nạn nhân và yêu cầu họ trả tiền để mở khóa.

Năm 2013: Ransomware CryptoLocker xuất hiện và nhanh chóng trở nên rất phổ biến. CryptoLocker đã sử dụng mã hóa chìa khóa công khai và yêu cầu nạn nhân trả tiền chuộc bằng Bitcoin. Ransomware này đã gây ra thiệt hại nghiêm trọng và thu lời hàng triệu đô la từ các nạn nhân. Mặc dù cơ quan chức năng đã tiêu diệt CryptoLocker, nó đã mở đường cho những biến thể ransomware khác.

Năm 2016: Sự gia tăng đáng kể về số lượng các loại ransomware mới đã được ghi nhận trong năm 2016. Ransomware WannaCry đã xuất hiện và tấn công hàng loạt hệ thống toàn cầu thông qua các lỗ hổng bảo mật trong hệ điều hành Windows. Nó đã yêu cầu các nạn nhân trả tiền chuộc bằng Bitcoin để giải mã dữ liệu của họ. WannaCry gây ra hậu quả nghiêm trọng và thu được hàng trăm triệu đô la từ các nạn nhân.

Năm 2020: Ransomware tiếp tục phát triển và đa dạng hóa. Xuất hiện các biến thể ransomware mới như Ryuk, Maze, Sodinokibi, và Conti với các kỹ thuật phát tán, mã hóa và yêu cầu tiền chuộc ngày càng tinh vi hơn. Ransomware cũng bắt đầu sử dụng các phương thức trao đổi khóa bí mật (ECDH) để mã hóa khóa giải mã, làm cho việc giải mã trở nên khó khăn hơn.

Hiện tại: Ransomware tiếp tục là một trong những mối đe dọa nghiêm trọng nhất đối với cá nhân và doanh nghiệp trên toàn thế giới. Các hacker liên tục cải tiến ransomware của họ và tìm kiếm các cách mới để lây nhiễm và tấn công nạn nhân. Các phần mềm chống ransomware cũng tiếp tục được cập nhật và cải tiến để đối phó với những mối đe dọa mới và tiến hóa của ransomware.

2. Tổng quan các công nghệ được sử dụng để phát hiện Ransomware.

Lịch sử phát triển của các công nghệ phát hiện ransomware là một quá trình liên tục của sự tiến bộ và cải tiến để đối phó với sự phát triển ngày càng phức tạp và tinh vi của ransomware.

2.1 Chữ ký và Hash (Signature and Hash-Based Detection).

Cách hoạt động: Các công nghệ này sử dụng các chữ ký hoặc mã hash của các biến thể ransomware đã biết để so khớp và nhận diện các tệp hoặc quy trình bị nhiễm. Các chữ ký hoặc hash được lưu trữ trong cơ sở dữ liệu của giải pháp bảo mật và được so sánh với các tệp và quy trình trên hệ thống để xác định xem có bất kỳ sự khớp nào hay không.

Ưu điểm: Hiệu quả và nhanh chóng đối với các biến thể ransomware đã biết.

Hạn chế: Không hiệu quả đối với ransomware mới và chưa biết, vì chưa có chữ ký hoặc hash cho các biến thể này trong cơ sở dữ liệu.

Ví dụ: Một công ty triển khai một phần mềm bảo mật trên máy tính và máy chủ trong mạng nội bộ của họ. Phần mềm này có tích hợp tính năng phát hiện ransomware dựa trên Signature and Hash-Based Detection.

• Xây dựng cơ sở dữ liệu chữ ký và hash: Trước khi triển khai, nhà cung cấp phần mềm bảo mật sẽ xây dựng cơ sở dữ liệu chữ ký và hash của các biến thể ransomware đã biết. Cơ sở dữ liệu này bao gồm các chữ ký và mã hash của các tệp và quy trình ransomware đã biết từ quá khứ.
• Cập nhật cơ sở dữ liệu định kỳ: Nhà cung cấp sẽ cập nhật cơ sở dữ liệu chữ ký và hash định kỳ để đảm bảo rằng nó luôn chứa thông tin về các biến thể ransomware mới và phổ biến nhất.
• Kiểm tra tệp mới: Khi một tệp mới được tải xuống hoặc tạo ra trên máy tính hoặc máy chủ, phần mềm bảo mật sẽ tiến hành kiểm tra chữ ký và mã hash của tệp này với cơ sở dữ liệu chữ ký và hash đã xây dựng. Nếu tệp này có chữ ký hoặc mã hash khớp với một biến thể ransomware đã biết, phần mềm sẽ xác định nó là đáng ngờ.
• Cảnh báo và hành động: Khi phần mềm phát hiện một tệp có chữ ký hoặc hash khớp với ransomware đã biết, nó sẽ cảnh báo người quản trị hệ thống hoặc thực hiện các biện pháp ngăn chặn như cách ly tệp, xóa nó hoặc cảnh báo người dùng về nguy cơ.
• Tình huống thực tế: Một nhân viên của công ty tải xuống một tệp từ một email đáng ngờ. Khi tệp này được lưu trữ trên máy tính cá nhân, phần mềm bảo mật sẽ tự động quét và so sánh chữ ký và hash của tệp này với cơ sở dữ liệu chữ ký và hash ransomware. Nếu tệp này trùng khớp với một biến thể ransomware đã biết, phần mềm sẽ cảnh báo người dùng và yêu cầu xóa tệp để ngăn chặn nhiễm ransomware vào hệ thống.

2.2 Heuristics (Behavioral Detection).

Cách hoạt động: Các kỹ thuật heuristics đánh giá các tính năng đặc trưng của ransomware, chẳng hạn như cách mã hóa dữ liệu, hoạt động mạng bất thường hoặc các tác vụ đáng ngờ khác. Nó phân tích các hành vi của các tệp và quy trình trên hệ thống để xác định các hoạt động không bình thường và nghi ngờ.

Ưu điểm: Phát hiện các biến thể ransomware mới và chưa biết dựa trên hành vi đáng ngờ.

Hạn chế: Có thể dẫn đến việc xác định sai (false positive) khi một phần mềm hợp pháp thực hiện các hành vi tương tự như ransomware.

Ví dụ: Một doanh nghiệp triển khai một giải pháp bảo mật mạng có tích hợp chức năng phát hiện ransomware dựa trên Behavioral Detection.

• Xây dựng cơ sở dữ liệu hành vi ransomware: Trước khi triển khai, giải pháp bảo mật sẽ xây dựng cơ sở dữ liệu chứa các hành vi đáng ngờ của ransomware đã biết. Cơ sở dữ liệu này bao gồm các hành vi như mã hóa tệp, tạo ra các quy trình đáng ngờ, thay đổi quyền truy cập vào tệp, và tạo kết nối mạng không bình thường.
• Phân tích hành vi mới: Khi một quy trình hoặc tệp mới được thực thi trên mạng, giải pháp bảo mật sẽ phân tích hành vi của nó. Nó sẽ quan sát các hoạt động như các yêu cầu mạng đáng ngờ, sự thay đổi lớn đến các tệp quan trọng, hoặc việc thực hiện mã hóa trên nhiều tệp trong thời gian ngắn.
• So sánh với cơ sở dữ liệu hành vi ransomware đã biết: Giải pháp sẽ so sánh hành vi của quy trình hoặc tệp mới với các hành vi đã biết trong cơ sở dữ liệu. Nếu tìm thấy các hành vi đáng ngờ hoặc trùng khớp với ransomware đã biết, giải pháp sẽ xác định nó là đáng ngờ.
• Cảnh báo và biện pháp ngăn chặn: Khi giải pháp phát hiện một hành vi ransomware đáng ngờ, nó sẽ cảnh báo người quản trị hệ thống và thực hiện các biện pháp ngăn chặn để ngăn chặn ransomware trước khi gây hại cho hệ thống. Các biện pháp này có thể bao gồm cách ly quy trình, chặn quy trình hoặc tệp, và cảnh báo người dùng liên quan.
• Tình huống thực tế: Một quy trình mới bắt đầu thực thi trên máy chủ trong mạng nội bộ. Giải pháp bảo mật theo dõi hành vi của nó và nhận thấy rằng quy trình này đang tiến hành mã hóa nhiều tệp trên máy chủ và gửi các yêu cầu mạng đáng ngờ đến các địa chỉ IP không rõ. Dựa trên hành vi này, giải pháp cảnh báo người quản trị hệ thống và cách ly quy trình này ngay lập tức để ngăn chặn ransomware khỏi việc gây hại và lây lan trong mạng.

2.3 Machine Learning và AI (Artificial Intelligence).

Cách hoạt động: Sử dụng học máy và trí tuệ nhân tạo để xây dựng mô hình dự đoán và phát hiện ransomware dựa trên học từ các mẫu dữ liệu đã biết. Mô hình sẽ học từ các đặc trưng và mẫu hành vi của ransomware đã biết để nhận diện các biến thể mới và không rõ.

Ưu điểm: Phát hiện hiệu quả các biến thể ransomware mới và chưa biết.

Hạn chế: Cần một lượng lớn dữ liệu huấn luyện đáng tin cậy và có thể đòi hỏi tài nguyên tính toán cao.

Ví dụ: Giả sử một tổ chức đã triển khai một giải pháp bảo mật có sử dụng Machine Learning để phát hiện ransomware trên các máy tính trong mạng nội bộ. Giải pháp này đã được huấn luyện trên một lượng lớn dữ liệu đã biết về các biến thể ransomware từ quá khứ.

• Huấn luyện mô hình: Đầu tiên, giải pháp này đã được huấn luyện trên một tập dữ liệu mẫu bao gồm các mẫu dữ liệu đã biết về ransomware và các mẫu dữ liệu không liên quan đến ransomware. Dữ liệu đã biết bao gồm các tệp ransomware đã biết với các tính năng đặc trưng như các hành vi mã hóa dữ liệu, tạo quy trình đáng ngờ, và hoạt động mạng bất thường.
• Xác định tính năng (Feature Engineering): Trước khi huấn luyện, các tính năng quan trọng của dữ liệu đã được xác định và trích xuất. Các tính năng này có thể bao gồm thời gian mã hóa tệp, số lượng tệp bị mã hóa, tần suất gửi yêu cầu mạng, v.v.
• Huấn luyện mô hình ML: Sau khi đã xác định tính năng, mô hình Machine Learning (ví dụ: mạng nơ-ron nhân tạo, máy học có giám sát) được huấn luyện trên tập dữ liệu đã biết. Mô hình học cách nhận biết các tính năng của ransomware và phân loại chúng là “ransomware” hoặc “không phải ransomware”.
• Kiểm tra và đánh giá: Sau khi huấn luyện, giải pháp này được kiểm tra và đánh giá trên các tập dữ liệu thử nghiệm hoặc thực tế. Nó tiến hành phân loại các tệp và quy trình mới dựa trên các tính năng đã học từ mô hình.
• Phát hiện ransomware: Khi một tệp hoặc quy trình mới được thực thi, giải pháp Machine Learning này so sánh các tính năng của nó với mô hình đã huấn luyện trước đó. Nếu các tính năng trùng khớp với ransomware, mô hình sẽ đưa ra dự đoán là “ransomware” và kích hoạt biện pháp ngăn chặn để ngăn chặn ransomware trước khi gây hại cho hệ thống.

2.4 Phân tích hành vi (Behavior Analysis).

Cách hoạt động: Theo dõi hành vi của các chương trình và quy trình trên hệ thống để phát hiện các hoạt động không bình thường hoặc đáng ngờ. Ví dụ, phân tích hành vi mã hóa dữ liệu hoặc tạo ra các kết nối mạng không bình thường có thể là dấu hiệu của ransomware.

Ưu điểm: Phát hiện các hoạt động không rõ hoặc không bình thường của ransomware.

Hạn chế: Có thể dẫn đến việc xác định sai khi một ứng dụng hợp pháp thực hiện các hoạt động tương tự.

Ví dụ: Giả sử một doanh nghiệp triển khai một giải pháp bảo mật mạng mà sử dụng kỹ thuật Behavior Analysis để phát hiện ransomware trong mạng nội bộ.

• Học từ mẫu hành vi ransomware đã biết: Trước khi triển khai, giải pháp này đã được huấn luyện trên một tập dữ liệu mẫu bao gồm các mẫu dữ liệu đã biết về hành vi của ransomware. Các mẫu này bao gồm các hành vi như mã hóa dữ liệu, tạo quy trình đáng ngờ, yêu cầu mã hóa thông qua mạng, v.v.
• Xác định các tính năng hành vi đáng ngờ: Trong quá trình huấn luyện, giải pháp đã học từ các tính năng đặc trưng của ransomware, như tần suất yêu cầu mạng lớn, sự thay đổi tệp đột ngột, sử dụng mã hóa không phổ biến, v.v. Các tính năng này giúp xác định các hành vi đáng ngờ trong tương lai.
• Theo dõi hành vi mới: Khi một máy tính trong mạng thực hiện một hành động mới, giải pháp bảo mật sẽ theo dõi và phân tích hành vi của nó. Nó sẽ quan sát các hoạt động như thay đổi tệp quan trọng, thực hiện mã hóa đối với nhiều tệp, tạo quy trình bất thường, v.v.
• Xác định hành vi ransomware đáng ngờ: Dựa trên các tính năng hành vi đã học, giải pháp sẽ xác định xem hành vi hiện tại có khớp với các biểu hiện của ransomware đã biết hay không. Nếu giải pháp nhận ra một hành vi đáng ngờ, nó sẽ cảnh báo người quản trị hệ thống hoặc thực hiện các biện pháp ngăn chặn để kiểm tra và xử lý sự cố.
• Phản ứng và biện pháp ngăn chặn: Nếu giải pháp phát hiện một hành vi ransomware đáng ngờ, nó sẽ cảnh báo người quản trị và thực hiện các biện pháp ngăn chặn, chẳng hạn như cách ly máy tính, chặn kết nối mạng, v.v. Nếu hành vi xác định là ransomware, giải pháp sẽ ngăn chặn nó trước khi gây hại cho hệ thống.
• Tình huống thực tế: Một máy tính trong mạng bất thường thực hiện mã hóa nhiều tệp quan trọng và gửi lượng lớn yêu cầu mạng đến các địa chỉ IP không phổ biến. Giải pháp bảo mật đã học từ mẫu hành vi ransomware đã biết và xác định rằng hành vi này đáng ngờ. Nó cảnh báo người quản trị hệ thống và chặn kết nối mạng của máy tính này để ngăn chặn ransomware khỏi việc lây lan và mã hóa thêm tệp trong mạng.

2.5 Sandboxing.

Cách hoạt động: Các hệ thống sandboxing cho phép chạy các tệp và quy trình không rõ trong môi trường cô lập để xem chúng có hành vi của ransomware hay không. Nếu được xác định là ransomware, nó sẽ bị ngăn chặn trước khi có thể tấn công vào hệ thống.

Ưu điểm: Phát hiện chính xác các hoạt động ransomware bằng cách chạy chúng trong môi trường cô lập.

Hạn chế: Đòi hỏi tài nguyên và thời gian để chạy các tệp trong môi trường sandboxing.

Ví dụ: Một doanh nghiệp triển khai một giải pháp bảo mật mạng có tích hợp công nghệ Sandboxing để phát hiện ransomware và các mối đe dọa khác.

• Thực thi tệp trong môi trường sandbox cô lập: Khi một tệp mới được tải xuống từ mạng hoặc gửi đến qua email, giải pháp bảo mật sẽ xác định rằng tệp này không được xác định hoặc đã được xếp vào danh sách nguy hiểm. Để xác định liệu tệp có phải là ransomware hay không, giải pháp sẽ thực thi tệp trong môi trường sandbox cô lập, tức là một không gian ảo và riêng biệt hoạt động độc lập với hệ thống chính.
• Quan sát hành vi trong môi trường cô lập: Khi tệp được thực thi trong môi trường sandbox, giải pháp sẽ quan sát các hành vi của nó, chẳng hạn như các hoạt động tạo, mã hóa hoặc xóa tệp, các yêu cầu mạng đáng ngờ, tạo quy trình đáng ngờ, v.v.
• Phân tích kết quả: Sau khi tệp được thực thi và hành vi của nó được quan sát, giải pháp bảo mật sẽ phân tích kết quả. Nếu hành vi của tệp được xác định là ransomware, giải pháp sẽ đưa ra cảnh báo và thực hiện các biện pháp ngăn chặn.
• Biện pháp ngăn chặn và xử lý: Nếu giải pháp phát hiện tệp là ransomware sau khi thực thi trong môi trường sandbox, nó sẽ thực hiện các biện pháp ngăn chặn để chặn tệp này và ngăn chặn ransomware lây lan trong mạng. Các biện pháp này có thể bao gồm cách ly tệp, chặn kết nối mạng, thông báo cho người quản trị v.v.
• Tình huống thực tế: Một nhân viên trong doanh nghiệp nhận được một email đáng ngờ với một tệp đính kèm không rõ nguồn gốc. Hệ thống bảo mật của doanh nghiệp nhận diện email này là nguy hiểm và quyết định thực thi tệp đính kèm trong môi trường sandbox cô lập. Khi tệp được thực thi, hệ thống quan sát rằng nó đang thực hiện mã hóa trên nhiều tệp trong môi trường sandbox. Dựa trên hành vi này, hệ thống kết luận rằng tệp này có khả năng là ransomware và ngăn chặn tệp này thoát ra khỏi môi trường sandbox và lây lan trong hệ thống chính.