Phá hoại dữ liệu trí tuệ nhân tạo và dữ liệu học máy

Ngành công nghiệp an toàn bảo mật sẽ cần theo dõi những trường hợp của kẻ tấn công đang tìm cách thâm nhập và “đầu độc” dữ liệu huấn luyện trí tuệ nhân tạo, AI - Artificial Intelligence, và dữ liệu học máy, ML - Machine learning, trong các ứng dụng kinh doanh, nhằm phá vỡ hoạt động ra quyết định và các hoạt động khác của doanh nghiệp.

Chẳng hạn, với các công ty đang phụ thuộc vào AI để tự động hóa việc ra quyết định về chuỗi cung ứng, một bộ dữ liệu bị phá hoại có thể dẫn đến tình trạng cung cấp thiếu hoặc thừa sản phẩm, gây thiệt hại tài chính cho công ty.

Haiyan Song, Phó Chủ tịch đồng thời là quản lý cấp cao về bảo mật của Splunk cho biết “Các nỗ lực đầu độc thuật toán với các mẫu dữ liệu đặc biệt được thiết kế để loại bỏ quá trình của một thuật toán học máy. Các thuật toán vẫn hoạt động có vẻ tốt, nhưng thực tế lại đưa ra một kết quả sai”.

Deepfake Audio đưa các cuộc tấn công BEC trở nên tinh vi hơn

Trò tấn công lừa đảo qua email doanh nghiệp, BEC - Business email compromise, đã gây thiệt hại cho các tổ chức hàng tỷ đô la khi những kẻ tấn công giả danh CEO và các nhà quản lý cấp cao khác để lừa gạt chuyển tiền gian lận. Chúng thường dùng chiêu bài kết thúc hợp đồng hoặc hoàn thành công việc để lừa những người phụ trách tài khoản ngân hàng thực hiện chuyển tiền.

Hiện nay những kẻ tấn công này đang thực hiện các cuộc tấn công BEC theo một thủ đoạn tinh vi khác bằng việc sử dụng công nghệ AI thông qua các cuộc thoại. Năm 2019 đã có những báo cáo đầu tiên về một vụ việc mà kẻ tấn công sử dụng âm thanh giả mạo, deepfake audio, để mạo danh CEO của một công ty qua điện thoại nhằm lừa gạt nhân viên ở một công ty năng lượng của Anh chuyển 240.000 đô la vào tài khoản ngân hàng. Các chuyên gia tin rằng chúng ta sẽ thấy việc sử dụng deepfake audio dựa trên AI để thực hiện các cuộc tấn công kiểu BEC gia tăng vào những năm tới.

Phần mềm độc hại hỗ trợ bởi AI

Các nhà nghiên cứu bảo mật tin rằng năm 2020 sẽ là năm họ phát hiện ra phần mềm độc hại đầu tiên sử dụng các mô hình AI để tránh khỏi các sandbox - một kỹ thuật quan trọng trong lĩnh vực bảo mật có tác dụng cô lập các ứng dụng, ngăn chặn các phần mềm độc hại không làm hỏng hệ thống máy tính hoặc ăn cắp thông tin cá nhân.

“Thay vì sử dụng các quy tắc để quyết định xem các “đặc trưng” và “quy trình” chỉ ra mẫu có trong sandbox hay không, các kẻ tấn công an ninh mạng sẽ sử dụng AI để tạo ra phần mềm độc hại nhằm phân tích chính xác hơn môi trường của nó để quyết định xem nó có chạy trong sandbox không, từ đó giúp nó lẩn trốn hiệu quả hơn”, Saumitra Das, CTO của Blue Hexagon dự đoán.

Xác thực dựa trên sinh trắc học

AI và công nghệ sinh trắc học sẽ được sử dụng trong việc xác thực khách hàng. Các tổ chức tài chính đang nhanh chóng ứng dụng các cơ chế xác thực sử dụng nhận dạng khuôn mặt và AI để quét, phân tích và xác nhận danh tính trực tuyến bằng máy ảnh di động và ID do chính phủ phát hành. Nhưng những kẻ xấu cũng sẽ sử dụng AI để tạo ra những deepfake để lừa bịp các hệ thống này.

Theo Robert Prigge, Chủ tịch Jumio, "sắp tới chúng ta sẽ chứng kiến sự gia tăng của các công nghệ deepfake trở thành vũ khí để lừa đảo các giải pháp xác thực dựa trên sinh trắc học được áp dụng rộng rãi."

Bảo mật quyền riêng tư

Sự kết hợp giữa dữ liệu lớn, AI và các quy định bảo mật nghiêm ngặt sẽ gây đau đầu cho các doanh nghiệp cho đến khi các chuyên gia bảo mật và quyền riêng tư bắt đầu có những cải tiến tốt hơn để bảo vệ các công cụ phân tích khách hàng cung cấp nhiều ứng dụng AI hiện nay.

Trong năm 2020, chúng ta sẽ chứng kiến các ứng dụng thực tế của các thuật toán AI, bao gồm diffential privacy - một kỹ thuật thống kê đảm bảo quyền riêng tư trong thu thập và chia sẻ thông tin tổng hợp về người dùng. Theo Rajarshi Gupta, người đứng đầu về trí tuệ nhân tạo tại Avast, “differential privacy sẽ cho phép các công ty thu lợi từ dữ liệu lớn như chúng ta hiện nay, nhưng không làm lộ tất cả các thông tin cá nhân của khách hàng và các cá nhân khác”.

Bài học về đạo đức và sự công bằng của AI

Sẽ có những khó khăn phía trước về đạo đức, sự công bằng và hậu quả của AI. Những vấn đề này liên quan đến các nhà lãnh đạo về bảo mật, người được giao nhiệm vụ duy trì tính toàn vẹn và sẵn có của các hệ thống vận hành dựa trên AI.

“Chúng ta sẽ nhận được nhiều bài học từ việc sử dụng AI trong an ninh mạng vào năm tới. Câu chuyện gần đây về việc Apple Card bị khiếu nại về phân biệt giới tính khi cung cấp các giới hạn tín dụng khác nhau cho nam giới và phụ nữ đã chỉ ra rằng, chúng ta không dễ dàng để hiểu cách mà các thuật toán AI hoạt động”, Todd Inskeep, Giám đốc chiến lược An ninh mạng cho Booz Allen Hamilton và Thành viên Hội đồng tư vấn hội nghị RSA cho biết.

Theo Tự động hoá ngày nay