Là một nền tảng du lịch B2B toàn cầu hàng đầu, American Express Global Business Travel (Amex GBT) và nhóm bảo mật của công ty đang làm chính xác điều đó, chủ động đối mặt với thách thức này với trọng tâm kép là đổi mới an ninh mạng và quản trị. Với nguồn gốc sâu xa từ một công ty mẹ ngân hàng, Amex GBT duy trì các tiêu chuẩn bảo mật dữ liệu, tuân thủ bảo mật và quản lý rủi ro cao nhất. Điều này khiến việc áp dụng AI an toàn, có thể mở rộng trở thành ưu tiên quan trọng của nhiệm vụ.
Giám đốc An ninh thông tin của Amex GBT, David Levin đang dẫn đầu nỗ lực này. Ông đang xây dựng một khuôn khổ quản trị AI đa chức năng, nhúng bảo mật vào mọi giai đoạn triển khai AI và quản lý sự gia tăng của AI ẩn mà không kìm hãm sự đổi mới. Cách tiếp cận của ông đưa ra một bản thiết kế cho các tổ chức điều hướng giao điểm có rủi ro cao giữa sự tiến bộ của AI và phòng thủ mạng.
Sau đây là những trích đoạn từ cuộc phỏng vấn của Levin với VentureBeat:
VentureBeat: Amex GBT đang sử dụng AI để hiện đại hóa hoạt động phát hiện mối đe dọa và SOC như thế nào?
David Levin: Chúng tôi đang tích hợp AI vào quy trình phát hiện và ứng phó mối đe dọa của mình. Về mặt phát hiện, chúng tôi sử dụng các mô hình học máy (ML) trong các công cụ SIEM và EDR của mình để phát hiện hành vi độc hại nhanh hơn và ít báo động sai hơn. Chỉ riêng điều đó đã đẩy nhanh cách chúng tôi điều tra cảnh báo. Trong SOC, tự động hóa hỗ trợ AI làm phong phú thêm cảnh báo bằng dữ liệu theo ngữ cảnh ngay khi chúng xuất hiện. Các nhà phân tích mở một phiếu và đã thấy các chi tiết quan trọng; không còn cần phải xoay vòng giữa nhiều công cụ để có thông tin cơ bản nữa.
AI cũng giúp ưu tiên cảnh báo nào có khả năng khẩn cấp. Các nhà phân tích của chúng tôi sau đó dành thời gian cho các vấn đề có rủi ro cao nhất thay vì sàng lọc thông tin nhiễu. Đây là sự gia tăng hiệu quả đáng kể. Chúng tôi có thể phản hồi ở tốc độ máy khi cần thiết và để các kỹ sư bảo mật lành nghề của chúng tôi tập trung vào các sự cố phức tạp. Cuối cùng, AI giúp chúng tôi phát hiện các mối đe dọa chính xác hơn và phản hồi nhanh hơn.
VentureBeat: Bạn cũng làm việc với các đối tác bảo mật được quản lý như CrowdStrike OverWatch. AI đóng vai trò như một hệ số nhân lực cho cả nhóm SOC nội bộ và bên ngoài như thế nào?
Levin: AI khuếch đại khả năng của chúng tôi theo hai cách. Đầu tiên, CrowdStrike OverWatch cung cấp cho chúng tôi khả năng săn tìm mối đe dọa 24/7 được tăng cường bởi máy học tiên tiến. Chúng liên tục quét môi trường của chúng tôi để tìm các dấu hiệu tinh vi của một cuộc tấn công, bao gồm cả những thứ chúng tôi có thể bỏ lỡ nếu chỉ dựa vào kiểm tra thủ công. Điều đó có nghĩa là chúng tôi có một nhóm tình báo mối đe dọa hàng đầu trực, sử dụng AI để lọc ra các sự kiện rủi ro thấp và làm nổi bật các mối đe dọa thực sự.
Thứ hai, AI thúc đẩy hiệu quả của các nhà phân tích SOC nội bộ của chúng tôi. Trước đây, chúng tôi phải phân loại thủ công nhiều cảnh báo hơn. Bây giờ, một công cụ AI xử lý quá trình lọc ban đầu đó. Nó có thể nhanh chóng phân biệt được cảnh báo đáng ngờ với cảnh báo lành tính, do đó, các nhà phân tích chỉ nhìn thấy các sự kiện cần có sự phán đoán của con người. Cảm giác như thêm một đồng đội ảo thông minh. Đội ngũ của chúng tôi có thể xử lý nhiều sự cố hơn, tập trung vào việc săn tìm mối đe dọa và tiếp nhận các cuộc điều tra nâng cao. Sự kết hợp đó—chuyên môn của con người cộng với sự hỗ trợ của AI—mang lại kết quả tốt hơn so với khi chỉ sử dụng một trong hai
VentureBeat: Bạn đang đứng đầu một khuôn khổ quản trị AI tại GBT, dựa trên các nguyên tắc của NIST. Nó trông như thế nào và bạn triển khai nó theo chức năng chéo như thế nào?
Levin: Chúng tôi dựa vào Khung quản lý rủi ro AI của NIST , giúp chúng tôi đánh giá và giảm thiểu rủi ro liên quan đến AI một cách có hệ thống về bảo mật, quyền riêng tư, định kiến, v.v. Chúng tôi đã thành lập một ủy ban quản trị liên chức năng với đại diện từ các bộ phận bảo mật, pháp lý, quyền riêng tư, tuân thủ, nhân sự và CNTT. Nhóm đó điều phối các chính sách AI và đảm bảo các dự án mới đáp ứng các tiêu chuẩn của chúng tôi trước khi đưa vào hoạt động.
Khung của chúng tôi bao gồm toàn bộ vòng đời AI. Ngay từ đầu, mỗi trường hợp sử dụng được lập bản đồ so với các rủi ro tiềm ẩn—như mô hình trôi dạt hoặc dữ liệu bị lộ—và chúng tôi xác định các biện pháp kiểm soát để giải quyết chúng. Chúng tôi đo lường hiệu suất thông qua thử nghiệm và mô phỏng đối nghịch để đảm bảo AI không dễ bị đánh lừa. Chúng tôi cũng nhấn mạnh vào ít nhất một số mức độ có thể giải thích được. Nếu AI đánh dấu một sự cố, chúng tôi muốn biết lý do. Sau đó, khi các hệ thống được đưa vào sản xuất, chúng tôi sẽ theo dõi chúng để xác nhận rằng chúng vẫn đáp ứng các yêu cầu về bảo mật và tuân thủ của chúng tôi. Bằng cách tích hợp các bước này vào chương trình rủi ro rộng hơn của chúng tôi, AI trở thành một phần trong hoạt động quản trị chung của chúng tôi thay vì là một ý nghĩ chợt nảy ra.
VentureBeat: Bạn xử lý AI ngầm như thế nào và đảm bảo nhân viên tuân thủ các chính sách này?
Levin: Shadow AI xuất hiện ngay khi các công cụ AI tạo ra công khai cất cánh. Cách tiếp cận của chúng tôi bắt đầu bằng các chính sách rõ ràng: Nhân viên không được cung cấp dữ liệu bí mật hoặc nhạy cảm vào các dịch vụ AI bên ngoài mà không được chấp thuận. Chúng tôi phác thảo cách sử dụng có thể chấp nhận được, các rủi ro tiềm ẩn và quy trình thẩm định các công cụ mới.
Về mặt kỹ thuật, chúng tôi chặn các nền tảng AI chưa được chấp thuận tại biên mạng của mình và sử dụng các công cụ ngăn ngừa mất dữ liệu (DLP) để ngăn nội dung nhạy cảm được tải lên. Nếu ai đó cố gắng sử dụng một trang web AI trái phép, họ sẽ được cảnh báo và chuyển hướng đến một giải pháp thay thế đã được chấp thuận. Chúng tôi cũng dựa rất nhiều vào đào tạo. Chúng tôi chia sẻ những câu chuyện cảnh báo trong thế giới thực—như đưa một tài liệu độc quyền vào một chatbot ngẫu nhiên. Điều đó có xu hướng gắn bó với mọi người. Bằng cách kết hợp giáo dục người dùng, làm rõ chính sách và kiểm tra tự động, chúng tôi có thể hạn chế hầu hết việc sử dụng AI bất hợp pháp trong khi vẫn khuyến khích đổi mới hợp pháp.
VentureBeat: Khi triển khai AI cho mục đích bảo mật, bạn gặp phải những thách thức kỹ thuật nào, ví dụ như bảo mật dữ liệu, mô hình trôi dạt hay thử nghiệm đối kháng?
Levin: Bảo mật dữ liệu là mối quan tâm hàng đầu. AI của chúng tôi thường cần nhật ký hệ thống và dữ liệu người dùng để phát hiện mối đe dọa, vì vậy chúng tôi mã hóa các nguồn cấp dữ liệu đó và hạn chế những người có thể truy cập chúng. Chúng tôi cũng đảm bảo không sử dụng bất kỳ thông tin cá nhân hoặc thông tin nhạy cảm nào trừ khi thực sự cần thiết.
Một thách thức khác là sự trôi dạt của mô hình. Các kiểu tấn công liên tục thay đổi. Nếu chúng ta dựa vào một mô hình được đào tạo trên dữ liệu của năm ngoái, chúng ta có nguy cơ bỏ lỡ các mối đe dọa mới. Chúng ta có lịch trình đào tạo lại các mô hình khi tỷ lệ phát hiện giảm hoặc số lượng dương tính giả tăng đột biến.
Chúng tôi cũng thực hiện thử nghiệm đối kháng, về cơ bản là nhóm đỏ AI để xem liệu kẻ tấn công có thể lừa hoặc vượt qua nó hay không. Điều đó có thể có nghĩa là cung cấp cho mô hình dữ liệu tổng hợp che giấu các cuộc xâm nhập thực sự hoặc cố gắng thao túng nhật ký. Nếu chúng tôi tìm thấy lỗ hổng, chúng tôi sẽ đào tạo lại mô hình hoặc thêm các kiểm tra bổ sung. Chúng tôi cũng rất coi trọng khả năng giải thích: nếu AI khuyến nghị cô lập một máy, chúng tôi muốn biết hành vi nào đã kích hoạt quyết định đó. Sự minh bạch đó thúc đẩy sự tin tưởng vào đầu ra của AI và giúp các nhà phân tích xác thực nó.
VentureBeat: AI có đang thay đổi vai trò của CISO, khiến bạn trở thành người hỗ trợ kinh doanh chiến lược hơn là người chỉ đơn thuần là người kiểm soát tuân thủ không?
Levin: Chắc chắn rồi. AI là ví dụ điển hình về cách các nhà lãnh đạo an ninh có thể hướng dẫn đổi mới thay vì ngăn chặn nó. Thay vì chỉ nói “Không, điều đó quá rủi ro”, chúng tôi đang định hình cách chúng tôi áp dụng AI từ đầu bằng cách xác định cách sử dụng được chấp nhận, đào tạo các tiêu chuẩn dữ liệu và giám sát việc lạm dụng. Với tư cách là CISO, tôi đang làm việc chặt chẽ với các giám đốc điều hành và nhóm sản phẩm để chúng tôi có thể triển khai các giải pháp AI thực sự có lợi cho doanh nghiệp, cho dù bằng cách cải thiện trải nghiệm của khách hàng hay phát hiện gian lận nhanh hơn, đồng thời vẫn đáp ứng các quy định và bảo vệ dữ liệu.
Chúng tôi cũng có một vị trí tại bàn cho các quyết định lớn. Nếu một bộ phận muốn triển khai một chatbot AI mới để đặt vé du lịch, họ sẽ liên hệ với bộ phận bảo mật ngay từ đầu để xử lý rủi ro và tuân thủ. Vì vậy, chúng tôi đang vượt ra khỏi hình ảnh người gác cổng tuân thủ, bước vào vai trò thúc đẩy sự đổi mới có trách nhiệm.
VentureBeat: Việc áp dụng AI được cấu trúc như thế nào trên toàn cầu tại GBT và bạn tích hợp bảo mật vào quy trình đó như thế nào?
Levin: Chúng tôi đã áp dụng phương pháp tiếp cận trung tâm xuất sắc toàn cầu. Có một nhóm chiến lược AI cốt lõi đặt ra các tiêu chuẩn và hướng dẫn bao quát, sau đó các trưởng nhóm khu vực thúc đẩy các sáng kiến phù hợp với thị trường của họ. Vì chúng tôi hoạt động trên toàn thế giới, chúng tôi phối hợp theo các thông lệ tốt nhất: nếu nhóm Châu Âu phát triển một quy trình mạnh mẽ để che giấu dữ liệu AI để tuân thủ GDPR, chúng tôi sẽ chia sẻ quy trình đó với các nhóm Hoa Kỳ hoặc Châu Á.
Bảo mật được nhúng từ ngày đầu tiên thông qua “bảo mật theo thiết kế”. Bất kỳ dự án AI nào, bất kể được khởi tạo ở đâu, đều phải đối mặt với cùng một đánh giá rủi ro và kiểm tra tuân thủ trước khi ra mắt. Chúng tôi thực hiện mô hình hóa mối đe dọa để xem AI có thể bị lỗi hoặc bị sử dụng sai mục đích như thế nào. Chúng tôi thực thi cùng một mã hóa và kiểm soát truy cập trên toàn cầu, nhưng cũng thích ứng với các quy tắc bảo mật cục bộ. Điều này đảm bảo rằng bất kể hệ thống AI được xây dựng ở đâu, nó đều đáp ứng các tiêu chuẩn bảo mật và tin cậy nhất quán.
VentureBeat: Bạn đã thử nghiệm các công cụ như Charlotte AI của CrowdStrike để phân loại cảnh báo. Các đồng nghiệp AI đang giúp ích như thế nào cho việc ứng phó sự cố và đào tạo nhà phân tích?
Levin: Với Charlotte AI, chúng tôi đang giảm tải rất nhiều phân loại cảnh báo. Hệ thống phân tích ngay lập tức các phát hiện mới, ước tính mức độ nghiêm trọng và đề xuất các bước tiếp theo. Chỉ riêng điều đó đã tiết kiệm được nhiều giờ cho các nhà phân tích cấp 1 của chúng tôi mỗi tuần. Họ mở một phiếu và thấy một bản tóm tắt ngắn gọn thay vì các bản ghi thô.
Chúng tôi cũng có thể tương tác với Charlotte, đặt các câu hỏi tiếp theo, bao gồm, “Địa chỉ IP này có liên quan đến các mối đe dọa trước đó không?” Khía cạnh “AI đàm thoại” này là một trợ giúp lớn cho các nhà phân tích cấp dưới, những người học hỏi từ lý luận của AI. Nó không phải là hộp đen; nó chia sẻ bối cảnh về lý do tại sao nó đánh dấu một cái gì đó là độc hại. Kết quả ròng là phản ứng sự cố nhanh hơn và một lớp cố vấn tích hợp cho nhóm của chúng tôi. Chúng tôi duy trì sự giám sát của con người, đặc biệt là đối với các hành động có tác động cao, nhưng những người đồng lái này cho phép chúng tôi phản hồi với tốc độ máy trong khi vẫn duy trì phán đoán của nhà phân tích.
VentureBeat: Những tiến bộ trong AI có ý nghĩa gì đối với các nhà cung cấp an ninh mạng và nhà cung cấp dịch vụ bảo mật được quản lý (MSSP)?
Levin: AI đang nâng cao tiêu chuẩn cho các giải pháp bảo mật. Chúng tôi mong đợi các nhà cung cấp MDR sẽ tự động hóa nhiều hơn nữa quá trình phân loại front-end của họ để các nhà phân tích con người có thể tập trung vào những vấn đề khó khăn nhất. Nếu một nhà cung cấp không thể thể hiện khả năng phát hiện có ý nghĩa do AI thúc đẩy hoặc phản hồi theo thời gian thực, họ sẽ khó có thể nổi bật. Nhiều nhà cung cấp đang nhúng các trợ lý AI như Charlotte trực tiếp vào nền tảng của họ, giúp họ phát hiện và ngăn chặn các mối đe dọa nhanh hơn.
Nói như vậy, tính phổ biến của AI cũng có nghĩa là chúng ta cần nhìn xa hơn những từ ngữ thông dụng. Chúng tôi kiểm tra và xác thực các tuyên bố về AI của nhà cung cấp—“Cho chúng tôi biết mô hình của bạn học được từ dữ liệu của chúng tôi như thế nào” hoặc “Chứng minh rằng nó có thể xử lý các mối đe dọa tiên tiến này”. Cuộc chạy đua vũ trang giữa những kẻ tấn công và những người bảo vệ sẽ chỉ ngày càng gia tăng, và các nhà cung cấp bảo mật nắm vững AI sẽ phát triển mạnh. Tôi hoàn toàn mong đợi các dịch vụ mới—như thực thi chính sách dựa trên AI hoặc pháp y sâu hơn—sẽ xuất hiện từ xu hướng này.
VentureBeat: Cuối cùng, lời khuyên của bạn dành cho các CISO đang bắt đầu hành trình AI, cân bằng nhu cầu tuân thủ với đổi mới doanh nghiệp là gì?
Levin: Đầu tiên, hãy xây dựng một khuôn khổ quản trị sớm, với các chính sách rõ ràng và tiêu chí đánh giá rủi ro. AI quá mạnh để triển khai một cách tùy tiện. Nếu bạn xác định AI có trách nhiệm là gì trong tổ chức của mình ngay từ đầu, bạn sẽ tránh được việc phải tuân thủ hồi tố.
Thứ hai, hợp tác với các nhóm pháp lý và tuân thủ ngay từ đầu. AI có thể vượt qua ranh giới về quyền riêng tư dữ liệu, sở hữu trí tuệ, v.v. Việc đưa họ vào cuộc sớm sẽ ngăn ngừa những bất ngờ khó chịu sau này.
Thứ ba, hãy bắt đầu nhỏ nhưng cho thấy ROI. Chọn một điểm đau về bảo mật có khối lượng lớn (như phân loại cảnh báo) nơi AI có thể tỏa sáng. Chiến thắng nhanh chóng đó xây dựng uy tín và sự tự tin để mở rộng các nỗ lực AI. Trong khi đó, hãy đầu tư vào vệ sinh dữ liệu—dữ liệu sạch là tất cả đối với hiệu suất AI.
Thứ tư, đào tạo nhân viên của bạn. Cho các nhà phân tích thấy AI giúp họ như thế nào, thay vì thay thế họ. Giải thích cách thức hoạt động, nơi nào đáng tin cậy và nơi nào vẫn cần sự giám sát của con người. Một đội ngũ nhân viên được thông tin đầy đủ có nhiều khả năng sẽ áp dụng các công cụ này.
Cuối cùng, hãy áp dụng tư duy cải tiến liên tục. Các mối đe dọa sẽ phát triển; AI của bạn cũng vậy. Đào tạo lại các mô hình, chạy thử nghiệm đối kháng, thu thập phản hồi từ các nhà phân tích. Công nghệ này rất năng động và bạn sẽ cần phải thích nghi. Nếu bạn thực hiện tất cả những điều này—quản trị rõ ràng, quan hệ đối tác chặt chẽ, đo lường liên tục—AI có thể là một công cụ hỗ trợ to lớn cho bảo mật, cho phép bạn di chuyển nhanh hơn và tự tin hơn trong bối cảnh mối đe dọa ngày càng gia tăng.
VentureBeat: Ông thấy AI trong an ninh mạng sẽ phát triển như thế nào trong vài năm tới, đối với cả GBT và ngành công nghiệp nói chung?
Levin: Chúng ta đang hướng đến quy trình làm việc SOC tự động, nơi AI xử lý nhiều hơn việc phân loại cảnh báo và phản hồi ban đầu. Con người giám sát các sự cố phức tạp, nhưng các tác vụ thường lệ được tự động hóa hoàn toàn. Chúng ta cũng sẽ thấy bảo mật dự đoán—các mô hình AI dự báo hệ thống nào có nguy cơ cao nhất, để các nhóm có thể vá hoặc phân đoạn chúng trước.
Trên quy mô rộng hơn, các CISO sẽ giám sát lòng tin kỹ thuật số, đảm bảo AI minh bạch, tuân thủ các luật mới nổi và không dễ bị thao túng. Các nhà cung cấp sẽ tinh chỉnh AI để xử lý mọi thứ, từ pháp y nâng cao đến điều chỉnh chính sách. Trong khi đó, những kẻ tấn công sẽ biến AI thành vũ khí để tạo ra các chiến dịch lừa đảo lén lút hơn hoặc phát triển phần mềm độc hại đa hình. Cuộc chạy đua vũ trang đó khiến việc quản trị mạnh mẽ và cải tiến liên tục trở nên quan trọng.
Tại GBT, tôi mong đợi AI sẽ thâm nhập vượt ra ngoài SOC vào các lĩnh vực như phòng chống gian lận trong đặt chỗ du lịch, phân tích hành vi người dùng và thậm chí là đào tạo bảo mật được cá nhân hóa. Cuối cùng, các nhà lãnh đạo an ninh tận dụng AI một cách chu đáo sẽ đạt được lợi thế cạnh tranh—bảo vệ doanh nghiệp của họ ở quy mô lớn trong khi giải phóng nhân tài để tập trung vào những thách thức phức tạp nhất. Đây là một sự thay đổi mô hình lớn, nhưng hứa hẹn khả năng phòng thủ mạnh mẽ hơn và đổi mới nhanh hơn nếu chúng ta quản lý một cách có trách nhiệm.
