Tại sao các quyết định an ninh tự động không được kiểm soát lại là một rủi ro đối với cơ sở hạ tầng trọng yếu

• Tự động hóa là yếu tố không thể thiếu trong các quy trình cập nhật bản vá, xếp hạng mức độ nghiêm trọng của lỗ hổng, giám sát cấu hình và khắc phục sự cố hiện đại.

• Việc thực thi các biện pháp bảo mật tự động mà không có sự kiểm soát, bao gồm triển khai bản vá, thay đổi cấu hình hoặc khắc phục sự cố tự động, sẽ gây ra rủi ro vận hành trong những môi trường mà thời gian ngừng hoạt động có thể dẫn đến hậu quả về an toàn hoặc tài chính.

• Một thay đổi được thực hiện trong khoảng thời gian không phù hợp trong mạng lưới điện, dây chuyền sản xuất hoặc mạng lưới quốc phòng không chỉ là một sự bất tiện nhỏ. Đó là một sự cố.

• Có ba khung quy định chi phối lĩnh vực này: NERC CIP (năng lượng/dịch vụ công ích), IEC 62443 (hệ thống điều khiển công nghiệp) và NIST SP 800-82 (an ninh hệ thống điều khiển công nghiệp). Cả ba khung quy định này đều nhấn mạnh việc phải có các thủ tục được lập thành văn bản về ủy quyền, xác thực, thử nghiệm và trách nhiệm giải trình đối với các thay đổi về an ninh.

• Các quy trình làm việc tự động có thể hỗ trợ công tác quản trị khi các bước phê duyệt, chính sách và nhật ký kiểm toán được tích hợp sẵn vào quy trình. Tuy nhiên, chúng sẽ trở thành một rủi ro khi việc “hệ thống tự quyết định” thay thế cho sự phê duyệt có trách nhiệm của con người.

• Trí tuệ nhân tạo (AI) mang lại giá trị lớn nhất ở lớp phân tích: các kết quả được xếp hạng theo mức độ rủi ro, các tín hiệu về sự sai lệch cấu hình, danh sách bản vá được sắp xếp theo mức độ ưu tiên, chứ không phải ở lớp thực thi.

• Mô hình hiệu quả: Trí tuệ nhân tạo (AI) đưa ra thông tin, con người phê duyệt hành động, và mọi thay đổi đều được ghi lại dưới danh tính có thể truy cứu trách nhiệm.

Một bản vá được triển khai ngoài khung thời gian bảo trì tại một trạm biến áp. Một quy tắc tường lửa được hệ thống khắc phục sự cố tự động điều chỉnh trong quá trình vận hành sản xuất. Một thay đổi cấu hình được lan truyền trên toàn mạng OT phân tán trước khi bất kỳ nhân viên vận hành nào kịp kiểm tra.

Các tình huống có thể khác nhau, nhưng mô hình sự cố thì giống nhau: một hệ thống tự động đã thực hiện hành động mà không có sự cho phép của con người, và khi có người phát hiện ra thì thay đổi đó đã được triển khai lên môi trường sản xuất.

Tự động hóa hiện nay là yếu tố không thể thiếu trong các hoạt động bảo mật hiện đại, đặc biệt là khi thời gian khai thác lỗ hổng và khoảng thời gian vá lỗi ngày càng thu hẹp. Rủi ro không nằm ở chính việc tự động hóa, mà nằm ở việc thực thi bảo mật tự động — tức là việc áp dụng các thay đổi ảnh hưởng đến hệ thống sản xuất mà không có sự phê duyệt có trách nhiệm từ con người, thiếu bối cảnh vận hành và không có hồ sơ ủy quyền được ghi chép đầy đủ.

Trong cơ sở hạ tầng trọng yếu , những quyết định này tiềm ẩn rủi ro hoạt động mà việc giám sát có hệ thống của con người được thiết kế để ngăn chặn.

Làn sóng các nền tảng trí tuệ nhân tạo (AI) có khả năng tự chủ hiện nay phản ánh cách thức mà việc thực thi tự chủ đang định hình lại các hoạt động an ninh, đặc biệt là trong môi trường CNTT doanh nghiệp, nơi tốc độ là mục tiêu thiết kế hàng đầu.

cơ sở hạ tầng trọng yếu trong những điều kiện hạn chế hoàn toàn khác biệt.

Một rơle bảo vệ trong mạng lưới điện không thể được khởi động lại giữa chu kỳ. Việc thay đổi cấu hình đối với bộ điều khiển logic lập trình (PLC) điều khiển dây chuyền sản xuất không thể được khôi phục lại trong vài giây. Một bước khắc phục tự động được kích hoạt trong quá trình sản xuất sẽ ảnh hưởng đến các quy trình vật lý, chứ không chỉ riêng các máy chủ.

Các đội ngũ an ninh trong những môi trường này cần đánh giá các khả năng tự động dựa trên một câu hỏi khác: không phải “nó có thể phản ứng nhanh đến mức nào?”, mà là “ai sẽ chịu trách nhiệm khi hệ thống mắc lỗi?”.

Trước khi tiến hành cuộc kiểm toán NERC CIP hoặc IEC 62443 tiếp theo, hãy trả lời câu hỏi sau: Nền tảng bảo mật hiện tại của quý vị có tạo ra bản ghi được lập thành văn bản và có ghi thời gian cụ thể về người đã phê duyệt từng thay đổi bảo mật hay không?

Tiêu chuẩn NERC CIP-007 yêu cầu các quy trình quản lý bản vá cụ thể đối với mọi thay đổi được thực hiện trên các tài sản mạng trong hệ thống điện quy mô lớn: đánh giá được lập thành văn bản, bằng chứng thử nghiệm và lịch trình triển khai. Tiêu chuẩn IEC 62443-2-3 quy định trách nhiệm ủy quyền đối với việc quản lý bản vá và các thay đổi cấu hình trong các hệ thống tự động hóa và điều khiển công nghiệp (ICS), bao gồm việc xác định ai là người chịu trách nhiệm cho từng hành động. Tiêu chuẩn NIST SP 800-82 quy định rằng các thay đổi về an ninh trong hệ thống ICS phải được đánh giá rủi ro, kiểm thử xác thực và phối hợp với các bên liên quan vận hành trước khi triển khai, chứ không phải sau đó.

Các quy trình làm việc tự động có thể hỗ trợ mô hình kiểm soát này khi cơ chế quản trị được tích hợp vào quy trình thông qua các cơ chế phê duyệt dựa trên chính sách, các vòng triển khai, các biện pháp kiểm soát khung thời gian bảo trì và nhật ký kiểm toán chi tiết.

Tuy nhiên, việc thực thi tự động sẽ không phù hợp với mô hình đó khi nó làm mờ đi chuỗi ủy quyền. Thay đổi xảy ra, nhật ký ghi lại rằng hệ thống đã thực hiện hành động, và người kiểm toán hỏi ai là người đã phê duyệt hành động đó. Khi không có sự kiện ủy quyền từ con người nào để chịu trách nhiệm, bản ghi sẽ không đầy đủ.

Các nền tảng do con người điều khiển và có ghi lại các bước ủy quyền sẽ tạo ra bản ghi kiểm toán. Các nền tảng tự động không được quản lý sẽ dẫn đến trách nhiệm pháp lý.

Các nền tảng quản lý bảo mật vốn dĩ sở hữu quyền truy cập đặc quyền. Một nền tảng được ủy quyền để triển khai các thay đổi cấu hình, cài đặt các bản vá và quản lý chính sách trên hàng trăm môi trường triển khai chính là loại tài sản mà kẻ tấn công sẽ ưu tiên nhắm đến.

Khi nền tảng đó hoạt động tự động, diện tích tấn công sẽ mở rộng đáng kể. Một hệ thống tự động bị xâm nhập có thể thực hiện các hành động trên quy mô lớn tại mọi môi trường triển khai được kết nối trước khi người vận hành phát hiện ra vụ xâm nhập. Kẻ tấn công sẽ chiếm quyền thực thi của nền tảng và sử dụng quyền này đồng thời trong các hoạt động quản lý bản vá, thay đổi cấu hình và thực thi chính sách.

Đây không phải là vấn đề lý thuyết. Vào đầu năm 2026, ba lỗ hổng zero-day nghiêm trọng trong một nền tảng quản lý bản vá được triển khai rộng rãi đã cho phép thực thi mã từ xa mà không cần xác thực trong các môi trường doanh nghiệp. CISA đã đánh dấu những lỗ hổng này và các lỗ hổng tương tự là “Lỗ hổng đã bị khai thác” (Known Exploited Vulnerabilities), đòi hỏi phải khắc phục ngay lập tức. Một nền tảng tự động bị xâm nhập thông qua các lỗ hổng như vậy có thể đẩy các thay đổi độc hại đến mọi thiết bị đầu cuối được kết nối trước khi bất kỳ cảnh báo nào được kích hoạt.

Một nền tảng yêu cầu sự phê duyệt của con người trước khi thực hiện các thay đổi sẽ hạn chế phạm vi ảnh hưởng của sự cố. Khi cần có sự phê duyệt của con người trước khi thực hiện, chỉ riêng việc thông tin đăng nhập bị đánh cắp là khó có thể kích hoạt các thay đổi tự động trên quy mô lớn.

Lập luận phản đối việc thực thi tự động không được kiểm soát không phải là lập luận phản đối trí tuệ nhân tạo (AI) hay tự động hóa trong lĩnh vực an ninh. Trí tuệ nhân tạo mang lại giá trị lớn nhất khi được áp dụng ở các tầng phù hợp: phân tích, xác định mức độ ưu tiên, hỗ trợ điều phối và hỗ trợ ra quyết định.

Hướng dẫn của CISA luôn nhấn mạnh rằng những lỗ hổng về khả năng quan sát là thách thức cốt lõi đối với cơ sở hạ tầng trọng yếu quản lý cơ sở hạ tầng trọng yếu tài sản phân tán. Trí tuệ nhân tạo (AI) giải quyết trực tiếp vấn đề này: tổng hợp dữ liệu sự kiện, liên kết các tín hiệu giữa các môi trường triển khai, phát hiện sự sai lệch cấu hình và đưa ra các phát hiện được ưu tiên để con người xem xét. Chuyên viên phân tích vẫn là người ra quyết định, nhưng AI giúp họ thực hiện việc này nhanh hơn, dựa trên thông tin chính xác hơn.

Quản lý lỗ hổng và bản vá theo mức độ rủi ro là lĩnh vực mà giải pháp này mang lại hiệu quả rõ rệt nhất. Việc nhanh chóng xếp hạng hàng trăm lỗ hổng dựa trên khả năng bị khai thác, mức độ quan trọng của tài sản và mức độ tiếp xúc giúp các đội ngũ an ninh có được danh sách được sắp xếp theo thứ tự ưu tiên để họ có thể xử lý trong khung thời gian bảo trì, thay vì phải tự phân loại từ nguồn dữ liệu thô.

Nguyên tắc tương tự cũng áp dụng cho các sự cố cấu hình: AI phát hiện ra những sai lệch trên hàng trăm thiết bị đầu cuối; con người sẽ quyết định những thay đổi nào cần khôi phục lại và vào thời điểm nào.

Câu hỏi quan trọng đối với bất kỳ tính năng AI nào trong một nền tảng bảo mật không phải là “nó có thể hoạt động tự chủ không?”, mà là “nó có giúp đội ngũ bảo mật làm việc hiệu quả hơn không?”

Đây là những triết lý thiết kế khác nhau, và trong các môi trường chịu sự quản lý, sự khác biệt này có ý nghĩa quan trọng.

Quản lý an ninh do con người điều khiển không có nghĩa là quản lý an ninh chậm chạp. Điều đó có nghĩa là quản lý an ninh có hệ thống: Trí tuệ nhân tạo (AI) khai thác thông tin, tự động hóa đẩy nhanh quy trình làm việc và con người đưa ra quyết định. Mọi hành động đều được ghi lại kèm theo danh tính có thể chịu trách nhiệm.

Trong thực tế: một bảng điều khiển tập trung tổng hợp các sự kiện bảo mật, tình trạng tuân thủ bản vá cho các thiết bị đầu cuối, tình trạng cấu hình và các phát hiện bất thường trên tất cả các môi trường triển khai được kết nối. Các quản trị viên xem xét các phát hiện được xếp hạng theo mức độ rủi ro, đánh giá bối cảnh vận hành (bao gồm việc liệu khung thời gian bảo trì có đang diễn ra tại địa điểm mục tiêu hay không, hoặc liệu thay đổi cấu hình đã được xác thực trên phần cứng cụ thể đó hay chưa), và thực hiện các hành động thông qua một quy trình ủy quyền có chủ đích.

Đối với các tổ chức quản lý môi trường phân tán, điều này đòi hỏi phải có một nền tảng cho phép quản lý mọi triển khai từ một giao diện duy nhất, bao gồm cả các môi trường bị cách ly hoàn toàn và ngoại tuyến – những nơi mà việc quản lý dựa trên đám mây không phải là một lựa chọn. Nền tảng này cung cấp dữ liệu mà các quản trị viên cần để có thể hành động một cách tự tin.

EPAM Systems (một nhà cung cấp toàn cầu về dịch vụ kỹ thuật nền tảng số và phát triển phần mềm với khoảng 40.000 nhân viên tại 30 quốc gia) phải đối mặt với áp lực ngày càng gia tăng trong việc đảm bảo an ninh cho lực lượng lao động phân tán, nơi mô hình BYOD (mang thiết bị cá nhân đến làm việc) chiếm tỷ lệ cao, mà không làm giảm hiệu suất làm việc. Bằng cách tận dụng My Central Management MetaDefender , tổ chức này đã nâng cao khả năng giám sát và kiểm soát tuân thủ đối với hơn 70.000 thiết bị được sử dụng bởi nhân viên, khách hàng và nhà thầu trên toàn thế giới.

Nền tảng này đã giúp đội ngũ an ninh của EPAM xác minh tình trạng tuân thủ của các thiết bị, phát hiện các ứng dụng không mong muốn, xác định các lỗ hổng chưa được vá và thực thi các chính sách truy cập, tất cả đều diễn ra mà không ảnh hưởng đến năng suất làm việc của người dùng. EPAM cũng đã tích hợp MetaDefender để quét các tệp được tải lên kho lưu trữ trung tâm của họ, xử lý hơn 50 triệu tệp mỗi ngày vào thời điểm cao điểm. Đội ngũ an ninh có cái nhìn toàn diện về tình hình. Mọi quyết định đều do họ tự chủ. Đọc toàn bộ câu chuyện tại đây.

Áp dụng trí tuệ nhân tạo (AI) vào những lĩnh vực mà nó tạo ra giá trị mà không gây ra rủi ro trong quá trình triển khai: phân loại lỗ hổng bảo mật theo mức độ rủi ro, phát hiện sự thay đổi cấu hình, tương quan các sự cố bất thường và sắp xếp các kết quả phát hiện theo mức độ ưu tiên để con người xem xét.

Hãy tránh các nền tảng gộp chung giá trị phân tích của trí tuệ nhân tạo (AI) với quyền thực thi không được kiểm soát. Hãy đánh giá xem nền tảng đó có tạo ra các bản ghi ủy quyền mà khung tuân thủ của quý vị yêu cầu hay không. Nếu câu trả lời là “hệ thống đã quyết định”, thì đó không phải là bản ghi ủy quyền đủ điều kiện trong cơ sở hạ tầng trọng yếu chịu sự quản lý.