Chúng ta đã nghe các câu chuyện tương tự trong nhiều năm: AI đang đến để lấy đi công việc của bạn. Trên thực tế, vào năm 2017, McKinsey đã in một báo cáo, Việc làm Mất đi, Việc làm Có được: Chuyển đổi Lực lượng Lao động trong Thời đại Tự động hóa, dự đoán rằng đến năm 2030, 375 triệu người lao động sẽ cần tìm việc làm mới hoặc có nguy cơ bị AI và tự động hóa thay thế. Mời bạn lo lắng.

Đã có những lời xì xào liên tục về những vai trò nào sẽ bị ảnh hưởng, và gần đây, kiểm thử xâm nhập đã được đặt ra câu hỏi. Với việc AI hiện có khả năng tự động hóa các tác vụ như quét lỗ hổng và quét mạng—cùng với những thứ khác—và với các nền tảng như PlexTrac bổ sung khả năng AI để cắt giảm nỗ lực thủ công, liệu các chuyên gia kiểm thử xâm nhập có mất việc không? Hãy bắt đầu với một chút lạc quan. Năm nay, McKinsey đã rút lại dự đoán trước đây rằng 375 triệu người lao động sẽ bị AI thay thế, hạ dự đoán xuống còn khoảng 92 triệu người lao động. Bài báo tiếp tục làm dịu bớt lo ngại khi nói rằng mặc dù một số công việc có thể trở nên lỗi thời, nhưng nhiều khả năng các công việc sẽ chỉ trải qua quá trình chuyển đổi và ước tính sẽ có 170 triệu vai trò mới xuất hiện từ đống tro tàn.

Quay trở lại với kiểm thử xâm nhập, có thể cho rằng một số khía cạnh của vai trò này sẽ phù hợp hơn với tự động hóa trong những năm tới, và một số vai trò liên quan đến kiểm thử xâm nhập có thể phải thay đổi, nhưng AI đang thiếu một yếu tố tạo nên sự khác biệt giữa kiểm thử xâm nhập và các công cụ quét tự động khác: yếu tố con người. Theo Liên minh Bảo mật Đám mây trích dẫn, “Thay vì thay thế con người, AI đóng vai trò là một lực lượng nhân lên cho các chuyên gia kiểm thử xâm nhập.”

AI Sẽ Nâng Cao, Không Thay Thế, Khả Năng Kiểm Thử Xâm Nhập

Một quan niệm sai lầm phổ biến là AI sẽ khiến các chuyên gia kiểm thử xâm nhập trở thành dĩ vãng. Thực tế phức tạp hơn nhiều. Tự động hóa đã bắt đầu hỗ trợ hợp lý hóa một số tác vụ đơn điệu, lặp đi lặp lại hơn, nhưng sự sáng tạo và chuyên môn của con người vẫn không thể thay thế.

Những Kẻ Nghiện Script Đang (Máy) Học

AI đang thay đổi rào cản gia nhập đối với kiểm thử xâm nhập. Với sự trợ giúp của các công cụ hỗ trợ AI, những người có ít kinh nghiệm kỹ thuật hơn—thường được gọi là script kiddies—sẽ có thể thực hiện các thử nghiệm phức tạp hơn mà không cần hiểu sâu về các cơ chế cơ bản. AI hạ thấp rào cản gia nhập bằng cách tự động hóa các tác vụ phức tạp hơn như quét lỗ hổng, mô phỏng đối thủ và khai thác. Sự tự động hóa như vậy cho phép những người dùng này xác định và khai thác các điểm yếu trong hệ thống dễ dàng hơn.

Mặc dù các chuyên gia kiểm thử xâm nhập có thể có cái nhìn tiêu cực về script kiddies, nhưng những tiến bộ trong AI và tự động hóa mang lại lợi ích cho tất cả mọi người. Việc loại bỏ những lỗ hổng dễ thấy cho phép các chuyên gia kiểm thử ở mọi cấp độ đảm nhận các nhiệm vụ phức tạp và có giá trị hơn, nâng cao kỹ năng của họ và khiến họ hiệu quả và an toàn hơn trong vai trò của mình. Với việc AI xử lý các công việc nền tảng tẻ nhạt, tất cả các chuyên gia kiểm thử có thể tập trung vào việc tìm hiểu sâu hơn về các khía cạnh phức tạp của kiểm thử xâm nhập, cuối cùng trở nên thành thạo hơn và đóng góp nhiều hơn cho bối cảnh an ninh.

Tập trung vào Công việc Giá trị Cao hơn: Hãy Để AI Xử Lý Các Tác vụ Đơn điệu

Không chỉ script kiddies sẽ gặt hái được lợi ích từ AI—các chuyên gia kiểm thử xâm nhập cũng vậy. Bằng cách tận dụng tự động hóa, các chuyên gia kiểm thử xâm nhập được giải phóng để tập trung vào các tác vụ đòi hỏi trình độ chuyên môn cao hơn hoặc sự can thiệp của con người. Ví dụ, AI có thể tự động hóa việc khám phá các lỗ hổng, cho phép các chuyên gia kiểm thử xâm nhập tập trung vào việc tạo ra các khai thác độc đáo hoặc tiến hành các bài tập tấn công mạng nâng cao đòi hỏi sự hiểu biết sâu sắc về hành vi con người và logic kinh doanh.

Các tác vụ cụ thể mà AI có thể tự động hóa bao gồm:

•

Tạo điều kiện cho việc nghiên cứu sâu hơn và thu thập Thông tin Tình báo Nguồn mở (OSINT)

•

Quét các lỗ hổng và điểm yếu chung (CVE) trong các hệ thống mục tiêu

•

Tiến hành quét mạng cơ bản và xác định các vectơ tấn công tiềm năng

•

Phân loại và ưu tiên các lỗ hổng được phát hiện dựa trên mức độ nghiêm trọng và khả năng khai thác

•

Soạn thảo các khai thác dựa trên ngăn xếp công nghệ của nhiệm vụ hiện tại

•

Đề xuất các trường hợp kiểm thử bổ sung để thực hiện dựa trên các lỗ hổng đã xác định trước đó

Bằng cách loại bỏ các tác vụ lặp đi lặp lại này, AI cho phép các chuyên gia kiểm thử xâm nhập dành nhiều thời gian hơn để khám phá các khai thác tinh vi, tìm kiếm các lỗ hổng ẩn và suy nghĩ vượt ra ngoài khuôn khổ—những kỹ năng mà AI chưa thể đạt tới trong tương lai gần.

Phishing và Kỹ thuật Xã hội 2.0: “Móc câu” AI cho Mô phỏng Tốt hơn

Tác động của AI đối với kiểm thử xâm nhập cũng thể hiện rõ trong lĩnh vực kỹ thuật xã hội. Công nghệ này đã và đang nâng cao các mô phỏng lừa đảo và các bài tập đào tạo. Khả năng phân tích lượng lớn dữ liệu, hiểu hành vi con người và tạo ra các cuộc tấn công lừa đảo hoặc các tình huống kỹ thuật xã hội đáng tin cậy hơn của AI cho phép các chuyên gia kiểm thử xâm nhập tiến hành các cuộc tấn công thực tế hơn. Điều này có nghĩa là các doanh nghiệp có thể chuẩn bị tốt hơn cho các mối đe dọa trong thế giới thực, vì AI tăng cường tính xác thực của các cuộc tấn công mô phỏng.

Hơn nữa, các công cụ AI có thể cung cấp phản hồi và huấn luyện, cho phép các chuyên gia kiểm thử xâm nhập tinh chỉnh các kỹ thuật kỹ thuật xã hội của họ và học hỏi từ các nhiệm vụ trước đây, cải thiện kỹ năng của họ theo thời gian.

AI Sẽ Đẩy Nhanh Quy Trình Kiểm Thử Xâm Nhập: Tốc Độ Gặp Độ Chính Xác

AI có thể đẩy nhanh đáng kể hầu hết, nếu không phải tất cả, các giai đoạn của vòng đời kiểm thử xâm nhập. Ví dụ:

•

OSINT và Thu thập Thông tin: AI có thể phân tích ngăn xếp công nghệ của một tổ chức, xác định các lỗ hổng đã biết trong các công cụ và nền tảng đang được sử dụng, và đề xuất các vectơ tấn công tiềm năng nhanh hơn so với một người có thể nghiên cứu thủ công.

•

Mô hình hóa Mối đe dọa: Dựa trên dữ liệu thu thập được, AI có thể đề xuất các mối đe dọa cụ thể để mô phỏng dựa trên tỷ lệ thành công trước đó tương quan với thông tin tình báo thu thập được.

•

Phát hiện Bất thường: Khi sàng lọc qua các bộ dữ liệu khổng lồ, AI vượt trội trong việc phát hiện các mẫu và xác định các điểm ngoại lệ. Nó có thể gắn cờ các phát hiện bất thường mà nếu không có thể bị chôn vùi trong biển dữ liệu, cho phép các chuyên gia kiểm thử xâm nhập tập trung vào các lỗ hổng quan trọng nhất.

•

Phát triển Exploit: Các công cụ AI có thể hỗ trợ các chuyên gia kiểm thử xâm nhập trong việc tạo mã khai thác phù hợp với ngăn xếp công nghệ hoặc hệ thống cụ thể mà họ đang kiểm thử.

•

Hậu khai thác: AI có thể giúp che giấu dấu vết khai thác, loại bỏ bằng chứng cho thấy các chuyên gia kiểm thử đã từng xâm nhập một cách toàn diện hơn. Nó cũng có thể để lại những manh mối sai lệch để khiến những người phòng thủ phải đoán mò và dẫn dắt cuộc điều tra của họ đi lạc hướng.

•

Báo cáo Kiểm thử Xâm nhập/Bảo mật Tấn công: Giống như các công cụ GPT giúp bạn viết email, bạn có thể sử dụng AI tạo sinh để tăng tốc độ viết báo cáo kiểm thử xâm nhập. PlexTrac, một nền tảng báo cáo kiểm thử xâm nhập hàng đầu, tích hợp AI để giúp tạo các phát hiện khai thác, tóm tắt dữ liệu và thậm chí soạn thảo các bản tóm tắt điều hành cho báo cáo. Nhưng, tất nhiên, bạn cần đảm bảo nền tảng bạn sử dụng giữ an toàn cho dữ liệu của bạn. Giải pháp AI tự phát triển của PlexTrac hoạt động ở chế độ được đào tạo trước. Hệ thống và các thành phần cơ bản không học hỏi theo thời gian hoặc lưu giữ các thông tin người dùng gửi vượt quá yêu cầu xử lý thông tin và cung cấp phản hồi tạo sinh.

Những Gì Mong Đợi Từ AI Trong Kiểm Thử Xâm Nhập: Người Bạn Thân Nhất Của Hacker?

Tương lai của kiểm thử xâm nhập có khả năng sẽ liên quan đến mối quan hệ cộng tác giữa AI và chuyên môn của con người. Đây là cách AI sẽ hỗ trợ các chuyên gia kiểm thử xâm nhập trong tương lai gần:

1.

Hợp tác: AI có thể đóng vai trò là cộng sự của các chuyên gia kiểm thử xâm nhập, giúp phân tích các phát hiện, tạo báo cáo và thậm chí đề xuất các bước tiếp theo dựa trên các nhiệm vụ trước đây. Nó có thể hoạt động như một “trợ lý đội đỏ” tạo điều kiện hợp tác giữa các thành viên trong nhóm và cung cấp hướng dẫn trong suốt nhiệm vụ.

2.

Logic Kinh doanh và Nhận thức Bối cảnh: AI cũng sẽ giúp các chuyên gia kiểm thử xâm nhập hiểu cách các lỗ hổng tác động đến doanh nghiệp. Thay vì chỉ xác định một lỗi kỹ thuật, AI sẽ cung cấp bối cảnh về cách lỗi đó có thể dẫn đến gián đoạn kinh doanh, mất dữ liệu hoặc tổn hại danh tiếng. Sự hiểu biết này có thể hướng dẫn các chuyên gia kiểm thử xâm nhập trong việc đưa ra các khuyến nghị và báo cáo có tác động hơn.

3.

Khung Tác tử và Mô hình Lý luận: Với những tiến bộ trong các mô hình lý luận, AI có thể cung cấp thông tin chi tiết về lý do tại sao nó đưa ra các quyết định cụ thể, cho phép các chuyên gia kiểm thử xâm nhập hiểu rõ hơn về logic đằng sau các phát hiện và đề xuất của nó. Tính minh bạch này sẽ cải thiện cách con người tương tác với AI và nâng cao hiệu quả của nó trong các tác vụ kiểm thử xâm nhập.

Chào Đón Đối Tác Kiểm Thử Xâm Nhập Mới Của Bạn

AI không đến để thay thế công việc của các chuyên gia kiểm thử xâm nhập; thay vào đó, nó ở đây để làm cho công việc của họ nhanh hơn, hiệu quả hơn và hiệu quả hơn. Các tác vụ đơn điệu như quét các lỗ hổng, viết báo cáo và thậm chí thực hiện các khai thác cơ bản có thể được tự động hóa, nhưng các tác vụ phức tạp đòi hỏi sự sáng tạo, tư duy phản biện và kiến thức kỹ thuật sâu sắc sẽ luôn cần đến “bàn tay” của một hacker. Bằng cách chấp nhận AI như một công cụ để nâng cao công việc của mình, các chuyên gia kiểm thử xâm nhập có thể dành nhiều thời gian hơn cho các khía cạnh thú vị và đầy thử thách của công việc—hack, giải quyết vấn đề và đánh bại đối thủ. Khi AI tiếp tục phát triển, rõ ràng là các chuyên gia kiểm thử xâm nhập sẽ được trao quyền, chứ không phải bị thay thế. Trên thực tế, những người chấp nhận AI có khả năng sẽ thấy mình cạnh tranh hơn trong một bối cảnh an ninh mạng không ngừng thay đổi.

Tài liệu tham khảo:

1.

Manyika, James, et al. “Jobs Lost, Jobs Gained: Workforce Transitions in a Time of Automation.” McKinsey, tháng 12 năm 2017, https://www.mckinsey.com/~/media/BAB489A30B724BECB5DEDC41E9BB9FAC.ashx.

2.

Mayer, Hannah, et al. “Superagency in the Workplace: Empowering People to Unlock AI’s Full Potential.” McKinsey, 28 tháng 1 năm 2025, http://www.mckinsey.com/capabilities/mckinsey-digital/our-insights/superagency-in-the-workplace-empowering-people-to-unlock-ais-full-potential-at-work.

3.

Mehta, Umang. “AI-Enhanced Penetration Testing: Redefining Red Team Operations.” Cloud Security Alliance, 06 tháng 12 năm 2024, https://cloudsecurityalliance.org/blog/2024/12/06/ai-enhanced-penetration-testing-redefining-red-team-operations.

CEH VIETNAM