Palo Alto Hoàn tất $400M Mua lại Koi, Mở rộng Bảo mật AI

Palo Alto Networks đã hoàn tất việc mua lại Koi, một công ty khởi nghiệp an ninh mạng của Israel, trong một thương vụ trị giá xấp xỉ US$400 triệu USD. Việc mua lại mở rộng năng lực của Palo Alto Networks trong trí tuệ nhân tạo (AI) và bảo mật chuỗi cung ứng phần mềm, với công nghệ của Koi dự kiến sẽ được tích hợp vào các dòng sản phẩm Prisma AIRS và Cortex XDR của công ty. Đây là thương vụ mua lại lần thứ 12 của Palo Alto Networks đối với một công ty an ninh mạng của Israel kể từ năm 2014, nhấn mạnh sự tập trung bền bỉ của công ty vào đổi mới của Israel trong lĩnh vực an ninh.

Tổng quan về thương vụ và lý do chiến lược

Koi đã huy động tổng cộng US$48 triệu USD, bao gồm vòng gọi vốn Series A trị giá US$38 triệu USD đã hoàn tất vào tháng Chín năm ngoái, trước khi được Palo Alto Networks mua lại. Công ty khởi nghiệp này xây dựng các công cụ nhằm giám sát các phụ thuộc phần mềm của bên thứ ba và bảo vệ các điểm cuối (endpoint) doanh nghiệp khỏi các rủi ro bảo mật từ chuỗi cung ứng. Bằng việc mua lại Koi, Palo Alto Networks có được công nghệ giải quyết một khoảng trống đang gia tăng trong các cách tiếp cận bảo mật điểm cuối truyền thống — việc giám sát các thành phần phần mềm không thể thực thi có khả năng gây rủi ro đáng kể cho tổ chức.

Công nghệ của Koi và cơ hội thị trường

Các nhà sáng lập của Koi đã xác thực nhu cầu thị trường thông qua một nghiên cứu chứng minh khái niệm bằng cách sử dụng một phần mở rộng giả mạo Visual Studio Code (VS Code) có tên “Darcula Official.” Trong vòng một tuần kể từ khi được xuất bản lên VS Code Marketplace, phần mở rộng đã đạt hơn 300 tổ chức và được giới thiệu trên trang chủ của marketplace. Thử nghiệm cho thấy nhiều sản phẩm bảo mật doanh nghiệp tập trung chủ yếu vào các tệp có thể thực thi và các mối đe dọa ở cấp hệ điều hành, thường bỏ qua các rủi ro từ phần mềm không thể thực thi như các gói dành cho nhà phát triển và các phần mở rộng cho môi trường phát triển tích hợp (IDE).

Phạm vi của Koi không chỉ dừng ở các phần mở rộng IDE truyền thống mà còn bao gồm các container, các máy chủ Model Context Protocol (MCP) dùng để kết nối các mô hình AI với công cụ và dữ liệu bên ngoài, và chính các mô hình AI. Các thành phần không thể thực thi này nhiều hơn đáng kể so với các tệp có thể thực thi trong các môi trường phần mềm hiện đại và thường vẫn chưa được quản lý, khó để các đội an ninh doanh nghiệp nhận diện và giám sát. Nghiên cứu tình huống về phần mở rộng giả mạo đã minh họa rằng khoảng trống này là một lỗ hổng bảo mật mang tính vật chất đối với các tổ chức trên nhiều ngành, bao gồm cả các công ty Fortune 500 và các nhà vận hành hạ tầng trọng yếu.

Nhóm bảo mật điểm cuối dạng tác tử (Agentic Endpoint Security) và mô hình rủi ro

Palo Alto Networks đã định vị việc mua lại Koi trong một nhóm bảo mật mới mà hãng gọi là “Agentic Endpoint Security” (AES). Nhóm này giải quyết rủi ro đang nổi lên do các tác tử AI và các công cụ phần mềm tự động có thể hoạt động với quyền truy cập vào dữ liệu nhạy cảm và các hệ thống quan trọng. Palo Alto Networks mô tả rủi ro này là “mối đe dọa nội gián tối hậu” — một tình huống trong đó các tác tử AI, theo thiết kế hoặc thông qua việc bị xâm nhập, có thể truy cập và thao túng các tài sản có giá trị cao của tổ chức.

Mô hình bảo mật nền tảng của AES chuyển trọng tâm sang việc quản trị chuỗi cung ứng phần mềm cấp cho các điểm cuối, thay vì chỉ tập trung vào việc phát hiện hành vi độc hại trong quá trình thực thi phần mềm trên từng thiết bị. Cụ thể, mô hình nhấn mạnh vào việc quản trị các thành phần đầu vào này, bao gồm các phụ thuộc bên thứ ba, các tác tử AI và các plugin. Cách tiếp cận từ thượng nguồn này nhằm ngăn các thành phần bị xâm nhập hoặc độc hại không đến được các điểm cuối ngay từ đầu, thay vì chỉ dựa vào việc phát hiện và phản hồi sau khi đã triển khai.

Tích hợp sản phẩm và chiến lược độc lập

Công nghệ của Koi sẽ được tích hợp vào các bộ sản phẩm Prisma AIRS và Cortex XDR của Palo Alto Networks, cả hai đều tập trung vào năng lực phát hiện và phản hồi. Đáng chú ý, Palo Alto Networks đã nêu rằng Koi sẽ được duy trì như một sản phẩm độc lập, cho phép nó hoạt động song song với các công cụ phát hiện và phản hồi điểm cuối (EDR) hiện có, bao gồm các giải pháp không phải của Palo Alto. Cách tiếp cận này giúp các doanh nghiệp có môi trường công cụ bảo mật đa dạng có thể áp dụng các năng lực bảo mật chuỗi cung ứng của Koi mà không cần thay thế toàn bộ hạ tầng EDR hiện có của họ.

Câu hỏi thường gặp

Q: Agentic Endpoint Security là gì, và vì sao Palo Alto Networks cho rằng điều này quan trọng?

Agentic Endpoint Security (AES) là một nhóm bảo mật tập trung vào việc bảo vệ các tác tử AI và các công cụ tự động có thể truy cập dữ liệu nhạy cảm và các hệ thống quan trọng. Palo Alto Networks mô tả các rủi ro do các tác tử như vậy gây ra là “mối đe dọa nội gián tối hậu” vì các tác tử bị xâm phạm hoặc độc hại có thể vận hành với quyền truy cập hệ thống hợp lệ. AES giải quyết vấn đề này bằng cách mở rộng quản trị bảo mật sang chuỗi cung ứng phần mềm, bao gồm các mô hình AI và plugin, thay vì chỉ tập trung vào việc phát hiện ở cấp điểm cuối trong quá trình thực thi.

Q: Bảo mật chuỗi cung ứng phần mềm của Koi khác gì so với các công cụ phát hiện và phản hồi điểm cuối truyền thống (EDR)?

Các công cụ EDR truyền thống tập trung vào việc phát hiện và phản hồi hành vi độc hại trên thiết bị trong quá trình thực thi phần mềm, chủ yếu giám sát các tệp có thể thực thi và hoạt động ở cấp hệ điều hành. Cách tiếp cận của Koi chuyển hướng sang phía thượng nguồn để quản trị các thành phần phần mềm không thể thực thi — chẳng hạn như các phần mở rộng IDE, các container và các mô hình AI — trước khi chúng đến được các điểm cuối. Thử nghiệm phần mở rộng giả mạo của Koi trên VS Code đã chứng minh rằng các thành phần không thể thực thi này có thể tiếp cận hàng trăm tổ chức mà không bị phát hiện, tạo ra một khoảng trống mà các công cụ EDR truyền thống không giải quyết được.

Q: Sau khi mua lại, Koi sẽ vẫn độc lập hay sẽ được tích hợp hoàn toàn vào các sản phẩm hiện có của Palo Alto Networks?

Palo Alto Networks đã nêu rằng Koi sẽ được duy trì như một sản phẩm độc lập sau thương vụ mua lại, ngay cả khi công nghệ của hãng được tích hợp vào Prisma AIRS và Cortex XDR. Điều này cho phép Koi hoạt động song song với các công cụ EDR và bảo mật không thuộc hệ sinh thái Palo Alto, giúp các doanh nghiệp có môi trường bảo mật pha trộn có thể áp dụng năng lực bảo mật chuỗi cung ứng của Koi mà không cần thay thế hạ tầng hiện có của họ.