An ninh mạng trong kỷ nguyên AI

Mã độc “nằm vùng” và lỗ hổng danh tính

Bức tranh an ninh mạng Việt Nam năm qua được phác họa bằng những con số đáng suy nghĩ. Theo báo cáo của VSEC, khi giám sát hơn 10.000 máy chủ và 30.000 máy trạm tại các doanh nghiệp, đơn vị này phát hiện 100% tổ chức được kiểm tra đều tồn tại mã độc trong hệ thống, dù bề ngoài hạ tầng công nghệ thông tin vẫn vận hành bình thường.

Đáng lo ngại, nhiều mã độc không kích hoạt ngay. Chúng âm thầm ẩn mình, thu thập dữ liệu, dò quét quyền truy cập và chờ thời điểm thích hợp để bùng phát. Đây là đặc trưng của các cuộc tấn công có chủ đích (APT), nơi tin tặc ưu tiên chiếm quyền kiểm soát dài hạn thay vì gây gián đoạn tức thì.

Một điểm yếu mang tính hệ thống được chỉ ra là quản trị danh tính và phân quyền truy cập. Có tới 8/10 doanh nghiệp tồn tại lỗ hổng trong quản lý tài khoản người dùng: cấp quyền vượt quá nhu cầu công việc, không thu hồi tài khoản khi nhân sự nghỉ việc, thiếu xác thực đa yếu tố. Khi đã chiếm được thông tin đăng nhập hợp lệ, kẻ tấn công có thể di chuyển sâu trong hệ thống mà gần như không bị phát hiện.

Ở nhóm doanh nghiệp vừa và nhỏ (SMB), tỷ lệ sai sót trong quản trị danh tính lên tới 100%. Điều này cho thấy vấn đề không chỉ nằm ở công nghệ, mà còn ở quy trình và nhận thức quản trị.

Thiệt hại vì thế ngày càng lớn. Báo cáo ước tính tổng thiệt hại do tấn công mạng đối với doanh nghiệp Việt Nam khoảng 18.900 tỷ đồng. Riêng 6 tháng đầu năm, mã độc tống tiền (ransomware) đã gây thiệt hại hơn 250 tỷ đồng. Giai đoạn 2020–2025, các hình thức lừa đảo trực tuyến liên quan tiền ảo, tài chính số gây thất thoát gần 40.000 tỷ đồng.

Trên toàn cầu, tội phạm mạng gây thiệt hại khoảng 10,5 nghìn tỷ USD mỗi năm, tương đương 333.000 USD mỗi phút (khoảng 8,6 tỷ đồng/phút). Những con số này cho thấy an ninh mạng đã vượt khỏi phạm vi kỹ thuật thuần túy để trở thành vấn đề kinh tế - xã hội có tác động sâu rộng.

Trong các lĩnh vực bị nhắm đến, khối ngân hàng - tài chính - dịch vụ (BFSI) là mục tiêu hàng đầu. 43% sự kiện an ninh trên máy chủ và 48% trên thiết bị mạng tập trung vào lĩnh vực này. Với đặc thù nắm giữ dữ liệu nhạy cảm và dòng tiền lớn, ngân hàng trở thành “điểm nóng” của các chiến dịch tấn công tinh vi.

Ông Phan Hoàng Giáp - Phó Tổng giám đốc kiêm CTO VSEC, nhận định: “Phần lớn doanh nghiệp hiện nay vẫn đặt trọng tâm vào đầu tư thiết bị, tường lửa hay giải pháp phòng thủ ngoại vi, nhưng lại xem nhẹ quản trị danh tính và kiểm soát truy cập nội bộ. Trong khi đó, khi kẻ tấn công đã chiếm được một tài khoản hợp lệ, chúng có thể di chuyển trong hệ thống như một người dùng bình thường”.

Theo ông Giáp, an ninh mạng hiện đại đòi hỏi cách tiếp cận “zero trust” - không mặc định tin tưởng bất kỳ truy cập nào, kể cả từ bên trong. “Nếu không kiểm soát tốt danh tính số và quyền hạn, mọi lớp bảo vệ khác sẽ trở nên mong manh” - ông Giáp nhấn mạnh.

AI và sự tái định hình phòng thủ số

Nếu trước đây DDoS chủ yếu dựa vào botnet và lưu lượng lớn, thì nay trí tuệ nhân tạo đã nâng cấp đáng kể mức độ tinh vi. VSEC ghi nhận 46% số vụ DDoS tại Việt Nam có sử dụng AI, tương đương hơn 117.000 cuộc tấn công trong năm.

AI giúp tin tặc tự động hóa quá trình thu thập thông tin mục tiêu, tối ưu hóa lưu lượng tấn công và điều chỉnh chiến thuật theo phản ứng của hệ thống phòng thủ. Nhờ đó, tỷ lệ thành công của các cuộc tấn công sử dụng AI đạt khoảng 70%, cao hơn đáng kể so với mức 47,6% của phương pháp truyền thống. Trên toàn cầu, hơn 28 triệu cuộc tấn công có sử dụng AI đã được ghi nhận, tăng 72% so với năm trước.

Không dừng ở DDoS, AI còn được ứng dụng trong lừa đảo và giả mạo. Các vụ deepfake mạo danh lãnh đạo nhằm yêu cầu chuyển tiền hoặc cung cấp dữ liệu tăng khoảng 120%. Khi hình ảnh và giọng nói có thể bị tái tạo chân thực, quy trình xác minh nội bộ trở thành tuyến phòng thủ cuối cùng.

Theo ông Phan Hoàng Giáp, AI đã làm thay đổi căn bản cục diện an ninh mạng: “Trước đây, để thực hiện một chiến dịch tấn công quy mô lớn cần nhiều nhân lực và thời gian. Nay, với AI, kẻ tấn công có thể tự động hóa gần như toàn bộ quy trình - từ thu thập thông tin, tạo kịch bản lừa đảo đến tối ưu hóa mã độc”.

Tuy nhiên, Phó Tổng giám đốc kiêm CTO VSEC cũng nhấn mạnh tính hai mặt của công nghệ: “AI cũng là chìa khóa để nâng cao năng lực phòng thủ. Các hệ thống học máy có thể phân tích hành vi bất thường, tương quan hàng triệu sự kiện trong thời gian ngắn và rút ngắn đáng kể thời gian phát hiện - phản ứng sự cố”.

Báo cáo cho thấy việc ứng dụng AI và tự động hóa trong trung tâm điều hành an ninh (SOC) có thể giúp giảm 33-43% thời gian xác định và ứng phó sự cố so với mô hình không sử dụng AI. Công nghệ này cũng hỗ trợ phân loại cảnh báo theo mức độ ưu tiên, gợi ý phương án xử lý theo ngữ cảnh, qua đó giảm gánh nặng cho nhân sự và cải thiện thời gian phản ứng trung bình.

Dù vậy, ông Giáp cảnh báo: “Triển khai AI mà không có dữ liệu chuẩn hóa, quy trình rõ ràng và nhân sự đủ năng lực thì sẽ chỉ làm tăng chi phí mà không cải thiện hiệu quả bảo mật”.

Vị chuyên gia này cũng nhấn mạnh thêm: “An ninh mạng không phải cuộc đua vũ trang đơn thuần về công nghệ, mà là cuộc đua về nhận thức và quản trị. Khi doanh nghiệp hiểu đúng rủi ro và hành động kịp thời, họ vẫn có thể giữ thế chủ động trong kỷ nguyên AI”.