Doanh nghiệp đang bị "quá tải" bởi chính các công cụ bảo mật

Trong nhiều năm, các doanh nghiệp liên tục đầu tư vào những lớp phòng thủ mới để đối phó với các mối đe dọa an ninh mạng ngày càng tinh vi. Nhưng càng triển khai nhiều công cụ bảo mật, hoạt động vận hành càng trở nên phức tạp, phân mảnh và khó kiểm soát. Trong khi đó, các cuộc tấn công được hỗ trợ bởi trí tuệ nhân tạo (AI) gia tăng mạnh, và chính sự rời rạc của hệ thống bảo mật đang trở thành một lỗ hổng mới, đẩy nhiều tổ chức vào trạng thái quá tải.

Một nghiên cứu mới do hãng bảo mật Fortinet phối hợp với Forrester Consulting thực hiện tại khu vực châu Á – Thái Bình Dương đã cho thấy các doanh nghiệp đang đứng trước “thách thức kép”: vừa phải đối mặt với các cuộc tấn công mạng ngày càng tinh vi do AI hỗ trợ, vừa phải vật lộn với sự phức tạp nội tại trong chính hạ tầng bảo mật của mình.

QUÁ NHIỀU CÔNG CỤ, QUÁ NHIỀU CẢNH BÁO VÀ QUÁ ÍT KHẢ NĂNG KIỂM SOÁT

Theo khảo sát được thực hiện với 585 lãnh đạo công nghệ thông tin và an ninh mạng tại châu Á – Thái Bình Dương, có tới 75% tổ chức xem các mối đe dọa từ AI là mối lo ngại hàng đầu. Tuy nhiên, song song với đó, 71% tổ chức cho rằng tình trạng công cụ bảo mật rời rạc và khối lượng cảnh báo quá lớn đang khiến hoạt động an ninh mạng trở nên khó kiểm soát hơn bao giờ hết.

Chia sẻ tại phiên họp báo trong khuôn khổ sự kiện thường niên Accelerate Việt Nam 2026 của Fortinet, ông Kelvin Chua, Giám đốc cấp cao phụ trách Kỹ thuật của Fortinet Đông Nam Á, cho rằng các đội ngũ bảo mật hiện nay đang bị “trói buộc” bởi quá nhiều công cụ độc lập.

“Hiện nay, hầu hết các công cụ trên thị trường đều AI tích hợp”, ông Kelvin Chua nói. “Doanh nghiệp mua SIEM (Security Information and Event Management — hệ thống quản lý và phân tích sự kiện an ninh mạng) có AI, mua tường lửa có AI, mua giải pháp email có AI. Nhưng nếu bật AI trên từng công cụ riêng lẻ mà các công cụ đó không tích hợp với nhau, sẽ dẫn đến tình trạng chồng chất vấn đề. Các công cụ AI không giao tiếp được với nhau và mọi thứ sẽ càng tệ hơn”, ông nói.

Theo ông Kelvin Chua, thực tế này đang phản ánh một vấn đề tồn tại nhiều năm trong ngành an ninh mạng. Đó là doanh nghiệp liên tục bổ sung thêm giải pháp mới để xử lý từng loại rủi ro riêng lẻ. Nhưng theo thời gian, việc chồng chất công cụ đã tạo ra một hệ sinh thái phân mảnh, thiếu liên kết và ngày càng khó vận hành. “Doanh nghiệp sở hữu vô số hệ thống phân tán, không đồng nhất. Và khi có quá nhiều công cụ như vậy, số lượng cảnh báo cũng tăng theo cấp số nhân”, ông nói.

Chuyên gia cho rằng để AI thực sự phát huy hiệu quả, điều cốt lõi là phải tích hợp tốt tất cả các công cụ đó lại với nhau. Khi tích hợp được mọi thứ thành một nền tảng thống nhất, AI mới có thể hoạt động hiệu quả thực sự mà không bị phân tán.

Theo nghiên cứu, 51% tổ chức thừa nhận khối lượng cảnh báo quá lớn khiến họ khó phân biệt đâu là mối đe dọa thực sự cần ưu tiên xử lý. Điều này tạo ra hiện tượng “alert fatigue” – tình trạng quá tải cảnh báo vốn đang trở thành vấn đề phổ biến tại nhiều trung tâm điều hành an ninh mạng (SOC).

Trong nhiều trường hợp, các chuyên gia bảo mật phải xử lý hàng nghìn cảnh báo mỗi ngày đến từ nhiều hệ thống khác nhau. Nhưng không phải tất cả cảnh báo đều nguy hiểm. Khi số lượng cảnh báo vượt quá khả năng phân tích của con người, nguy cơ bỏ sót các cuộc tấn công thực sự sẽ gia tăng.

Không chỉ vậy, 48% tổ chức cho biết họ vẫn phụ thuộc đáng kể vào các quy trình xử lý thủ công. Điều này đồng nghĩa với việc nhiều hoạt động phát hiện, xác minh và phản ứng sự cố vẫn cần con người tham gia ở từng bước, trong khi phía tấn công đã bắt đầu sử dụng AI để tự động hóa ở quy mô lớn.

Ông Kelvin Chua nhận định đây là một sự mất cân bằng ngày càng rõ rệt giữa bên tấn công và bên phòng thủ.

“Những kẻ tấn công đang sử dụng AI để nâng cao kỹ thuật tấn công và giảm tối đa khối lượng công việc thủ công. Trong khi đó, nhiều tổ chức vẫn vận hành bảo mật theo cách truyền thống, nơi con người phải can thiệp vào hầu hết các bước trong quy trình”, ông nói.

THÁCH THỨC KÉP TRONG ĐẢM BẢO AN NINH MẠNG

Nếu trước đây các cuộc tấn công mạng phụ thuộc nhiều vào kỹ năng cá nhân của hacker, thì AI đang làm thay đổi hoàn toàn cục diện. Theo ông Nguyễn Gia Đức, Giám đốc Quốc gia Fortinet Việt Nam, khoảng 75% các cuộc tấn công mạng gần đây đã được hỗ trợ bởi AI.

Điều này đồng nghĩa với việc các cuộc tấn công không chỉ nhanh hơn mà còn tinh vi hơn, có khả năng mở rộng quy mô lớn hơn và khó phòng thủ hơn nhiều so với trước đây.

“Các mối đe dọa hiện nay đã vượt xa so với những năm trước, từ tốc độ, quy mô cho tới mức độ tinh vi do được hỗ trợ bởi AI”, ông Nguyễn Gia Đức nhận định.

AI đang giúp tội phạm mạng tự động hóa nhiều khâu vốn trước đây cần thao tác thủ công, từ tạo email lừa đảo, giả mạo nội dung, viết mã độc, dò quét lỗ hổng cho tới phân tích hành vi người dùng. Điều này làm gia tăng đáng kể áp lực lên các hệ thống phòng thủ vốn đã quá tải.

Theo ông Peerapong Jongvibool, Giám đốc cấp cao Fortinet Đông Nam Á, hacker đang sử dụng rất nhiều AI, khiến các cuộc tấn công trở nên thống nhất và phối hợp chặt chẽ hơn. Trong khi đó, phía phòng thủ, dù ở khu vực công hay tư nhân, vẫn đang ở trạng thái rất phân mảnh.

Nghiên cứu cho thấy phần lớn doanh nghiệp hiện chưa đạt mức trưởng thành cao về an ninh mạng. Có tới 68% tổ chức chỉ ở mức trung cấp và chỉ 16% đạt mức trưởng thành nâng cao.

Điều này cho thấy nhiều doanh nghiệp vẫn đang thiếu khả năng tự động hóa, thiếu khả năng hiển thị tập trung và thiếu năng lực phân tích dữ liệu thống nhất – những yếu tố được xem là nền tảng để vận hành AI hiệu quả trong an ninh mạng.

Bà Amelia Lau, Phụ trách dự án của Forrester Consulting, cho rằng nhiều tổ chức dù đầu tư mạnh nhưng vẫn gặp khó khăn trong việc vận hành bảo mật một cách hiệu quả.

“Các tổ chức đang đối mặt với thách thức kép: các mối đe dọa do AI điều khiển phát triển nhanh chóng, trong khi sự phức tạp nội bộ ngày càng gia tăng. Việc chuyển sang các phương pháp tích hợp dựa trên nền tảng sẽ rất quan trọng để cải thiện khả năng hiển thị, hiệu quả và khả năng phục hồi”, bà Amelia Lau nhận định.

XU HƯỚNG HỢP NHẤT NỀN TẢNG BẢO MẬT

Trước áp lực ngày càng lớn, các doanh nghiệp đang bắt đầu thay đổi chiến lược. Thay vì tiếp tục mở rộng số lượng công cụ riêng lẻ, nhiều tổ chức đang chuyển sang mô hình nền tảng bảo mật hợp nhất.

Theo khảo sát, hiện mới chỉ 25% tổ chức vận hành trên một nền tảng bảo mật thống nhất. Tuy nhiên, tỷ lệ này dự kiến sẽ tăng lên 51% trong vòng 12-24 tháng tới.

Động lực lớn nhất của xu hướng này là nhu cầu giảm sự phân tán công cụ bảo mật (58%), cải thiện khả năng tích hợp (52%) và xử lý sự phức tạp ngày càng tăng của môi trường công nghệ lai, bao gồm hạ tầng tại chỗ, đám mây và các hệ thống đa nền tảng.

Dù vậy, quá trình chuyển đổi này không hề dễ dàng. Có tới 51% tổ chức cho rằng chi phí chuyển đổi và nguy cơ gián đoạn vận hành là rào cản lớn nhất. Trong khi đó, 46% vẫn chưa chắc chắn liệu các nền tảng hợp nhất có đủ khả năng đáp ứng trên nhiều mô hình quản trị khác nhau hay không.

Tuy nhiên, bất chấp các lo ngại, phần lớn tổ chức vẫn tin rằng việc hợp nhất nền tảng sẽ mang lại hiệu quả rõ rệt. Khoảng 90% doanh nghiệp kỳ vọng cải thiện các chỉ số vận hành an ninh mạng, trong đó hơn 60% dự đoán mức cải thiện tối thiểu 10% ở các tiêu chí quan trọng như thời gian phát hiện, thời gian phản hồi và hiệu quả tổng thể của SOC.

“Khi các tổ chức tiếp tục đẩy nhanh quá trình chuyển đổi số và áp dụng AI, nhiều tổ chức đang đánh giá lại cách họ quản lý bảo mật trong môi trường ngày càng phân tán”, ông Peerapong Jongvibool, Giám đốc cấp cao, Fortinet Đông Nam Á, nói.

“Chúng tôi nhận thấy sự tập trung mạnh mẽ hơn vào việc đơn giản hóa hoạt động, cải thiện khả năng hiển thị trên nhiều lĩnh vực và cho phép các nhóm bảo mật hoạt động hiệu quả hơn ở quy mô lớn. Điều này đang thúc đẩy sự quan tâm ngày càng tăng đối với các phương pháp bảo mật tích hợp dựa trên nền tảng có thể giúp các tổ chức tăng cường khả năng phục hồi đồng thời giảm bớt sự phức tạp trong hoạt động”.