Hacker tấn công bằng "tốc độ máy", doanh nghiệp không thể phòng thủ bằng "tốc độ người"

Theo khảo sát được hãng bảo mật Fortinet phối hợp với Forrester Consulting thực hiện với 585 lãnh đạo công nghệ thông tin và an ninh mạng tại châu Á – Thái Bình Dương, có tới 75% tổ chức xem các mối đe dọa từ AI là mối lo ngại hàng đầu. Tuy nhiên, song song với đó, 71% tổ chức cho rằng tình trạng công cụ bảo mật rời rạc và khối lượng cảnh báo quá lớn đang khiến hoạt động an ninh mạng trở nên khó kiểm soát hơn bao giờ hết.

Mới đây, bên lề sự kiện thường niên Accelerate Việt Nam 2026 của Fortinet, ông Peerapong Jongvibool, Giám đốc cấp cao, Fortinet Đông Nam Á, đã có những chia sẻ chi tiết về vấn đề này.

Một số doanh nghiệp lo ngại việc hợp nhất quá nhiều chức năng bảo mật trên cùng một nền tảng có thể tạo ra “single point of failure” — tức nếu hệ thống bị tấn công thì toàn bộ hạ tầng sẽ bị ảnh hưởng. Ông nhìn nhận rủi ro này như thế nào?

Đây là câu hỏi chúng tôi nhận được rất nhiều và hoàn toàn là một mối lo ngại hợp lý khi nói về chiến lược hợp nhất bảo mật. Trong ngành an ninh mạng luôn tồn tại các lỗ hổng bảo mật, hay còn gọi là CVE, và điều này có thể xảy ra với bất kỳ nhà cung cấp nào, bất kể theo mô hình hợp nhất hay phân mảnh.

Điều quan trọng hơn là cách nhà cung cấp phản ứng khi lỗ hổng xuất hiện. Với Fortinet, khi phát hiện CVE, chúng tôi chủ động công khai thông tin, đưa ra hướng dẫn giảm thiểu rủi ro và hỗ trợ khách hàng xử lý nhanh nhất có thể. Trong nhiều trường hợp trên thị trường, có những lỗ hổng được bên thứ ba phát hiện và công bố trước, sau đó nhà cung cấp mới bắt đầu triển khai vá lỗi. Theo tôi, đó mới là rủi ro lớn hơn đối với doanh nghiệp.

Điều này không có nghĩa là Fortinet không có CVE, song chúng tôi chọn cách minh bạch và chủ động trong việc xử lý sự cố. Vì vậy, thay vì chỉ tập trung vào nỗi lo “single point of failure”, doanh nghiệp nên đánh giá năng lực phản ứng, tốc độ cập nhật và khả năng hỗ trợ của nhà cung cấp khi có lỗ hổng xảy ra.

Tôi cho rằng hợp nhất là xu hướng gần như không thể tránh khỏi. Khi các nhóm tấn công đang tận dụng AI để hợp nhất năng lực tấn công của họ, phía phòng thủ cũng cần một nền tảng thống nhất để có thể phản ứng nhanh và hiệu quả hơn.

Theo ông, lợi ích chi phí lớn nhất khi chuyển sang một nền tảng tích hợp là gì?

Lợi ích lớn nhất nằm ở việc doanh nghiệp có một giải pháp đã được tích hợp sẵn ngay từ đầu. Hiện nay, phần lớn tổ chức vẫn mua các công cụ riêng lẻ từ nhiều nhà cung cấp khác nhau, và thách thức lớn nhất là làm sao để các hệ thống đó có thể kết nối, phối hợp hiệu quả với nhau. Trong khi đó, không phải doanh nghiệp nào cũng có đủ nguồn lực hoặc kỹ năng nội bộ để tự thực hiện việc tích hợp này.

Với một nền tảng hợp nhất, độ phức tạp trong triển khai và vận hành giảm đi đáng kể vì toàn bộ phần tích hợp đã được thực hiện sẵn. Bên cạnh đó, các giải pháp của chúng tôi đã tích hợp AI trực tiếp trên nền tảng cho phép doanh nghiệp khai thác AI hiệu quả hơn thay vì vận hành AI rời rạc trên từng công cụ riêng lẻ.

Nếu xét về bài toán chi phí, nghiên cứu của chúng tôi cách đây khoảng ba năm về SD-WAN (Software-Defined Wide Area Network - công nghệ quản lý và tối ưu mạng diện rộng bằng phần mềm - PV) cho thấy: khi doanh nghiệp sử dụng SD-WAN riêng biệt kết hợp với tường lửa riêng biệt, tổng chi phí đầu tư và vận hành cao hơn đáng kể so với mô hình sử dụng hệ điều hành hợp nhất, nơi SD-WAN và bảo mật được tích hợp trên cùng một thiết bị. Trong nhiều trường hợp, tổng chi phí có thể giảm tới 300%, đồng thời mang lại ROI tốt hơn rất nhiều cho khách hàng.

Theo ông, đâu là nguyên nhân khiến nhiều doanh nghiệp Việt Nam hiện nay vẫn vận hành hệ thống bảo mật khá phân mảnh?

Thực tế có nhiều yếu tố dẫn đến tình trạng này và đây không phải câu chuyện riêng của Việt Nam mà là xu hướng từng diễn ra trên toàn cầu.

Thứ nhất là yếu tố hệ thống cũ. Phần lớn doanh nghiệp xây dựng hạ tầng theo từng giai đoạn: đầu tiên là mạng, sau đó mới bổ sung thêm các lớp bảo mật và công nghệ khác. Theo thời gian, các hệ thống được chắp vá và mở rộng dần, dẫn đến kiến trúc ngày càng phức tạp.

Tôi cho rằng hợp nhất là xu hướng gần như không thể tránh khỏi. Khi các nhóm tấn công tận dụng AI để hợp nhất năng lực tấn công, phía phòng thủ cũng cần một nền tảng thống nhất để có thể phản ứng nhanh và hiệu quả hơn.

Thứ hai là cách tiếp cận lựa chọn công nghệ trong nhiều năm trước. Khi đó, thị trường rất chuộng mô hình “best of breed”, tức là với mỗi hạng mục sẽ chọn giải pháp được đánh giá tốt nhất trong phân khúc đó. Doanh nghiệp có thể sở hữu những sản phẩm hàng đầu ở từng mảng riêng lẻ, nhưng vấn đề là các hệ thống này thường không được thiết kế để kết nối và phối hợp chặt chẽ với nhau. Đây là nguyên nhân mang tính lịch sử dẫn đến sự phân mảnh trong kiến trúc an toàn thông tin hiện nay.

Những năm gần đây, không chỉ Fortinet mà nhiều tổ chức nghiên cứu đều nhấn mạnh xu hướng hợp nhất nền tảng bảo mật. Bởi thị trường nhận ra rằng việc sở hữu “giải pháp tốt nhất” ở từng danh mục chưa chắc tạo ra hiệu quả tổng thể nếu các hệ thống hoạt động rời rạc và thiếu khả năng chia sẻ dữ liệu, phối hợp phản ứng với nhau.

Thứ ba là ngân sách. Không phải tổ chức nào cũng có thể ngay lập tức đầu tư một kiến trúc bảo mật toàn diện, hợp nhất và tối ưu ngay từ đầu. Trong thực tế, doanh nghiệp luôn phải cân đối giữa nhu cầu bảo mật, chi phí đầu tư, nguồn lực vận hành và ưu tiên kinh doanh ở từng giai đoạn. Vì vậy, nhiều doanh nghiệp Việt Nam dù đã nhận thức được xu hướng hợp nhất, đã tham khảo tư vấn từ các đối tác công nghệ, nhưng vẫn phải đưa ra những quyết định phù hợp với điều kiện thực tế của mình, dẫn đến hệ thống hiện tại còn tương đối phân mảnh.

Nghiên cứu do Fortinet phối hợp với Forrester Consulting thực hiện cho thấy các mối đe dọa sử dụng AI đang ngày càng vượt quá khả năng ứng phó của nhiều tổ chức. Hacker có thể dùng AI để quét lỗ hổng và tấn công với tốc độ rất nhanh, trong khi bên phòng thủ vẫn phụ thuộc nhiều vào quy trình thủ công. Vậy theo ông, làm thế nào để doanh nghiệp có thể “thắng” trong cuộc chiến không cân bằng này?

Tôi nghĩ cần bắt đầu từ một vấn đề mang tính nền tảng hơn: tâm thức về an ninh mạng.

Rất nhiều tổ chức vẫn có suy nghĩ rằng “không thấy vấn đề gì tức là mình đang an toàn”. Họ cho rằng hệ thống vẫn vận hành bình thường thì có nghĩa là chưa bị tấn công, cho đến khi một ngày không truy cập được máy chủ, hoặc nhận được thông báo đòi tiền chuộc từ tin tặc. Khi đó mới nhận ra rằng cuộc tấn công thực tế đã diễn ra từ trước đó khá lâu.

Tâm thức này cần phải thay đổi, bởi nó ảnh hưởng trực tiếp đến cách doanh nghiệp đầu tư và vận hành an ninh mạng. Khi có nhận thức đúng, tổ chức sẽ chủ động hơn rất nhiều: thường xuyên quét lỗ hổng, theo dõi xem dữ liệu của mình có bị rao bán trên dark web hay không, hoặc phát hiện các chiến dịch giả mạo thương hiệu.

An ninh mạng không bao giờ có khái niệm an toàn tuyệt đối. Tin tặc luôn thay đổi kỹ thuật và phương thức tấn công, nên phía phòng thủ cũng phải liên tục thích ứng. Đây đúng là một cuộc chiến không cân bằng: kẻ tấn công chỉ cần thành công một lần, còn bên phòng thủ phải đúng gần như 100% thời gian.

Đó là lý do các tổ chức hiện nay phải chuyển sang cách tiếp cận chủ động hơn. Một ví dụ là công nghệ deception (đánh lừa/hệ thống mồi nhử) hay decoy (mồi nhử), tức triển khai các “bẫy giả” trong hệ thống. Nó giống như việc bố trí một căn phòng trông như nơi cất giữ tài sản giá trị, nhưng thực chất chỉ là mồi nhử để phát hiện kẻ đột nhập. Trong an ninh mạng, các môi trường giả lập như honeypot giúp doanh nghiệp phát hiện sớm và học được cách thức tấn công của hacker.

Hacker đã sử dụng AI vào các chiến thuật tấn công mạng. Các giải pháp của Fortinet ứng dụng AI như thế nào, thưa ông?

Như đã nói, các giải pháp của chúng tôi đã tích hợp AI trực tiếp trên nền tảng. Ngoài ra, Fortinet cũng ứng dụng AI mạnh mẽ để giảm thiểu thiệt hại khi sự cố xảy ra, đặc biệt là rút ngắn MTTD (Mean Time To Detect – thời gian phát hiện) và MTTR (Mean Time To Recover – thời gian khôi phục). Trước đây, nhiều quy trình phụ thuộc vào con người nên tốc độ phản ứng thường không theo kịp các cuộc tấn công tự động hóa bằng AI. Với AI-driven Security Operations, hệ thống có thể phát hiện, khoanh vùng và phản ứng ở tốc độ máy thay vì tốc độ con người.

Có thể hình dung đơn giản như một ngôi nhà được kết nối với hệ thống cảnh báo tự động. Khi kẻ trộm phá cửa, cảnh sát lập tức nhận tín hiệu và phản ứng ngay. Ngôi nhà vẫn có thể bị xâm nhập, nhưng thời gian phát hiện và xử lý được rút ngắn đáng kể. Trong an ninh mạng cũng vậy, AI không đảm bảo loại bỏ hoàn toàn rủi ro, nhưng giúp tổ chức phản ứng nhanh hơn rất nhiều để giảm thiểu thiệt hại.

Hiện nay, ứng dụng AI trong an ninh mạng không còn là lựa chọn nữa. Nếu bên tấn công đã sử dụng AI mà bên phòng thủ vẫn chỉ dựa vào quy trình thủ công, thì gần như đã thua ngay từ điểm xuất phát.