Vì sao nhiều doanh nghiệp vẫn bị xâm nhập dù đã đầu tư cho an ninh mạng?

Theo Công ty Cổ phần An ninh mạng Việt Nam (VSEC), đơn vị thành viên thuộc hệ sinh thái Tập đoàn Công nghệ G-Group, khoảng cách lớn nhất trong phòng thủ an ninh mạng năm 2025 không nằm ở công nghệ, mà nằm ở năng lực vận hành, quản trị danh tính và khả năng phối hợp giữa con người – quy trình – công nghệ. Nếu không thu hẹp được khoảng cách này, việc tiếp tục đầu tư thêm công cụ sẽ khó mang lại hiệu quả tương xứng.

HƠN 90% DOANH NGHIỆP KHI KIỂM TRA ĐÁNH GIÁ XÂM NHẬP ĐỀU CÓ MÃ ĐỘC NẰM VÙNG

Theo Báo cáo Tổng hợp tình hình An ninh mạng 2025 và Xu hướng 2026 của VSEC vừa được công bố, bên cạnh việc liên tục gia tăng các hoạt động tấn công sử dụng công nghệ cao, đa dạng trong hình thức tấn công thì AI đang được ghi nhận đạt được mức độ thành công cao hơn cách thức truyền thống.

Tại Việt Nam, hơn 46% số cuộc tấn công DDOS có liên quan tới AI (khoảng 117.000 cuộc tấn công). Các hình thức tấn công nhằm vào người dùng online qua hình thức lừa đảo trực tiếp có sử dụng các công nghệ AI đang gia tăng chóng mặt tại Việt Nam cũng như trong khu vực.

Một điểm đáng chú ý mà Báo cáo đưa đưa ra là mức độ nguy hiểm của các lỗ hổng bảo mật tại các doanh nghiệp, tập đoàn chiếm tỉ trọng lớn bên cạnh khối ngành BFSI (Ngân hàng, Dịch vụ tài chính và Bảo hiểm). Bên cạnh đó, thị trường điện toán đám mây đang ngày càng gia tăng bởi chuyển đổi số dẫn đến nguy cơ leo thang về bảo mật đám mây.

Thông qua các dữ liệu không chỉ dừng lại thu thập trong năm 2025, Báo cáo của VSEC còn cho thấy sự gia tăng về các hình thái tấn công, các xu hướng phòng thủ mới và các tiêu chuẩn quốc tế được khuyến nghị dành cho các tổ chức và doanh nghiệp.

Trung bình mỗi phút, thế giới thiệt hại khoảng 333.000 đô la do các sự cố an ninh mạng. “Đây là con số cho thấy an ninh mạng không còn là vấn đề kỹ thuật thuần túy mà là vấn đề kinh tế vĩ mô”, ông Phan Hoàng Giáp, Phó Tổng Giám đốc VSEC, cho biết. “Khi nhìn nhận đầu tư an ninh mạng dưới góc độ quản trị rủi ro, chúng ta sẽ hiểu rằng chi phí đầu tư hôm nay chính là để bảo vệ giá trị khỏi những tổn thất khổng lồ trong tương lai”.

"Hơn 90% doanh nghiệp khi kiểm tra đánh giá xâm nhập (Compromise Assessment) thì đều có mã độc đã nằm vùng", ông Phan Hoàng Giáp, Phó Tổng giám đốc VSEC, chia sẻ.

TIN TẶC KHÔNG CHỈ NHẮM ĐẾN NƠI “CÓ TIỀN” MÀ NHẮM ĐẾN NƠI “CÓ DỮ LIỆU”

Tại Việt Nam, thiệt hại do ransomware trong 6 tháng đầu năm 2025 ước tính khoảng 250 tỷ đồng. Tổng thiệt hại do lừa đảo trực tuyến trong năm 2025 lên tới 40.000 tỷ đồng. Các cuộc tấn công mạng gây thiệt hại khoảng 18.900 tỷ đồng – tương đương doanh thu của một tập đoàn lớn.

Về ngành nghề bị tấn công, giáo dục là lĩnh vực bị tấn công nhiều nhất toàn cầu trong năm 2025, tiếp theo là khối cơ quan nhà nước. Xu hướng này cho thấy tin tặc không chỉ nhắm đến nơi “có tiền” mà nhắm đến nơi “có dữ liệu” và có mức đầu tư an ninh mạng còn hạn chế.

Các hình thức tấn công chủ đạo nhằm mục tiêu xâm nhập, nằm vùng hệ thống trong thời gian dài của doanh nghiệp bao gồm 4 hình thức tấn công chủ yếu là thông qua Malware, tấn công web, tấn công mật khẩu và tấn công hỗn hợp. Các hình thức tấn công này tập trung chủ yêu vào các khối Tài chính, Khu công nghiệp và Giáo dục. Đặc biệt, khi triển khai CA (Compromise Assessment) trên nhóm khách hàng này, VSEC cũng nhận thấy mức độ nghiêm trọng của các xâm nhập trên hệ thống máy chủ cấp độ Critical chiếm tỷ lệ tới 75%.

Chuyên gia VSEC nhận định: “Không có sự bùng nổ của các kỹ thuật tấn công hoàn toàn mới, nhưng có sự thay đổi rõ rệt trong cách thức kết hợp, tối ưu và vận hành các kỹ thuật đã tồn tại”.

Kết quả của các cuộc tấn công mạng trong năm 2025 không đến từ một kỹ thuật đơn lẻ, mà đến từ khả năng phối hợp nhiều kỹ thuật trong cùng một chiến dịch, vẫn khai thác và tận dụng các điểm yếu về con người, quy trình và công nghệ.

NGÂN SÁCH AN NINH MẠNG TIẾP TỤC TĂNG TRƯỞNG, SONG HIỆU QUẢ CHƯA TƯƠNG XỨNG MỨC ĐẦU TƯ

Điểm chung của nhiều tổ chức bị xâm nhập trong năm 2025 không phải là thiếu giải pháp, mà nằm ở năng lực vận hành bảo mật thực tế, như quản trị danh tính yếu, phân quyền dư thừa; thiếu xác thực đa yếu tố chống phishing; SOC phụ thuộc nhiều vào xử lý thủ công; thời gian phát hiện kéo dài, trong khi attacker đã kịp thiết lập chỗ đứng trong hệ thống.

Theo ông Phan Hoàng Giáp, mặc dù ngân sách dành cho an ninh mạng tại nhiều tổ chức tiếp tục tăng trưởng trong năm 2025, song hiệu quả phòng thủ chưa tương xứng với mức đầu tư.

Nhiều tổ chức sở hữu đầy đủ các thành phần như firewall, EDR, SIEM, SOC, nhưng các thành phần này hoạt động rời rạc, thiếu ngữ cảnh và phụ thuộc nhiều vào thao tác thủ công. Trong khi đó, các chiến dịch tấn công hiện đại được tự động hóa cao, tạo ra sự mất cân bằng rõ rệt về tốc độ.

Chuyên gia VSEC nhận định phần lớn các vụ xâm nhập được ghi nhận thông qua hoạt động đánh giá xâm nhập (Compromise Assessment) và xử lý sự cố trong năm 2025 đều bắt nguồn từ những điểm rất “cơ bản” như thông tin đăng nhập bị lộ, thiếu cơ chế xác thực đa yếu tố hoặc việc cấp quyền đặc quyền quá rộng. 

“Quản trị danh tính và quyền truy cập đang trở thành cửa ngõ phổ biến nhất cho các chiến dịch xâm nhập hiện đại, đặc biệt trong các môi trường CNTT phức tạp”, ông Phan Hoàng Giáp, Phó Tổng Giám đốc kiêm CTO VSEC, nhận định. 

Chuyên gia VSEC nhận định phần lớn các vụ xâm nhập được ghi nhận thông qua hoạt động đánh giá xâm nhập (Compromise Assessment) và xử lý sự cố trong năm 2025 đều bắt nguồn từ những điểm rất “cơ bản” như thông tin đăng nhập bị lộ, thiếu cơ chế xác thực đa yếu tố hoặc việc cấp quyền đặc quyền quá rộng.

Khi đã thiết lập được chỗ đứng ban đầu trong hệ thống, kẻ tấn công có thể nhanh chóng di chuyển ngang sang các máy chủ, tài khoản và phân vùng khác nếu tổ chức không có cơ chế giám sát hành vi tập trung và phát hiện bất thường kịp thời.

“Quản trị danh tính và quyền truy cập đang trở thành cửa ngõ phổ biến nhất cho các chiến dịch xâm nhập hiện đại, đặc biệt trong các môi trường CNTT phức tạp”, ông Phan Hoàng Giáp, Phó Tổng Giám đốc kiêm CTO VSEC, nhận định.

"Các cuộc tấn công với tốc độ của máy móc nhưng phòng thủ với tốc độ con người. Nếu chúng ta không cải thiện các vấn đề về con người, quy trình và công nghệ thì chúng ta sẽ thua trong các cuộc đối đầu này", ông Giáp cho biết.

Theo các thống kê toàn cầu, tổng thiệt hại do tội phạm mạng gây ra trong năm 2025 ước tính lên tới 10,5 nghìn tỷ USD. Cùng năm, hơn 16 tỷ tài khoản bị ảnh hưởng bởi các sự cố rò rỉ dữ liệu. Chỉ tính đến giữa tháng 12/2025, thế giới đã ghi nhận hơn 45.500 lỗ hổng bảo mật (CVE), trong đó 66,4% ở mức cao và nghiêm trọng.

Đáng chú ý, các cuộc tấn công có sự hỗ trợ của AI đang đạt tỷ lệ thành công lên tới 70%, vượt xa phương thức truyền thống. Số vụ tấn công sử dụng AI được dự báo vượt 28 triệu trong năm 2025, tăng mạnh so với năm trước.

Song song đó, mô hình Ransomware-as-a-Service khiến việc triển khai tấn công trở nên “công nghiệp hóa”, cho phép các nhóm ít kinh nghiệm cũng có thể thực hiện chiến dịch xâm nhập với chi phí ban đầu thấp.

Năm 2025 vì vậy đánh dấu một sự chuyển dịch mang tính cấu trúc: tấn công mạng không còn diễn ra rời rạc mà được vận hành như chuỗi xâm nhập hoàn chỉnh – từ đánh cắp danh tính, duy trì hiện diện, leo thang đặc quyền, di chuyển ngang cho tới đánh cắp dữ liệu và tống tiền.

Bước sang 2026, an ninh mạng đang trở thành năng lực quản trị cấp lãnh đạo, buộc doanh nghiệp chuyển sang phòng thủ chủ động, tập trung vào phát hiện sớm theo chuỗi hành vi và khả năng phục hồi hệ thống lõi.