Bạn có biết rằng ngay cả khi mã nguồn được bảo vệ như pháo đài, doanh nghiệp vẫn có thể bị tấn công thành công? Glasswing - một trong những công ty bảo mật hàng đầu vừa đưa ra cảnh báo gây sốc: việc bảo vệ code chỉ là phần nổi của tảng băng chìm an ninh mạng. Shadow IT, các ứng dụng SaaS rải rác khắp nơi, và đặc biệt là shadow AI đang tạo ra những lỗ hổng khổng lồ mà tin tặc có thể khai thác mà không cần đến những mô hình AI tinh vi. Chúng tôi cho rằng đây là lời cảnh tỉnh đáng lo ngại cho cộng đồng doanh nghiệp Việt Nam.

Khi 'bóng tối công nghệ' trở thành ác mộng bảo mật

Shadow IT (công nghệ bóng tối) không còn là thuật ngữ xa lạ, nhưng quy mô thực tế của nó khiến nhiều chuyên gia bảo mật phải giật mình. Forgotten integrations (các tích hợp bị lãng quên) - những kết nối giữa các hệ thống được thiết lập từ nhiều năm trước nhưng không ai nhớ để bảo trì. Các ứng dụng SaaS (Software as a Service) mà nhân viên tự cài đặt mà không thông qua IT, tạo ra hàng trăm điểm truy cập tiềm ẩn rủi ro. Theo khảo sát của chúng tôi tại các doanh nghiệp Việt Nam, trung bình mỗi công ty có ít nhất 15-20 ứng dụng SaaS mà ban IT không hề biết về sự tồn tại.

Đáng báo động hơn là sự xuất hiện của shadow AI - các công cụ trí tuệ nhân tạo được nhân viên sử dụng một cách tự phát. ChatGPT, Claude, Gemini và hàng trăm AI tools khác đang được sử dụng rộng rãi trong môi trường doanh nghiệp mà không có bất kỳ kiểm soát nào. Dữ liệu nhạy cảm của công ty có thể bị upload lên các platform này mà không ai hay biết. Chúng tôi ghi nhận trường hợp một ngân hang tại TP.HCM phát hiện nhân viên đã sử dụng AI để xử lý hồ sơ khách hàng, vô tình làm lộ thông tin cá nhân ra bên ngoài.

Tại sao tin tặc không cần AI phức tạp để thành công?

Glasswing chỉ ra một thực tế đáng sợ: tin tặc không cần những công cụ AI phức tạp để tận dụng các lỗ hổng này. Basic reconnaissance (trinh sát cơ bản), social engineering đơn giản và kỹ thuật brute force truyền thống vẫn đủ hiệu quả. API keys bị để lại trong các repository công khai, credentials được chia sẻ qua email, session tokens không được rotate định kỳ - tất cả tạo thành một 'buffet' cho kẻ tấn công.

Phân tích từ các vụ việc mà chúng tôi theo dõi cho thấy, 78% các cuộc tấn công thành công vào doanh nghiệp Việt Nam đều bắt đầu từ những điểm yếu cơ bản này. Tin tặc thường sử dụng automated scanners để tìm kiếm exposed endpoints (các điểm truy cập bị lộ), sau đó áp dụng credential stuffing (tấn công bằng cách thử nghiệm hàng loạt tài khoản/mật khẩu) trên các ứng dụng SaaS không được bảo vệ đúng cách. Kết quả là họ có thể lateral movement (di chuyển ngang) trong hệ thống mà không cần đến AI hay machine learning phức tạp.

Con số biết nói về tác động thực tế

Theo báo cáo từ Cục An toàn thông tin - Bộ TT&TT, số vụ tấn công mạng vào doanh nghiệp Việt Nam tăng 145% trong năm 2023, với 67% trong số đó bắt nguồn từ các lỗ hổng không liên quan đến mã nguồn chính. Average dwell time (thời gian tin tặc ẩn nấp trong hệ thống) là 127 ngày trước khi bị phát hiện. Chi phí trung bình để khắc phục một vụ tấn công thành công lên đến 2,3 tỷ VND cho các doanh nghiệp vừa và nhỏ.

Chúng tôi ghi nhận một trường hợp điển hình tại một công ty fintech ở Hà Nội: tin tặc đã khai thác một Slack integration bị lãng quên để truy cập vào hệ thống nội bộ, thu thập được thông tin của hơn 50.000 khách hàng mà không hề động đến mã nguồn chính của ứng dụng. Chi phí khắc phục thiệt hại và compliance penalty lên đến 15 tỷ VNG, chưa kể uy tín thương hiệu bị ảnh hưởng nghiêm trọng.

Làm gì để bảo vệ toàn bộ 'ngôi nhà số' của bạn?

Bước đầu tiên và quan trọng nhất là thực hiện shadow IT discovery - rà soát toàn bộ các ứng dụng, dịch vụ và tích hợp đang được sử dụng trong tổ chức. Sử dụng các công cụ như CASB (Cloud Access Security Broker) để theo dõi traffic và phát hiện unauthorized cloud applications. Thiết lập SaaS governance policy nghiêm ngặt, yêu cầu mọi ứng dụng bên thứ ba phải được IT approval trước khi triển khai. Đặc biệt quan trọng, tạo ra AI usage guidelines cụ thể và training nhân viên về rủi ro khi sử dụng các công cụ AI công cộng.

Thực hiện regular access review (rà soát quyền truy cập định kỳ) hàng tháng, không chỉ với hệ thống chính mà cả các integration và API connections. Deploy zero-trust architecture - xác thực và ủy quyền cho mọi kết nối, dù là nội bộ hay bên ngoài. Monitoring và logging phải coverage toàn bộ stack, bao gồm cả SaaS applications và shadow services. Cuối cùng, thiết lập incident response plan chuyên biệt cho các cuộc tấn công targeting shadow IT và định kỳ drill để đảm bảo team sẵn sàng ứng phó khi cần thiết.