Hãy tưởng tượng một pháo đài kiên cố với những bức tường cao vút để chống lại kẻ thù bên ngoài - đó chính là triết lý an ninh mạng của hai thập kỷ trước. Nhưng thế giới đã thay đổi. Kẻ thù đã có mặt bên trong thành trì từ lâu, và chúng ta mới chỉ nhận ra điều này. Theo phân tích mới nhất của các biên tập viên Dark Reading - những người đã chứng kiến sự tiến hóa của ngành an ninh mạng suốt 20 năm qua, chúng ta đang sống trong kỷ nguyên 'assume-breach' (mặc định bị xâm nhập), nơi chiến thuật phòng thủ biên giới (perimeter defense) truyền thống đã trở nên lạc hậu hoàn toàn.

Cuộc cách mạng từ 'tường thành' sang 'miễn dịch'

Chúng tôi nhận thấy sự thay đổi paradigm này không chỉ là xu hướng mà là sự sống còn. Phòng thủ biên giới (perimeter defense) - chiến thuật tập trung vào việc ngăn chặn kẻ tấn công xâm nhập vào mạng nội bộ thông qua tường lửa và các giải pháp bảo mật ranh giới - đã thống trị trong suốt những năm 2000 và đầu 2010. Khi đó, các tổ chức tin tưởng rằng chỉ cần xây dựng một 'pháo đài kỹ thuật số' đủ mạnh, họ có thể ngăn chặn mọi cuộc tấn công.

Tuy nhiên, thực tế đã chứng minh suy nghĩ này là một ảo tưởng nguy hiểm. Các vụ tấn công APT (Advanced Persistent Threat - mối đe dọa dai dẳng nâng cao) như Stuxnet năm 2010, hay vụ rò rỉ dữ liệu của Equifax năm 2017, đã cho thấy kẻ tấn công luôn tìm cách xâm nhập thành công. Chiến thuật 'assume-breach' ra đời với giả định rằng kẻ tấn công đã có mặt trong hệ thống, và nhiệm vụ là phát hiện, ngăn chặn sự lan truyền và giảm thiểu thiệt hại.

Bộ ba 'siêu phẩm' thay đổi cuộc chơi

AI (Trí tuệ nhân tạo), cloud (điện toán đám mây) và đại dịch COVID-19 đã tạo nên một 'cơn bão hoàn hảo' biến đổi hoàn toàn bản đồ mối đe dọa. AI vừa là vũ khí của kẻ tấn công, vừa là công cụ phòng thủ của các tổ chức. Machine Learning (học máy) giúp phát hiện các hành vi bất thường trong mạng, nhưng đồng thời kẻ tấn công cũng sử dụng AI để tạo ra malware (phần mềm độc hại) thông minh hơn, deepfake tinh vi hơn, và các cuộc tấn công social engineering (kỹ thuật xã hội) không thể phân biệt được.

Điện toán đám mây đã xóa nhòa ranh giới truyền thống của mạng doanh nghiệp. Zero Trust Architecture (kiến trúc tin cậy bằng không) trở thành tiêu chuẩn mới, với nguyên tắc 'never trust, always verify' (không bao giờ tin tưởng, luôn xác thực). COVID-19 như một chất xúc tác, buộc hàng triệu nhân viên làm việc từ xa, tạo ra hàng triệu điểm cuối mới cần bảo vệ. Remote work (làm việc từ xa) không còn là xu hướng mà trở thành thực tế, khiến các mô hình bảo mật truyền thống gần như vô dụng.

Nghịch lý của kỷ nguyên số: Công nghệ cao, lỗi cơ bản

Theo phân tích của chúng tôi, điều đáng lo ngại nhất không phải là sự tinh vi của các cuộc tấn công, mà là việc các tổ chức vẫn thất bại ở những nguyên tắc bảo mật cơ bản nhất. Security hygiene (vệ sinh an ninh mạng) - bao gồm cập nhật bản vá, quản lý mật khẩu, backup dữ liệu và đào tạo nhận thức bảo mật - vẫn bị bỏ qua một cách đáng kinh ngạc. Nhiều vụ tấn công 'sophisticated' (tinh vi) thực chất có thể được ngăn chặn bằng các biện pháp cơ bản.

Vulnerability management (quản lý lỗ hổng) là một ví dụ điển hình. Mặc dù có hàng trăm CVE (Common Vulnerabilities and Exposures - mã định danh lỗ hổng bảo mật quốc tế) được phát hiện mỗi tháng, nhiều tổ chức vẫn để các lỗ hổng đã được vá trong nhiều tháng mà không cập nhật. Ransomware (mã độc tống tiền) WannaCry năm 2017 đã tấn công thành công hàng trăm nghìn máy tính chỉ vì chúng chưa cập nhật bản vá MS17-010 mà Microsoft đã phát hành từ tháng 3/2017.

Lộ trình bảo vệ cho doanh nghiệp Việt Nam

Chúng tôi khuyến nghị các doanh nghiệp Việt Nam cần thực hiện ngay bốn bước cơ bản sau. Đầu tiên, triển khai chiến thuật Zero Trust với nguyên tắc xác thực đa yếu tố (MFA - Multi-Factor Authentication) cho tất cả tài khoản quan trọng. Thứ hai, xây dựng quy trình patch management (quản lý bản vá) tự động với chu kỳ cập nhật hàng tuần cho các hệ thống critical (quan trọng). Thứ ba, đầu tư vào SIEM (Security Information and Event Management - hệ thống quản lý thông tin và sự kiện bảo mật) để giám sát liên tục các hoạt động bất thường trong mạng.

Cuối cùng và quan trọng nhất, đào tạo security awareness (nhận thức bảo mật) cho toàn bộ nhân viên ít nhất mỗi quý một lần. Theo thống kê của VNISA (Hiệp hội An ninh không gian mạng Việt Nam), hơn 70% các vụ tấn công thành công tại Việt Nam bắt đầu từ email fishing hoặc social engineering. Đầu tư vào 'yếu tố con người' không chỉ rẻ hơn mà còn hiệu quả hơn nhiều so với việc mua sắm các giải pháp công nghệ đắt tiền.