Các hacker đã tìm ra con đường mới để xâm nhập hệ thống - và nó không còn là việc đánh cắp mật khẩu nữa. Báo cáo Data Breach Investigations Report (DBIR) 2026 của Verizon vừa công bố một thống kê gây sốc: lần đầu tiên trong lịch sử nghiên cứu này, việc khai thác lỗ hổng bảo mật (vulnerability exploitation) đã soán ngôi credential theft (đánh cắp thông tin đăng nhập) để trở thành vector tấn công hàng đầu. Điều này đánh dấu một bước ngoặt lịch sử trong bối cảnh an ninh mạng toàn cầu. Sự thay đổi này không phải ngẫu nhiên mà đến từ sự kết hợp giữa AI, độ trễ trong việc vá lỗi và sự gia tăng của ransomware cùng các cuộc tấn công thông qua bên thứ ba.

Cuộc đảo ngôi không ai ngờ tới

Trong suốt hơn một thập kỷ qua, credential abuse (lạm dụng thông tin đăng nhập) luôn là "vua" của các vector tấn công, chiếm tỷ lệ áp đảo trong hầu hết các vụ vi phạm dữ liệu. Hacker thường tập trung vào việc đánh cắp username/password thông qua phishing, brute force attack hoặc mua từ dark web. Chiến thuật này đơn giản nhưng hiệu quả cao bởi con người vẫn là khâu yếu nhất trong chuỗi bảo mật.

Tuy nhiên, DBIR 2026 đã ghi nhận một sự thay đổi căn bản. Vulnerability exploitation - việc khai thác các lỗ hổng bảo mật trong phần mềm, hệ điều hành hay ứng dụng web - đã chính thức vươn lên dẫn đầu. Chúng tôi cho rằng đây là tín hiệu cảnh báo nghiêm trọng cho toàn ngành IT, bởi nó cho thấy các tổ chức đang tụt hậu trong cuộc đua vá lỗi với tốc độ phát hiện và khai thác ngày càng nhanh của tin tặc.

Trí tuệ nhân tạo - con dao hai lưỡi của kỷ nguyên số

Nguyên nhân chính dẫn đến sự thay đổi này chính là sự xuất hiện và phổ biến của AI trong các cuộc tấn công mạng. Các tool được hỗ trợ bởi machine learning giờ đây có thể quét và phát hiện vulnerability với tốc độ chưa từng có. Những gì trước đây cần hàng tuần để security researcher phân tích, giờ chỉ mất vài giờ. AI không chỉ giúp tìm lỗ hổng mà còn tự động hóa việc tạo exploit code, biến những hacker nghiệp dư thành những "chuyên gia" nguy hiểm.

Mặt khác, patching delays (độ trễ vá lỗi) ngày càng trở thành vấn nạn toàn cầu. Theo quan sát của chúng tôi, nhiều tổ chức Việt Nam vẫn duy trì chu kỳ patch hàng tháng trong khi tin tặc có thể phát động tấn công chỉ sau vài giờ kể từ khi lỗ hổng được công bố. Khoảng cách thời gian này tạo ra "window of opportunity" khổng lồ cho cybercriminal khai thác. Zero-day vulnerabilities (lỗ hổng không ngày) và N-day exploits (khai thác lỗ hổng đã biết nhưng chưa vá) đang trở thành vũ khí ưa thích.

Ransomware và third-party: Cơn bão kép tàn phá doanh nghiệp

Báo cáo cũng ghi nhận sự gia tăng đáng lo ngại của ransomware attacks và third-party compromises (xâm nhập thông qua bên thứ ba). Ransomware groups như LockBit, ALPHV hay Cl0p đã chuyển từ tấn công "bừa bãi" sang targeted attacks, tập trung vào các mục tiêu có giá trị cao. Họ kết hợp vulnerability exploitation với living-off-the-land techniques để tránh phát hiện và tối đa hóa thiệt hại.

Supply chain attacks (tấn công chuỗi cung ứng) qua các vendor và service provider cũng tăng mạnh. Chúng tôi đánh giá đây là xu hướng đặc biệt nguy hiểm bởi một lỗ hổng trong hệ thống của nhà cung cấp có thể ảnh hưởng đến hàng trăm, thậm chí hàng nghìn khách hàng downstream. Các vụ việc như SolarWinds, Kaseya hay gần đây là MOVEit đã chứng minh sức tàn phá kinh hoàng của loại tấn công này.

Chiến lược phòng thủ cho doanh nghiệp Việt Nam

Trước làn sóng tấn công mới này, các tổ chức Việt Nam cần điều chỉnh strategy bảo mật ngay lập tức. Đầu tiên, triển khai Vulnerability Management Program chuyên nghiệp với quy trình patch trong vòng 72 giờ đối với critical vulnerabilities. Sử dụng các công cụ như Nessus, OpenVAS hoặc Qualys để quét định kỳ và maintain asset inventory đầy đủ. Virtual Patching thông qua Web Application Firewall (WAF) có thể tạm thời bảo vệ trong lúc chờ patch chính thức.

Thứ hai, xây dựng Defense in Depth với nhiều lớp bảo vệ: Network Segmentation để hạn chế lateral movement, Endpoint Detection and Response (EDR) để phát hiện anomaly behavior, và Security Information and Event Management (SIEM) để correlation các security events. Đặc biệt quan trọng là Zero Trust Architecture - "never trust, always verify" - không tin tưởng bất kỳ traffic nào mà luôn xác thực và kiểm tra. Cuối cùng, thiết lập Incident Response Plan chi tiết và thực hành drill thường xuyên, bởi câu hỏi không phải là "liệu có bị tấn công không" mà là "khi nào sẽ bị tấn công".