Một CEO ngồi trong văn phòng sang trọng, đăng nhập thành công vào hệ thống bằng mật khẩu và xác thực 2 lớp, nhưng không biết rằng chiếc laptop của mình đã bị cài mã độc từ 3 tuần trước. Đây không phải kịch bản phim mà là thực tế đang diễn ra tại hàng nghìn doanh nghiệp trên toàn cầu. Báo cáo mới từ Specops Software chỉ ra rằng xác thực danh tính (identity verification) đơn thuần đã không còn đủ sức chống lại các cuộc tấn công tinh vi. Kẻ tấn công giờ đây dễ dàng vượt qua hàng rào bảo mật truyền thống bằng cách sử dụng session token bị đánh cắp và thiết bị đã bị xâm nhập.

Khi danh tính trở thành "giấy thông hành" giả mạo

Session token - những "chìa khóa tạm thời" mà hệ thống cấp sau khi người dùng đăng nhập thành công - đang trở thành mục tiêu béo bở của tin tặc. Chúng tôi nhận thấy xu hướng này ngày càng phổ biến khi hacker không cần phải phá vỡ mật khẩu hay vượt qua xác thực đa yếu tố (MFA) nữa. Thay vào đó, chỉ cần đánh cắp session token từ trình duyệt hoặc ứng dụng, chúng có thể "cosplay" thành người dùng hợp pháp một cách hoàn hảo.

Tình huống trở nên nghiêm trọng hơn khi thiết bị của nạn nhân đã bị nhiễm mã độc từ trước. Malware (phần mềm độc hại) có thể nằm im lặng hàng tuần, thu thập thông tin, theo dõi hành vi người dùng và chờ thời cơ thích hợp để khai thác. Khi đó, việc xác thực danh tính thành công chỉ là bước đầu cho cuộc tấn công thực sự bắt đầu từ bên trong hệ thống.

Zero Trust - triết lý "nghi ngờ tất cả" thời đại mới

Zero Trust không phải khái niệm mới, nhưng việc triển khai thực tế vẫn đang loay hoay tại nhiều tổ chức. Nguyên tắc cốt lõi "never trust, always verify" (không bao giờ tin tưởng, luôn luôn xác minh) đòi hỏi hệ thống phải kiểm tra liên tục không chỉ danh tính mà còn cả trạng thái thiết bị, vị trí truy cập, hành vi người dùng và bối cảnh của mỗi phiên làm việc.

Device verification (xác minh thiết bị) liên tục trở thành trụ cột quan trọng trong chiến lược Zero Trust. Thay vì chỉ hỏi "bạn là ai?", hệ thống giờ đây phải hỏi thêm "thiết bị của bạn có an toàn không?", "có phần mềm đáng ngờ nào đang chạy không?", "có dấu hiệu bất thường trong hoạt động mạng không?". Chúng tôi cho rằng đây là bước tiến tất yếu khi mà ranh giới giữa môi trường làm việc truyền thống và kỹ thuật số đã hoàn toàn biến mất.

Con số alarmingly từ thực địa chiến trường mạng

Theo thống kê từ các incident response team toàn cầu, hơn 70% vụ tấn công thành công trong năm 2024 đều bắt đầu từ thiết bị endpoint đã bị xâm phạm, không phải từ việc phá vỡ credentials. Đặc biệt nghiêm trọng, thời gian trung bình từ khi thiết bị bị nhiễm mã độc đến khi được phát hiện là 197 ngày - đủ thời gian để kẻ tấn công làm bất cứ điều gì chúng muốn.

Tại Việt Nam, Cục An toàn thông tin (Bộ TT&TT) ghi nhận số lượng sự cố an ninh mạng liên quan đến thiết bị endpoint tăng 45% so với cùng kỳ năm trước. Nhiều doanh nghiệp trong nước vẫn đang áp dụng mô hình bảo mật "perimeter-based" truyền thống, tạo ra khoảng trống lớn cho các cuộc tấn công từ bên trong. Remote work và BYOD (Bring Your Own Device) sau đại dịch còn khiến bề mặt tấn công mở rộng exponentially.

Lộ trình triển khai bảo vệ thiết bị toàn diện

Doanh nghiệp Việt Nam cần hành động ngay lập tức với roadmap cụ thể. Bước đầu tiên là triển khai Endpoint Detection and Response (EDR) - giải pháp giám sát và phản ứng tự động với các mối đe dọa trên thiết bị đầu cuối. Song song đó, thiết lập Device Compliance Policy yêu cầu tất cả thiết bị truy cập hệ thống phải đạt các tiêu chuẩn bảo mật tối thiểu: cập nhật hệ điều hành mới nhất, cài đặt antivirus được cập nhật, không có ứng dụng jailbreak/root.

Chúng tôi khuyến nghị triển khai Conditional Access Policy kết hợp với continuous device posture assessment. Điều này có nghĩa hệ thống sẽ đánh giá trạng thái bảo mật thiết bị theo thời gian thực và tự động hạn chế quyền truy cập nếu phát hiện bất thường. Cuối cùng, đầu tư vào User and Entity Behavior Analytics (UEBA) để phát hiện các hành vi đáng ngờ ngay cả khi credentials và thiết bị đều hợp lệ. Thời đại mà identity là vua đã qua, giờ đây device security phải chia sẻ ngôi vương để bảo vệ tổ chức khỏi những mối đe dọa không ngừng tiến hóa.