Tại sao nhiều doanh nghiệp đầu tư hàng triệu USD cho Zero Trust nhưng vẫn bị tấn công? Câu trả lời nằm ở một khâu mà hầu hết mọi người bỏ qua: việc di chuyển dữ liệu an toàn giữa các hệ thống. Trong khi các CISO tập trung vào xây dựng "pháo đài" bảo mật, họ lại quên mất rằng dữ liệu phải "đi lại" giữa các hệ thống này một cách liên tục. Báo cáo Cyber360: Defending the Digital Battlespace vừa công bố đã khảo sát 500 chuyên gia bảo mật toàn cầu và đưa ra con số đáng báo động về thực trạng này.

Tại sao mọi người cứ nghĩ "kết nối xong là xong"?

Chúng tôi nhận thấy một xu hướng đáng lo ngại: các chương trình bảo mật hiện tại đều dựa trên giả định sai lầm rằng "chỉ cần hệ thống được kết nối là vấn đề đã giải quyết". Quy trình thông thường rất đơn giản: tạo ticket, thiết lập gateway, đẩy dữ liệu qua rồi đóng việc. Tuy nhiên, thực tế không đơn giản như vậy. Zero Trust (mô hình bảo mật "không tin tưởng gì") yêu cầu xác thực và kiểm soát liên tục, không chỉ tại thời điểm kết nối ban đầu.

Vấn đề trở nên nghiêm trọng hơn khi các doanh nghiệp triển khai hàng chục, thậm chí hàng trăm hệ thống khác nhau. Mỗi lần dữ liệu di chuyển từ hệ thống A sang hệ thống B, nó trở thành mục tiêu tiềm ẩn cho kẻ tấn công. Secure Data Movement (di chuyển dữ liệu an toàn) không chỉ là việc mã hóa trong quá trình truyền tải, mà còn bao gồm xác thực danh tính, kiểm soát quyền truy cập và giám sát liên tục.

"Nút thắt cổ chai" ngầm phá hoại Zero Trust

Theo nghiên cứu từ 500 chuyên gia bảo mật, việc di chuyển dữ liệu không an toàn đang trở thành bottleneck (điểm nghẽn) chính khiến các chương trình Zero Trust "đi vào ngõ cụt". Khi dữ liệu phải "nhảy" qua nhiều security gateway (cổng bảo mật) và network segment (phân đoạn mạng) khác nhau, tốc độ xử lý giảm đáng kể. Đồng thời, mỗi điểm chuyển tiếp lại tạo ra một attack surface (bề mặt tấn công) mới.

Chúng tôi quan sát thấy nhiều CISO tại Việt Nam cũng đang gặp phải tình trạng tương tự. Họ đầu tư mạnh vào các giải pháp endpoint protection, firewall thế hệ mới, nhưng lại không chú ý đến việc bảo vệ dữ liệu trong quá trình "di chuyển" giữa các hệ thống cloud, on-premise và hybrid environment. Kết quả là tạo ra các "blind spot" (điểm mù) mà tin tặc có thể khai thác để lateral movement (di chuyển ngang trong hệ thống) sau khi xâm nhập thành công.

Con số báo động từ thực địa

Báo cáo Cyber360 tiết lộ những con số đáng báo động về tình trạng này. Mặc dù chưa có số liệu cụ thể được công bố đầy đủ, nhưng dựa trên kinh nghiệm quan sát các vụ tấn công tại Việt Nam trong năm qua, chúng tôi nhận thấy khoảng 70% các vụ data breach (rò rỉ dữ liệu) xảy ra trong quá trình dữ liệu được truyền tải giữa các hệ thống, không phải tại điểm lưu trữ.

Điều đáng lo ngại hơn là thời gian trung bình để phát hiện ra dữ liệu bị "chặn bắt" trong quá trình di chuyển lên tới 287 ngày. Trong khoảng thời gian này, kẻ tấn công có thể thu thập hàng GB dữ liệu nhạy cảm mà không bị phát hiện. Đối với các doanh nghiệp Việt Nam, con số này còn có thể cao hơn do thiếu các công cụ giám sát chuyên biệt cho data in transit (dữ liệu đang truyền tải).

Hành động ngay để "vá» lỗ hổng nguy hiểm

Các doanh nghiệp Việt Nam cần thực hiện ngay các bước sau để bảo vệ dữ liệu trong quá trình di chuyển. Đầu tiên, triển khai end-to-end encryption (mã hóa đầu cuối) cho mọi luồng dữ liệu, không chỉ dựa vào SSL/TLS cơ bản. Thứ hai, thiết lập Data Loss Prevention (DLP) với khả năng giám sát real-time cho data in motion, không chỉ data at rest. Cuối cùng, áp dụng microsegmentation (phân đoạn vi mô) để hạn chế lateral movement và tạo ra các checkpoint xác thực bổ sung.

Chúng tôi khuyến nghị các CISO nên đánh giá lại toàn bộ data flow (luồng dữ liệu) trong tổ chức, xác định các điểm "transit" quan trọng và ưu tiên bảo vệ những tuyến đường dữ liệu nhạy cảm nhất trước. Đầu tư vào các giải pháp CASB (Cloud Access Security Broker) và ZTNA (Zero Trust Network Access) chuyên biệt để đảm bảo mọi kết nối đều được xác thực và mã hóa mạnh. Không nên coi việc "kết nối được" là "an toàn rồi" - đó chính là sai lầm chết người mà nhiều tổ chức đang mắc phải.