Bức tranh an ninh mạng năm 2025 sẽ đạt đến một cấp độ tinh vi hoàn toàn khác: Trí tuệ nhân tạo (AI) và học máy (machine learning) sẽ trở thành công cụ tấn công chủ đạo, và các đội ngũ phòng thủ cũng phải dựa vào AI để kiểm soát. Với kinh nghiệm từng chứng kiến sự chuyển đổi từ phát hiện dựa trên chữ ký sang phân tích hành vi, tôi nhận thấy một bước ngoặt lớn trong cách thức kẻ tấn công hoạt động - và các tổ chức doanh nghiệp cần phải nghiêm túc chú ý đến điều này.

Ảnh minh họa

Theo dữ liệu ngành gần đây, mối quan ngại của các CISO (Giám đốc An ninh Thông tin) về các mối đe dọa mạng do AI hỗ trợ đã tăng 19%, cho thấy các mô hình bảo mật truyền thống đang rất cần được tái cấu trúc chiến lược.

Sự lớn mạnh của các phương pháp tấn công do AI điều khiển

Mối nguy đã chuyển từ các mô hình tấn công truyền thống sang các chiến dịch thích ứng, phức tạp hơn, sử dụng machine learning để tìm ra mục tiêu tối ưu. Nghiên cứu cho thấy 62% CISO hiện nay lo ngại hơn về các mối đe dọa kỹ thuật xã hội (social engineering) do AI thúc đẩy so với trước đây. Đây là sự dịch chuyển lớn, cho thấy trọng tâm mối đe dọa đã rời khỏi biên giới bảo mật truyền thống.

Kẻ tấn công hiện sử dụng AI tạo sinh để phân tích khối dữ liệu khổng lồ như hoạt động mạng xã hội, mô hình giao tiếp, hay cấu trúc tổ chức, từ đó thiết kế các chiến lược tấn công phù hợp. Các cuộc tấn công này được thực hiện ở quy mô lớn chứ không phải chỉ nhắm đến một cá nhân, khiến cho các chương trình nâng cao nhận thức an ninh và khả năng phát hiện của con người trở nên kém hiệu quả.

Đáng lo hơn, sự dân chủ hóa của công cụ AI - thể hiện rõ qua việc các nền tảng “Tội phạm mạng như một dịch vụ” (Cybercrime-as-a-Service) cung cấp plugin AI nâng cao - đã hạ thấp rào cản kỹ thuật, cho phép cả những kẻ chỉ có kiến thức AI cơ bản cũng có thể tiến hành các cuộc tấn công tinh vi, ví dụ như dùng FraudGPT hay WormGPT.

Tồi tệ nhất là sự xuất hiện của malware thích ứng, sử dụng machine learning để điều chỉnh hành vi theo thời gian thực. Chúng theo dõi phản ứng của hệ thống phòng thủ và thay đổi cách thức tấn công vào những thời điểm khó bị phát hiện. Các hệ thống phát hiện dựa trên chữ ký truyền thống không thể phát hiện được loại malware đa hình (polymorphic malware), vốn thay đổi liên tục dấu vết mã của nó để né tránh phân tích tĩnh.

Kiến trúc phòng thủ dựa trên tình báo

Mối đe dọa ngày nay không còn được xử lý hiệu quả bằng phản ứng sau sự cố, mà đòi hỏi các giải pháp chủ động nhằm ngăn chặn những sự kiện chiến lược và gây rối mới.

Các tổ chức thành công và bền vững đã triển khai giám sát hành vi liên tục, thiết lập các mô hình chuẩn về hoạt động mạng, ứng dụng và người dùng. Machine learning được dùng để phân tích các biến động nhỏ có thể là dấu hiệu xâm nhập, chẳng hạn như sự tăng đột biến entropy hoặc các kênh liên lạc bất thường báo hiệu sự xuất hiện của các cuộc tấn công APT (Advanced Persistent Threat).

Ngày nay, các nền tảng tình báo mối đe dọa có khả năng tiếp nhận dữ liệu phi cấu trúc từ nhiều nguồn khác nhau – diễn đàn dark web, kênh mạng xã hội, nguồn cảnh báo toàn cầu - rồi liên kết các chỉ số xâm nhập (IoC) rời rạc này. Nhờ NLP (Xử lý ngôn ngữ tự nhiên), các chuyên gia an ninh có thể phân tích dữ liệu vận hành khổng lồ để phát hiện dấu hiệu cảnh báo sớm trước khi một chiến dịch tấn công nhắm vào hạ tầng trọng yếu.

Những môi trường tinh vi hơn kết hợp phản ứng tự động với ra quyết định của con người, đảm bảo các lựa chọn mang tính chiến thuật trong lúc khẩn cấp vẫn phù hợp với chiến lược dài hạn. Các tổ chức ứng dụng AI mạnh mẽ trong vận hành an ninh mạng đang tiết kiệm trung bình khoảng 2,2 triệu USD, nhờ rút ngắn thời gian phản ứng và cải thiện khả năng phát hiện mối đe dọa.

Tuân thủ pháp lý trong kỷ nguyên AI

Khung pháp lý đã thay đổi đáng kể, với các quy định được đưa ra như những hướng dẫn năm 2025 của CERT-In về Bills of Materials (BOMs)  không chỉ bao gồm phần mềm truyền thống mà còn cả yếu tố mật mã, mô hình AI và phụ thuộc phần cứng. Những yêu cầu đó đòi hỏi phải có khả năng quan sát toàn bộ hệ thống công nghệ, bao gồm cả các tích hợp từ bên thứ ba và sự phụ thuộc vào dịch vụ đám mây.

Các tổ chức buộc phải duy trì khả năng kiểm toán liên tục, cập nhật danh mục tài sản thời gian thực, bao gồm nguồn gốc mô hình AI, dữ liệu huấn luyện và quy trình ra quyết định thuật toán. Yêu cầu báo cáo sự cố trong vòng 6 giờ đã tạo áp lực buộc doanh nghiệp phải triển khai khả năng phát hiện và phản ứng tự động, vì quy trình thủ công không thể đáp ứng kịp.

Định hướng chiến lược cho lãnh đạo công nghệ

Từ kinh nghiệm triển khai kiến trúc an ninh cho doanh nghiệp, tôi nhận thấy có ba yếu tố then chốt giúp tổ chức chuẩn bị trước làn sóng đe dọa mạng do AI điều khiển:

Thứ nhất là nền tảng tình báo mối đe dọa thống nhất - kết hợp phân tích hành vi với dữ liệu mối đe dọa toàn cầu để dự báo xu hướng thay vì chỉ phản ứng. Các hệ thống này cần tự động liên kết dữ liệu nhưng vẫn giữ vai trò quyết định của con người cho những tình huống phức tạp.

Thứ hai là thực thi triệt để mô hình Zero Trust - luôn giả định có rủi ro xâm nhập, mọi yêu cầu truy cập đều phải được xác thực và ủy quyền dựa trên đánh giá rủi ro theo thời gian thực. Đây là yếu tố thiết yếu để chống lại các cuộc tấn công do AI điều khiển, vốn có thể giả mạo hoạt động con người và khai thác điểm yếu của mô hình bảo mật theo chu vi.

Thứ ba là cân bằng giữa ứng dụng AI và quản trị rủi ro – xây dựng khung quản trị tổng thể để đảm bảo việc triển khai AI giúp tăng cường an ninh nhưng vẫn tuân thủ quy định và đảm bảo khả năng vận hành. Điều này đòi hỏi sự phối hợp giữa bộ phận an ninh, tuân thủ và kinh doanh nhằm thiết lập rào chắn hợp lý cho hệ thống AI.

Sự giao thoa giữa AI và an ninh mạng là thách thức lớn nhất - đồng thời cũng là cơ hội lớn nhất - cho lãnh đạo công nghệ doanh nghiệp. Thành công chỉ có thể đạt được với chiến lược phòng thủ và tấn công dựa trên tình báo, kết hợp giải pháp doanh nghiệp cùng cam kết đổi mới liên tục.

Những công ty tìm được sự cân bằng này sẽ sở hữu lợi thế cạnh tranh vượt trội trong thế giới kinh doanh số.

Nguyễn Yến (theo Solutions Review)