Không chỉ là diễn tập kỹ thuật

Theo Trung tâm chuyên trách về hợp tác phòng thủ không gian mạng của NATO, "Locked Shields" được tổ chức từ năm 2010 để kiểm tra năng lực phòng thủ mạng ở cấp quốc gia.

Mô hình diễn tập không tập trung vào một hệ thống riêng lẻ. Nó mô phỏng toàn bộ một "quốc gia số", bao gồm các mảng về chính phủ điện tử, viễn thông, năng lượng và dữ liệu dân cư.

Kỳ diễn tập gần nhất quy tụ khoảng 45 quốc gia tham gia với 16 đội đối kháng hoạt động theo thời gian thực. "Red team" đóng vai tin tặc thực hiện các cuộc tấn công liên tục, trong khi "Blue team" phải phát hiện, xử lý và duy trì hoạt động ổn định của hệ thống.

Các kịch bản mô phỏng tập trung vào những mục tiêu có giá trị chiến lược như hệ thống phòng không, nhà máy điện và cơ sở dữ liệu dân cư, khiến diễn tập tiệm cận với điều kiện thực tế của một cuộc khủng hoảng an ninh mạng quy mô quốc gia.

Kỳ diễn tập gần nhất quy tụ khoảng 45 quốc gia tham gia với 16 đội đối kháng hoạt động theo thời gian thực.

Chuỗi tấn công tự động

Kỳ diễn tập này tập trung vào việc xây dựng và thử nghiệm các kịch bản tấn công mạng mới. Trong các tình huống giả lập, điểm khác biệt lớn nằm ở cách các cuộc tấn công được tổ chức: thay vì diễn ra theo từng bước riêng lẻ như trước đây, toàn bộ chu trình từ dò quét, khai thác đến duy trì truy cập được tự động hóa và liên kết thành một chuỗi liên tục.

Cụ thể, các đội tham gia phải đối phó với kỹ thuật quét diện rộng (automated scanning) kết hợp khai thác nhanh (rapid exploitation). Sau khi xâm nhập thành công trong kịch bản, hệ thống tấn công tiếp tục thực hiện leo thang đặc quyền (privilege escalation) và duy trì truy cập (persistence).

Một nội dung quan trọng của diễn tập là mô phỏng quá trình di chuyển ngang (lateral movement), trong đó công cụ tấn công tự động tìm kiếm và xâm nhập các máy chủ quan trọng trong mạng nội bộ. Nếu kiểm soát được các nút trung tâm trong kịch bản giả lập, toàn bộ hệ thống có thể bị ảnh hưởng, qua đó kiểm tra khả năng phát hiện và ứng phó của các đội phòng thủ

AI làm thay đổi cả tấn công lẫn phòng thủ

Một điểm đáng chú ý trong các kỳ diễn tập gần đây là việc đưa yếu tố trí tuệ nhân tạo (AI) vào các kịch bản tấn công, nhằm mô phỏng sát hơn những mối đe dọa đang xuất hiện trong thực tế. Trong các tình huống giả lập, AI được sử dụng để tự động phát hiện lỗ hổng, phân tích hành vi hệ thống và xác định những điểm yếu chưa từng được ghi nhận, qua đó làm gia tăng tốc độ và độ tinh vi của các cuộc tấn công.

Việc này buộc các đội phòng thủ phải đối mặt với những hình thức tấn công khó phát hiện hơn, khi nhiều hoạt động được ngụy trang dưới dạng lưu lượng hợp pháp hoặc hành vi người dùng bình thường (living-off-the-land techniques). Điều này cũng cho thấy hạn chế của các hệ thống phát hiện dựa trên chữ ký (signature-based) trong bối cảnh mới.

Theo Phó Đô đốc Thomas Daum, số lượng các cuộc tấn công sử dụng AI đang gia tăng nhanh chóng, với khoảng 10–20 cuộc mỗi ngày. Những con số này được đưa vào kịch bản diễn tập nhằm phản ánh áp lực thực tế, khi các công cụ tấn công có khả năng thích ứng linh hoạt: nếu bị chặn ở một điểm, chúng có thể nhanh chóng chuyển hướng sang mục tiêu khác.

Qua đó, diễn tập không chỉ kiểm tra khả năng phát hiện mà còn đánh giá năng lực ứng phó linh hoạt của các đội tham gia.

Sự xuất hiện của trí tuệ nhân tạo đã làm thay đổi cả cục diện tấn công lẫn phòng thủ. (Ảnh minh họa)

Trong diễn tập, xử lý kỹ thuật không tách rời bối cảnh. Các đội phải cân nhắc pháp lý và chính trị. Một hành động kỹ thuật có thể gây hệ quả ngoài hệ thống. Sự tham gia của các công ty như Cisco, Airbus Defence and Space và Deutsche Telekom phản ánh thực tế rằng năng lực phòng thủ phụ thuộc vào mức độ phối hợp giữa khu vực công và tư.

"Locked Shields" không chỉ là một cuộc diễn tập, mà là phép thử cho cách các quốc gia chuẩn bị trước một dạng xung đột mới. Khi các cuộc tấn công ngày càng nhanh, linh hoạt và khó dự đoán, năng lực phòng thủ mạng sẽ trở thành một trong những yếu tố cốt lõi của an ninh quốc.

Thúy Hằng (tổng hợp)