Từ 315 lỗ hổng và 100 triệu IoCs đến cảnh báo về AI tấn công

Tại hội thảo “AI & Cyber Security - Kiến tạo tương lai bảo mật thông minh” diễn ra ngày 17/9 do Liên minh An toàn Thông tin CYSEEX tổ chức, ông Nguyễn Xuân Hoàng - Chủ tịch Liên minh CYSEEX, Phó Chủ tịch HĐQT Công ty Cổ phần MISA cho hay, trong năm 2025, Liên minh CYSEEX đã tổ chức 6 cuộc tập trận phát hiện 315 lỗ hổng, 4/7 đơn vị thành viên diễn tập phishing cho hơn 14.000 cán bộ nhân viên, cùng nền tảng chia sẻ mối đe dọa chung với hơn 100 triệu IoCs, giúp rút ngắn 40–50% thời gian phát hiện tấn công.

Năm 2025, các đơn vị trong Liên minh An toàn thông tin CYSEEX đã tiến hành hàng loạt cuộc tập trận và diễn tập thực tế. Kết quả cho thấy bức tranh hai mặt của an ninh mạng Việt Nam: một bên là sự tiến bộ rõ rệt trong phát hiện và xử lý lỗ hổng, bên còn lại là mối đe dọa ngày càng lớn từ tấn công bằng AI.

Ảnh minh họa.

Trong vòng một năm, lực lượng phòng thủ đã phát hiện 315 lỗ hổng hệ thống. Không dừng ở con số, xu hướng còn cho thấy số lượng lỗ hổng nghiêm trọng và đặc biệt nghiêm trọng giảm đáng kể, phản ánh hiệu quả của việc thường xuyên rèn luyện, kiểm tra sức chịu đựng của hệ thống.

Ở khía cạnh con người, hơn 14.000 cán bộ nhân viên tại các đơn vị thành viên đã tham gia diễn tập chống phishing. Tỷ lệ mở email giả mạo, bấm vào liên kết hay cung cấp dữ liệu cá nhân đều giảm so với năm trước, chứng minh rằng đào tạo và “tiêm vaccine an ninh mạng” cho nhân sự là một mắt xích không thể thiếu.

Song hành cùng các nỗ lực này, một nền tảng chia sẻ tình báo mối đe dọa tập trung đã được xây dựng, với hơn 100 triệu chỉ số tấn công (IoCs) được đóng góp từ thực tiễn giám sát. Nhờ đó, thời gian phát hiện xâm nhập được rút ngắn 40-50%, tạo lợi thế rõ rệt trong phòng thủ chủ động.

Tuy nhiên, những kết quả trên vẫn chưa đủ để xua tan một thực tế: AI đang làm thay đổi luật chơi. Các cuộc tấn công có sự hỗ trợ của AI đạt tỷ lệ thành công tới 70%, bỏ xa các phương thức truyền thống. Điều này đồng nghĩa, nếu vẫn duy trì cách tiếp cận cũ, con người sẽ không còn kịp trở tay trước những cuộc tấn công được tự động hóa, lặp lại không ngừng và chính xác hơn bao giờ hết.

Bản sao số chuyên gia an ninh mạng

Để vượt qua thách thức, giải pháp được nhấn mạnh là xây dựng bản sao số (digital twin) của chuyên gia an ninh. Đây là cách để từng chuyên gia có một “phiên bản AI” đồng hành, đảm nhận các công việc nặng nhọc, tốn thời gian, giúp con người tập trung vào những nhiệm vụ chiến lược hơn.

Thứ nhất, bản sao số trong vai trò phân tích và phát triển quy tắc phát hiện tấn công.Nếu trước đây, việc viết một detection rule có thể mất từ 4-8 giờ, thì AI chỉ cần khoảng 30 phút. Quan trọng hơn, AI đã giúp tăng độ bao phủ từ 17% lên hơn 80% các kỹ thuật trong khung MITRE ATT&CK. Đây là bước tiến rõ rệt, biến bản sao số thành “cỗ máy tăng tốc” cho hệ thống phòng thủ.

Thứ hai, bản sao số trong giám sát an ninh 24/7. Con người khó có thể duy trì giám sát liên tục, trong khi AI có khả năng “thức trắng” để phân tích mọi bất thường. Các bản sao số giúp giảm 5 lần khối lượng công việc của SOC analyst, đồng thời tự động cập nhật hàng trăm IoCs mỗi ngày, giảm cảnh báo giả và đảm bảo không sự kiện quan trọng nào bị bỏ sót.

Thứ ba, bản sao số trong săn tìm mối đe dọa (threat hunting). Dữ liệu tấn công ngày càng khổng lồ, trong khi threat hunter truyền thống dễ bị động và chậm nhịp. Với khả năng phân tích dữ liệu thời gian thực, xâu chuỗi sự kiện và đặt giả thuyết dựa trên kỹ thuật tấn công mới, bản sao số giúp giảm 60% khối lượng công việc và rút ngắn một nửa thời gian phát hiện mối đe dọa.

Thứ tư, bản sao số trong kiểm thử xâm nhập. AI có thể tự động hóa tới 80% quy trình pentest, từ trinh sát, mô hình hóa kịch bản, khai thác lỗ hổng đến báo cáo. Kết quả là hệ thống phát hiện thêm 30% lỗ hổng so với phương pháp truyền thống và tiết kiệm tới 70% thời gian xác minh.

Những con số này cho thấy, bản sao số không chỉ là một ý tưởng, mà đã trở thành lối thoát tất yếu trong cuộc đối đầu với AI tấn công. Nó không thay thế con người, mà bổ sung, mở rộng năng lực con người trong một môi trường mà tốc độ và quy mô dữ liệu vượt quá khả năng xử lý thủ công.

Để không bị tụt lại, mục tiêu cho giai đoạn tới được đặt ra rõ ràng: đến năm 2026, các thành viên Liên minh CYSEEX phải đạt mức trưởng thành AI cấp 3 (AI Collaboration) theo khung quốc tế. Đây là cấp độ mà AI không còn chỉ hỗ trợ, mà đã có thể hợp tác với con người, thực hiện một phần nhiệm vụ và đưa ra quyết định trong giới hạn cho phép.

Điều đó đồng nghĩa, bản sao số sẽ đóng vai trò như một “đồng nghiệp số” thực thụ: ban ngày hỗ trợ nâng cao năng suất, ban đêm thay thế trong phạm vi an toàn để duy trì giám sát liên tục. Con người không bị loại bỏ, mà được nâng tầm nhờ có một cộng sự AI đồng hành.

Mục tiêu này cũng phản ánh một triết lý mới: phòng thủ chủ động. Thay vì chỉ chờ đợi cảnh báo, hệ thống sẽ chủ động phát hiện, dự báo và thậm chí đi trước một bước để săn tìm mối đe dọa. Khi AI trở thành một phần trong chiến lược, an ninh mạng không còn chỉ là phòng thủ thụ động, mà là một quá trình liên tục thích ứng và tiến hóa.

Khi hacker đã tận dụng AI để tấn công với tỷ lệ thành công vượt trội, việc duy trì cách phòng thủ cũ là không còn đủ. Bản sao số chuyên gia an ninh nổi lên như chìa khóa để tạo thế cân bằng, đưa cuộc chiến về lại thế “máy đối đầu máy”.

Định hướng tới năm 2026 đạt mức trưởng thành AI cấp 3 cho thấy tầm nhìn chiến lược: không chỉ bảo vệ từng hệ thống riêng lẻ, mà còn xây dựng một không gian mạng chủ động, thông minh và bền vững. Trong một thế giới mà kẻ tấn công là máy móc không biết mệt mỏi, chỉ có sự kết hợp giữa con người và bản sao số mới đủ sức tạo dựng lá chắn vững chắc cho doanh nghiệp và quốc gia.

Thu Uyên