Hãy tưởng tượng, một ngày đẹp trời, bạn phát hiện có người lạ âm thầm sống trong nhà mình - lang thang từ phòng này sang phòng khác, tự ý dùng đồ ăn, và thậm chí thay đổi vị trí vật dụng của bạn mà bạn hoàn toàn không biết.

Tình trạng “sống với người lạ” này có thể kéo dài trong nhiều tuần, thậm chí nhiều tháng. Khi điều này diễn ra trong hệ thống mạng doanh nghiệp, câu chuyện trở nên đáng lo hơn: Hầu hết các nhóm an ninh mạng đều tập trung khóa chặt “cửa ra vào” và theo dõi lưu lượng ra vào mạng lưới, hay còn gọi là lưu lượng Bắc - Nam. 

Nhưng vấn đề thực sự nằm ở chỗ: một khi kẻ xâm nhập đã vào bên trong, chúng lặng lẽ di chuyển ngang qua các máy chủ, khối lượng công việc và container (môi trường giải pháp) - dọc theo “hành lang” mạng nội bộ, hay còn gọi là lưu lượng Đông - Tây.

Câu hỏi đặt ra là: Liệu bạn có biết bạn đang “sống cùng người lạ”?

Châu Á - Thái Bình Dương: Nguy cơ rủi ro đang lan rộng

Theo ông Vladimir Yordanov, Giám đốc cấp cao mảng Kỹ thuật Giải pháp, Gigamon châu Á - Thái Bình Dương & Nhật Bản, với sự gia tăng của điện toán đám mây và kiến trúc dịch vụ siêu vi (microservice), lưu lượng Đông - Tây trong các trung tâm dữ liệu hiện đã vượt lưu lượng Bắc - Nam, mở ra nhiều cơ hội hơn cho tin tặc di chuyển ngang mà không bị phát hiện.

Tại khu vực châu Á - Thái Bình Dương, nhu cầu quan sát lưu lượng Đông - Tây đang trở nên cấp thiết hơn bao giờ hết. Khảo sát Bảo mật Đám mây Lai 2025 của Gigamon cho thấy 65% các lãnh đạo An ninh mạng và CNTT toàn cầu ưu tiên giám sát Đông - Tây hơn so với giám sát Bắc -Nam. Tuy nhiên, hơn 55% thừa nhận họ không tự tin vào khả năng phát hiện hành vi độc hại bên trong mạng nội bộ với các công cụ hiện tại.

Ông Vladimir Yordanov, Giám đốc cấp cao mảng Kỹ thuật Giải pháp, Gigamon châu Á Thái Bình Dương & Nhật Bản

Tình hình tại Việt Nam cũng nghiêm trọng không kém. Chỉ riêng năm 2024, đã có 14,5 triệu tài khoản bị lộ dữ liệu - chiếm 12% tổng số sự cố toàn cầu. 

Gần đây, một tập đoàn năng lượng Việt Nam đã chịu thiệt hại 2,5 triệu USD từ một cuộc tấn công mã độc (ransomware), ảnh hưởng tới 1.000 máy chủ. Đây là dấu hiệu cho thấy ransomware đang được sử dụng ngày càng nhiều để tống tiền ở quy mô lớn, trong khi các cuộc tấn công có chủ đích (APT) len lỏi vào hệ thống để âm thầm đánh cắp thông tin nhạy cảm.

Vào tháng 4/2025, một vụ tấn công mạng đã được ghi nhận tại  vào một vài tòa soạn báo chí hàng đầu Việt Nam. Theo Trung tâm Giám sát An toàn Không gian mạng Quốc gia, những vụ tấn công phối hợp này đã gây ra mất mát dữ liệu nội bộ và đặt ra mối quan ngại về an ninh quốc gia. Các tòa soạn - nơi thường xuyên tương tác với nhiều thiết bị số, từ các thiết bị lưu trữ đến mạng nội bộ và nền tảng đám mây - phải đối mặt với nguy cơ phơi nhiễm rất cao.

Việc phụ thuộc vào một số ít các nhà cung cấp công nghệ trong nước cũng tạo ra các điểm yếu chung, khiến một lỗ hổng có thể lây lan ra nhiều tổ chức.  Tất cả điều này cho thấy: khả năng quan sát lưu lượng Đông - Tây, trong mạng nội bộ cũng như giữa các hệ thống kết nối, là cần thiết để nhanh chóng phát hiện và ngăn chặn chuyển động ngang trong mạng doanh nghiệp.

Xây dựng Tầm nhìn Đông - Tây: Cẩm nang mới cho An ninh mạng

Ông Vladimir Yordanov, cho rằng, các mối đe dọa mới đòi hỏi một cẩm nang an ninh mới - không chỉ tăng cường tuyến phòng thủ ngoài, mà còn đảm bảo tầm nhìn toàn diện bên trong mạng nội bộ. Và lưu lượng Đông - Tây chính là tâm điểm của sự thay đổi này.

Những nguy cơ lớn nhất hiện nay - từ ransomware đến các cuộc tấn công có chủ đích (APT), vốn diễn ra trong thời gian dài và thường được thực hiện bởi những tin tặc kiên nhẫn, có nguồn lực dồi dào - đang di chuyển theo chiều ngang giữa các hệ thống, khai thác những điểm mù giữa khối lượng công việc, môi trường đám mây và container, trong khi các giải pháp phòng thủ truyền thống lại bỏ qua những khoảng trống này.

Với cẩm nang mới này, doanh nghiệp bắt đầu bằng cách thu thập lưu lượng nội bộ - từ máy ảo, môi trường đám mây và container - và đưa vào một pipeline thống nhất. Pipeline này sẽ loại bỏ các dữ liệu nhiễu, các gói tin trùng lặp và thêm ngữ cảnh - biến khối dữ liệu thô khổng lồ thành thông tin tập trung, có thể hành động được, mà không đánh mất các chi tiết quan trọng khi cần truy vết.

Hãy hình dung bạn có thể biến những thước phim thô thành một clip ngắn - chỉ hiển thị những gì quan trọng nhất cho đội xử lý sự cố.

Trước đây, mã hóa là rào cản lớn trong việc quan sát sâu, bởi nó thường che giấu hành vi xấu. Nhưng giờ đây, các giải pháp an ninh hiện đại có thể giải mã lưu lượng trong quá trình truyền để kiểm tra, sau đó mã hóa lại trước khi gửi đi - giúp phát hiện mối đe dọa ẩn mà không làm lộ dữ liệu hoặc gây quá tải cho các công cụ an ninh.

Với bộ dữ liệu được phong phú thông tin này, các nhóm bảo mật có thể phát hiện hành vi “chậm và lặng lẽ” đặc trưng của APT: truy cập nội bộ trái phép, chuyển file đáng ngờ, hoặc lưu lượng mã hóa truyền ra ngoài tăng đột biến. Đây là các tín hiệu ban đầu mà công cụ truyền thống thường bỏ qua.

Khả năng quan sát chuyên sâu cũng cách mạng hóa việc ứng phó sự cố. Nhóm an ninh có thể truy vết toàn bộ hành trình tấn công bên trong hệ thống, giúp cô lập nhanh hơn và rút ngắn thời gian “ẩn náu” của tin tặc.

Quan trọng nhất: khả năng quan sát lưu lượng Đông - Tây sẽ giúp hiện thực hóa mô hình Zero Trust (mô hình bảo mật mạng yêu cầu xác thực từng bước và kiểm tra liên tục). Nó giúp xác thực chính sách phân vùng, phát hiện lỗi cấu hình và lấp đầy điểm mù nội bộ. Có tới 86% người tham gia khảo sát toàn cầu cho rằng khả năng quan sát sâu - kết hợp telemetry mạng và nhật ký là yếu tố then chốt để triển khai thành công Zero Trust. Điều đó cho thấy, khả năng quan sát sâu không chỉ là một chiến thuật phòng thủ - mà là nền tảng không thể thiếu giúp các tổ chức nâng cao sức chịu đựng của hệ thống trước những nguy cơ xâm nhập bên ngoài.

Lý giải vì sao khả năng quan sát lưu lượng Đông - Tây Là yếu tố then chốt trong An ninh mạng hiện đại?, ông Vladimir Yordanov cho rằng, việc quan sát lưu lượng Đông - Tây thường bị hiểu nhầm là một nhiệm vụ kỹ thuật, trong khi thực tế, đây là một yếu tố mang tính chiến lược then chốt. Không ai chấp nhận việc một người lạ âm thầm sống trong nhà mình - ăn vụng trong bếp, ngủ trên giường, lặng lẽ đi qua các phòng - mà không hề hay biết.  Vậy mà chính những “bóng ma bảo mật” như thế đang xảy ra trong nhiều tổ chức khi khả năng quan sát lưu lượng Đông Tây không được đưa vào chiến lược bảo mật.

Ảnh minh họa

Với an ninh mạng, khóa cửa chính không đủ!

Chỉ khi bạn “sáng đèn” ở mọi nơi dữ liệu di chuyển, bạn mới có thể triệt tiêu lợi thế của tin tặc. Không phải ngẫu nhiên mà 83% các lãnh đạo an ninh mạng toàn cầu cho biết khả năng quan sát chuyên sâu (deep observability) hiện đang được bàn thảo ở cấp độ hội đồng quản trị như một cách tiếp cận để bảo vệ hạ tầng điện toán đám mây lai.

Khả năng quan sát sâu giúp khắc phục điểm mù chết người này bằng cách “soi sáng” các hoạt động bên trong mạng - bao gồm cả lưu lượng mã hóa, nơi hành vi độc hại thường ẩn náu. Với khả năng này, doanh nghiệp có thể phát hiện sớm hơn các mối đe dọa, nhanh chóng phản ứng các sự cố, cũng như vận hành chính xác hơn trên nền tảng dữ liệu rõ ràng và kịp thời.

Đối với các tổ chức đang hoạt động trong một môi trường số ngày càng phức tạp, khả năng quan sát lưu lượng Đông - Tây không còn là “tùy chọn” mà là nền tảng bắt buộc để xây dựng hệ thống an ninh vững chắc. Vì trong lĩnh vực an ninh mạng, cũng như trong chính ngôi nhà của bạn -  an toàn thực sự không đến từ việc khóa cửa ngoài, mà nằm ở việc biết rõ điều gì đang diễn ra trong từng căn phòng.

Phạm Lê