Hiệu suất và tốc độ sẽ quyết định thay đổi

Đây là một trong số các phát hiện chính của nghiên cứu Dự báo các mối đe dọa an ninh mạng năm 2026 được công bố từ FortiGuard Labs của Fortinet. Theo đó, vì trí tuệ nhân tạo (AI), tự động hóa và chuỗi cung ứng tội phạm mạng đã phát triển khá hoàn thiện khiến việc xâm nhập nhanh chóng và dễ dàng hơn bao giờ hết, những kẻ tấn công sẽ dành ít thời gian hơn để phát minh ra các công cụ mới mà tập trung vào tinh chỉnh và tự động hóa các kỹ thuật đã phát huy hiệu quả.

Hệ thống AI sẽ quản lý việc trinh sát, tăng tốc xâm nhập, phân tích dữ liệu bị đánh cắp và tạo ra các cuộc đàm phán tiền chuộc. Đồng thời, các tác nhân tội phạm mạng tự động trên dark web sẽ bắt đầu thực hiện toàn bộ các giai đoạn tấn công với sự giám sát tối thiểu của con người.

Những thay đổi này sẽ mở rộng năng lực của kẻ tấn công theo cấp số nhân. Một tác nhân ransomware từng quản lý một vài chiến dịch sẽ sớm có thể khởi động hàng chục chiến dịch cùng lúc. Và thời gian giữa xâm nhập và tác động sẽ rút ngắn từ nhiều ngày xuống còn vài phút, khiến tốc độ trở thành yếu tố rủi ro quyết định đối với các tổ chức vào năm 2026.

Ảnh minh họa. Nguồn: Internet

Bên cạnh đó, FortiGuard Labs cũng dự đoán sự xuất hiện của các tác nhân AI chuyên biệt được thiết kế để hỗ trợ các hoạt động tội phạm mạng. Mặc dù các tác nhân này chưa thể hoạt động độc lập, nhưng chúng sẽ bắt đầu tự động hóa và tăng cường các giai đoạn quan trọng của chuỗi tấn công, bao gồm đánh cắp thông tin đăng nhập, di chuyển ngang hàng trong hệ thống và kiếm tiền từ dữ liệu.

Đồng thời, AI sẽ đẩy nhanh quá trình kiếm tiền từ dữ liệu. Khi kẻ tấn công có quyền truy cập vào các cơ sở dữ liệu bị đánh cắp, các công cụ AI sẽ ngay lập tức phân tích và ưu tiên dữ liệu, xác định nạn nhân nào mang lại lợi nhuận cao nhất và tạo ra các thông điệp tống tiền được cá nhân hóa. Kết quả là, dữ liệu sẽ trở thành tiền tệ nhanh hơn bao giờ hết.

Nền kinh tế ngầm cũng sẽ có cấu trúc rõ rệt hơn. Các dịch vụ botnet và cho thuê thông tin đăng nhập sẽ ngày càng được tùy chỉnh nhiều hơn vào năm 2026. Việc làm giàu dữ liệu và tự động hóa sẽ cho phép người bán cung cấp các gói truy cập cụ thể hơn dựa trên ngành nghề, vị trí địa lý và cấu hình hệ thống, thay thế các gói chung chung đang tràn lan trên thị trường ngầm hiện nay. Thị trường chợ đen sẽ áp dụng dịch vụ khách hàng, chấm điểm uy tín và ký quỹ tự động. Nhờ những đổi mới này, tội phạm mạng sẽ đẩy nhanh quá trình tiến hóa hướng tới công nghiệp hóa toàn diện.

Với sự thay đổi này của tội phạm mạng, các lực lượng phòng thủ sẽ cần phải phản hồi với hiệu quả và sự phối hợp tương tự. Vào năm 2026, các hoạt động bảo mật sẽ tiến gần hơn đến điều mà FortiGuard Labs mô tả là phòng thủ tốc độ máy (machine-speed defense) - một quy trình liên tục gồm thu thập thông tin tình báo, xác thực và cô lập mối đe doạ, giúp rút ngắn thời gian phát hiện và phản hồi từ hàng giờ xuống còn vài phút.

Các khung bảo mật tiêu chuẩn như Continuous Threat Exposure Management (CTEM) và MITRE ATT&CK sẽ cần được tận dụng để các bên bảo mật có thể nhanh chóng lập bản đồ các mối đe dọa đang hoạt động, xác định các lỗ hổng và ưu tiên khắc phục dựa trên dữ liệu thời gian thực.

Định danh cũng sẽ cần trở thành nền tảng của các hoạt động bảo mật, vì các tổ chức sẽ cần phải xác thực không chỉ con người mà còn cả các tác nhân tự động, quy trình AI và tương tác giữa máy móc với nhau. Thêm vào đó, việc quản lý các định danh phi con người này sẽ trở nên rất quan trọng trong nỗ lực ngăn chặn rò rỉ dữ liệu và leo thang đặc quyền quy mô lớn.

Tội phạm mạng mang tính công nghiệp hóa sẽ đòi hỏi nỗ lực lớn hơn trong phối hợp phản ứng toàn cầu. Các sáng kiến như Chiến dịch Serengeti 2.0 của INTERPOL, được hỗ trợ bởi Fortinet và các đối tác tư nhân khác, chứng minh việc chia sẻ thông tin tình báo chung để cùng phá vỡ mục tiêu có thể mang tới kết quả khả quan trong nỗ lực phá hủy cơ sở hạ tầng tội phạm.

An ninh đám mây năm 2026 : Thực trạng ngày càng phức tạp

Còn với thông tin tổng hợp từ khảo sát mới nhất của Fortinet phỏng vấn hơn 1.100 chuyên gia cấp cao về an ninh mạng trên toàn thế giới cho thấy, đã xuất hiện một khoảng cách ngày càng gia tăng về độ phức tạp của môi trường đám mây. Tốc độ ứng dụng AI đang thay đổi căn bản cách quản lý môi trường đám mây và mở rộng bề mặt tấn công với tốc độ vượt xa các mô hình bảo mật truyền thống và khả năng bảo vệ các nền tảng hiện đại.

Phân tích sâu dựa trên dữ liệu khảo sát, Fortinet nhận định ba yếu tố chính đã tạo ra khoảng cách, gia tăng độ phức tạp.

Thứ nhất, hệ thống phòng thủ phân mảnh.

Các giải pháp bảo mật đang mở rộng cùng với sự phát triển việc áp dụng điện toán đám mây, nhưng thường thiếu sự phối hợp đồng bộ. Điều này dẫn đến việc tồn tại các công cụ rời rạc, cơ chế kiểm soát không nhất quán và khả năng giám sát toàn diện bị hạn chế. Các nhóm phụ trách an ninh mạng buộc phải đối chiếu thủ công các cảnh báo từ nhiều hệ thống không được thiết kế để hoạt động cùng nhau, mặc dù gần 70% các tổ chức cho rằng sự chồng chéo công cụ và khoảng trống về khả năng giám sát là những trở ngại hàng đầu trong nỗ lực xây dựng một giải pháp bảo mật đám mây hiệu quả.

Thứ hai, sự quá tải của nhân sự.

Bên cạnh việc phải đối mặt với các hệ thống hoạt động kém đồng bộ, các tổ chức còn đang phải đối mặt  trước khoảng cách về kĩ năng và không thể tuyển dụng đủ chuyên gia an ninh mạng có năng lực. Thách thức chồng chất này khiến các nhóm phụ trách an ninh mạng trên toàn thế giới bị quá tải, dẫn đến phản hồi chậm và bỏ sót các cảnh báo hoặc tín hiệu quan trọng. 74% số người được khảo sát báo cáo rằng tổ chức của họ đang thiếu hụt trầm trọng các chuyên gia an ninh mạng đủ năng lực, trong khi 59% vẫn đang ở giai đoạn đầu của quá trình trưởng thành về an ninh đám mây.

Thứ ba, các mối đe dọa hoạt động với tốc độ tương đương máy móc.

Các tác nhân đe dọa an ninh mạng đang sử dụng các công cụ tự động hóa và trí tuệ nhân tạo để phát hiện các cấu hình sai, lập bản đồ đường dẫn phân quyền và xác định dữ liệu bị lộ nhanh hơn so với khả năng phản ứng của các biện pháp phòng thủ do con người thực hiện. Khi khoảng thời gian giữa việc xuất hiện lỗ hổng bảo mật và cuộc tấn công thu hẹp lại, hơn 80% chuyên gia an ninh mạng được khảo sát cho biết họ thiếu tự tin vào khả năng phát hiện và phản hồi các mối đe dọa trên đám mây trong thời gian thực - một sự gia tăng đáng báo động (tăng 16 điểm so với kết quả khảo sát năm trước).

Bài toán bề mặt tấn công gia tăng

Môi trường đám mây vốn dĩ rất phức tạp ngay cả khi được xây dựng trên một nhà cung cấp duy nhất do kiến trúc phân tán, định danh động, dịch vụ mở rộng nhanh chóng và luồng dữ liệu phức tạp. Đối với nhiều doanh nghiệp, sự phức tạp này càng tăng thêm bởi các triển khai đám mây lai và đa đám mây bao gồm nhiều đám mây công cộng, cơ sở hạ tầng tại chỗ, ứng dụng Phần mềm dưới dạng dịch vụ (SaaS) và người dùng cũng như thiết bị phân tán.

Khảo sát của Fortinet cho thấy 88% các tổ chức hiện đang hoạt động trong môi trường đám mây lai hoặc đa đám mây, tăng so với 82% trong báo cáo năm ngoái. Trong số đó, 81% dựa vào hai hoặc nhiều nhà cung cấp đám mây để chạy các khối lượng công việc quan trọng (năm ngoái là 78%) và 29% số tổ chức chia sẻ việc đang sử dụng nhiều hơn ba nhà cung cấp.

Khi các nhà cung cấp, dịch vụ và người dùng mới tạo ra các cấu hình, quyền truy cập và đường dẫn dữ liệu mới, một cơ sở hạ tầng đám mây được thiết kế tốt sẽ tự động mở rộng quy mô theo những thay đổi này. Tuy nhiên, cơ sở hạ tầng cũng trở nên ngày càng phức tạp hơn, khó hiểu hơn và khó quản lý hơn. Do đó, thách thức to lớn đối với các nhóm an ninh mạng là bảo vệ một môi trường liên tục phát triển để đảm bảo khả năng hiển thị, khả năng phục hồi và hiệu quả hoạt động.

Giải bài toán bảo mật: Cách nào?

Theo chuyên gia của Fortinet, những phát hiện trong báo cáo Dự báo các mối đe dọa an ninh mạng năm 2026 cho thấy rõ ràng rằng tội phạm mạng không còn là hoạt động cơ hội nữa, mà đã trở thành một hệ thống công nghiệp hoạt động với tốc độ máy móc. Khi tự động hóa, chuyên môn hóa và trí tuệ nhân tạo định hình lại mọi giai đoạn của vòng đời tấn công, thời gian giữa xâm nhập và hậu quả ngày càng thu hẹp. Con đường phía trước sẽ được định hình bởi tốc độ thích ứng của các bên phòng thủ với thực tế này. An ninh mạng đã trở thành cuộc đua của các hệ thống, chứ không phải cá nhân, và các tổ chức sẽ cần trí tuệ tích hợp, xác thực liên tục và phản hồi theo thời gian thực để đi trước các đối thủ, những người đo lường thành công bằng năng suất, chứ không phải sự mới lạ.

Còn để giải quyết những thách thức bảo mật liên quan đến môi trường đám mây linh hoạt, các tổ chức đang đánh giá lại chiến lược bảo mật của mình. Dữ liệu khảo sát cho thấy có sự chuyển dịch rõ ràng từ các công cụ chuyên biệt theo chức năng được quản lý riêng lẻ sang các hệ sinh thái bảo mật thống nhất. Nếu bắt đầu lại từ đầu, 64% người được hỏi cho biết họ sẽ thiết kế chiến lược an ninh mạng của mình với một nền tảng của một nhà cung cấp duy nhất, kết hợp bảo mật mạng, đám mây và ứng dụng. Tại sao? Các nhóm bảo mật đang bị quá tải bởi tất cả các tích hợp cần thiết cho các công cụ từ nhiều nhà cung cấp khác nhau.

Chuyên gia của Fortinet, Vincent Hwang phân tích, họ mong muốn ít nền tảng hơn, nhưng là những nền tảng có thể tích hợp thông qua mô hình dữ liệu dùng chung và cơ chế thực thi được phối hợp đồng bộ. Không chỉ là nỗ lực giảm số lượng công cụ, việc hợp nhất này còn giảm “ma sát” hoạt động đồng thời tăng cường khả năng bảo vệ bằng cách cải thiện khả năng hiển thị tổng thể, tăng tốc độ phát hiện và phản hồi, và cho phép quản lý rủi ro chủ động hơn.

Phạm Lê