Khai thác bằng AI đang phá hủy quy trình Vulnerability Management. Đây là cách để giải quyết.

Thời gian khai thác do AI thúc đẩy đang thu hẹp nhanh chóng và xu hướng này sẽ không dừng lại. Các lỗ hổng đang được phát hiện, tái hiện và vũ khí hóa nhanh hơn bao giờ hết trong lịch sử an ninh doanh nghiệp. Hệ quả là, khoảng cách giữa thời điểm lỗ hổng được công bố và lúc các cuộc khai thác bừa bãi diễn ra trên internet giờ đây được tính bằng giờ, chứ không còn là ngày.
AI-driven exploitation

Thời gian khai thác do AI thúc đẩy đang thu hẹp nhanh chóng và xu hướng này sẽ không dừng lại. Các lỗ hổng đang được phát hiện, tái hiện và vũ khí hóa nhanh hơn bao giờ hết trong lịch sử an ninh doanh nghiệp. Hệ quả là, khoảng cách giữa thời điểm lỗ hổng được công bố và lúc các cuộc khai thác bừa bãi diễn ra trên internet giờ đây được tính bằng giờ, chứ không còn là ngày.

Câu trả lời chính của ngành từ trước đến nay phần lớn là: vá lỗi nhanh hơn (patch faster).

Các cơ quan quản lý yêu cầu, hội đồng quản trị kỳ vọng và các giám đốc điều hành đòi hỏi điều đó. Nhưng đối với hầu hết các doanh nghiệp, đây không phải là một nút bấm mà đội ngũ phòng thủ có thể nhấn ngay lập tức. Patching là một quy trình được kiểm soát, chịu ảnh hưởng bởi các yêu cầu về thời gian hoạt động (uptime), thử nghiệm độ ổn định, cửa sổ thay đổi (change windows), phê duyệt kinh doanh, nghĩa vụ tuân thủ và thực tế là các hệ thống vận hành không thể bị gián đoạn chỉ vì sự khẩn cấp.

Mặc dù patching vẫn rất cần thiết, nhưng chỉ riêng việc vá lỗi hoặc thậm chí vá lỗi nhanh hơn không còn là câu trả lời hoàn chỉnh cho "trạng thái bình thường mới" này trước làn sóng lỗ hổng mới được công bố. Bản cập nhật Project Glasswing của Anthropic vào tháng 5 năm 2026 đã làm cho sự mất cân bằng này trở nên khó phớt lờ. Công ty cho biết họ cùng với khoảng 50 đối tác đã sử dụng Claude Mythos Preview để xác định hơn 10.000 lỗ hổng có mức độ nghiêm trọng cao hoặc đặc biệt nghiêm trọng trên các phần mềm quan trọng mang tính hệ thống chỉ trong một tháng, trong khi nhiều tổ chức khác cũng báo cáo kết quả tương tự với các nỗ lực nội bộ do AI thúc đẩy.

AI đang công nghiệp hóa việc nghiên cứu lỗ hổng, nhưng không chỉ dành cho những người phòng thủ hay các nhà cung cấp phần mềm. Kẻ tấn công cũng đang sử dụng chính những công cụ đó, với cùng lợi thế về tốc độ, để xác định và tái hiện các lỗ hổng, sau đó sử dụng chúng để chống lại các tổ chức mà chúng nhắm tới.

Vậy, điều này có ý nghĩa gì đối với dòng thời gian khai thác và công tác phòng thủ?

Điểm nghẽn đã thay đổi

Không có gì bí mật khi thời gian khai thác đã bị rút ngắn trong nhiều năm qua, và trong những năm gần đây, việc công bố lỗ hổng thường đi kèm với các cuộc khai thác thực tế (in-the-wild exploitation) chỉ trong vài giờ. Với AI, khoảng thời gian mà một tổ chức lớn có từ lúc được thông báo về một vấn đề đến khi thấy ai đó cố gắng sử dụng nó chống lại mình sẽ tiếp tục bị nén lại.

Ngược lại, việc khắc phục và vá lỗi vẫn chưa theo kịp tốc độ đó. Báo cáo Verizon 2026 DBIR đã nêu rõ điểm này: thời gian trung bình để một tổ chức vá một lỗ hổng nghiêm trọng đã tăng lên theo từng năm, từ 32 ngày lên 43 ngày.

Thực tế rất khắc nghiệt: trong khi kẻ tấn công hoạt động theo dòng thời gian tính bằng giờ, thì người phòng thủ lại hoạt động theo dòng thời gian tính bằng tuần. Khoảng trống đó chính là nơi việc khai thác thực sự xảy ra.

Đúng là có nhiều lỗ hổng hơn. Đúng là kẻ tấn công đang di chuyển nhanh hơn. Nhưng phần khó khăn nhất đối với những người phòng thủ là việc khắc phục không hề nhanh hơn, và có lẽ là không thể nhanh hơn. Yêu cầu các tổ chức "chỉ cần vá lỗi nhanh hơn" giống như bảo ai đó "hãy cao lên". Nghe có vẻ hữu ích và đầy thiện chí, nhưng đó không phải là việc mà hầu hết các đội ngũ có thể đơn giản quyết định là làm được.

Sau đó là áp lực từ các cơ quan quản lý. CERT-IN của Ấn Độ gần đây đã ban hành hướng dẫn hướng tới kỳ vọng vá lỗi dưới một ngày cho một số lỗ hổng quan trọng. Ý định thì rõ ràng, nhưng điều này lại bỏ qua thực tế vận hành.

Góc nhìn thực tế là một số lỗ hổng sẽ bị nhắm mục tiêu trước khi chúng có thể được khắc phục hoàn toàn. Các đội ngũ bảo mật cần lập kế hoạch xoay quanh thực tế đó mà không tạo ra rủi ro vận hành mới. Điều đó có nghĩa là phải trả lời nhanh một vài câu hỏi:

  • Chúng ta có sử dụng công nghệ này không?
  • Lỗ hổng này là lý thuyết hay thực tế?
  • Lỗ hổng có thể khai thác được trong môi trường của chúng ta không?
  • Việc khai thác sẽ trông như thế nào?
  • Những biện pháp kiểm soát tạm thời nào có thể giảm thiểu rủi ro trong khi chu kỳ vá lỗi thông thường đang chạy?

Mô hình hoạt động cần chuyển sang cơ chế: tiên phong ngăn chặn (preempt), xác thực (validate) và giảm thiểu (mitigate). Và đây là cách thực hiện.

Bước 1: Tiên phong ngăn chặn những gì kẻ tấn công có khả năng khai thác

Mỗi lỗ hổng được công bố không mang mức độ khẩn cấp như nhau. Một số lỗ hổng sẽ không bao giờ bị khai thác trong thế giới thực. Những lỗ hổng khác lại có các đặc điểm mà kẻ tấn công tìm kiếm: triển khai rộng rãi, có thể tiếp cận qua internet, khả năng khai thác lặp lại và lộ trình rõ ràng để truy cập vào môi trường mục tiêu.

Trong một tương lai gần đáng sợ, nơi chúng ta thấy hàng trăm, thậm chí hàng nghìn lỗ hổng được công bố hàng ngày, việc tiên phong ngăn chặn có nghĩa là xác định lỗ hổng nào có khả năng bị khai thác thực tế cao nhất để có thể lọc bớt, giúp các đội ngũ không lãng phí thời gian quan trọng để điều tra mọi thứ. Mức độ nghiêm trọng vẫn quan trọng, nhưng nó chưa bao giờ là bức tranh toàn cảnh.

Trong một chu kỳ do AI thúc đẩy, việc lọc đó phải diễn ra trong những giờ đầu tiên sau khi lỗ hổng được công bố, trước khi các đội ngũ kịp xem qua toàn bộ danh sách. Thu hẹp phạm vi sớm là điều giúp các tổ chức đi trước cửa sổ khai thác thay vì chỉ phản ứng sau khi sự việc đã rồi.

Bước 2: Phản ứng nhanh với các mối đe dọa mới nổi và xác thực mức độ phơi nhiễm

Một khi việc khai thác thực tế một mối đe dọa mới nổi được xác định là có khả năng xảy ra hoặc đã được xác nhận, những người phòng thủ cần có khả năng phản ứng nhanh và xác thực mức độ phơi nhiễm cụ thể của tổ chức mình trước khi kẻ tấn công hành động.

Điều đó có nghĩa là biến một thông tin công bố lỗ hổng mới hoặc một chiến dịch khai thác thành một câu trả lời cụ thể cho môi trường của mình: Chúng ta có bị phơi nhiễm không? Chúng ta bị phơi nhiễm ở đâu? Ai là người quản lý các hệ thống bị ảnh hưởng? Khả năng khai thác đã được chứng minh chưa? Phản ứng nhanh thực tế đối với các mối đe dọa mới nổi nên xác định các hệ thống hướng internet trên khắp các đơn vị kinh doanh, phòng ban và công ty con, đồng thời đặt lỗ hổng vào ngữ cảnh với thông tin tình báo về mối đe dọa (threat intelligence) liên quan.

Việc xác thực sau đó sẽ xác nhận xem thành phần bị lỗ hổng có thể bị kẻ tấn công tiếp cận và khai thác trong thế giới thực hay không. Một lỗ hổng tiềm ẩn tạo ra một cuộc điều tra. Nhưng một lỗ hổng đã được xác thực là có thể khai thác, với tốc độ khai thác thực tế như hiện nay, đòi hỏi hành động tự động và nhanh chóng.

Các đội ngũ phân biệt điều đó càng nhanh thì họ càng nhanh chóng quyết định được nên giảm thiểu cái gì, giám sát cái gì và cái gì có thể xử lý qua quy trình khắc phục thông thường.

Tốc độ mà không có sự chính xác là sự hoảng loạn, và sự chính xác mà không có tốc độ là vô nghĩa. Cả hai phải được kết hợp khi phản ứng với một mối đe dọa mới nổi, trước khi việc khai thác bắt đầu.

Bước 3: Giảm thiểu để kéo dài thời gian cho việc khắc phục hiệu quả

Sau khi mức độ phơi nhiễm được xác thực, việc khắc phục vẫn có thể yêu cầu thử nghiệm, kiểm soát thay đổi và triển khai phối hợp.

Giảm thiểu (mitigation) làm giảm khả năng khai thác trong khoảng thời gian đó. Đối với các hệ thống hướng internet, điều này có thể bao gồm hạn chế quyền truy cập, vô hiệu hóa các tính năng bị lỗ hổng, các quy tắc WAF hoặc API, cập nhật IDS hoặc IPS, cách ly, thay đổi cấu hình, giám sát hoặc các biện pháp kiểm soát tạm thời để chặn các mẫu khai thác. Việc giảm thiểu hiệu quả cũng nên dựa trên cách thức khai thác hoạt động. Một quy tắc chung dựa trên tóm tắt CVE sẽ yếu hơn một biện pháp kiểm soát được xây dựng từ lộ trình khai thác (exploit path), payload, các điều kiện cần thiết và hành vi xấu đã biết. Những biện pháp kiểm soát này không cần phải là vĩnh viễn. Chúng cần làm cho việc khai thác trở nên chậm hơn, ít tin cậy hơn và khó mở rộng quy mô hơn trong khi tổ chức tiến hành vá lỗi một cách an toàn.

Giảm thiểu tự động (autonomous mitigation) thu hẹp khoảng cách giữa tốc độ của kẻ tấn công và tốc độ vá lỗi. Đây là biện pháp kiểm soát duy nhất hoạt động trong cùng khung thời gian với việc khai thác.

Đây là lý do watchTowr được tạo ra

Nền tảng watchTowr nén dòng thời gian của người phòng thủ để phù hợp với dòng thời gian tấn công do AI thúc đẩy. Bằng cách tiếp cận từ góc độ của kẻ tấn công, nền tảng xác định các điểm yếu và lỗ hổng có thể khai thác, và trước khối lượng không ngừng của các mối đe dọa mới nổi, nó liên tục cho phép các tổ chức phản ứng nhanh chóng và giảm thiểu mức độ phơi nhiễm của mình.

Bằng cách tận dụng AI để kết hợp Proactive Threat Intelligence, External Attack Surface Management và Autonomous Mitigation, nền tảng watchTowr mang lại sự rõ ràng: cho các đội ngũ thấy những gì kẻ tấn công có thể nhìn thấy, những gì chúng có thể khai thác và những gì có thể làm để giảm thiểu trước khi bị xâm nhập.

Vá lỗi vẫn cần thiết và hoàn toàn quan trọng. Nhưng trong một thế giới khai thác do AI thúc đẩy, chỉ riêng việc vá lỗi không thể được thực hiện với tốc độ yêu cầu trong khi vẫn đảm bảo tính khả dụng và ngăn chặn gián đoạn. Nền tảng watchTowr, một giải pháp AI-Powered Preemptive Exposure Management, giúp các tổ chức tiên phong ngăn chặn kẻ tấn công, xác thực mức độ phơi nhiễm mối đe dọa mới nổi và tự động giảm thiểu để có được thứ duy nhất mà kẻ tấn công không thể vượt mặt: thời gian để phản ứng.

watchTowr Platform
Nền tảng watchTowr hỗ trợ quản lý phơi nhiễm chủ động.