Cuộc đua giành từng CVE mới
Dựa trên nhiều báo cáo ngành năm 2025: khoảng 50 đến 61 phần trăm các lỗ hổng mới được công bố đã bị vũ khí hóa bằng mã exploit trong vòng 48 giờ. Sử dụng CISA Known Exploited Vulnerabilities Catalog làm tài liệu tham khảo, hàng trăm lỗi phần mềm hiện đã được xác nhận là mục tiêu tấn công tích cực trong vòng vài ngày sau khi công khai. Mỗi thông báo mới giờ đây đều khơi mào một cuộc đua toàn cầu giữa những kẻ tấn công và người phòng thủ. Cả hai bên đều theo dõi cùng một nguồn cấp dữ liệu, nhưng một bên di chuyển với tốc độ máy móc trong khi bên còn lại di chuyển với tốc độ con người.
Các tác nhân đe dọa lớn đã công nghiệp hóa hoàn toàn phản ứng của họ. Ngay khi một lỗ hổng mới xuất hiện trong các cơ sở dữ liệu công cộng, các tập lệnh tự động sẽ quét, phân tích và đánh giá tiềm năng khai thác của nó, và giờ đây những nỗ lực này ngày càng được tinh gọn hơn thông qua việc sử dụng AI. Trong khi đó, các đội ngũ IT và an ninh thường bước vào chế độ phân loại, đọc các khuyến cáo, phân loại mức độ nghiêm trọng và xếp hàng chờ cập nhật cho chu kỳ patch tiếp theo. Sự chậm trễ đó chính là khoảng trống mà kẻ thù exploit.
Nhịp độ patch truyền thống hàng quý hoặc thậm chí hàng tháng không còn bền vững. Những kẻ tấn công giờ đây vũ khí hóa các lỗ hổng nghiêm trọng chỉ trong vài giờ sau khi công bố, rất lâu trước khi các tổ chức kịp phân tích hoặc xác thực chúng, và thường là trước khi họ triển khai bản vá.
Nền kinh tế khai thác dựa trên tốc độ
Hệ sinh thái đe dọa ngày nay được xây dựng dựa trên tự động hóa và khối lượng lớn. Các nhà môi giới exploit và các nhóm liên kết hoạt động như chuỗi cung ứng, mỗi bên chuyên về một phần của quá trình tấn công. Họ sử dụng các nguồn cấp dữ liệu lỗ hổng, máy quét mã nguồn mở và công cụ fingerprinting để khớp các CVE mới với các mục tiêu phần mềm bị lộ. Nhiều mục tiêu này đã được xác định trước và các hệ thống này biết trước mục tiêu nào có khả năng dễ bị tấn công sắp tới nhất. Đây là một trò chơi rút súng nhanh, ai nhanh hơn sẽ thắng.
Nghiên cứu từ Mandiant cho thấy việc khai thác thường bắt đầu trong vòng 48 giờ sau khi công bố công khai, ở nhiều tổ chức, đội ngũ IT hoạt động 8 giờ mỗi ngày, để lại 32 giờ lợi thế cho những kẻ tấn công. Hiệu quả hoạt động này minh họa cách những kẻ tấn công đã loại bỏ gần như mọi bước thủ công khỏi quy trình làm việc của họ. Khi một exploit hoạt động được xác nhận, nó sẽ được đóng gói và chia sẻ trong vòng vài giờ trên các diễn đàn dark web, các kênh nội bộ và các bộ công cụ malware.
Thất bại ở quy mô lớn là chấp nhận được
Những kẻ tấn công cũng tận hưởng một đặc quyền mà người phòng thủ không thể có: thất bại. Nếu chúng làm sập một nghìn hệ thống trên đường xâm nhập một trăm hệ thống khác, nỗ lực đó vẫn là một thành công. Các chỉ số của chúng dựa trên hiệu suất, không phải thời gian hoạt động. Ngược lại, những người phòng thủ phải đạt được sự ổn định gần như hoàn hảo. Một bản cập nhật bị lỗi hoặc sự gián đoạn dịch vụ duy nhất có thể gây ra tác động rộng lớn và làm mất lòng tin của khách hàng. Sự mất cân bằng này cho phép kẻ thù chấp nhận rủi ro liều lĩnh trong khi người phòng thủ vẫn bị hạn chế, và điều đó cũng giúp giữ cho khoảng cách hoạt động đủ rộng để liên tục khai thác.
Từ phòng thủ tốc độ con người đến khả năng phục hồi tốc độ máy móc
Nhận thức không phải là vấn đề. Thách thức là tốc độ thực thi. Các đội an ninh biết khi nào các lỗ hổng được công bố nhưng không thể hành động đủ nhanh nếu thiếu tự động hóa. Chuyển đổi từ việc patch thủ công hoặc dựa trên ticket sang khắc phục có tổ chức, theo chính sách không còn là tùy chọn nếu bạn muốn duy trì khả năng cạnh tranh trong cuộc chiến này.
Các hệ thống tăng cường bảo mật và phản ứng tự động có thể rút ngắn đáng kể thời gian phơi nhiễm. Bằng cách liên tục áp dụng các bản patch quan trọng, thực thi các tiêu chuẩn cấu hình và sử dụng tính năng rollback có điều kiện khi cần, các tổ chức có thể duy trì an toàn hoạt động đồng thời loại bỏ sự chậm trễ. Và một bài học khó khăn mà nhiều người sẽ phải vượt qua, đó là thiệt hại bạn có thể gây ra gần như chắc chắn sẽ ít hơn, và dễ phục hồi hơn so với một cuộc tấn công. Đó là một rủi ro có tính toán, và có thể quản lý được. Bài học rất đơn giản, bạn thà phải rollback một bản cập nhật trình duyệt cho 1000 hệ thống, hay phục hồi hoàn toàn chúng từ bản sao lưu? Tôi không gợi ý bạn nên coi thường điều này nhưng hãy cân nhắc giá trị của sự do dự của bạn so với giá trị của hành động của bạn, và khi hành động thắng thế, hãy nghe theo trực giác. Các nhà lãnh đạo IT cần bắt đầu hiểu điều này, và các nhà lãnh đạo doanh nghiệp cần nhận ra rằng đây là chiến lược tốt nhất của IT. Hoàn toàn thử nghiệm, và tính đến mức độ quan trọng của doanh nghiệp khi chọn tốc độ tiến hành trên các hệ thống quan trọng nhưng hãy định hướng toàn bộ quy trình theo hướng tự động hóa tinh gọn và ưu tiên hành động nhanh chóng.
Làm phẳng đường cong kiệt sức
Tự động hóa cũng giảm mệt mỏi và lỗi. Thay vì phải đuổi theo các cảnh báo, các đội an ninh chỉ cần định nghĩa các quy tắc một lần, cho phép các hệ thống thực thi chúng liên tục. Sự thay đổi này biến an ninh mạng thành một quy trình thích ứng, tự duy trì thay vì một chu kỳ phân loại và vá lỗi thủ công. Việc kiểm toán và xem xét các quy trình mất ít thời gian hơn so với việc thực hiện chúng trong hầu hết các trường hợp.
Lớp hệ thống tự động hóa tấn công mới này không ngủ, không mệt mỏi, không quan tâm đến bất kỳ hậu quả nào từ hành động của chúng. Chúng tập trung duy nhất vào một mục tiêu: giành quyền truy cập vào càng nhiều hệ thống càng tốt. Bất kể bạn huy động bao nhiêu người để giải quyết vấn đề này, vấn đề vẫn âm ỉ giữa các phòng ban, chính sách, cá tính và cái tôi. Nếu bạn muốn chống lại một cỗ máy không ngừng nghỉ, bạn cần một cỗ máy không ngừng nghỉ ở góc đài của mình.
Thay đổi những gì không thể tự động hóa
Ngay cả những công cụ tiên tiến nhất cũng không thể tự động hóa mọi thứ. Một số khối lượng công việc quá tinh vi hoặc bị ràng buộc bởi các khung pháp lý tuân thủ nghiêm ngặt. Nhưng những ngoại lệ đó vẫn nên được xem xét qua một lăng kính duy nhất: Làm thế nào để chúng có thể được tự động hóa hơn, nếu không thì ít nhất cũng hiệu quả hơn?
Điều đó có thể có nghĩa là tiêu chuẩn hóa cấu hình, phân đoạn các hệ thống cũ hoặc hợp lý hóa các phụ thuộc làm chậm quy trình patch. Mỗi bước thủ công còn lại đều đại diện cho thời gian bị mất, và thời gian là tài nguyên duy nhất mà những kẻ tấn công exploit hiệu quả nhất.
Chúng ta phải xem xét sâu sắc các chiến lược phòng thủ để xác định những quyết định, chính sách hoặc quy trình phê duyệt nào đang gây ra sự trì trệ. Nếu chuỗi mệnh lệnh hoặc quản lý thay đổi đang làm chậm quá trình khắc phục, có thể đã đến lúc thực hiện những thay đổi chính sách sâu rộng được thiết kế để loại bỏ các nút thắt đó. Tự động hóa phòng thủ nên hoạt động với tốc độ tương xứng với hành vi của kẻ tấn công, chứ không phải vì sự tiện lợi hành chính.
Phòng thủ tăng tốc trong thực tế
Nhiều doanh nghiệp có tư duy tiến bộ đã áp dụng nguyên tắc phòng thủ tăng tốc, kết hợp tự động hóa, điều phối và rollback có kiểm soát để duy trì sự linh hoạt mà không gây ra hỗn loạn.
Các nền tảng như Action1 tạo điều kiện thuận lợi cho phương pháp này bằng cách cho phép các đội an ninh tự động xác định, triển khai và xác minh các bản patch trên toàn bộ môi trường doanh nghiệp. Điều này loại bỏ các bước thủ công làm chậm quá trình triển khai patch và thu hẹp khoảng cách giữa nhận thức và hành động. NẾU các chính sách của bạn hợp lý, hệ thống tự động hóa của bạn hiệu quả và các quyết định của bạn được thực hiện đúng đắn trên thực tế vì tất cả đều đã được thống nhất từ trước.
Bằng cách tự động hóa khắc phục và xác thực, Action1 và các giải pháp tương tự minh họa về an ninh mạng ở tốc độ máy móc: nhanh chóng, được quản lý và kiên cường. Mục tiêu không chỉ đơn thuần là tự động hóa, mà là tự động hóa theo chính sách, nơi phán đoán của con người định nghĩa các ranh giới và công nghệ thực thi ngay lập tức.
Tương lai là phòng thủ tự động
Cả kẻ tấn công và người phòng thủ đều rút kinh nghiệm từ cùng một dữ liệu công khai, nhưng chính sự tự động hóa được xây dựng trên dữ liệu đó mới quyết định ai sẽ thắng cuộc đua. Mỗi giờ trôi qua giữa thời điểm công bố và khắc phục đại diện cho một nguy cơ bị xâm phạm tiềm tàng. Người phòng thủ không thể làm chậm tốc độ khám phá, nhưng họ có thể thu hẹp khoảng cách thông qua tăng cường bảo mật, điều phối và tự động hóa hệ thống. Tương lai của an ninh mạng thuộc về những người biến hành động tức thì, có thông tin thành chế độ hoạt động tiêu chuẩn của họ, bởi vì trong cuộc đua này, người phản ứng chậm nhất đã bị xâm phạm.
Những điểm chính:
- Không một đội ngũ con người nào có thể vượt qua tốc độ và hiệu quả tuyệt đối của các hệ thống tấn công tự động đang được xây dựng. Nhiều người hơn dẫn đến nhiều quyết định hơn, chậm trễ hơn, nhầm lẫn và sai sót nhiều hơn. Đây là một cuộc đấu súng: bạn phải sử dụng lực lượng ngang bằng, tự động hóa hoặc thất bại.
- Các tác nhân đe dọa đang xây dựng các đường ống tấn công hoàn toàn tự động, trong đó mã exploit mới chỉ đơn giản được nạp vào hệ thống — hoặc thậm chí được phát triển bởi chính nó — sử dụng AI. Chúng hoạt động 24/7/365, không mệt mỏi, không nghỉ ngơi, chúng tìm kiếm và phá hủy như một lẽ tồn tại cho đến khi bị tắt hoặc được chỉ đạo khác.
- Hầu hết các tác nhân đe dọa hàng loạt hoạt động dựa trên số lượng mục tiêu, không phải những phát bắn chính xác. Chúng không tìm kiếm "bạn" mà là tìm kiếm "Bất kỳ ai". Quy mô và giá trị của bạn không có ý nghĩa gì ở giai đoạn xâm nhập ban đầu, điều này được đánh giá SAU khi truy cập được cấp.
- Các tác nhân đe dọa không ngần ngại sử dụng số tiền bất chính khổng lồ của mình vào công nghệ mới để nâng cao khả năng tấn công; đối với chúng, đó là một khoản đầu tư. Đồng thời, ngành công nghiệp lại coi đó là một sự hao tổn lợi nhuận. Hệ thống tấn công bạn liên quan đến nhiều nhà phát triển tài năng trong việc xây dựng và bảo trì nó, và ngân sách vượt xa ước mơ hoang đường nhất của bất kỳ người phòng thủ nào. Đây không phải là những tên tội phạm nghiệp dư, chúng là những doanh nghiệp có tổ chức cao, có năng lực ngang bằng và sẵn sàng đầu tư vào tài nguyên hơn so với lĩnh vực kinh doanh.
Năm 2026 đang đến. Mạng của bạn đã sẵn sàng chưa?
Lưu ý: Bài viết này được viết và đóng góp bởi Gene Moody, Field CTO tại Action1.
