Các nhà sản xuất ô tô không tin vào bản thiết kế. Họ đâm các nguyên mẫu vào tường. Lặp đi lặp lại. Trong điều kiện được kiểm soát.
Bởi vì các thông số thiết kế không chứng minh khả năng sống sót. Các bài kiểm tra va chạm mới làm được điều đó. Chúng tách biệt lý thuyết khỏi thực tế. An ninh mạng cũng không khác. Các bảng điều khiển tràn ngập cảnh báo phơi nhiễm "critical". Các báo cáo tuân thủ đánh dấu mọi ô.
Nhưng tất cả những điều đó không chứng minh được điều quan trọng nhất đối với một CISO:
- Nhóm ransomware nhắm mục tiêu vào lĩnh vực của bạn không thể di chuyển theo chiều ngang (lateral movement) một khi đã xâm nhập.
- Một exploit của một CVE mới được công bố sẽ không vượt qua được hệ thống phòng thủ của bạn vào sáng mai.
- Dữ liệu nhạy cảm không thể bị rút ra qua một kênh exfiltration ẩn, khiến doanh nghiệp phải đối mặt với các khoản phạt, kiện tụng và thiệt hại về danh tiếng.
Đó là lý do tại sao Breach and Attack Simulation (BAS) lại quan trọng.
BAS là bài kiểm tra va chạm cho ngăn xếp bảo mật của bạn. Nó mô phỏng an toàn các hành vi tấn công thực tế để chứng minh những cuộc tấn công nào mà hệ thống phòng thủ của bạn có thể ngăn chặn, và những cuộc tấn công nào có thể xuyên thủng. Nó phơi bày những lỗ hổng đó trước khi kẻ tấn công khai thác chúng hoặc các cơ quan quản lý yêu cầu câu trả lời.
Ảo ảnh về sự an toàn: Các bảng điều khiển (Dashboards) không có bài kiểm tra va chạm
Các bảng điều khiển tràn ngập thông tin phơi nhiễm có thể mang lại cảm giác an tâm, như thể bạn đang nhìn thấy mọi thứ, như thể bạn an toàn. Nhưng đó là một sự an ủi sai lầm. Nó không khác gì việc đọc bảng thông số kỹ thuật của một chiếc ô tô và tuyên bố nó "an toàn" mà không bao giờ đâm nó vào tường ở tốc độ 60 dặm một giờ. Trên giấy tờ, thiết kế vẫn ổn. Trong thực tế, tác động sẽ cho thấy khung xe bị biến dạng và túi khí bị lỗi ở đâu.
Bản Blue Report 2025 cung cấp dữ liệu kiểm tra va chạm cho an ninh doanh nghiệp (enterprise security). Dựa trên 160 triệu mô phỏng hành vi của đối thủ, nó cho thấy điều gì thực sự xảy ra khi hệ thống phòng thủ được kiểm tra thay vì giả định:
- Khả năng ngăn chặn (Prevention) giảm từ 69% xuống 62% trong một năm. Ngay cả các tổ chức có biện pháp kiểm soát trưởng thành cũng bị thụt lùi.
- 54% hành vi của kẻ tấn công không tạo ra bất kỳ log nào. Toàn bộ chuỗi tấn công diễn ra mà không có khả năng hiển thị (visibility) nào.
- Chỉ 14% kích hoạt cảnh báo (alerts). Điều đó có nghĩa là hầu hết các đường dẫn phát hiện (detection pipelines) đã thất bại một cách thầm lặng.
- Dữ liệu exfiltration chỉ bị chặn 3% thời gian. Một giai đoạn có hậu quả tài chính, quy định và danh tiếng trực tiếp nhưng lại không được bảo vệ hiệu quả.
Đây không phải là những lỗ hổng mà các bảng điều khiển (dashboards) tiết lộ. Chúng là những điểm yếu có thể bị khai thác (exploitable weaknesses) chỉ xuất hiện dưới áp lực.
Cũng như một bài kiểm tra va chạm phơi bày những sai sót ẩn trong bản thiết kế, security validation phơi bày những giả định sẽ sụp đổ dưới tác động thực tế, trước khi kẻ tấn công, các cơ quan quản lý hoặc khách hàng làm điều đó.
BAS hoạt động như một công cụ Security Validation
Các bài kiểm tra va chạm không chỉ phơi bày các sai sót. Chúng chứng minh rằng các hệ thống an toàn hoạt động khi cần thiết nhất. Breach and Attack Simulation (BAS) cũng làm điều tương tự cho an ninh doanh nghiệp (enterprise security).
Thay vì chờ đợi một vụ vi phạm thực sự, BAS liên tục chạy các kịch bản tấn công an toàn, được kiểm soát, phản ánh cách kẻ tấn công thực sự hoạt động. Nó không giao dịch bằng những điều giả thuyết, nó mang lại bằng chứng.
Đối với các CISO, bằng chứng này rất quan trọng vì nó biến sự lo lắng thành sự đảm bảo:
- Không còn những đêm không ngủ vì một CVE công khai với một proof-of-concept đang hoạt động. BAS cho thấy liệu hệ thống phòng thủ của bạn có ngăn chặn nó trong thực tế hay không.
- Không cần đoán xem chiến dịch ransomware đang càn quét lĩnh vực của bạn có thể xâm nhập môi trường của bạn hay không. BAS chạy các hành vi đó một cách an toàn và cho thấy liệu bạn có phải là nạn nhân hay không.
- Không còn nỗi sợ hãi về những điều chưa biết trong các báo cáo mối đe dọa ngày mai. BAS xác thực các biện pháp phòng thủ chống lại cả các kỹ thuật đã biết và các kỹ thuật mới nổi được quan sát trong thực tế.
Đây là nguyên tắc của Security Control Validation (SCV): chứng minh rằng các khoản đầu tư có giá trị ở những nơi quan trọng. BAS là công cụ giúp SCV liên tục và có thể mở rộng.
Các bảng điều khiển (dashboards) có thể cho thấy tình hình bảo mật (posture). BAS tiết lộ hiệu suất. Bằng cách chỉ ra những điểm mù trong hệ thống phòng thủ của bạn, nó mang lại cho các CISO thứ mà các bảng điều khiển không bao giờ có thể: khả năng tập trung vào những phơi nhiễm thực sự quan trọng và sự tự tin để chứng minh khả năng phục hồi cho hội đồng quản trị, các cơ quan quản lý và khách hàng.
Bằng chứng trong thực tế: Tác động của BAS trong hoạt động kinh doanh
Xác thực phơi nhiễm dựa trên BAS cho thấy mức độ nhiễu có thể được loại bỏ khi các giả định nhường chỗ cho bằng chứng:
- Các tồn đọng của 9.500 phát hiện CVSS "critical" thu hẹp lại chỉ còn 1.350 phơi nhiễm được chứng minh là có liên quan.
- Thời gian trung bình để khắc phục (Mean Time to Remediate - MTTR) giảm từ 45 ngày xuống còn 13 ngày, đóng các cửa sổ phơi nhiễm trước khi kẻ tấn công có thể tấn công.
- Các lần hoàn tác (Rollbacks) giảm từ 11 lần mỗi quý xuống còn 2 lần, tiết kiệm thời gian, ngân sách và uy tín.
Và khi được kết hợp với các mô hình ưu tiên như Picus Exposure Score (PXS), sự rõ ràng trở nên sắc nét hơn:
- Từ 63% các lỗ hổng (vulnerabilities) được gắn cờ là high/critical, chỉ còn 10% thực sự là critical sau khi xác thực, giảm 84% mức độ khẩn cấp sai lầm.
Đối với các CISO, điều này có nghĩa là ít đêm không ngủ hơn vì các bảng điều khiển (dashboards) ngày càng phình to và có nhiều sự tự tin hơn rằng các nguồn lực được tập trung vào những phơi nhiễm quan trọng nhất.
BAS biến dữ liệu quá tải thành một bức tranh rủi ro được xác thực mà các giám đốc điều hành có thể tin tưởng.
Lời kết: Đừng chỉ giám sát, hãy mô phỏng
Đối với các CISO, thách thức không phải là khả năng hiển thị (visibility), mà là sự chắc chắn. Hội đồng quản trị không yêu cầu các bảng điều khiển (dashboards) hay điểm số từ máy quét. Họ muốn sự đảm bảo rằng hệ thống phòng thủ sẽ hoạt động khi cần thiết nhất.
Đây là lúc BAS định hình lại cuộc trò chuyện: từ tình hình bảo mật (posture) sang bằng chứng.
- Từ "Chúng tôi đã triển khai một firewall" → thành "Chúng tôi đã chứng minh nó chặn lưu lượng C2 độc hại trong 500 lần thử nghiệm mô phỏng trong quý này."
- Từ "EDR của chúng tôi có phạm vi bao phủ MITRE" → thành "Chúng tôi đã phát hiện 72% hành vi của nhóm APT Scattered Spider được mô phỏng; đây là nơi chúng tôi đã sửa 28% còn lại."
- Từ "Chúng tôi tuân thủ" → thành "Chúng tôi có khả năng phục hồi, và chúng tôi có thể chứng minh điều đó bằng bằng chứng."
Sự thay đổi đó là lý do tại sao BAS gây tiếng vang ở cấp điều hành. Nó biến an ninh từ các giả định thành các kết quả có thể đo lường được. Hội đồng quản trị không mua tình hình bảo mật (posture), họ mua bằng chứng.
Và BAS đang tiếp tục phát triển. Với AI, nó không chỉ chứng minh liệu hệ thống phòng thủ có hoạt động ngày hôm qua hay không, mà còn dự đoán chúng sẽ hoạt động như thế nào vào ngày mai.
Để xem điều này trong thực tế, hãy tham gia Picus Security, SANS, Hacker Valley và các tiếng nói hàng đầu khác tại Hội nghị thượng đỉnh Picus BAS 2025: Định nghĩa lại mô phỏng tấn công thông qua AI. Hội nghị thượng đỉnh ảo này sẽ trình bày cách BAS và AI cùng nhau định hình tương lai của xác thực bảo mật (security validation).
