Tự động hóa tấn công cao và những điều cần lường trước cho an ninh mạng năm 2026

Ông Nguyễn Gia Đức, Giám đốc quốc gia Fortinet Việt Nam

Hàng năm, FortiGuard Labs đều nghiên cứu và phân tích cách công nghệ, kinh tế và hành vi con người định hình rủi ro an ninh mạng toàn cầu. Ông có thể cho biết những điều đáng lưu tâm trong báo cáo này?

Ông Nguyễn Gia Đức: Báo cáo lần này của Fortinet phác thảo một bước ngoặt quan trọng trong quá trình biến đổi, điển hình như việc tấn công mạng sẽ tiếp tục phát triển thành một ngành công nghiệp có tổ chức, được xây dựng dựa trên tự động hóa, chuyên môn hóa và ứng dụng trí tuệ nhân tạo (AI) một cách mạnh mẽ. Nhưng vào năm 2026, thành công trong cả tấn công và phòng thủ sẽ ít được quyết định bởi sự đổi mới mà hiệu suất sẽ đóng vai trò chính: vai trò của tốc độ chuyển đổi thông tin tình báo thành hành động.

Cụ thể, các phát hiện chính trong nghiên cứu của FortiGuard Labs là gì, thưa ông?

Ông Nguyễn Gia Đức: Chúng tôi có thể tóm tắt các phát hiện chính như sau:

Hiệu suất và tốc độ sẽ quyết định thay đổi. Vì AI, tự động hóa và chuỗi cung ứng tội phạm mạng đã phát triển khá hoàn thiện khiến việc xâm nhập nhanh chóng và dễ dàng hơn bao giờ hết, những kẻ tấn công sẽ dành ít thời gian hơn để phát minh ra các công cụ mới mà tập trung vào tinh chỉnh và tự động hóa các kỹ thuật đã phát huy hiệu quả. Hệ thống AI sẽ quản lý việc trinh sát, tăng tốc xâm nhập, phân tích dữ liệu bị đánh cắp và tạo ra các cuộc đàm phán tiền chuộc. Đồng thời, các tác nhân tội phạm mạng tự động trên dark web sẽ bắt đầu thực hiện toàn bộ các giai đoạn tấn công với sự giám sát tối thiểu của con người.

Những thay đổi này sẽ mở rộng năng lực của kẻ tấn công theo cấp số nhân. Một tác nhân ransomware từng quản lý một vài chiến dịch sẽ sớm có thể khởi động hàng chục chiến dịch cùng lúc. Và thời gian giữa xâm nhập và tác động sẽ rút ngắn từ nhiều ngày xuống còn vài phút, khiến tốc độ trở thành yếu tố rủi ro quyết định đối với các tổ chức vào năm 2026. Vì thế, hiệu suất và tốc độ sẽ quyết định thay đổi cách chúng ta ứng phó với tội phạm mang.

Xu hướng tấn công

FortiGuard Labs dự đoán sự xuất hiện của các tác nhân AI chuyên biệt được thiết kế để hỗ trợ các hoạt động tội phạm mạng. Mặc dù các tác nhân này chưa thể hoạt động độc lập, nhưng chúng sẽ bắt đầu tự động hóa và tăng cường các giai đoạn quan trọng của chuỗi tấn công, bao gồm đánh cắp thông tin đăng nhập, di chuyển ngang hàng trong hệ thống và kiếm tiền từ dữ liệu.

Đồng thời, AI sẽ đẩy nhanh quá trình kiếm tiền từ dữ liệu. Khi kẻ tấn công có quyền truy cập vào các cơ sở dữ liệu bị đánh cắp, các công cụ AI sẽ ngay lập tức phân tích và ưu tiên dữ liệu, xác định nạn nhân nào mang lại lợi nhuận cao nhất và tạo ra các thông điệp tống tiền được cá nhân hóa. Kết quả là, dữ liệu sẽ trở thành tiền tệ nhanh hơn bao giờ hết.

Nền kinh tế ngầm cũng sẽ có cấu trúc rõ rệt hơn. Các dịch vụ botnet và cho thuê thông tin đăng nhập sẽ ngày càng được tùy chỉnh nhiều hơn vào năm 2026. Việc làm giàu dữ liệu và tự động hóa sẽ cho phép người bán cung cấp các gói truy cập cụ thể hơn dựa trên ngành nghề, vị trí địa lý và cấu hình hệ thống, thay thế các gói chung chung đang tràn lan trên thị trường ngầm hiện nay. Thị trường chợ đen sẽ áp dụng dịch vụ khách hàng, chấm điểm uy tín và ký quỹ tự động. Nhờ những đổi mới này, tội phạm mạng sẽ đẩy nhanh quá trình tiến hóa hướng tới công nghiệp hóa toàn diện.

Sự thay đổi của phòng thủ

Các lực lượng phòng thủ sẽ cần phải phản hồi với hiệu quả và sự phối hợp tương tự. Vào năm 2026, các hoạt động bảo mật sẽ tiến gần hơn đến điều mà FortiGuard Labs mô tả là phòng thủ tốc độ máy (machine-speed defense) - một quy trình liên tục gồm thu thập thông tin tình báo, xác thực và cô lập mối đe doạ, giúp rút ngắn thời gian phát hiện và phản hồi từ hàng giờ xuống còn vài phút.

Các khung bảo mật tiêu chuẩn như Continuous Threat Exposure Management (CTEM) và MITRE ATT&CK sẽ cần được tận dụng để các bên bảo mật có thể nhanh chóng lập bản đồ các mối đe dọa đang hoạt động, xác định các lỗ hổng và ưu tiên khắc phục dựa trên dữ liệu thời gian thực. Định danh cũng sẽ cần trở thành nền tảng của các hoạt động bảo mật, vì các tổ chức sẽ cần phải xác thực không chỉ con người mà còn cả các tác nhân tự động, quy trình AI và tương tác giữa máy móc với nhau.

Việc quản lý các định danh phi con người này sẽ trở nên rất quan trọng trong nỗ lực ngăn chặn rò rỉ dữ liệu và leo thang đặc quyền quy mô lớn.

Ông nhận định như thế nào về mức độ thay đổi trong ứng phó với tội phạm mạng của Việt Nam trong năm qua?

Ông Nguyễn Gia Đức: Không chỉ trong năm 2025, mà những năm gần đây, mức độ đầu tư của các tổ chức, doanh nghiệp tại Việt Nam đã được mở rộng và tăng chi phí. Nếu như trước đây việc ứng phó với tội phạm mạng chủ yếu tập trung ở khu vực tài chính, ngân hàng thì nay mở rộng khối cơ quan Chính phủ, khối doanh nghiệp Nhà nước, đặc biệt có cả doanh nghiệp tư nhân. Nếu như trước đây, các tổ chức chỉ đầu tư bảo mật cho các hệ thống truyền thống như email, tường lửa,… thì nay mở rộng sang hệ thống cloud, SOC,... Điều này cho thấy các tổ chức đã nhận thức rõ hơn về các thiệt hại vô hình từ các cuộc tấn công mạng.

Tuy nhiên, bên cạnh đó, vẫn còn nhiều rào cản đối với các doanh nghiệp nhỏ và vừa, liên quan chi phí. Điều này vô hình trung mang lại rủi ro cho doanh nghiệp khi chưa được đầu tư hoặc có đầu tư trước đó, nhưng hệ thống giải pháp chưa được nâng cấp hay đồng bộ.

Trước các mối đe dọa ngày càng tinh vi đó, theo ông đâu là giải pháp tối ưu?

Ông Nguyễn Gia Đức: Hợp tác và ngăn chặn tội phạm là ưu tiên hàng đầu.

Tội phạm mạng mang tính công nghiệp hóa sẽ đòi hỏi nỗ lực lớn hơn trong phối hợp phản ứng toàn cầu. Các sáng kiến như Chiến dịch Serengeti 2.0 của INTERPOL, được hỗ trợ bởi Fortinet và các đối tác tư nhân khác, chứng minh việc chia sẻ thông tin tình báo chung để cùng phá vỡ mục tiêu có thể mang tới kết quả khả quan trong nỗ lực phá hủy cơ sở hạ tầng tội phạm. Các sáng kiến mới, chẳng hạn như chương trình Fortinet-Crime Stoppers International Cybercrime Bounty, sẽ cho phép cộng đồng toàn cầu báo cáo các mối đe dọa mạng một cách an toàn, giúp mở rộng khả năng ngăn chặn và tăng cường trách nhiệm giải trình.

FortiGuard Labs cũng kỳ vọng sẽ tiếp tục đầu tư vào các chương trình giáo dục hướng tới giới trẻ hoặc những người có nguy cơ cao bị lôi kéo vào tội phạm trực tuyến. Việc ngăn chặn thế hệ tội phạm mạng tiếp theo sẽ phụ thuộc vào khả năng định hướng lại họ trước khi họ bước chân vào hệ sinh thái tội phạm.

Theo nghiên cứu của chúng tôi, đến năm 2027, tội phạm mạng dự kiến sẽ hoạt động ở quy mô tương đương với các ngành công nghiệp hợp pháp toàn cầu. FortiGuard Labs dự đoán xu hướng tự động hóa hơn nữa các hoạt động tấn công thông qua các mô hình AI dựa trên tác nhân, nơi các tác nhân dựa trên bầy đàn sẽ bắt đầu phối hợp các nhiệm vụ một cách bán tự động và thích ứng với hành vi của bên phòng thủ, cùng với các cuộc tấn công chuỗi cung ứng ngày càng tinh vi nhắm vào AI và các hệ thống nhúng.

Bên phòng thủ cũng cần phải phát triển, tận dụng tình báo dự đoán, tự động hóa và quản lý rủi ro để ngăn chặn các sự cố nhanh hơn đồng thời dự đoán hành vi của đối phương tốt hơn. Giai đoạn tiếp theo của an ninh mạng sẽ phụ thuộc vào mức độ hiệu quả trong phối hợp và thích ứng giữa con người và máy móc.

AI là công cụ cho tội phạm mạng phát huy nhưng theo các chuyên gia bảo mật, kinh nghiệm của con người trong việc xây dựng kịch bản phòng thủ và ra quyết định không thể coi nhẹ

Thưa ông, nhấn mạnh đến sự cấp thiết trước mắt, ông sẽ đưa ra giải pháp nào?

Ông Nguyễn Gia Đức: Là các chuyên gia bảo mật, chúng ta đang chứng kiến một sự thay đổi sâu sắc. Các cấu hình tĩnh và đánh giá định kỳ không thể theo kịp môi trường nơi kẻ tấn công tự động hóa việc thu thập thông tin tình báo, leo thang đặc quyền và tống tiền chỉ trong vài phút. Điều mà các tổ chức cần là một hình thái bảo mật thích ứng, thống nhất, kết hợp thông tin tình báo về mối đe dọa, quản lý rủi ro và ứng phó sự cố vào một quy trình làm việc liên tục, được hỗ trợ bởi trí tuệ nhân tạo.

Các giải pháp cụ thể, bao gồm:

- Triển khai phòng thủ với tốc độ của máy móc và giải pháp phần mềm

- Lường trước được chiến thuật của tội phạm để đưa ra bộ chính sách ngăn chặn

- Thẩm định, kiểm thử hệ thống phòng thủ của doanh nghiệp

- Phản ứng với các respond (doanh nghiệp đã có bộ chính sách phản ứng chưa, bài học sau sự cố là gì?,…)

Chúng tôi cũng cho rằng, với tốc độ tấn công nhanh và các bề mặt tấn công rộng như hiện nay, các tổ chức phải đầu tư chuyên biệt cho an minh mạng, đào tạo AI cho an ninh mạng phải được đưa và trường học sớm, cần có sự hợp tác công tư.

Tại Fortinet, chúng tôi tập trung vào việc giúp khách hàng xây dựng khả năng phục hồi để họ có thể hành động với tốc độ tương đương với các mối đe dọa mà họ phải đối mặt, đồng thời tăng cường khả năng ngăn chặn các cuộc tấn công trước khi xảy ra.

Cảm ơn ông về những chia sẻ trên!

Ông Nguyễn Minh Hải, chuyên gia giải pháp Fortinet Việt Nam chia sẻ về những mức độ tiến hóa của tội phạm mạng Theo ông Nguyễn Minh Hải, chuyên gia giải pháp Fortinet Việt Nam: Nếu như những năm 2000 - 2010, tội phạm an ninh mạng sử dụng các công nghệ đơn giản, mất hàng tháng, thậm chí hàng năm mới thành công trong các cuộc tấn công, thì giai đoạn 2010 - 2020, tội phạm đã bắt đầu sử dụng công nghệ mã hóa dữ liệu, thời gian rút ngắn hàng tuần. Còn từ năm 2020 - 2030, nhờ có sự hỗ trợ của AI, các cuộc tấn công đã trở nên tốc độ. Hacker có thể tận dụng dữ liệu để lọc lấy thông tin, phân loại. Từ lúc xâm nhập đến đạt được mục đích chỉ vài ngày. Thậm chí nhiều tội phạm chỉ cần sử dụng các công cụ được rao bán trên thị trường dark web. Do đó, thách thức quan trọng nhất của năm 2026 và những năm tiếp theo không phải là: liệu tự động hóa có thể thay thế sự phòng thủ của con người hay không, mà là liệu các tổ chức muốn triển khai an ninh bảo mật có thể kết hợp khả năng phán đoán của con người và phản ứng gần như tức thì kịp theo tốc độ tấn công của tội phạm.