Cảnh tấn công mạng: những điều CISO cần biết

[Love AI]

Trong nửa cuối 2025, tội phạm mạng đã chuyển sang tấn công theo ngành nghề và nhắm mục tiêu chính xác hơn. Các CISO cần hiểu rõ ai đang tấn công, cách thức và mục tiêu để biến thông tin mối đe dọa thành hành động phòng thủ hiệu quả.

Trong 2H 2025, bối cảnh an ninh mạng không còn là hoạt động rải đều mà đã trở nên chuyên môn hóa theo ngành và rất tinh vi. Kẻ tấn công nghiên cứu mô hình kinh doanh, bắt chước quy trình làm việc và hướng mã độc phù hợp với mục tiêu cụ thể, khiến các biện pháp phòng thủ nếu không có thông tin mối đe dọa chỉ là phỏng đoán.

Tại sao cần chương trình thông tin mối đe dọa (TIP)​

Không chỉ thu thập nguồn dữ liệu—một chương trình về threat intelligence giúp chuyển dữ liệu thành các biện pháp phòng thủ có thể thực hiện được.

• Xác định tác nhân đe dọa và TTP (tactics, techniques, procedures) nhắm vào ngành với độ chính xác cao.
• Sử dụng khung như MITRE ATT&CK để giảm rủi ro và chuẩn hóa ngôn ngữ phân tích.
• Nâng cao khả năng phát hiện và phản ứng thông qua SIEM, SOAR và EDR/XDR.
• Tùy chỉnh đào tạo nhận thức bảo mật dựa trên kịch bản tấn công thực tế.
• Cung cấp báo cáo dành cho hội đồng quản trị và ban điều hành để ra quyết định chiến lược.

Tích hợp threat intelligence vào hệ thống bảo mật​

Để phát huy giá trị, thông tin mối đe dọa phải gắn chặt vào kiến trúc an ninh.

• Detection engineering: ánh xạ TTP lên MITRE, xây dựng luật phát hiện và làm giàu SIEM/XDR bằng chỉ báo xâm nhập (IoC) phù hợp.
• SOAR/Phản ứng tự động: gắn thẻ cảnh báo theo tác nhân và ngành, kích hoạt playbook tương ứng với hồ sơ đe dọa.
• Quản lý lỗ hổng: ưu tiên vá lỗi dựa trên mối đe dọa đang hoạt động.
• Đào tạo nhận thức: mô phỏng phishing theo tác nhân cụ thể (ví dụ QR-phishing), huấn luyện chống tấn công deepfake giọng nói.
• Báo cáo cho lãnh đạo: cập nhật xu hướng ngành, sự cố của đối thủ, động cơ và nhu cầu nguồn lực để gắn an ninh với chiến lược kinh doanh.

Mối đe dọa theo ngành​

Y tế​

• Tác nhân tiêu biểu: Scattered Spider (UNC3944), Black Basta, RansomHub, NoEscape.
• TTP chính: lừa đảo xã hội như mời làm việc giả để mạo danh, vượt qua MFA bằng cách lợi dụng quy trình hỗ trợ/hồi phục, di chuyển ngang qua LOLBins, WMI và PsExec để duy trì trên mạng phân đoạn.
• Thực tế: FBI từng cảnh báo các chiến dịch mạo danh cuộc gọi hỗ trợ để bypass 2FA trong môi trường y tế; bypass MFA đang trở thành lối vào phổ biến cho ransomware.

Tài chính​

• Tác nhân tiêu biểu: APT38 (Lazarus), TA577, Storm 1811.
• TTP chính: lừa đảo bằng giọng nói deepfake để xác nhận giao dịch, QR-phishing nhắm vào ứng dụng ngân hàng di động, phát tán ứng dụng đầu tư hoặc thanh toán giả nhằm ăn cắp thông tin.
• Thực tế: Các cơ quan an ninh báo động về những vụ mất hàng triệu đô la do deepfake voice; chiến dịch QR-phishing và ứng dụng giả đang tăng cao.

Hạ tầng công nghiệp và cơ quan trọng yếu​

• Tác nhân tiêu biểu: Volt Typhoon, Sandworm, LockBit 3.0 và một số nhóm khác có khả năng tinh vi cao.
• TTP chính: kỹ thuật "living off the land" sử dụng WMI, PsExec, thu thập thông tin đăng nhập, lạm dụng truy cập bên thứ ba, di chuyển ngang qua RDP và thiết bị không quản trị.
• Rủi ro: tấn công hướng tới hệ thống điều khiển công nghiệp (ICS) và cơ sở hạ tầng có thể gây gián đoạn dịch vụ thiết yếu.

CISOs cần đưa thông tin mối đe dọa vào các báo cáo định kỳ cho hội đồng quản trị, nêu rõ xu hướng ngành, sự cố của đồng nghiệp, động cơ tác nhân, kỹ thuật đang phát triển và kết quả rủi ro cùng nhu cầu tài trợ. Khi an ninh được trình bày như một vấn đề chiến lược và liên kết với mục tiêu kinh doanh, tổ chức có cơ hội phản ứng chủ động thay vì chỉ ứng phó thụ động.