Báo cáo bối cảnh mối đe dọa toàn cầu 2025: Đối phó với tốc độ và sự tinh vi của kẻ tấn công
Tự động hóa, AI và công nghiệp hóa tội phạm mạng
Tự động hóa đang định hình lại hành vi mối đe dọa ở mọi giai đoạn của chuỗi tấn công.
- Trinh sát nâng cao: Năm 2024, tội phạm mạng đã tung ra hơn 36.000 lượt quét mỗi giây trên toàn cầu, tăng 16.7%. Các lượt quét này không chỉ tìm kiếm cổng mở mà còn thăm dò sâu vào công nghệ vận hành (OT), API đám mây và lớp nhận dạng.
- AI và Tội phạm-như-một-Dịch vụ (CaaS): AI được sử dụng để tạo mồi nhử lừa đảo tinh vi, video deepfake, và nhân bản giọng nói. Điều này thúc đẩy sự phát triển của thị trường Cybercrime-as-a-Service (CaaS), nơi kẻ tấn công có thể dễ dàng mua quyền truy cập, công cụ và cơ sở hạ tầng.
- Kết quả: Nền kinh tế tội phạm mạng được công nghiệp hóa giúp giảm rào cản gia nhập, mở rộng quy mô và tăng tỷ lệ thành công của các cuộc tấn công.
Đối tượng mới của sự xâm nhập
Năm 2024, FortiGuard Labs ghi nhận sự gia tăng 42% thông tin đăng nhập bị đánh cắp được rao bán trên darknet. Hơn 100 tỷ bản ghi độc nhất (email, mật khẩu, token phiên, dữ liệu bỏ qua đa yếu tố) được giao dịch tự do. Phần mềm độc hại Infostealer đã góp phần làm tăng 500% hoạt động nhật ký thông tin đăng nhập, nhiều trong số đó được thu thập theo thời gian thực và bán bởi các Initial Access Brokers (IABs). Thông tin đăng nhập này là xương sống cho các hoạt động ransomware và gián điệp, giúp kẻ tấn công mua quyền truy cập trực tiếp vào mạng lưới của bạn mà không cần khai thác lỗ hổng.
Những sai lầm về đám mây
Các dịch vụ đám mây là trung tâm của hoạt động hiện đại, biến danh tính thành một chu vi bảo mật quan trọng. Các vụ vi phạm đám mây không chỉ giới hạn ở cấu hình sai nhóm lưu trữ. Kẻ tấn công khai thác các điểm yếu quen thuộc như danh tính được cấp quyền quá mức, rò rỉ thông tin đăng nhập trong các kho mã công khai và di chuyển ngang qua các dịch vụ đám mây gốc. Dữ liệu của FortiCNAPP cho thấy 25% tất cả các sự cố đám mây năm 2024 bắt đầu bằng trinh sát, như liệt kê API hoặc thăm dò quyền.
Tấn công phổ biến và dai dẳng
Tự động hóa đang thúc đẩy quy mô khai thác. Fortinet ghi nhận hơn 97 tỷ nỗ lực khai thác trong nửa cuối năm 2024, nhiều trong số đó nhắm vào các lỗ hổng đã được tiết lộ từ nhiều năm trước như CVE-2017-0147, CVE-2021-44228, và CVE-2019-18935.
Thiết bị IoT cũng là một mục tiêu lớn, chiếm hơn 20% tổng số vụ khai thác. Kẻ tấn công tận dụng các thiết bị IoT có firmware lỗi thời hoặc thông tin đăng nhập mặc định để biến chúng thành botnet, di chuyển ngang hoặc truy cập dai dẳng. Kẻ tấn công ngày càng có phương pháp: chúng ánh xạ các bề mặt bị lộ, chờ lỗ hổng xuất hiện, và tấn công nhanh chóng hoặc bán thông tin lỗ hổng trên darknet.
Từ vi phạm đến kiểm soát
Khi đã xâm nhập, kẻ thù di chuyển chính xác:
- Di chuyển ngang: Trong 88% các trường hợp quan sát thấy có di chuyển ngang, kẻ tấn công sử dụng RDP để xoay trục trong mạng.
- Công cụ truy cập từ xa (RATs): Xeno RAT và SparkRAT cung cấp khả năng thực thi lệnh từ xa, đánh cắp dữ liệu và duy trì dai dẳng.
- Kỹ thuật sống ngoài vùng an toàn (Living-off-the-land): Sử dụng các công cụ Windows hợp pháp (PowerShell, WMI, SMB) để di chuyển ngang và leo thang đặc quyền, khiến các phương pháp phát hiện truyền thống kém hiệu quả.
- Thao túng Active Directory: Giúp thu thập thông tin đăng nhập và mở rộng quyền truy cập một cách im lặng.
- Kênh liên lạc bí mật: Các kênh C2 (Command and Control) được mã hóa, thuật toán tạo miền và đường hầm DNS được sử dụng rộng rãi để duy trì liên lạc với các hệ thống bị xâm nhập, bỏ qua các biện pháp phòng thủ chu vi thông thường.
Nhiệm vụ mới cho các chuyên gia bảo mật
Mô hình rõ ràng: Kẻ tấn công đang tối ưu hóa tốc độ, quy mô và sự tàng hình. Người phòng thủ cũng phải làm điều tương tự. Các mô hình bảo mật truyền thống dựa trên kiểm soát tĩnh, đánh giá tại một thời điểm hoặc chu kỳ vá lỗi chậm đang ngày càng không đủ.
Điều cần thiết là phải chuyển sang quản lý tiếp xúc mối đe dọa liên tục (CTEM):
- Liên tục giám sát bề mặt tấn công (đám mây, OT, IoT).
- Mô phỏng các mối đe dọa trong thế giới thực bằng cách mô phỏng kẻ thù và kiểm thử vi phạm/tấn công.
- Ưu tiên các lỗ hổng dựa trên rủi ro, thông tin tình báo mối đe dọa và khả năng khai thác, không chỉ điểm CVSS.
- Tự động hóa phát hiện và phản hồi để giảm thời gian ẩn náu và tăng tốc ngăn chặn.
Đây không chỉ là cuộc trò chuyện về công nghệ mà là cuộc trò chuyện về tính liên tục trong kinh doanh.
Giành lại lợi thế với Fortinet Security Fabric
Bối cảnh mối đe dọa toàn cầu đang phát triển, nhưng nhiệm vụ của chúng ta vẫn không thay đổi: giảm tiếp xúc, tăng khả năng hiển thị và di chuyển nhanh hơn kẻ thù. Fortinet Security Fabric được thiết kế để đáp ứng thách thức này, hợp nhất thông tin tình báo mối đe dọa tiên tiến, phát hiện theo thời gian thực và phản ứng phối hợp trên toàn bộ cơ sở hạ tầng kỹ thuật số.
Nguồn: Key Takeaways from the 2025 Global Threat Landscape Report
