HOTLINE: +84-283920 8030
Trang chủ
Giới thiệu
Dịch vụ
Giám Sát An Toàn Thông Tin
Kiểm Thử Xâm Nhập
Red Teaming
Điều Tra Và Ứng Cứu Sự Cố
Thông Tin Mối Đe Dọa ANM
Săn Tìm Mối Đe Dọa
Kiểm Tra Cấu Hình Bảo Mật
Giải pháp
Sản phẩm
Tin tức
Blog
Video
Tuyển dụng
Tài liệu
Sự kiện
Liên hệ

Báo cáo bối cảnh mối đe dọa toàn cầu 2025: Đối phó với tốc độ và sự tinh vi của kẻ tấn công

02/06/2025
Bối cảnh an ninh mạng năm 2025 đang chứng kiến một sự thay đổi đáng kể: Kẻ tấn công ngày càng rút ngắn thời gian giữa trinh sát và xâm nhập, buộc người phòng thủ phải phản ứng trong thời gian cực kỳ ngắn, đôi khi chỉ vài giờ. Báo cáo "Global Threat Landscape Report 2025" của Fortinet gửi đi một thông điệp rõ ràng: lợi thế của kẻ tấn công đang ngày càng lớn mạnh, và các tổ chức cần thay đổi cách quản lý rủi ro để không bị tụt lại phía sau.

Tự động hóa, AI và công nghiệp hóa tội phạm mạng

Tự động hóa đang định hình lại hành vi mối đe dọa ở mọi giai đoạn của chuỗi tấn công.

  • Trinh sát nâng cao: Năm 2024, tội phạm mạng đã tung ra hơn 36.000 lượt quét mỗi giây trên toàn cầu, tăng 16.7%. Các lượt quét này không chỉ tìm kiếm cổng mở mà còn thăm dò sâu vào công nghệ vận hành (OT), API đám mây và lớp nhận dạng.
  • AI và Tội phạm-như-một-Dịch vụ (CaaS): AI được sử dụng để tạo mồi nhử lừa đảo tinh vi, video deepfake, và nhân bản giọng nói. Điều này thúc đẩy sự phát triển của thị trường Cybercrime-as-a-Service (CaaS), nơi kẻ tấn công có thể dễ dàng mua quyền truy cập, công cụ và cơ sở hạ tầng.
  • Kết quả: Nền kinh tế tội phạm mạng được công nghiệp hóa giúp giảm rào cản gia nhập, mở rộng quy mô và tăng tỷ lệ thành công của các cuộc tấn công.

Đối tượng mới của sự xâm nhập

Năm 2024, FortiGuard Labs ghi nhận sự gia tăng 42% thông tin đăng nhập bị đánh cắp được rao bán trên darknet. Hơn 100 tỷ bản ghi độc nhất (email, mật khẩu, token phiên, dữ liệu bỏ qua đa yếu tố) được giao dịch tự do. Phần mềm độc hại Infostealer đã góp phần làm tăng 500% hoạt động nhật ký thông tin đăng nhập, nhiều trong số đó được thu thập theo thời gian thực và bán bởi các Initial Access Brokers (IABs). Thông tin đăng nhập này là xương sống cho các hoạt động ransomware và gián điệp, giúp kẻ tấn công mua quyền truy cập trực tiếp vào mạng lưới của bạn mà không cần khai thác lỗ hổng.

Những sai lầm về đám mây

Các dịch vụ đám mây là trung tâm của hoạt động hiện đại, biến danh tính thành một chu vi bảo mật quan trọng. Các vụ vi phạm đám mây không chỉ giới hạn ở cấu hình sai nhóm lưu trữ. Kẻ tấn công khai thác các điểm yếu quen thuộc như danh tính được cấp quyền quá mức, rò rỉ thông tin đăng nhập trong các kho mã công khai và di chuyển ngang qua các dịch vụ đám mây gốc. Dữ liệu của FortiCNAPP cho thấy 25% tất cả các sự cố đám mây năm 2024 bắt đầu bằng trinh sát, như liệt kê API hoặc thăm dò quyền.

Tấn công phổ biến và dai dẳng

Tự động hóa đang thúc đẩy quy mô khai thác. Fortinet ghi nhận hơn 97 tỷ nỗ lực khai thác trong nửa cuối năm 2024, nhiều trong số đó nhắm vào các lỗ hổng đã được tiết lộ từ nhiều năm trước như CVE-2017-0147, CVE-2021-44228, và CVE-2019-18935.

Thiết bị IoT cũng là một mục tiêu lớn, chiếm hơn 20% tổng số vụ khai thác. Kẻ tấn công tận dụng các thiết bị IoT có firmware lỗi thời hoặc thông tin đăng nhập mặc định để biến chúng thành botnet, di chuyển ngang hoặc truy cập dai dẳng. Kẻ tấn công ngày càng có phương pháp: chúng ánh xạ các bề mặt bị lộ, chờ lỗ hổng xuất hiện, và tấn công nhanh chóng hoặc bán thông tin lỗ hổng trên darknet.

Từ vi phạm đến kiểm soát

Khi đã xâm nhập, kẻ thù di chuyển chính xác:

  • Di chuyển ngang: Trong 88% các trường hợp quan sát thấy có di chuyển ngang, kẻ tấn công sử dụng RDP để xoay trục trong mạng.
  • Công cụ truy cập từ xa (RATs): Xeno RAT và SparkRAT cung cấp khả năng thực thi lệnh từ xa, đánh cắp dữ liệu và duy trì dai dẳng.
  • Kỹ thuật sống ngoài vùng an toàn (Living-off-the-land): Sử dụng các công cụ Windows hợp pháp (PowerShell, WMI, SMB) để di chuyển ngang và leo thang đặc quyền, khiến các phương pháp phát hiện truyền thống kém hiệu quả.
  • Thao túng Active Directory: Giúp thu thập thông tin đăng nhập và mở rộng quyền truy cập một cách im lặng.
  • Kênh liên lạc bí mật: Các kênh C2 (Command and Control) được mã hóa, thuật toán tạo miền và đường hầm DNS được sử dụng rộng rãi để duy trì liên lạc với các hệ thống bị xâm nhập, bỏ qua các biện pháp phòng thủ chu vi thông thường.

Nhiệm vụ mới cho các chuyên gia bảo mật

Mô hình rõ ràng: Kẻ tấn công đang tối ưu hóa tốc độ, quy mô và sự tàng hình. Người phòng thủ cũng phải làm điều tương tự. Các mô hình bảo mật truyền thống dựa trên kiểm soát tĩnh, đánh giá tại một thời điểm hoặc chu kỳ vá lỗi chậm đang ngày càng không đủ.

Điều cần thiết là phải chuyển sang quản lý tiếp xúc mối đe dọa liên tục (CTEM):

  • Liên tục giám sát bề mặt tấn công (đám mây, OT, IoT).
  • Mô phỏng các mối đe dọa trong thế giới thực bằng cách mô phỏng kẻ thù và kiểm thử vi phạm/tấn công.
  • Ưu tiên các lỗ hổng dựa trên rủi ro, thông tin tình báo mối đe dọa và khả năng khai thác, không chỉ điểm CVSS.
  • Tự động hóa phát hiện và phản hồi để giảm thời gian ẩn náu và tăng tốc ngăn chặn.

Đây không chỉ là cuộc trò chuyện về công nghệ mà là cuộc trò chuyện về tính liên tục trong kinh doanh.

Giành lại lợi thế với Fortinet Security Fabric

Bối cảnh mối đe dọa toàn cầu đang phát triển, nhưng nhiệm vụ của chúng ta vẫn không thay đổi: giảm tiếp xúc, tăng khả năng hiển thị và di chuyển nhanh hơn kẻ thù. Fortinet Security Fabric được thiết kế để đáp ứng thách thức này, hợp nhất thông tin tình báo mối đe dọa tiên tiến, phát hiện theo thời gian thực và phản ứng phối hợp trên toàn bộ cơ sở hạ tầng kỹ thuật số. 

Nguồn: Key Takeaways from the 2025 Global Threat Landscape Report 

VietSunshine là nhà phân phối của Fortinet tại Việt Nam, liên hệ với chúng tôi để được tư vấn và hỗ trợ tốt nhất. 
Fortinet
Khuyến nghị phòng chống ransomware: Framework, Kiến Trúc, Giải Pháp và Dịch Vụ

Có thể bạn quan tâm