Khủng hoảng an ninh mạng: Công cụ kém hiệu quả hay quản lý vận hành lỏng lẻo?

Hai báo cáo mới đây đã đưa ra những quan điểm trái chiều về tình trạng khủng hoảng trong lĩnh vực an ninh mạng. Một bên cho rằng các công cụ hiện tại thất bại trong việc cung cấp những gì đội ngũ bảo mật thực sự cần. Bên kia lại cho rằng công cụ đã có sẵn nhưng không được quản lý đúng cách.

Sự công nghiệp hóa của tội phạm mạng đang đe dọa làm đảo lộn hệ thống phòng thủ. Quá trình này bắt đầu từ trước khi ChatGPT ra đời, được thúc đẩy mạnh mẽ bởi kỷ nguyên AI, và hiện nay được đặc trưng là "kỷ nguyên sau Mythos" (post-Mythos era). Đây là thời điểm mà các bên phòng thủ phải nâng cao hiệu suất nếu không muốn nhường sân chơi cho kẻ tấn công. Ứng dụng chính là chiến trường, với tốc độ, quy mô và sự tinh vi của các cuộc tấn công được hỗ trợ bởi AI ngày càng khó kiểm soát.

Minh họa an ninh mạng

"AI không chỉ tạo ra nhiều lỗ hổng hơn. Nó còn phơi bày thực tế rằng các công ty không thể sửa chữa các lỗ hổng đã biết đủ nhanh," Daniel Shechter, CEO và đồng sáng lập tại Miggo Security, giải thích. "Trong nhiều năm, các chương trình bảo mật được đo lường bằng mức độ hiệu quả trong việc tìm kiếm rủi ro trước khi phần mềm đi vào hoạt động. AI tiên phong như Mythos đã thay đổi câu hỏi. Nếu kẻ tấn công có thể chuyển từ việc công bố lỗ hổng đến khai thác chỉ trong vài giờ, hội đồng quản trị và CISO cần hiểu doanh nghiệp sẽ bị lộ bao lâu và có thể làm gì để giảm thiểu nhanh chóng và hiệu quả."

Báo cáo của CSA: Thiếu khả năng quan sát trong thời gian thực

Báo cáo "Trạng thái An ninh Ứng dụng Hiện đại và AI" của Cloud Security Alliance (CSA), được ủy quyền bởi Miggo và công bố vào ngày 2 tháng 6 năm 2026, đã xác nhận và giải thích thực tế mới này. CSA khảo sát hơn 900 lãnh đạo an ninh mạng và phát hiện ra rằng trong kỷ nguyên sau Mythos, các lỗ hổng đang lọt qua giai đoạn tiền sản xuất, trong khi 82% tổ chức thiếu khả năng quan sát hiệu quả trong thời gian chạy (runtime).

"Thách thức thực sự bắt đầu khi ứng dụng đã được đưa vào sản xuất, nơi đội ngũ bảo mật phải nhanh chóng xác định những lỗ hổng nào thực sự có thể bị khai thác, ưu tiên các rủi ro quan trọng nhất và phản hồi trước khi kẻ tấn công có thể lợi dụng," ông Shechter nhận định.

Hầu hết các vụ vi phạm dữ liệu đều do các lỗ hổng đã biết gây ra. Tám mươi phần trăm các công ty được khảo sát đã trải qua ít nhất một sự cố liên quan đến lỗ hổng đã biết trong năm qua. Nếu đã biết, gần như chắc chắn nó có thể được vá; nhưng trong kỷ nguyên sau Mythos, có quá nhiều bản vá để xử lý. Vấn đề lớn nhất là biết trong số những lỗ hổng nào có thể bị khai thác và cái nào cần vá gấp nhất.

Chỉ có 9% tổ chức khắc phục các lỗ hổng nghiêm trọng trong vòng 24 giờ; 74% mất từ một đến bảy ngày. Thời gian vá lỗi rất quan trọng: Các tổ chức mất bốn ngày trở lên có tỷ lệ sự cố là 97%. Những tổ chức mất ba ngày trở xuống thì tỷ lệ này là 67%. Điều ngụ ý rằng tốc độ vá lỗi phải được tăng lên và các lỗ hổng có thể khai thác cần được hiểu rõ hơn – và tốt nhất là làm cả hai.

Vấn đề trở nên phức tạp và cấp bách hơn trong môi trường runtime, được mô tả là chiến trường của các vụ vi phạm. Hầu hết các tổ chức chỉ biết những gì đã xảy ra sau khi sự việc đã rồi. Đa số (73%) sẽ áp dụng vá ảo (virtual patching) nếu họ có sự tin tưởng cao hơn rằng tỷ lệ dương tính giả là tối thiểu. Tuy nhiên, chỉ có 17% cấu hình WAF (Tường lưới ứng dụng Web) để chặn tự động, với 56% trích dẫn thiếu ngữ cảnh ứng dụng làm lý do.

Do những khó khăn trong runtime, 42% tổ chức có ý định tăng đầu tư vào giám sát và bảo vệ thời gian chạy trong vài năm tới. Nhưng vì phòng bệnh hơn chữa bệnh, phần lớn đầu tư (52%) vẫn nằm ở giai đoạn tiền sản xuất như bảo vệ xây dựng CI/CD.

Các giải pháp tiềm năng khá rõ ràng. Khả năng quan sát tốt hơn về tính khai thác của lỗ hổng cùng với sự hiểu biết ngữ cảnh toàn diện hơn về ứng dụng liên quan – và tác động của nó đến sự ổn định kinh doanh – sẽ cho phép vá lỗi tự động cho nhiều lỗ hổng và tạo sự tin tưởng vào việc tăng cường chặn tự động.

Báo cáo của FireMon: Thiếu kiểm soát vận hành con người

Một báo cáo riêng biệt từ FireMon Insights, cũng được công bố vào ngày 2 tháng 6 năm 2026, cho rằng mối lo ngại về việc sử dụng tự động hóa tường lưới (firewall) như một rào cản bảo mật là điều dễ hiểu nhưng ít nhất một phần là do thiếu sự giám sát của con người. FireMon thảo luận về tường lưới nói chung, nhưng các nguyên tắc tương tự cũng sẽ áp dụng cho WAF.

"Sự phức tạp của tường lưới không còn chỉ là một vấn đề vận hành. Nó là một vấn đề kiểm soát," Jody Brazil, CEO của FireMon, nói. "Các đội ngũ an ninh có khoản đầu tư khổng lồ vào tường lưới, đám mây và các nền tảng phân đoạn, nhưng nếu không kiểm soát chính sách, những môi trường đó sẽ rất khó quản lý an toàn. Vấn đề không còn là thiếu công cụ, mà là thiếu kiểm soát vận hành."

Báo cáo kết luận rằng việc quản lý chính sách thủ công là không hiệu quả và cho phép rủi ro trên bề mặt tấn công tiếp tục mở rộng nhanh chóng, chủ yếu do môi trường mà các lỗi chính sách nghiêm trọng tồn tại trong thời gian dài, và bị trầm trọng thêm bởi các quy tắc không sử dụng và thừa thãi.

FireMon chỉ ra sự thất bại trong quản lý của con người thay vì khả năng của tường lưới. Ví dụ, 45% quy tắc tường lưới thiếu chủ sở hữu hoặc tài liệu, 17% bị thừa hoặc bị che khuất (shadowed), và 69% không được sử dụng.

"Sự phức tạp của tường lưới không còn chỉ là một vấn đề vận hành. Nó là một vấn đề kiểm soát," ông Brazil nhấn mạnh thêm. "Các đội ngũ an ninh có khoản đầu tư khổng lồ vào tường lưới, đám mây và các nền tảng phân đoạn, nhưng nếu không kiểm soát chính sách, những môi trường đó sẽ rất khó quản lý an toàn. Vấn đề không còn là thiếu công cụ, mà là thiếu kiểm soát vận hành."

Mặc dù điều này gợi ý một con đường hướng tới việc sử dụng tường lưới tốt hơn, nhưng nó không thảo luận hay giải thích nỗi sợ rằng các quy tắc chặn sai về mặt ngữ cảnh có thể ảnh hưởng tiêu cực đến hoạt động kinh doanh – điều này nằm ở trọng tâm của việc cải thiện an ninh ứng dụng.

Hai báo cáo này dường như mâu thuẫn nhẹ nhau. Báo cáo của CSA cho rằng vấn đề nằm ở sự thất bại của các công cụ bảo mật trong việc cung cấp các giải pháp thực sự cần thiết, trong khi báo cáo của FireMon cho rằng công cụ đã có sẵn, nhưng không được quản lý đúng cách.