Khủng hoảng Thông tin xác thực: Khi thông tin đăng nhập bị đánh cắp đánh bại bảo mật hiện đại

Khủng hoảng Thông tin xác thực: Khi thông tin đăng nhập bị đánh cắp đánh bại bảo mật hiện đại

Việc ngăn chặn việc thông tin xác thực bị xâm phạm và tồn tại sau khi chúng đã bị đánh cắp không phải là không thể về mặt lý thuyết, nhưng lại cực kỳ khó khăn trong thực tế và không có dấu hiệu nào cho thấy tình hình sẽ dễ thở hơn.

Thông tin đăng nhập bị đánh cắp

Bản chất của thông tin xác thực trong không gian mạng

Trong thế giới mạng hiện đại, "thông tin xác thực" (credentials) chủ yếu được chia thành hai nhóm lớn: danh tính con người và danh tính máy/máy móc (non-human identities). Đối với con người, thông tin này bao gồm mật khẩu, passkey, sinh trắc học, token phần mềm và phần cứng. Đối với máy móc, chúng bao gồm khóa API, khóa SSH, chứng chỉ X.509, tài khoản dịch vụ, token phiên làm việc (session tokens) và các loại khóa khác.

Token phiên làm việc đặc biệt đáng chú ý vì một công ty có thể chỉ có 3.000 nhân viên nhưng lại sở hữu tới 300.000 token hoạt động. Đây là mục tiêu yêu thích của các loại malware đánh cắp thông tin (infostealers).

Ran Geva, CEO và đồng sáng lập tại Webz.io, giải thích: "Việc bị xâm phạm không nhất thiết có nghĩa là thông tin xác thực đã được sử dụng. Nó có nghĩa là chúng không còn được kiểm soát độc quyền bởi người dùng hợp pháp nữa."

Ran Geva, CEO và đồng sáng lập tại Webz.io

Khi tin tặc sử dụng chúng, chúng được tin tưởng tự động như người dùng hợp pháp. Erin Meyers, chuyên gia về danh tính tại Huntress, nhận định: "Đặc điểm xác định là tin tặc không 'đột nhập' theo cách truyền thống; họ đăng nhập (hoặc tái sử dụng phiên đã xác thực) và kế thừa quyền hạn của người dùng hợp pháp, khiến hoạt động độc hại hòa lẫn vào mô hình truy cập bình thường."

Các phương thức đánh cắp thông tin

Trước khi một vụ vi phạm dữ liệu xảy ra, thông tin xác thực phải bị đánh cắp. Nguyên nhân chính là "khoảng cách linh hoạt" (agility gap) — khoảng thời gian giữa việc tin tặc áp dụng các kỹ thuật mới và khả năng của đội ngũ bảo mật để thích nghi.

Trí tuệ nhân tạo (AI) là một ví dụ điển hình. Lừa đảo (phishing) vẫn là phương thức tấn công chính, nhưng AI có thể tạo ra các deepfake thuyết phục với bối cảnh chân thực. Torsten George, CMO tại ID Dataweb, chia sẻ trải nghiệm gần đây: "Tôi nhận được email từ CEO. Đó không phải là địa chỉ email thường xuyên của ông ấy và giọng văn hơi lạ. Tôi đã gửi cho ông ấy một ảnh chụp màn hình qua Teams để hỏi xem ông ấy có gửi nó không. Kết quả là không."

Torsten George, CMO tại ID Dataweb

Tuy nhiên, tin tặc không nhất thiết phải sử dụng công nghệ cao. George chỉ ra rằng nhóm Scattered Spider đã giả làm phó giám đốc cấp cao, gọi điện cho bộ phận Help Desk và gây áp lực để cấp lại quyền truy cập. Dù là lừa đảo qua email hay qua điện thoại, tất cả đều dựa trên kỹ thuật xã hội (social engineering) khai thác điểm yếu con người.

Ngoài ra, malware đánh cắp thông tin (infostealers) vẫn là một mối đe dọa lớn. Khi xâm nhập vào hệ thống của nạn nhân, chúng sẽ quét mật khẩu và nhiều dữ liệu khác rồi gửi lại cho tin tặc.

Biết thông tin đã bị đánh cắp

Nếu chúng ta không thể ngăn chặn việc đánh cắp, liệu chúng ta có thể phát hiện ra chúng không? Bob Long, Chủ tịch Daon khu vực Mỹ, cho biết có các công ty giám sát dark web để thông báo cho cá nhân nếu thông tin của họ xuất hiện, nhưng người dùng không thể hoàn toàn dựa vào điều này.

Renee Burton, Giám đốc tình báo đe dọa tại Infoblox, gợi ý người dùng có thể kiểm tra qua các dịch vụ công khai như "Have I Been Pwned". Tuy nhiên, Reinhard Hochrieser từ Jumio cảnh báo rằng việc phát hiện xem thông tin sinh trắc học có bị lộ hay là gần như không thể vì không có dịch vụ công cộng nào theo dõi dữ liệu này.

Việc giám sát tất cả các nguồn này rất phức tạp và tốn thời gian. Điều này đã thúc đẩy sự ra đời của các công cụ như lunarcyber.com (Lunar) vào cuối năm 2025, giúp giám sát liên tục các dấu hiệu bị xâm phạm thay mặt người dùng.

Từ bị xâm phạm đến bị tấn công

Vấn đề cơ bản vẫn là: không có bằng chứng về sự an toàn không có nghĩa là an toàn. Thông tin xác thực có thể bị lạm dụng lâu trước khi thông báo vi phạm được gửi đi.

Torsten George, CMO tại ID Dataweb

MFA (Xác thực đa yếu tố) từng được coi là lớp bảo vệ hiệu quả, nhưng George cho biết tỷ lệ vượt qua MFA hiện nay đã ở mức hai con số, tạo ra mối đe dọa đáng kể. Các phương thức MFA kháng lừa đảo (phishing-resistant MFA) như WebAuthn và Passkeys được khuyến nghị vì chúng kết hợp hai cấp độ bảo vệ: xác thực địa chỉ trang web và thiết bị đã đăng ký.

Khi một vụ vi phạm do thông tin xác thực bị lộ xảy ra, trọng tâm chuyển sang phát hiện sớm và cô lập nhanh. Erin Meyers cho biết: "Phòng thủ chuyển từ việc ngăn chặn đăng nhập sang việc cô lập và chạy đua với tin tặc." Điều này bao gồm việc phát hiện, làm chậm tin tặc, đặt lại thông tin xác thực và thu hồi các phiên hoạt động.

Chiến lược phòng thủ: Phát hiện hành vi và Zero Trust

Hai công cụ nổi tiếng nhất để phát hiện và cô lập là phát hiện bất thường hành vi và nguyên tắc Zero Trust.

Phát hiện hành vi

Hệ thống phát hiện hành vi tạo ra đường cơ sở về hành vi bình thường của người dùng và có thể phát hiện bất kỳ sự lệch lạc nào. Stuart Sharp từ One Identity mô tả đây là "xác thực liên tục". Thay vì tin tưởng người dùng chỉ vì họ đã đăng nhập thành công một lần, doanh nghiệp cần giám sát hành vi trong suốt phiên làm việc, bao gồm vị trí, thiết bị và mô hình giao dịch.

Zero Trust

Zero Trust có thể hỗ trợ cô lập các cuộc tấn công, nhưng nó thường bị hiểu nhầm là một sản phẩm.

"Zero Trust không phải là công nghệ. Nó không phải là một sản phẩm bạn có thể mua trên kệ," George khẳng định. "Đó thực sự là một khái niệm, một cách tư duy; nó đơn giản nói rằng 'Không bao giờ tin tưởng bất cứ thứ gì, mà hãy kiểm tra lại mọi thứ'."

Carlos Aguilar Melchor, nhà khoa học nghiên cứu chính tại SandboxAQ, đồng ý rằng Zero Trust là một cách vận hành, không phải đích đến. Mục tiêu là liên tục thu hẹp phạm vi ảnh hưởng (blast radius) ở mọi nơi danh tính và mật mã được quản lý.

Việc phân đoạn vi mô (microsegmentation) là một chiến lược hữu ích trong Zero Trust, đảm bảo rằng một tài khoản bị xâm phạm không thể di chuyển tự do qua toàn bộ mạng lưới. Nó không ngăn chặn di chuyển ngang hoàn toàn nhưng làm chậm nó lại — điều này đôi khi đủ để khiến tin tặc bỏ cuộc.

Mối đe dọa từ AI và khóa API

Một điểm đáng lo ngại khác là ảnh hưởng của các khóa API bị đánh cắp đối với các hệ thống AI tác tử (agentic AI). Tốc độ xâm phạm hoàn toàn và phạm vi ảnh hưởng tiềm năng đều tăng lên theo cấp số nhân.

Khóa API này không chỉ mở khóa kho dữ liệu, mà còn là chìa khóa cho một tác tử AI — một nhân viên được tin cậy có thể nói chuyện với các nhân viên khác, tự do di chuyển trong mạng và hành động tự chủ. Khi xâm nhập vào hệ thống tác tử, tin tặc có hiệu quả có quyền truy cập vào mọi hệ thống hoặc nền tảng (như Jira, Slack, AWS) mà hệ thống đó tích hợp.

Tương lai của bảo mật danh tính

"Tôi nghĩ, thật thẳng thắn, giống như bất kỳ loại tấn công nào khác, các tác nhân đe dọa sẽ luôn đi trước chúng ta một bước," George nhận định. "Nhiệm vụ của chúng ta là giảm thiểu khoảng cách linh hoạt giữa kẻ tấn công và người phòng thủ càng nhiều càng tốt, nhưng chúng ta sẽ không bao giờ loại bỏ nó hoàn toàn."

Trong bối cảnh AI ngày càng tinh vi và các phương thức tấn công liên tục tiến hóa, việc bảo vệ danh tính không còn là lựa chọn mà là nền tảng bắt buộc đối với mọi tổ chức.