MFA chỉ là bước khởi đầu: Tại sao xác thực thành công vẫn không ngăn chặn được tin tặc?

Mọi kiểm tra MFA đều vượt qua. Mọi lần đăng nhập đều hợp lệ. Bảng điều khiển tuân thủ đều hiển thị màu xanh trên mọi kiểm soát danh tính. Và kẻ tấn công đã ở bên trong, di chuyển ngang qua Active Directory với một token phiên hợp lệ, leo thang đặc quyền trên đường hướng tới bộ điều khiển miền (domain controller).

Đây là kịch bản đang diễn ra trong các doanh nghiệp đã đầu tư mạnh vào xác thực và giả định rằng công việc đã hoàn tất. Chứng chỉ là thật. Thách thức đa yếu tố đã được trả lời đúng. Hệ thống hoạt động chính xác theo thiết kế. Nó xác thực người dùng ở cửa trước và không bao giờ nhìn lại nữa. Việc vi phạm không phải là vượt qua MFA. Nó bắt đầu sau khi MFA thành công.

Xác thực chứng minh danh tính tại một thời điểm duy nhất. Sau đó, nó trở nên "mù". Mọi thứ diễn ra sau đó, sự di chuyển ngang, leo thang đặc quyền, việc rút ruột dữ liệu âm thầm qua Active Directory, đều nằm ngoài phạm vi mà MFA được thiết kế để nhìn thấy.

Một CIO phát hiện lỗ hổng trong môi trường thực tế

Alex Philips, CIO tại NOV, đã xác định được lỗ hổng này thông qua kiểm thử vận hành. "Chúng tôi phát hiện một lỗ hổng trong khả năng thu hồi token phiên danh tính hợp pháp ở cấp độ tài nguyên. Đặt lại mật khẩu không còn đủ nữa. Bạn phải thu hồi token phiên ngay lập tức để ngăn chặn sự di chuyển ngang," ông chia sẻ với VentureBeat.

Những gì Philips tìm thấy không phải là cấu hình sai. Đó là một điểm mù kiến trúc tồn tại trong gần như mọi ngăn xếp danh tính doanh nghiệp. Khi người dùng xác thực thành công, token phiên kết quả sẽ mang theo sự tin tưởng đó mà không cần đánh giá lại. Token trở thành chứng chỉ bearer (người giữ). Bất kỳ ai nắm giữ nó, dù là kẻ tấn công hay nhân viên, đều kế thừa mọi quyền hạn liên quan đến phiên đó. Cuộc điều tra của NOV xác nhận rằng việc đánh cắp token phiên danh tính là vector đằng sau các cuộc tấn công tinh vi nhất mà họ theo dõi, thúc đẩy đội ngũ thắt chặt chính sách danh tính, thực thi truy cập có điều kiện và xây dựng khả năng thu hồi token nhanh chóng từ đầu.

Theo Báo cáo Mối đe dọa Toàn cầu năm 2026 của CrowdStrike, thời gian bùng phát trung bình của tội phạm mạng đã giảm xuống còn 29 phút vào năm 2025, với vụ bùng phát nhanh nhất được ghi nhận là 27 giây. Trong 82% các trường hợp phát hiện vào năm 2025, hoàn toàn không có mã độc nào được triển khai. Kẻ tấn công không cần khai thác khi chúng đã có token phiên.

Tin tặc ngừng viết mã độc vì danh tính bị đánh cắp hiệu quả hơn

"Những kẻ đối thủ đã nhận ra rằng một trong những cách nhanh nhất để có quyền truy cập vào môi trường là đánh cắp thông tin đăng nhập hợp pháp hoặc sử dụng kỹ thuật xã hội," Adam Meyers, Phó Chủ tịch cấp cao về Phản ứng Đối thủ tại CrowdStrike, cho biết. Sự cân nhắc kinh tế rất rõ ràng: phát hiện điểm cuối hiện đại đã làm tăng chi phí và rủi ro khi triển khai mã độc. Ngược lại, một thông tin đăng nhập bị đánh cắp không kích hoạt bất kỳ cảnh báo nào, không khớp với bất kỳ chữ ký nào và kế thừa bất kỳ quyền truy cập nào mà người dùng thực có.

Các cuộc tấn công vishing (gian lận qua cuộc gọi thoại) đã tăng vọt 442% giữa nửa đầu và nửa cuối năm 2024, trong khi các nỗ lực lừa đảo deepfake tăng hơn 1.300% vào năm 2024, theo Báo cáo Trí tuệ & Bảo mật Giọng nói năm 2025 của Pindrop. Các cuộc tấn công hoán đổi khuôn mặt (face swap) tăng 704% vào năm 2023. Một nghiên cứu năm 2024 được trích dẫn trong Báo cáo Mối đe dọa Toàn cầu năm 2025 của CrowdStrike cho thấy các email lừa đảo do AI tạo ra tương đương với email lừa đảo do chuyên gia con người tạo ra với tỷ lệ nhấp 54%, cả hai đều vượt xa lừa đảo hàng loạt chung ở mức 12%.

Mối đe dọa không phải là AI khiến một kẻ tấn công trở nên nguy hiểm hơn. Mối đe dọa là AI cung cấp cho mọi kẻ tấn công khả năng kỹ thuật xã hội cấp độ chuyên gia với chi phí cận bằng không. Chuỗi cung ứng thông tin đăng nhập hiện nay hoạt động ở quy mô công nghiệp.

Khoảng cách giữa IAM và SecOps là nơi các phiên làm việc "chết đi"

Đến năm 2026, 30% doanh nghiệp sẽ không còn coi giải pháp xác thực danh tính và xác thực sinh trắc học dựa trên khuôn mặt là đáng tin cậy khi đứng một mình do deepfake do AI tạo ra, Gartner dự báo trong một báo cáo năm 2024. Mike Riemer, CIO lĩnh vực của Ivanti, đã chỉ ra Báo cáo Trạng thái An ninh mạng năm 2026 của chính công ty để định lượng khoảng cách này. Báo cáo, khảo sát hơn 1.200 chuyên gia bảo mật, cho thấy khoảng cách về sự chuẩn bị giữa các mối đe dọa và phòng thủ đã rộng thêm trung bình 10 điểm chỉ trong một năm.

Kayne McGladrey, thành viên cấp cao của IEEE, đã định nghĩa sự thất bại của tổ chức theo các thuật ngữ kinh doanh. "Bất cứ thứ gì có vẻ có hương vị bảo mật mạng thường được đưa vào danh mục rủi ro bảo mật mạng, điều đó hoàn toàn hư cấu. Họ nên tập trung vào rủi ro kinh doanh, bởi vì nếu nó không ảnh hưởng đến doanh nghiệp, như mất tài chính, thì không ai sẽ chú ý đến nó, và họ sẽ không ngân sách phù hợp, cũng như sẽ không đặt ra các biện pháp kiểm soát để ngăn chặn nó," McGladrey nói. Logic đó giải thích tại sao quản trị phiên, quản lý vòng đời token và tương quan danh tính đa miền lại rơi vào khoảng trống giữa IAM và SecOps. Không ai sở hữu nó vì không ai định khung nó như một khoản lỗ kinh doanh.

"Bạn có thể chỉ thấy các mảnh của cuộc xâm nhập ở phía danh tính, phía đám mây và phía điểm cuối. Bạn cần khả năng nhìn thấy đa miền vì kịch bản tốt nhất chỉ cung cấp cho bạn khoảng 29 phút để ngăn chặn các cuộc xâm nhập này," Meyers cho biết.

Mike Riemer đã chứng kiến sự ngắt kết nối này diễn ra trong hai thập kỷ thay đổi mô hình. "Tôi không biết bạn cho đến khi tôi xác thực bạn. Cho đến khi tôi biết đó là gì và tôi biết ai đang ở phía bên kia của bàn phím, tôi sẽ không giao tiếp với nó cho đến khi họ cho tôi khả năng hiểu rằng đó là ai," Riemer nói.

Câu hỏi đó áp dụng trực tiếp cho các phiên sau xác thực. Nếu kẻ tấn công sử dụng AI để giả mạo danh tính vượt qua MFA, người phòng thủ cần AI để giám sát danh tính đó làm gì sau đó. Điểm rộng hơn của Riemer là việc đặt ranh giới bảo mật tại một sự kiện đăng nhập duy nhất mời gọi mọi kẻ tấn công vượt qua cổng đó có thể tự do đi lại trong nhà.

NOV đã lấp đầy khoảng trống. Đa số doanh nghiệp chưa bắt đầu.

"Nó cung cấp cho chúng tôi một cổng gateway thực thi chính sách bảo mật bắt buộc. Người dùng và kẻ tấn công trên mạng phẳng có thể sử dụng token phiên danh tính bị đánh cắp, nhưng với các gateway zero-trust, nó buộc truy cập có điều kiện và xác thực lại sự tin tưởng," Philips nói.

NOV đã rút ngắn vòng đời token, xây dựng truy cập có điều kiện yêu cầu nhiều điều kiện và thực thi sự phân chia nhiệm vụ để không một cá nhân hay tài khoản dịch vụ nào có thể đặt lại mật khẩu, bỏ qua truy cập đa yếu tố hoặc ghi đè truy cập có điều kiện. "Chúng tôi đã giảm mạnh những người có thể thực hiện đặt lại mật khẩu hoặc đa yếu tố. Không một cá nhân nào nên có thể bỏ qua các kiểm soát này," Philips cho biết. Họ đã triển khai AI đối với nhật ký SIEM để xác định các sự cố gần thời gian thực và mang một startup chuyên xây dựng khả năng thu hồi token nhanh chóng cho các tài nguyên quan trọng nhất của họ.

Philips cũng gắn cờ một lỗ hổng chuỗi tin tưởng mà hầu hết các đội nhóm bỏ qua. "Vì với sự tiến bộ của AI, bạn không thể tin vào giọng nói, video hay甚至 phong cách viết, bạn phải có bí mật được chia sẻ trước hoặc có thể xác thực một câu hỏi chỉ có bạn và họ biết," ông nói. Nếu phản ứng sự cố dựa vào một cuộc gọi điện thoại hoặc tin nhắn Slack để xác nhận tài khoản bị xâm phạm, kẻ tấn công sử dụng giọng nói hoặc văn bản deepfake cũng có thể khai thác kênh xác nhận đó.

Tám việc cần làm ngay trong tuần này

NOV đã chứng minh những khoảng trống này có thể được lấp đầy. Dưới đây là những việc cần ưu tiên trước tiên.

• Rút báo cáo vòng đời token cho mọi tài khoản đặc quyền, tài khoản dịch vụ và khóa API. Rút ngắn token phiên tương tác xuống còn vài giờ, không phải vài ngày. Đặt thông tin đăng nhập tài khoản dịch vụ vào lịch xoay vòng xác định. Các khóa API không có ngày hết hạn là lời mời mở rộng không bao giờ đóng lại.

• Thực hiện bài tập thu hồi phiên trong tình trạng khẩn cấp. Không phải đặt lại mật khẩu. Là giết phiên. Đo thời gian. Nếu đội ngũ của bạn không thể thu hồi một phiên bị xâm phạm đang hoạt động trong dưới năm phút, đó là khoảng trống mà kẻ tấn công đang chạy với tốc độ 27 giây sẽ khai thác đầu tiên. NOV cũng không thể làm được điều đó. Họ đã mang lại tài nguyên chuyên dụng và xây dựng khả năng này từ đầu.

• Ánh xạ dữ liệu viễn thông đa miền từ đầu đến cuối. Một nhà phân tích duy nhất có thể tương quan bất thường danh tính trong dịch vụ thư mục của bạn với một đăng nhập mặt phẳng điều khiển đám mây và một cờ hành vi điểm cuối mà không cần chuyển bảng điều khiển. Nếu quy trình công việc này yêu cầu bốn bảng điều khiển và một chuỗi Slack, một vụ bùng phát 29 phút sẽ đánh bại bạn mọi lúc.

• Mở rộng thực thi truy cập có điều kiện vượt qua cửa trước. Mọi leo thang đặc quyền và mọi yêu cầu tài nguyên nhạy cảm đều nên kích hoạt xác thực lại. Một danh tính xác thực từ Houston và xuất hiện ở Bucharest 20 phút sau đó nên kích hoạt xác thực bước lên tự động hoặc chấm dứt phiên.

• Thay thế MFA dựa trên SMS và đẩy bằng xác thực FIDO2 kháng lừa đảo và passkey ở mọi nơi khả thi. Mọi thông báo đẩy mà kẻ tấn công có thể bom mệt mỏi là một phiên chúng có thể đánh cắp. Điều này vẫn là bản nâng cấp rẻ nhất đóng khoảng trống rộng nhất.

• Kiểm toán sự phân chia nhiệm vụ trên quy trình công việc danh tính. Nếu một người hoặc một tài khoản dịch vụ có thể đặt lại thông tin đăng nhập, phê duyệt truy cập đặc quyền và bỏ qua MFA, đó là điểm thất bại duy nhất mà kẻ tấn công sẽ tìm thấy. NOV đã loại bỏ cấu hình đó.

• Thiết lập giao thức xác nhận sự cố ngoài dải (out-of-band) với bí mật được chia sẻ trước. Nếu đội ngũ của bạn vẫn xác nhận tài khoản bị xâm phạm qua cuộc gọi điện thoại hoặc tin nhắn Slack, giọng nói và văn bản deepfake cũng có thể xâm phạm kênh đó. Xây dựng giao thức trước khi bạn cần nó.

• Tạo một dòng ngân sách chuyên dụng cho quản trị lớp danh tính. Quản trị phiên, quản lý vòng đời token, xác thực danh tính liên tục và các tiêu chuẩn như CAEP và Khung Tín hiệu Chung (Shared Signals Framework) cần một chủ sở hữu duy nhất với một ngân sách duy nhất. Nếu chủ sở hữu đó không tồn tại, kẻ tấn công đã sở hữu khoảng trống đó.

Đội ngũ của Philips đã đi từ việc phát hiện ra họ không thể giết một phiên bị xâm phạm đến việc thiết lập thu hồi token nhanh chóng trong điều kiện tấn công thực tế. Họ đã rút ngắn vòng đời token, loại bỏ việc đặt lại thông tin đăng nhập bởi một người, triển khai phân tích nhật ký dẫn động bởi AI và xây dựng khả năng thu hồi chuyên dụng cho các tài nguyên quan trọng nhất của mình. Quá trình chuyển đổi đó mất vài tháng, không phải vài năm.

Khoảng trống mà NOV lấp đầy tồn tại trong gần như mọi doanh nghiệp coi xác thực là vạch đích thay vì súng khởi động. Philips đã nói rõ: "Đặt lại mật khẩu không còn đủ nữa. Bạn phải thu hồi token phiên ngay lập tức để ngăn chặn sự di chuyển ngang." Đội ngũ của ông đã xây dựng câu trả lời. Câu hỏi đối với mọi CISO khác là liệu họ tìm thấy khoảng trống đó theo các điều kiện của chính mình, hay một kẻ tấn công đang di chuyển với tốc độ 27 giây sẽ tìm thấy nó cho họ.