Nhiều “khoảng trống” trong công tác phòng thủ
Trong báo cáo tổng kết An ninh mạng năm 2025 khu vực tổ chức, doanh nghiệp được công bố hồi giữa tháng 1, Hiệp hội An ninh mạng quốc gia – NCA đã chỉ rõ, bên cạnh những chuyển biến tích cực, công tác phòng thủ của các tổ chức, doanh nghiệp tại Việt Nam vẫn còn nhiều khoảng trống đáng lo ngại, tiêu biểu như 47,72% đơn vị vẫn đang thiếu hụt nhân sự an ninh mạng; gần 28% chưa triển khai bất kỳ tiêu chuẩn an ninh mạng nào trong nội bộ; hơn 9,3% đơn vị cho biết họ không có bất cứ hình thức kiểm soát truy cập Internet nào như tường lửa, khiến hệ thống luôn đứng trước nguy cơ bị xâm nhập.
Nhận định trên của NCA được củng cố và minh chứng rõ hơn trong “Báo cáo An ninh mạng 2025 - Dự báo xu hướng 2026” vừa được Công ty VSEC phát hành.
Tại báo cáo này, các chuyên gia VSEC cho hay, dù ngân sách dành cho an ninh mạng tại nhiều tổ chức, doanh nghiệp Việt Nam tiếp tục tăng trong năm 2025, song hiệu quả phòng thủ chưa tương xứng với mức đầu tư. Nguyên nhân không nằm ở việc thiếu giải pháp, mà nằm ở khoảng cách giữa triển khai công nghệ và năng lực vận hành thực tế.
Hiệp hội An ninh mạng quốc gia nhận định, bên cạnh những chuyển biến tích cực, công tác phòng thủ của các tổ chức, doanh nghiệp tại Việt Nam vẫn còn nhiều khoảng trống đáng lo ngại. “Nhiều tổ chức sở hữu đầy đủ các thành phần như firewall, EDR, SIEM, SOC, nhưng các thành phần này hoạt động rời rạc, thiếu ngữ cảnh và phụ thuộc nhiều vào thao tác thủ công. Trong khi đó, các chiến dịch tấn công hiện đại được tự động hóa cao, tạo ra sự mất cân bằng rõ rệt về tốc độ. Các cuộc tấn công diễn ra với tốc độ của máy móc nhưng công tác phòng thủ của không ít doanh nghiệp vẫn đang theo tốc độ của con người”, ông Phan Hoàng Giáp, Phó Tổng Giám đốc kiêm CTO VSEC phân tích.
Bên cạnh đó, các trung tâm giám sát an ninh mạng - SOC tại nhiều tổ chức, doanh nghiệp vẫn gặp hạn chế về nhân lực, quy trình và khả năng tự động hóa. Việc xử lý sự kiện còn phụ thuộc nhiều vào kinh nghiệm cá nhân, thiếu khả năng tương quan ngữ cảnh và phản ứng kịp thời.
Một điểm yếu khác là năng lực ứng phó sự cố và phục hồi sau tấn công của các cơ quan, doanh nghiệp. Nhiều tổ chức có kế hoạch ứng phó trên giấy, nhưng chưa được diễn tập đầy đủ, dẫn đến lúng túng khi xảy ra sự cố thực tế. Hệ thống sao lưu chưa đảm bảo tính bất biến, quy trình khôi phục chưa được kiểm chứng trong các kịch bản tấn công phức tạp. “Hệ quả là ngay cả khi phát hiện sớm, tổ chức vẫn gặp khó khăn trong việc khôi phục nhanh và giảm thiểu thiệt hại”, ông Phan Hoàng Giáp cho hay.
Thay hành vi và văn hóa bảo mật trong doanh nghiệp
Đáng chú ý, Phó Tổng Giám đốc kiêm CTO VSEC Phan Hoàng Giáp cũng cho biết, quản trị danh tính và truy cập là điểm yếu phổ biến nhất của các tổ chức, doanh nghiệp Việt Nam trong năm 2025. Thực tế, việc phân quyền dư thừa, thiếu giám sát tài khoản đặc quyền, quản lý kém tài khoản dịch vụ và thiếu kiểm soát đăng nhập bất thường đã tạo điều kiện cho nhiều cuộc xâm nhập thành công.
“Cứ 10 doanh nghiệp Việt Nam tham gia rà soát, kiểm thử hay đánh giá bảo mật thì có tới 8 doanh nghiệp gặp phải các điểm yếu về quản trị danh tính. Tỷ lệ này thậm chí đạt 90 - 100% với các doanh nghiệp vừa và nhỏ", chuyên gia VSEC nêu số liệu tổng hợp từ trung bình 100 case đánh giá bảo mật trong năm 2025.
Phó Tổng Giám đốc kiêm CTO VSEC Phan Hoàng Giáp cho biết, quản trị danh tính và truy cập là điểm yếu phổ biến nhất của các doanh nghiệp Việt Nam trong năm 2025. Quản trị danh tính và truy cập - IAM là khuôn khổ công nghệ, quy trình và chính sách để đảm bảo đúng người (con người hoặc máy) truy cập đúng tài nguyên vào đúng thời điểm và vì lý do chính đáng. Theo VSEC, các hạng mục dễ bị tấn công trong quản trị gồm có: Phân quyền truy cập, quản lý vòng đời danh tính, xác thực và ủy quyền, truy cập từ xa và thiết bị cá nhân, giám sát và tuân thủ.
Đơn cử như, ngay trong giai đoạn “xâm nhập”, giai đoạn đầu tiên trong chuỗi hoạt động tấn công của hacker, điểm thất bại phòng thủ thường nằm ở kiểm soát danh tính và hành vi người dùng như thiếu xác thực đa yếu tố có khả năng chống lừa đảo; thiếu kiểm soát đăng nhập bất thường, quy trình xác minh nghiệp vụ yếu, tình trạng tái sử dụng mật khẩu hoặc sử dụng email cá nhân cho công việc.
Từ thực trạng trên, các chuyên gia VSEC khuyến nghị: Chiến lược phòng thủ của các doanh nghiệp, tổ chức cần được chuyển dịch từ phòng thủ dựa trên giám sát - phản ứng sang mô hình phòng thủ chủ động với 2 trụ cột chính gồm: Chủ động đánh giá khả năng đã bị xâm nhập, săn tìm dấu hiệu tấn công còn ẩn mình trong hệ thống; nhận diện, kiểm soát và thu hẹp bề mặt tấn công.
Song song đó, các tổ chức nên chuyển từ đào tạo nhận thức sang xây dựng chương trình thay đổi hành vi và văn hóa bảo mật, với mục tiêu đưa an ninh mạng trở thành một phần của cách tổ chức vận hành hằng ngày.
“Thực tế cho thấy hành vi của người dùng mới là yếu tố quyết định mức độ hiệu quả của hệ thống phòng thủ, đặc biệt trước các hình thức tấn công xã hội, lừa đảo tinh vi và tấn công có chủ đích. Vì thế, các doanh nghiệp cần chú trọng xây dựng hành vi và văn hoá bảo mật trong tổ chức mình”, chuyên gia VSEC lý giải.