Adam Meyers, phó chủ tịch cấp cao phụ trách hoạt động chống đối tại
CrowdStrike , đã giải thích với VentureBeat về tốc độ mà những kẻ xâm nhập có thể leo thang đặc quyền và di chuyển ngang một khi chúng xâm nhập vào hệ thống. “[T]hương trình tiếp theo thường liên quan đến một số hình thức di chuyển ngang, và đây là những gì chúng tôi muốn tính toán là thời gian đột phá. Nói cách khác, từ lần truy cập ban đầu, mất bao lâu để chúng xâm nhập vào hệ thống khác? Thời gian đột phá nhanh nhất mà chúng tôi quan sát được là 51 giây. Vì vậy, những kẻ thù này đang trở nên nhanh hơn và đây là điều khiến công việc của người phòng thủ trở nên khó khăn hơn rất nhiều”, Meyers cho biết.
AI vũ khí hóa đòi hỏi nhu cầu ngày càng cao về tốc độ
AI là vũ khí được kẻ tấn công lựa chọn nhiều nhất hiện nay. Nó rẻ, nhanh và linh hoạt, cho phép kẻ tấn công tạo ra các vụ lừa đảo vishing (lừa đảo bằng giọng nói) và deepfake và tiến hành các cuộc tấn công kỹ thuật xã hội chỉ trong một phần nhỏ thời gian so với các công nghệ trước đây.
Vishing đang mất kiểm soát phần lớn là do những kẻ tấn công biến thủ đoạn của chúng thành AI. Báo cáo về mối đe dọa toàn cầu năm 2025 của CrowdStrike phát hiện ra rằng vishing đã tăng vọt 442% vào năm 2024. Đây là phương pháp truy cập ban đầu hàng đầu mà những kẻ tấn công sử dụng để thao túng nạn nhân tiết lộ thông tin nhạy cảm, đặt lại thông tin đăng nhập và cấp quyền truy cập từ xa qua điện thoại.
Meyers cho biết: “Chúng tôi đã chứng kiến mức tăng 442% trong hoạt động lừa đảo qua giọng nói vào năm 2024. Đây là kỹ thuật xã hội và điều này cho thấy thực tế là kẻ thù đang tìm ra những cách mới để truy cập vì… chúng ta đang ở trong một thế giới mới, nơi kẻ thù phải nỗ lực hơn một chút hoặc làm theo cách khác để tránh các công cụ bảo mật điểm cuối hiện đại”.
Lừa đảo qua email cũng tiếp tục là một mối đe dọa. Meyers cho biết, “Chúng tôi đã thấy rằng với các email lừa đảo, chúng có tỷ lệ nhấp chuột cao hơn khi đó là nội dung do AI tạo ra, tỷ lệ nhấp chuột là 54%, so với 12% khi có con người đứng sau”.
Mạng lưới Green Cicada của Trung Quốc đã sử dụng một trình tạo nội dung do AI điều khiển để tạo và chạy hơn 5.000 tài khoản giả trên mạng xã hội nhằm phát tán thông tin sai lệch về bầu cử. Nhóm đối thủ FAMOUS CHOLLIMA của Triều Tiên đang sử dụng AI tạo ra để tạo hồ sơ LinkedIn giả của các ứng viên xin việc CNTT với mục tiêu xâm nhập vào các công ty hàng không vũ trụ, quốc phòng, phần mềm và công nghệ toàn cầu với tư cách là nhân viên từ xa.
Các CIO, CISO đang tìm ra những cách mới để chống trả
Một dấu hiệu chắc chắn cho thấy thủ đoạn AI của kẻ tấn công đang phát triển nhanh chóng là mức độ thành công của chúng với các cuộc tấn công dựa trên danh tính. Các cuộc tấn công danh tính đang vượt qua phần mềm độc hại để trở thành phương pháp vi phạm chính. Bảy mươi chín phần trăm các cuộc tấn công để có được quyền truy cập ban đầu vào năm 2024 không có phần mềm độc hại, thay vào đó dựa vào thông tin xác thực bị đánh cắp, lừa đảo do AI điều khiển và lừa đảo deepfake. Một trong ba, hoặc 35%, các cuộc xâm nhập đám mây đã tận dụng thông tin xác thực hợp lệ vào năm ngoái.
“Kẻ thù đã tìm ra rằng một trong những cách nhanh nhất để truy cập vào một môi trường là đánh cắp thông tin xác thực hợp lệ hoặc sử dụng kỹ thuật xã hội. Việc đưa phần mềm độc hại vào doanh nghiệp hiện đại có các công cụ bảo mật hiện đại cũng giống như cố gắng mang một chai nước vào sân bay — TSA có thể sẽ bắt bạn,” Meyers giải thích.
“Chúng tôi đã tìm thấy một lỗ hổng trong khả năng thu hồi mã thông báo phiên bản danh tính hợp lệ ở phía tài nguyên”, Alex Philips, CIO tại National Oilwell Varco (NOV), đã nói với VentureBeat trong một cuộc phỏng vấn gần đây. “Chúng tôi hiện có một công ty khởi nghiệp đang giúp chúng tôi tạo ra các giải pháp cho các tài nguyên phổ biến nhất của mình, nơi chúng tôi cần thu hồi quyền truy cập nhanh chóng. Chỉ đặt lại mật khẩu hoặc vô hiệu hóa tài khoản là không đủ. Bạn phải thu hồi mã thông báo phiên bản”.
NOV đang chống trả các cuộc tấn công bằng nhiều kỹ thuật khác nhau. Philips chia sẻ những điều sau đây là cần thiết để ngăn chặn các cuộc tấn công ngày càng do AI điều khiển dựa trên sự lừa dối thông qua vishing, thông tin đăng nhập và danh tính bị đánh cắp:
- “Zero trust không chỉ hữu ích; mà còn bắt buộc. Nó cung cấp cho chúng ta một cổng thực thi chính sách bảo mật bắt buộc khiến các mã thông báo phiên bị đánh cắp trở nên vô dụng”, Philips khuyên. “Trộm mã thông báo phiên danh tính là thứ được sử dụng trong một số cuộc tấn công tiên tiến hơn”. Với các loại tấn công này ngày càng gia tăng, NOV đang thắt chặt các chính sách danh tính, thực thi quyền truy cập có điều kiện và tìm cách nhanh chóng để thu hồi các mã thông báo hợp lệ khi chúng bị đánh cắp.
- Lời khuyên của Philips dành cho những người đồng cấp đang tìm cách ngăn chặn các cuộc tấn công dựa trên danh tính cực nhanh là tập trung vào việc loại bỏ các điểm lỗi đơn lẻ . “Hãy đảm bảo có sự phân tách nhiệm vụ; đảm bảo không một người hoặc tài khoản dịch vụ nào có thể đặt lại mật khẩu, quyền truy cập đa yếu tố và bỏ qua quyền truy cập có điều kiện. Có các quy trình đã được thử nghiệm để thu hồi mã thông báo phiên danh tính hợp lệ”, Philips khuyến nghị.
- Đừng lãng phí thời gian đặt lại mật khẩu; hãy thu hồi ngay mã thông báo phiên. “Đặt lại mật khẩu không còn đủ nữa — bạn phải thu hồi ngay mã thông báo phiên để ngăn chặn chuyển động ngang”, Philips nói với VentureBeat.
Ba chiến lược cốt lõi để ngăn chặn các vi phạm nhanh như chớp
Các cuộc đột phá kéo dài 51 giây là triệu chứng của điểm yếu lớn hơn và nghiêm trọng hơn nhiều về quản lý danh tính và truy cập (IAM) trong các tổ chức. Cốt lõi của sự cố này trong bảo mật IAM là giả định rằng sự tin tưởng là đủ để bảo vệ doanh nghiệp của bạn (thực tế không phải vậy). Xác thực mọi danh tính, phiên và yêu cầu tài nguyên là đủ. Giả định rằng công ty của bạn đã bị xâm phạm là nơi để bắt đầu.
Sau đây là ba bài học về cách ngăn chặn các cuộc tấn công chớp nhoáng, được Philips chia sẻ và được xác thực bởi nghiên cứu của CrowdStrike cho thấy các cuộc tấn công này là chuẩn mực mới của AI được vũ khí hóa:
Trước tiên, hãy cắt đứt các cuộc tấn công ở lớp xác thực, trước khi vi phạm lan rộng. Làm cho thông tin xác thực và mã thông báo phiên bị đánh cắp trở nên vô dụng càng nhanh càng tốt. Điều đó cần bắt đầu bằng cách xác định cách rút ngắn thời gian tồn tại của mã thông báo và triển khai thu hồi theo thời gian thực để ngăn chặn kẻ tấn công giữa chừng.
- Nếu bạn chưa có, hãy bắt đầu xác định một khuôn khổ vững chắc và lập kế hoạch cho zero trust — một khuôn khổ phù hợp với doanh nghiệp của bạn. Đọc thêm về khuôn khổ zero trust trong tiêu chuẩn NIST , một tài liệu được các nhóm lập kế hoạch an ninh mạng tham khảo rộng rãi.
- Tăng cường các kỹ thuật xác minh IAM với các biện pháp kiểm soát xác thực chặt chẽ hơn để xác minh rằng một thực thể gọi là người mà họ nói họ là. Philips dựa vào nhiều hình thức xác thực để xác minh danh tính của những người gọi đến để xin thông tin xác thực, đặt lại mật khẩu hoặc truy cập từ xa. Ông cho biết “Chúng tôi đã giảm đáng kể những người có thể thực hiện đặt lại mật khẩu hoặc đa yếu tố. Không một cá nhân nào có thể bỏ qua các biện pháp kiểm soát này”.
Sử dụng phát hiện mối đe dọa do AI điều khiển để phát hiện các cuộc tấn công theo thời gian thực. AI và máy học (ML) vượt trội trong việc phát hiện bất thường trên các tập dữ liệu lớn mà chúng cũng được đào tạo theo thời gian. Xác định một vi phạm tiềm ẩn hoặc nỗ lực xâm nhập và ngăn chặn nó theo thời gian thực là mục tiêu. Các kỹ thuật AI và ML tiếp tục được cải thiện khi các tập dữ liệu tấn công mà chúng được đào tạo cải thiện.
- Các doanh nghiệp đang thấy kết quả khả quan từ SIEM hỗ trợ AI và phân tích danh tính, có thể xác định ngay lập tức các nỗ lực đăng nhập đáng ngờ, thực thi phân đoạn cho một điểm cuối hoặc điểm vào nhất định.
- NOV đang tận dụng AI để phát hiện việc sử dụng sai danh tính và các mối đe dọa dựa trên thông tin xác thực theo thời gian thực. Philips nói với VentureBeat rằng “hiện chúng tôi có AI kiểm tra tất cả các nhật ký SIEM của mình và xác định các sự cố hoặc [khả năng] xảy ra sự cố cao. Không phải 100% thời gian thực, nhưng thời gian trễ ngắn.”
Hợp nhất bảo mật điểm cuối, đám mây và danh tính để ngăn chặn sự di chuyển ngang. Core to zero trust là xác định phân đoạn ở cấp điểm cuối và mạng để ngăn chặn vi phạm trong ranh giới của các phân đoạn. Mục tiêu là giữ cho hệ thống và cơ sở hạ tầng doanh nghiệp an toàn. Bằng cách hợp nhất chúng, các cuộc tấn công chớp nhoáng sẽ được ngăn chặn và không lan rộng theo chiều ngang trên toàn mạng
- Liên kết dữ liệu từ xa về danh tính, đám mây và điểm cuối và sử dụng dữ liệu kết hợp để xác định và phát hiện các cuộc xâm nhập, vi phạm và mối đe dọa mới nổi.
- Kẻ thù đang khai thác các lỗ hổng để có được quyền truy cập ban đầu. Năm mươi hai phần trăm các lỗ hổng được quan sát có liên quan đến quyền truy cập ban đầu, củng cố nhu cầu bảo mật các hệ thống bị lộ trước khi kẻ tấn công thiết lập được chỗ đứng. Phát hiện này nhấn mạnh nhu cầu khóa các mặt phẳng điều khiển SaaS và đám mây để ngăn chặn truy cập trái phép và di chuyển ngang.
- Chuyển từ phát hiện phần mềm độc hại sang ngăn chặn việc lạm dụng thông tin xác thực. Điều đó cần bắt đầu bằng việc kiểm tra tất cả các tài khoản truy cập đám mây, xóa những tài khoản không còn cần thiết.
Sử dụng AI để chặn các cuộc tấn công tốc độ cao
Để giành chiến thắng trong cuộc chiến AI, những kẻ tấn công đang biến AI thành vũ khí để phát động các cuộc tấn công chớp nhoáng trong khi đồng thời tạo ra các chiến dịch vishing, deepfake và social engineering để đánh cắp danh tính. Các phương pháp của Phillips để ngăn chặn chúng, bao gồm sử dụng phát hiện do AI điều khiển và ngay lập tức thu hồi mã thông báo để xóa các phiên bị đánh cắp trước khi chúng lây lan, đang chứng minh được hiệu quả.
Trọng tâm của các chiến lược của Philips và nhiều nhà lãnh đạo an ninh mạng và CNTT khác là nhu cầu về sự tin tưởng bằng không. VentureBeat liên tục thấy các nhà lãnh đạo an ninh thành công trong việc chống lại các cuộc tấn công tốc độ máy là những người ủng hộ quyền truy cập ít đặc quyền nhất, phân đoạn mạng và điểm cuối, giám sát mọi giao dịch và yêu cầu tài nguyên, và liên tục xác minh danh tính.
