Năm 2024, thế giới chứng kiến sự gia tăng mạnh mẽ của các cuộc tấn công ransomware, các chiêu trò tấn công phi kỹ thuật (social engineering) được hỗ trợ bởi AI, và những chiến dịch tấn công mạng do nhà nước bảo trợ gây thiệt hại hàng tỷ USD.

Bước sang năm 2025, với sự hội tụ của AI, bất ổn địa chính trị, và bề mặt tấn công ngày càng mở rộng, môi trường đe dọa an ninh mạng đang trở nên phức tạp hơn bao giờ hết.

Dựa trên các thông tin tình báo và mô hình tấn công mới nhất, dưới đây là những xu hướng an ninh mạng quan trọng được dự báo sẽ chi phối trong năm 2025.

1. Ransomware: chuyển đổi từ tống tiền sang phá hủy và thao túng dữ liệu

Ransomware không còn đơn thuần là công cụ tống tiền - nó đang trở thành một vũ khí nhằm phá hoại và thao túng dữ liệu quan trọng, gây gián đoạn hệ thống.

Trước đây, các cuộc tấn công ransomware thường tập trung vào việc mã hóa dữ liệu và yêu cầu tiền chuộc để khôi phục. Tuy nhiên, năm 2025, mối đe dọa này sẽ trở nên tinh vi và nguy hiểm hơn, với mục tiêu làm suy giảm tính toàn vẹn của dữ liệu. Các nhóm tấn công có thể chỉnh sửa hồ sơ tài chính, thay đổi dữ liệu y tế hoặc gây gián đoạn hoạt động của toàn ngành công nghiệp.

Hãy tưởng tượng những hậu quả nghiêm trọng của việc chỉnh sửa dữ liệu y tế tại một bệnh viện, hay thay đổi thông tin tài chính tại một ngân hàng lớn. Những rủi ro này không chỉ gây tổn thất kinh tế mà còn đe dọa tính mạng con người, làm suy yếu lòng tin của xã hội vào các tổ chức.

Theo Dick O’Brien, nhà phân tích tình báo cấp cao tại Symantec Threat Hunter Team của Broadcom, ransomware đang phát triển thành một chuỗi tấn công phức tạp, đa giai đoạn. Ông nhận định: Phần mềm độc hại không thay đổi nhiều, nhưng những cải tiến thực sự nằm ở chiến thuật tấn công. Hiện nay, kẻ tấn công chủ yếu sử dụng phần mềm hợp pháp và trong nhiều cuộc tấn công, ransomware chỉ được đưa vào giai đoạn cuối cùng.

Ngoài ra, sự kết hợp của AI và tự động hóa đã khiến các cuộc tấn công này có thể triển khai nhanh chóng và chính xác hơn. Theo các nghiên cứu gần đây từ Cơ quan An ninh mạng và An ninh cơ sở hạ tầng Hoa Kỳ (CISA), những kẻ điều hành ransomware đang tận dụng AI để tối ưu hóa chiến thuật, nhắm vào các mục tiêu cụ thể, tăng tốc độ tấn công và giảm khả năng bị phát hiện.

Những gợi ý cho doanh nghiệp

Để đối phó với những thách thức mới từ ransomware, các chuyên gia an ninh mạng khuyến nghị các tổ chức cần chủ động áp dụng những chiến lược phòng thủ như: Phát triển chiến lược sao lưu và phục hồi nhằm đảm bảo khả năng khôi phục dữ liệu sau các cuộc tấn công; Ưu tiên kiểm tra tính toàn vẹn của dữ liệu để để phát hiện và xử lý kịp thời dữ liệu bị can thiệp; và đầu tư vào công nghệ phát hiện và phản hồi, sử dụng giải pháp EDR (Endpoint Detection and Response) để nhanh chóng nhận diện, cô lập và ngăn chặn các mối đe dọa.

2. Các cuộc tấn công được hỗ trợ bởi AI sẽ vượt qua khả năng phòng thủ của con người

AI đang tạo ra những bước tiến cách mạng trong nhiều lĩnh vực, và tội phạm mạng cũng không ngoại lệ. Năm 2025, những kẻ tấn công sẽ tận dụng AI để triển khai các chiến dịch lừa đảo nguy hiểm, phát triển phần mềm độc hại ngày càng tinh vi, và phát hiện lỗ hổng hệ thống với tốc độ chưa từng có. Những cuộc tấn công sử dụng AI sẽ trở thành một thách thức nghiêm trọng đối với ngay cả các đội ngũ an ninh mạng lành nghề nhất, khi số lượng và độ phức tạp của các mối đe dọa vượt xa khả năng phòng thủ thủ công.

Một trong những mối đe dọa đáng chú ý nhất là việc sử dụng AI tạo sinh để tạo ra video và âm thanh giả mạo (deepfake). Công nghệ này có thể được lợi dụng để vượt qua các hệ thống xác minh danh tính hoặc để phát tán thông tin sai lệch với độ thuyết phục cao. Năm 2024 đã chứng kiến một số sự cố nổi bật, minh chứng cho sự tiến bộ đáng kinh ngạc của deepfake, làm tăng nguy cơ bị lạm dụng trong các cuộc tấn công mạng.

"Cộng đồng tội phạm mạng là những kẻ cơ hội với tư duy kinh doanh sắc bén, luôn sẵn sàng tiếp nhận và ứng dụng những công nghệ mới”, Alex Cox, Giám đốc An ninh Thông tin của LastPass nhận định. Việc sử dụng deepfake, AI và các mô hình ngôn ngữ lớn (LLM) cho phép kẻ tấn công thiết lập lòng tin với nạn nhân ngay từ giai đoạn đầu của cuộc tấn công, thông qua các chiến thuật phi kỹ thuật. Họ thường giả danh các nhà lãnh đạo của tổ chức mục tiêu để làm cho yêu cầu trở nên tin cậy nhờ sự uy tín của nhân vật quyền lực này.

Các cuộc tấn công sử dụng AI đặc biệt nguy hiểm vì khả năng mở rộng nhanh chóng. Một kẻ tấn công có thể lập trình hệ thống AI để quét hàng nghìn tài khoản và nhận diện các mật khẩu yếu chỉ trong vài phút, hoặc quét toàn bộ mạng lưới doanh nghiệp (DN) để phát hiện các lỗ hổng với tốc độ vượt xa khả năng của con người.

Theo đó, để chống lại các mối đe dọa ngày càng tinh vi này, các tổ chức cần chủ động triển khai các biện pháp phòng thủ: Triển khai các công cụ phòng thủ dựa trên AI để giám sát mạng theo thời gian thực; Đào tạo nhân viên nhận diện các hành vi lừa đảo tinh vi, bao gồm cả những hành vi được tạo ra bởi AI; Hợp tác với các đối tác trong ngành để chia sẻ thông tin tình báo về các mối đe dọa mới nổi do AI gây ra.

Cuộc chiến giữa các bên trong lĩnh vực an ninh mạng đang bước vào giai đoạn mới, nhanh chóng và tinh vi hơn, nơi AI đóng vai trò quan trọng cho cả bên tấn công và bên phòng thủ. Để duy trì lợi thế, các tổ chức cần không ngừng đổi mới và đầu tư vào công nghệ, chiến lược phòng thủ dựa trên AI, đồng thời nâng cao kỹ năng cho đội ngũ nhân sự.

3. Cơ sở hạ tầng quan trọng sẽ là mục tiêu ban đầu

Năm 2024, các cuộc tấn công nhằm vào cơ sở hạ tầng trọng yếu đã trở thành tâm điểm, từ các lưới điện ở châu Âu đến hệ thống cấp nước tại Hoa Kỳ. Xu hướng này dự báo sẽ tiếp tục gia tăng vào năm 2025, khi các quốc gia và các nhóm tội phạm mạng chuyển trọng tâm vào việc tấn công những hệ thống mà xã hội phụ thuộc nhiều nhất. Những cuộc tấn công này thường nhắm đến mục tiêu gây ra sự hỗn loạn tối đa với nỗ lực tối thiểu và đang ngày càng được sử dụng như những vũ khí trong các xung đột địa chính trị.

Các hệ thống lạc hậu cùng với các giao thức bảo mật phân tán đang làm gia tăng nguy cơ đối với cơ sở hạ tầng trọng yếu. Chẳng hạn, nhiều lưới điện vẫn đang sử dụng công nghệ lỗi thời, vốn chưa bao giờ được thiết kế để chống lại các cuộc tấn công mạng hiện đại. Hơn nữa, sự kết nối ngày càng gia tăng giữa công nghệ vận hành (OT) và công nghệ thông tin (IT) đã tạo ra những lỗ hổng mới, khiến nguy cơ bị tấn công càng trở nên nghiêm trọng hơn.

Ông Ian Bramson, Phó Chủ tịch An ninh mạng Công nghiệp toàn cầu tại Black & Veatch, nhận định: "Khi làm việc với các công ty cấp nước và các tiện ích khác, tôi nhận thấy nhiều đơn vị thiếu những yếu tố cơ bản trong chương trình an ninh mạng công nghiệp. Họ chưa triển khai các khả năng giám sát mạng OT hay các biện pháp kiểm soát môi trường cần thiết để ngăn chặn, phát hiện và ứng phó với các cuộc tấn công".

Bramson nhấn mạnh các lãnh đạo ngành cần xem an ninh mạng công nghiệp là một vấn đề liên quan trực tiếp đến an toàn của toàn bộ tổ chức. Theo ông, các cuộc tấn công mạng vào các hệ thống này không chỉ gây thiệt hại tài chính mà còn có thể dẫn đến những hậu quả vật lý nghiêm trọng trong thế giới thực.

Để bảo vệ cơ sở hạ tầng trọng yếu trước nguy cơ ngày càng tăng, các tổ chức cần thực hiện các biện pháp: Hợp tác với các cơ quan chính phủ và tổ chức an ninh mạng quốc gia như CISA để xác định và giảm thiểu lỗ hổng; Phân đoạn mạng OT và IT: Tách biệt rõ ràng hai hệ thống để giảm thiểu nguy cơ lây lan khi xảy ra vi phạm; Đầu tư vào giám sát liên tục: Triển khai các công cụ giám sát và phát hiện mối đe dọa theo thời gian thực để bảo vệ hệ thống trước các cuộc tấn công.

Bảo vệ cơ sở hạ tầng trọng yếu không chỉ là trách nhiệm về mặt an ninh mạng mà còn là vấn đề an ninh quốc gia và phúc lợi công cộng. Khi các tổ chức ưu tiên an ninh mạng công nghiệp như một phần không thể thiếu của chiến lược an toàn, họ sẽ góp phần đảm bảo tính ổn định của các dịch vụ thiết yếu và an toàn cho cộng đồng.

4. Các cuộc tấn công vào chuỗi cung ứng sẽ gia tăng

Bản chất kết nối toàn cầu của các hoạt động kinh doanh đã tạo ra môi trường lý tưởng cho các cuộc tấn công vào chuỗi cung ứng. Những cuộc tấn công này tận dụng các lỗ hổng trong các nhà cung cấp bên thứ ba, cho phép kẻ tấn công xâm nhập vào nhiều tổ chức thông qua một điểm truy cập duy nhất. Dự báo vào năm 2025, các cuộc tấn công này sẽ gia tăng về cả tần suất và mức độ tinh vi.

Một ví dụ điển hình là cuộc tấn công mạng SolarWinds, đã xâm phạm hàng ngàn tổ chức bằng cách nhắm mục tiêu vào một nhà cung cấp phần mềm được sử dụng rộng rãi. Tương tự, cuộc tấn công ransomware vào Kaseya đã làm nổi bật cách các nhà cung cấp nhỏ có thể trở thành cổng truy cập vào các DN lớn hơn.

Các cuộc tấn công vào chuỗi cung ứng đặc biệt nguy hiểm vì chúng khai thác mối quan hệ tin cậy giữa các công ty và nhà cung cấp, thường không bị phát hiện trong nhiều tháng, khiến việc ngăn chặn và ứng phó trở nên vô cùng khó khăn.

Các chính phủ và cơ quan quản lý đã bắt đầu chú trọng đến vấn đề này. Năm 2024, các hướng dẫn mới về bảo mật chuỗi cung ứng đã được giới thiệu tại cả Hoa Kỳ và Liên minh châu Âu (EU), nhấn mạnh sự cần thiết của tính minh bạch và trách nhiệm. Tuy nhiên, chỉ tuân thủ các quy định này thôi sẽ không đủ để ngăn chặn những kẻ tấn công liên tục cải tiến phương thức của chúng.

Matti Pearce, Phó Chủ tịch phụ trách An ninh Thông tin tại Absolute Security cho biết: "Các Giám đốc An ninh Thông tin (CISO) sẽ cần áp dụng các kỹ thuật phát hiện và giám sát sáng tạo để nhận diện các ứng dụng AI trái phép, những ứng dụng có thể không được quan sát trực tiếp qua lưu lượng mạng. Việc tập trung vào giáo dục người dùng và cung cấp các công cụ AI an toàn, được phê duyệt sẽ là chiến lược trọng tâm để giảm thiểu các rủi ro này [...] vì sự gia tăng trong việc sử dụng AI đang vượt xa khả năng bảo mật AI, chúng ta sẽ chứng kiến AI tấn công AI, tạo ra một mối đe dọa lớn cho người dùng doanh nghiệp”.

Bên cạnh đó, ông cũng đặc biệt cảnh báo rằng các cuộc tấn công AI trong chuỗi cung ứng có thể trở thành mối đe dọa lớn, khi lỗi của con người và các lỗ hổng trong hệ thống AI trở thành mục tiêu khai thác chính.

Giải pháp cho các doanh nghiệp

Để giảm thiểu nguy cơ từ các cuộc tấn công vào chuỗi cung ứng, các tổ chức cần tập trung vào những hành động sau:

- Tiến hành kiểm tra bảo mật toàn diện đối với tất cả các nhà cung cấp bên thứ ba.

- Áp dụng nguyên tắc "zero-trust" để hạn chế tác động của các đối tác bị xâm phạm.

- Sử dụng thông tin tình báo về mối đe dọa để chủ động xác định và ứng phó với các lỗ hổng trong chuỗi cung ứng.

An ninh mạng chuỗi cung ứng không chỉ là vấn đề của từng DN mà còn là thách thức toàn cầu. Khi các cuộc tấn công ngày càng tinh vi, DN phải hợp tác chặt chẽ với các đối tác và chính phủ để bảo vệ tính toàn vẹn của hệ sinh thái kinh doanh, đồng thời duy trì niềm tin của khách hàng và cộng đồng.

5. Khoảng cách kỹ năng an ninh mạng tại nơi làm việc sẽ ngày càng gia tăng

Ngành an ninh mạng đang đối mặt với cuộc khủng hoảng thiếu hụt nhân tài nghiêm trọng. Báo cáo từ Hiệp hội chứng nhận bảo mật hệ thống thông tin quốc tế (ISC²) cho thấy, vào năm 2024, có hơn 3,4 triệu vị trí việc làm an ninh mạng chưa được lấp đầy trên toàn cầu - và con số này dự kiến sẽ tiếp tục gia tăng vào năm 2025. Khoảng cách về lực lượng lao động này đang tạo ra một thách thức lớn khi nhu cầu về các chuyên gia có kỹ năng không ngừng tăng cao.

Khoảng cách về lực lượng lao động không chỉ đặt ra vấn đề về số lượng mà còn cả chất lượng, khi các tổ chức đang gặp khó khăn trong việc tìm kiếm các chuyên gia có kỹ năng chuyên sâu, đặc biệt trong các lĩnh vực như: Tình báo mối đe dọa (Threat Intelligence); Phòng thủ dựa trên AI; Bảo mật đám mây (Cloud Security).

Hệ quả của tình trạng này là các đội ngũ hiện tại bị quá tải, dễ dẫn đến kiệt sức và tỷ lệ nghỉ việc tăng cao. Điều này tiếp tục làm trầm trọng thêm vấn đề thiếu hụt nhân tài, tạo thành một vòng lặp tiêu cực kéo dài.

Đặc biệt, ông O’Brien, một chuyên gia an ninh mạng cho biết thế giới ngầm của tội phạm mạng đang thay đổi với mô hình kinh doanh Ransomware-as-a-Service (RaaS). Hình thức này cho phép các nhóm tội phạm lớn nhượng quyền công cụ và cơ sở hạ tầng tấn công cho các đối tác nhỏ hơn.

Tuy nhiên, một hệ quả không mong muốn của mô hình kinh doanh này là trao thêm quyền lực vào tay các đối tác, những người có thể dễ dàng rời bỏ để hợp tác với các nhóm đối thủ nếu nhận được điều kiện hấp dẫn hơn. Điều này đã thúc đẩy sự cạnh tranh khốc liệt giữa các nhóm ransomware nhằm thu hút đối tác, khiến các hoạt động tấn công ngày càng trở nên tinh vi và nguy hiểm hơn.

Trước bối cảnh đó, ngành an ninh mạng không chỉ cần tập trung vào cải tiến công nghệ, mà còn phải ưu tiên phát triển nguồn nhân lực nhằm đối phó với sự gia tăng phức tạp của các cuộc tấn công.

Để giảm thiểu tác động từ cuộc khủng hoảng thiếu hụt nhân tài, các tổ chức cần áp dụng cách tiếp cận đa chiều như: Đầu tư vào các chương trình đào tạo và cố vấn để phát triển tài năng nội bộ; Hợp tác với các trường đại học và các khóa đào tạo lập trình để xây dựng nguồn nhân lực có kỹ năng; Thúc đẩy các sáng kiến đa dạng để thu hút ứng viên từ các nhóm ít được đại diện, chẳng hạn như phụ nữ và các cộng đồng thiểu số, từ đó có thể mở rộng nguồn nhân lực tiềm năng.

Thu hẹp khoảng cách nhân tài trong an ninh mạng không chỉ là thách thức của ngành mà còn là một nhiệm vụ xã hội.

Bức tranh an ninh mạng năm 2025 là một cuộc chạy đua khốc liệt giữa công nghệ phòng thủ và các chiến thuật tấn công ngày càng tinh vi. Các tổ chức không chỉ cần chuẩn bị kỹ lưỡng để bảo vệ tài sản của mình mà còn phải nỗ lực duy trì lòng tin của khách hàng. Việc đầu tư vào phòng thủ dựa trên AI, kết hợp với các chiến lược bảo mật toàn diện, sẽ là chìa khóa giúp doanh nghiệp tồn tại và phát triển trong kỷ nguyên số đầy thách thức này.

Các công cụ phòng thủ được hỗ trợ bởi AI cung cấp khả năng giám sát mạng theo thời gian thực, giúp phát hiện và ngăn chặn các mối đe dọa nhanh chóng. Bên cạnh đó, việc phân đoạn rõ ràng giữa các hệ thống OT và IT giúp bảo vệ cơ sở hạ tầng quan trọng khỏi các cuộc tấn công mạng. Các nguyên tắc bảo mật "zero-trust" và quy trình kiểm toán nhà cung cấp kỹ lưỡng sẽ giúp giảm thiểu các lỗ hổng trong chuỗi cung ứng, từ đó làm giảm nguy cơ bị tấn công từ bên ngoài.

Hơn nữa, việc đầu tư vào các chương trình đào tạo an ninh mạng để giải quyết tình trạng thiếu hụt nhân tài sẽ giúp các tổ chức tận dụng sự sáng tạo và khả năng thích nghi của con người trong việc chủ động phát hiện và khắc phục các lỗ hổng bảo mật.

Với những giải pháp này, các tổ chức có thể củng cố hệ thống bảo mật của mình, đối phó hiệu quả với các mối đe dọa mới, bảo vệ tài nguyên và đảm bảo an ninh toàn cầu trong bối cảnh đầy thách thức của năm 2025./.

Tâm An