Các công ty lớn mất nhiều thời gian hơn để khắc phục sự cố kiểm tra xâm nhập

Theo tổ chức phi lợi nhuận Cobalt, những lỗ hổng có thể khai thác ở các tổ chức hiện nay mới được xử lý chưa đến một nửa, chỉ có 21% lỗ hổng trên ứng dụng GenAI được xử lý.

Cùng với đó, 94% công ty coi kiểm tra xâm nhập là cần thiết. Điều này cho thấy vai trò quan trọng của việc kiểm tra thâm nhập và cũng cho thấy thực tế rằng hầu hết các vi phạm xảy ra không phải vì nạn nhân không có biện pháp phòng thủ mà do biện pháp phòng thủ mà họ có không vững chắc như họ nghĩ.

Theo Cobalt, 91% công ty được hỏi cho rằng họ thực hiện kiểm tra xâm nhập là vì sự tuân thủ. 92% cho biết kiểm tra xâm nhập rất quan trọng đối với chiến lược của tổ chức và ban lãnh đạo cấp cao của họ.

Vào năm 2017, chỉ có 27% phát hiện kiểm tra xâm nhập nghiêm trọng được xử lý. Tỷ lệ đó đã tăng gấp đôi vào năm 2021 lên 55% và được duy trì kể từ đó. Đến năm 2024, những phát hiện nghiêm trọng đã được khắc phục với thời gian rút ngắn chỉ bằng 1/3 so với năm 2017 (còn 37 so với 112 ngày).

Trung bình, các tổ chức lớn mất 61 ngày để giải quyết những phát hiện nghiêm trọng trong khi các công ty nhỏ mất 27 ngày.

3/4 các tổ chức đã có SLA (sự cam kết giữa nhà cung cấp dịch vụ đối với khách hàng) nêu rõ rằng các phát hiện kiểm tra thâm nhập phải được khắc phục trong 2 tuần hoặc ít hơn. Tuy nhiên, rất ít tổ chức đạt được mục tiêu này. Thời gian trung bình để xử lý (MTTR - Chỉ số thời gian trung bình để sửa chữa) là 67 ngày đối với tất cả các phát hiện kiểm tra thâm nhập. Con số này cao hơn 5 lần so với SLA là 2 tuần mà hầu hết các tổ chức đặt ra.

81% các nhà lãnh đạo an ninh "tự tin" vào tình hình an ninh của công ty mình, mặc dù 31% các phát hiện nghiêm trọng được phát hiện vẫn chưa được xử lý. Nhìn chung, các công ty chỉ khắc phục được 48% trong số tất cả các kết quả kiểm tra thâm nhập, tuy nhiên, con số này cải thiện đáng kể (69%) đối với các phát hiện được gán nhãn nghiêm trọng (lỗ hổng được đánh giá là nguy cấp và nghiêm trọng).

Các lỗ hổng trong ứng dụng web GenAI LLM

Các tổ chức đang đặc biệt gặp khó khăn với các lỗ hổng trong ứng dụng web bằng mô hình ngôn ngữ lớn (LLM) trên GenAI của họ. 95% công ty đã thực hiện kiểm tra thâm nhập trên các ứng dụng này trong năm 2024 với 32% tìm thấy các lỗ hổng nghiêm trọng. Trong số những phát hiện đó, chỉ có 21% lỗ hổng được khắc phục.

72% xếp hạng các cuộc tấn công AI là mối quan tâm số một của họ trước những rủi ro liên quan đến phần mềm của bên thứ ba, các lỗ hổng bị khai thác, các mối đe dọa nội bộ và các tác nhân quốc gia. Chỉ có 64% cho biết họ được trang bị tốt để giải quyết tất cả các tác động bảo mật của GenAI.

OWASP (tổ chức phi lợi nhuận toàn cầu, tập trung vào việc cải thiện bảo mật 1 cho các ứng dụng web) hiểu điều này và đã cập nhật danh sách năm 2025 của Top 10 về LLM và GenAI để mở rộng các vấn đề về DoS và các vấn đề khác. Danh mục mới được gọi là "Unbounded Consumption” và bao gồm các mối đe dọa như Denial of Wallet (từ chối ví - DoW) mà kẻ tấn công có thể sử dụng để khai thác chi phí cho mỗi lần sử dụng của các dịch vụ AI.

Các nhà lãnh đạo an ninh chịu áp lực hy sinh bảo mật để đổi lấy tốc độ

Đồng hồ bắt đầu tính giờ khi các lỗi bảo mật được xác định (Ngày 0) và tiếp tục cho đến khi phát hiện cuối cùng được khắc phục. Thực tế là không có thời gian cuối cùng. Sau 1 tháng, khoảng 85% các phát hiện vẫn còn tồn tại (chưa được khắc phục). Tỷ lệ này giảm xuống còn khoảng 60% sau 1 năm. Và thậm chí sau 5 năm, 45% các vấn đề vẫn chưa được khắc phục.

52% các nhà lãnh đạo an ninh cho biết họ đang phải chịu áp lực về việc cải thiện tốc độ bảo mật. 50% hoàn toàn tin tưởng họ có thể xác định và ngăn chặn lỗ hổng từ các nhà cung cấp phần mềm của mình. Đây cũng là mối quan tâm đặc biệt vì 82% được khách hàng/cơ quan quản lý yêu cầu phải bảo đảm tính bảo mật của phần mềm.

Gunter Ollman, Giám đốc công nghệ của Cobalt cho biết: “Việc kiểm tra thâm nhập thường xuyên chưa bao giờ quan trọng đến vậy, đặc biệt là trước tốc độ chóng mặt của việc áp dụng AI. Điều đáng lo ngại là 31% các lỗ hổng nghiêm trọng không được khắc phục, tuy nhiên, ít nhất các công ty này đã nhận thức được vấn đề và có thể phát triển các chiến lược để giảm thiểu rủi ro. Các tổ chức áp dụng phương pháp bảo mật tấn công đang thực hiện một bước tiến lớn trong việc tăng cường phòng thủ chống lại tội phạm mạng, những kẻ thường tấn công một cách ngẫu nhiên. Khi làm như vậy, họ đang đi trước mọi yêu cầu tuân thủ và đảm bảo với khách hàng rằng họ an toàn khi giao dịch”./.

Hạnh Tâm