DỰ BÁO XU HƯỚNG AN NINH BẢO MẬT NĂM 2024

Xu hướng đáng chú ý an ninh mạng năm 2024: Tăng cường khả năng phục hồi mạng, sử dụng AI trong tấn công phishing, hồi sinh kỹ thuật cổ xưa. Cuộc tấn công vào zero-day và thiết bị biên đạt đến đỉnh điểm, môi trường đám mây trở thành mục tiêu chính. Các tấn công mạng chính trị gia tăng, có sự điều chỉnh luật lệ an ninh mạng. Kỹ năng mềm trở thành yếu tố quyết định, tập trung vào giao tiếp và giải quyết vấn đề.

XU HƯỚNG 1: Tầm quan trọng của khả năng phục hồi mạng tiếp tục được nâng cao

Hai thuật ngữ thường được sử dụng một cách thay thế là an ninh mạng và khả năng phục hồi mạng (cyber resilience). Các biện pháp khả năng phục hồi sẽ cần được thiết kế để đảm bảo sự liên tục của hoạt động ngay cả sau khi có cuộc tấn công thành công. Việc phát triển khả năng phục hồi linh hoạt, giảm thiểu mất dữ liệu và thời gian gián đoạn, sẽ là một chiến lược ưu tiên trong năm 2024.

XU HƯỚNG 2: Xu hướng ứng dụng AI tạo sinh (generative AI) và các mô hình ngôn ngữ lớn (Large Language Models LLMs)

Khi các công cụ trí tuệ nhân tạo ngày càng phát triển về cả số lượng và tính năng, chúng ta sẽ tiếp tục chứng kiến những cuộc tấn công tinh vi được thực hiện bởi các công cụ này: bao gồm các nỗ lực tấn công Kỹ thuật xã hội (social engineer) sử dụng công nghệ deepfake và khả năng tự động thích nghi và điều chỉnh để tránh bị phát hiện.

Cùng lúc đó, các nhà cung cấp giải pháp an toàn thông tin cũng tích hợp công cụ AI vào quá trình xác định mối đe dọa theo thời gian thực, phát triển tính năng xác thực thông minh và phát triển khả năng tự động ứng phó sự cố, từ đó tăng khả năng phát hiện, né tránh hoặc vô hiệu hóa mối đe dọa cho tổ chức.

Xu hướng sử dụng Trí tuệ nhân tạo AI trong tấn công phishing: 

AI tạo sinh và các mô hình ngôn ngữ lớn LLMs sẽ được tận dụng tối ưu trong các vụ tấn công phishing, tin nhắn SMS và các cách thức tấn công kỹ thuật xã hội khác để khiến nội dung và các yếu tố liên quan khi lừa đảo (giọng nói, video, hình ảnh) có vẻ đáng tin cậy hơn. Nhờ đó, các lỗi sai chính tả, ngữ pháp hoặc sự thiếu tự nhiên trong cách diễn đạt của email và tin nhắn phishing cũng sẽ khó bị phát hiện .

Cung cấp dịch vụ AI tạo sinh và LLMs phục vụ tấn công: 

LLMs và các công cụ AI sẽ không ngừng được phát triển và thương mại hóa như là một dịch vụ hỗ trợ những kẻ tấn công đạt được mục tiêu của mình. Chúng sẽ cung cấp các dịch vụ trả phí trên những diễn đàn ngầm với nhiều mục đích khác nhau như tạo ra chiến dịch phishing hay cung cấp và lan tỏa các thông tin sai lệch. Hoạt động này hiện nay đã bắt đầu nhen nhóm, diễn ra trong thế giới ngầm.

Nâng cấp khả năng bảo mật với AI: 

Các công ty phát triển giải pháp an ninh mạng và đội ngũ an ninh mạng của những tổ chức lớn sẽ có xu hướng ứng dụng AI tạo sinh và các công nghệ liên quan để củng cố khả năng phát hiện, phản ứng, xác định đối thủ trên quy mô lớn và đồng thời tăng tốc quá trình phân tích, thực hiện kỹ thuật đảo ngược hay những nhiệm vụ có xu hướng tốn thời gian với đội ngũ nhân sự. Một use case phổ biến khác được dự báo là là sử dụng AI hỗ trợ việc tổng hợp lượng lớn dữ liệu và tạo bối cảnh cho dữ liệu (conceptualized) trong các thông tin báo cáo về mối đe dọa phục vụ việc đội ngũ bảo mật đưa ra các phát hiện có thể hành động hoặc phân tích khác.

Trong năm 2024 tới đây, con người sẽ có thể phân tích và suy luận nhanh hơn từ các tập dữ liệu lớn với sự hỗ trợ của AI và AI tạo sinh. Sẽ xuất hiện những cách thức mới để phủ dữ liệu khách hàng cụ thể với độ bảo mật cao – giúp các tổ chức đưa ra hành động nhanh chóng trên quy mô phù hợp khi có vấn đề xảy ra. Đây sẽ là một trong những bước chuyển đổi lớn hơn đối với các tổ chức tận dụng AI cho mục đích bảo mật trong những năm tới, cuối cùng giúp họ giảm bớt công việc vất vả, giải quyết tình trạng quá tải về mối đe dọa và thu hẹp khoảng cách nhân tài ngày càng lớn.

XU HƯỚNG 3: Xu hướng tấn công vào lỗ hổng zero-day và các thiết bị biên (edge devices)

Việc sử dụng lỗ hổng zero-day trong các cuộc tấn công dần trở nên phổ biến kể từ năm 2012 và dự kiến năm 2023 sẽ vượt qua kỷ lục trước đó của năm 2021. Trong năm 2024, số cuộc tấn công zero-day cũng được các chuyên gia của Google dự đoán sẽ tăng lên từ cả các nhóm tấn công của quốc gia lẫn các nhóm tội phạm mạng.

Khi sử dụng lỗ hổng zero-day (cũng như các thiết bị biên/edge devices), kẻ tấn công có thể duy trì quyền truy cập vào môi trường lâu hơn so với những cách thức khác – ví dụ như gửi một email lừa đảo và triển khai phần mềm độc hại do đội ngũ triển khai hay cả những giải pháp an ninh đã xác định tốt hơn các email lừa đảo và phần mềm độc hại, do đó, những kẻ tấn công sẽ chuyển sang những phương tiện khác để tránh bị phát hiện.

Thiết bị biên và phần mềm ảo hóa cũng đặc biệt hấp dẫn đối với các tác nhân đe dọa vì việc giám sát chúng tương đối khó khăn. Đối với các tội phạm mạng, họ biết rằng việc sử dụng một lỗ hổng zero-day sẽ tăng số lượng nạn nhân và, dựa trên các sự kiện kích tả hàng loạt gần đây, số lượng tổ chức có thể chi trả tiền chuộc hoặc đòi hỏi tiền chuộc cao. Do đó, cảnh báo về mối đe dọa mạng đang thay đổi, nhấn mạnh sự cần thiết của các biện pháp an ninh và sự cảnh báo cao để đối phó với những chiến thuật tinh vi này.

Đồng thời trong năm 2024 với sự phát triển của AI, zero trust được dự đoán sẽ không chỉ còn là một mô hình an ninh mạng kỹ thuật mà còn trở thành một hệ thống linh hoạt và toàn diện, được kích hoạt bởi việc xác minh và giám sát hoạt động liên tục thông qua trí tuệ nhân tạo.

XU HƯỚNG 4: Các cuộc tấn công mạng nhằm mục đích chính trị

Những cuộc xung đột địa chính trị đã đang và sẽ tiếp tục là minh chứng cho việc các quốc gia sẵn lòng và có khả năng triển khai các cuộc tấn công mạng chống lại cơ sở hạ tầng quân sự và dân sự vào năm 2024. Có thể chắc chắn rằng trong tương lai, bất kỳ hoạt động quân sự nào diễn ra trên khắp thế giới, đều sẽ đi kèm với các hoạt động chiến tranh mạng.

XU HƯỚNG 5: Tấn công nhằm vào môi trường đám mây kết hợp và đa đám mây đạt đến giai đoạn chín muối và gây ra ảnh hưởng lớn hơn

Trong năm 2023, Mandiant đã hợp tác với VMware để khắc phục một lỗ hổng zero-day cho phép kẻ tấn công thực hiện mã trên các máy ảo khách (virtual machines/VMs). Mặc dù ảnh hưởng của lỗ hổng này chỉ giới hạn trong một hypervisor duy nhất, nhưng nó đã chứng minh rằng các nhóm đe dọa đang nhắm vào môi trường đám mây để tìm cách thiết lập sự liên tục và dịch chuyển ngang. Năm 2024, chúng ta sẽ thấy những kỹ thuật này tiến triển vượt qua ranh giới giữa các môi trường đám mây. Các nhóm đe dọa sẽ tìm cách khai thác những cấu hình sai lệch và vấn đề liên quan đến danh tính để di chuyển theo chiều ngang qua các môi trường đám mây khác nhau.

XU HƯỚNG 6: Các dịch vụ không server trong đám mây được tội phạm mạng sử dụng nhiều hơn

Trong năm 2023, số cryptominer được triển khai trên các hạ tầng không server (severless) đã tăng lên đáng kể. Năm 2024 được dự đoán rằng tội phạm mạng và các nhà điều hành mạng cấp quốc gia sẽ tận dụng nhiều hơn các công nghệ serverless trong đám mây. Những kẻ tấn công sẽ hướng tới serverless vì những lý do tương tự mà các nhà phát triển đang áp dụng: khả năng mở rộng, tính linh hoạt cao hơn và có thể được triển khai bằng các công cụ tự động.

XU HƯỚNG 7: Các hoạt động gián điệp sử dụng Sleeper Botnet

Các hoạt động gián điệp mạng sẽ tiếp tục tìm ra nhiều cách hơn để mở rộng quy mô các cuộc tấn công, đồng thời tạo ra OPSEC bổ sung cho hoạt động của chúng. Các nhóm gián điệp mạng sẽ tạo ra các sleeper botnets từ các môi trường dễ bị tấn công như IoT, văn phòng nhỏ, văn phòng tại nhà (SOHO) và những thiết bị/bộ định tuyến hết hạn sử dụng,… sử dụng những cách thức tấn công cũ và mới. Các botnet này sẽ được sử dụng khi cần thiết và loại bỏ ngay khi không còn hữu ích để gây khó khăn trong việc theo dõi và xác định các hoạt động độc hại. Lưu ý rằng những botnet này sẽ khác với các botnet truyền thống thường được dùng để khuếch đại các cuộc tấn công như tấn công phân tán dịch vụ DDoS.

XU HƯỚNG 8: Sự hồi sinh của kỹ thuật cổ xưa

Trong khi những kẻ tấn công đang kết hợp các kỹ thuật mới để tránh bị phát hiện, chúng tôi hy vọng sẽ thấy một số kẻ tấn công khôi phục các kỹ thuật cũ và chưa từng được phổ biến rộng rãi. Ví dụ: vào năm 2013, một nhà nghiên cứu đã viết một bài đăng trên blog về việc sử dụng các hàm SystemFunctionXXX không có giấy tờ thay vì các hàm mã hóa trong API Windows được ghi lại. Kỹ thuật này không trở nên phổ biến cho đến quý 4 năm 2022, khi một số nhà nghiên cứu bảo mật bắt đầu thảo luận về nó và phát hành các đoạn mã trên blog của riêng họ và trên GitHub.

XU HƯỚNG 9: Tác giả các phần mềm độc hại tiếp tục chuyển dịch sang dùng các ngôn ngữ lập trình hiện đại

Các tác giả phần mềm độc hại sẽ tiếp tục phát triển thêm phần mềm bằng các ngôn ngữ lập trình như Go, Rust và Swift. Điều này là do các ngôn ngữ cung cấp trải nghiệm phát triển tốt hơn với khả năng cấp thấp (low level capabilities), thư viện tiêu chuẩn lớn và tích hợp dễ dàng với các gói của bên thứ ba. Những ngôn ngữ và hệ sinh thái này cho phép phát triển nhanh chóng các phần mềm độc hại phức tạp, giúp chi phí viết phần mềm độc hại mới để tránh bị phát hiện rẻ hơn. Điều này có nghĩa là có sự thay đổi trong các bộ công cụ được các tác nhân sử dụng và nhu cầu tương ứng về các chữ ký phát hiện mới. Thật không may, những ngôn ngữ hiện đại này thường có thời gian chạy lớn (Go) và/hoặc sử dụng các kỹ thuật biên dịch mới nhất (Rust) khiến cho các tác vụ kỹ thuật đảo ngược trở nên khó khăn hơn. Nói cách khác, lợi ích của việc đóng gói và che giấu mà không cần sử dụng bộ bảo vệ.

XU HƯỚNG 10: Các nhà phát triển bị nhắm mục tiêu trong các cuộc tấn công chuỗi cung ứng thông qua các nhà quản lý gói phần mềm

Trong những năm gần đây, các cuộc tấn công chuỗi cung ứng nhằm vào NPM (trình quản lý gói Node.js) như IconBurst đã chứng minh cách các tác nhân đe dọa nhắm vào các nhà phát triển phần mềm. Trong một trong trường hợp đặc biệt có liên quan, nhà phát triển bị xâm phạm khi cài đặt một gói độc hại, cho phép kẻ tấn công truy cập vào mã nguồn của nhà phát triển và thêm backdoor. Đây là hình thức tấn công chi phí thấp nhưng có tác động lớn. Do đó, mức độ phổ biến của các loại tấn công này có thể sẽ tiếp tục gia tăng, đặc biệt khi các tác nhân đe dọa chuyển sang các trình quản lý gói khác ít được giám sát hơn như PyPI (Python) và Crates.io (Rust). Chúng ta cần luôn cảnh giác trong việc giám sát các nguồn thư viện phần mềm này.

XU HƯỚNG 11:  Hợp nhất xung quanh các hoạt động bảo mật (SecOps)

Năm 2024 khả năng cao sẽ chứng kiến sự hợp nhất nhiều hơn trong SecOps khi khách hàng ngày càng yêu cầu nhiều hơn đối với việc thông tin về rủi ro và mối đe dọa được tích hợp trong các giải pháp hoạt động bảo mật của họ. Khách hàng sẽ có xu hướng thiết lập một hệ sinh thái tích hợp bao phủ toàn bộ hệ thống mạng của họ, với môi trường đám mây, đa đám mây, tại chỗ và kết hợp, và sẽ ngày càng mong đợi các nhà cung cấp các giải pháp bảo mật đưa ra quy trình làm việc, hướng dẫn và nội dung để khởi động chương trình bảo mật của họ ngay lập tức .

XU HƯỚNG 12: Kỹ năng mềm trở thành yêu cầu quan trọng với các nhân sự An ninh mạng 

Bối cảnh tấn công mạng trở nên phức tạp đồng nghĩa với việc các nhân sự An ninh mạng cũng được kỳ vọng sẽ đảm nhận các công việc có tính phức tạp hơn. Điều này không chỉ hướng đến duy nhất khía cạnh kỹ thuật mà còn đề cập cả đến các kỹ năng mềm. Bởi khi này các nhân sự sẽ nhận thấy mình được giao cho những nhiệm vụ có sự phức tạp trong khía cạnh xã hội và văn hóa trong việc giảm thiểu mối đe dọa. Kết quả của công việc sẽ ngày càng phụ thuộc vào các kỹ năng mềm như giao tiếp giữa các cá nhân, kỹ năng xây dựng mối quan hệ và giải quyết vấn đề.