404 Not Found
Writer
Các cuộc tấn công mạng sử dụng trí tuệ nhân tạo đang làm thay đổi cục diện an ninh mạng toàn cầu. Các thuật toán học máy được triển khai để phát tán mã độc, vượt qua hệ thống phòng vệ truyền thống và tạo ra một thế hệ mối đe dọa mới có mức độ tinh vi và quy mô chưa từng có.
Theo khảo sát Hybrid Cloud Security mới nhất của Gigamon với hơn 1.000 lãnh đạo công nghệ thông tin và an ninh mạng, 59% cho biết đã ghi nhận sự gia tăng rõ rệt của các cuộc tấn công có yếu tố AI hoặc học máy. Những chiến dịch này không còn giới hạn ở phishing hay ransomware như trước mà còn bao gồm deepfake giả mạo nhân sự cấp cao, mã độc biến đổi liên tục và tấn công mạng theo thời gian thực.
Sự khác biệt nằm ở khả năng tự học và thích nghi của các mô hình AI. Chúng có thể tự động thu thập thông tin, phân tích hành vi mục tiêu và lên kế hoạch tấn công qua nhiều giai đoạn. Các thuật toán học không giám sát cho phép kẻ tấn công khai thác dữ liệu từ mạng xã hội, hồ sơ công khai và cả dark web nhằm tìm ra lỗ hổng nhanh hơn bất kỳ phương pháp truyền thống nào.
Một ví dụ điển hình là vụ lừa đảo tại Hong Kong khi một chuyên gia tài chính đã chuyển hơn 25 triệu USD sau một cuộc gọi video với deepfake giả danh CFO và đồng nghiệp của mình. Cùng thời điểm đó, mã độc như LummaC2 Stealer có khả năng tự biến đổi sau mỗi lần lây nhiễm đã dễ dàng vượt qua các phần mềm chống virus dựa trên chữ ký.
Rủi ro lớn nhất hiện nay là hành vi đánh cắp dữ liệu. AI giúp kẻ tấn công thực hiện dò quét hạ tầng mục tiêu trên diện rộng, xác định điểm yếu về cấu hình, sau đó tự động di chuyển bên trong hệ thống để tránh bị phát hiện. Một tổ chức y tế lớn gần đây đã bị xâm nhập thông qua email spear-phishing được tạo ra bởi AI sau khi phân tích hồ sơ mạng xã hội của nhân viên. Cuộc tấn công này đã dẫn đến việc rò rỉ dữ liệu bệnh nhân nhạy cảm.
Ngoài ra, AI còn được dùng để khai thác cơ sở hạ tầng đám mây và lai. Nó có thể phát hiện các kho lưu trữ sai cấu hình, API không bảo vệ hoặc cổng mạng mở. Từ đó, hệ thống sẽ bị đánh cắp dữ liệu hàng loạt một cách tự động. Trong một sự cố bảo mật năm 2023, nhân viên của một hãng điện thoại toàn cầu đã vô tình làm rò rỉ mã nguồn và tài liệu nội bộ khi tương tác với một chatbot AI, minh họa rõ mối nguy từ bên trong do các công cụ tạo sinh mang lại.
Hiện nay, các tổ chức phòng thủ phải đối mặt với lưu lượng mạng ngày càng được mã hóa và khó kiểm soát. Kẻ tấn công sử dụng AI để phân mảnh dữ liệu bị đánh cắp, giả mạo các giao thức hợp pháp và thay đổi liên tục máy chủ điều khiển. Để ứng phó, các phương pháp như phát hiện bất thường về băng thông, phân tích hành vi và nhận diện fingerprint lưu lượng mã hóa đang được triển khai.
Theo báo cáo, các nhà quản lý an ninh đang ưu tiên mở rộng khả năng giám sát theo thời gian thực và tăng cường quan sát lưu lượng dữ liệu đang di chuyển trong hệ thống. Những nền tảng như SOAR, khi được tích hợp với năng lực quan sát toàn mạng, sẽ giúp cô lập kịp thời các tài sản đã bị xâm nhập trước khi dữ liệu bị rò rỉ.
Có một thực tế đã rõ ràng: trí tuệ nhân tạo và học máy đang làm thay đổi hoàn toàn cách thức các cuộc tấn công mạng được tiến hành. Kẻ tấn công có thể mở rộng quy mô và che giấu hành vi một cách khéo léo hơn bao giờ hết. Để không bị tụt lại phía sau, các tổ chức cần đẩy mạnh triển khai giải pháp phòng thủ thông minh, đảm bảo khả năng quan sát liên tục trong môi trường điện toán hiện đại và duy trì ý thức bảo mật ở tất cả các cấp nhân sự. Chỉ một sơ hở nhỏ trong kỷ nguyên AI cũng có thể dẫn đến hậu quả nghiêm trọng.
Theo khảo sát Hybrid Cloud Security mới nhất của Gigamon với hơn 1.000 lãnh đạo công nghệ thông tin và an ninh mạng, 59% cho biết đã ghi nhận sự gia tăng rõ rệt của các cuộc tấn công có yếu tố AI hoặc học máy. Những chiến dịch này không còn giới hạn ở phishing hay ransomware như trước mà còn bao gồm deepfake giả mạo nhân sự cấp cao, mã độc biến đổi liên tục và tấn công mạng theo thời gian thực.
Sự khác biệt nằm ở khả năng tự học và thích nghi của các mô hình AI. Chúng có thể tự động thu thập thông tin, phân tích hành vi mục tiêu và lên kế hoạch tấn công qua nhiều giai đoạn. Các thuật toán học không giám sát cho phép kẻ tấn công khai thác dữ liệu từ mạng xã hội, hồ sơ công khai và cả dark web nhằm tìm ra lỗ hổng nhanh hơn bất kỳ phương pháp truyền thống nào.
Một ví dụ điển hình là vụ lừa đảo tại Hong Kong khi một chuyên gia tài chính đã chuyển hơn 25 triệu USD sau một cuộc gọi video với deepfake giả danh CFO và đồng nghiệp của mình. Cùng thời điểm đó, mã độc như LummaC2 Stealer có khả năng tự biến đổi sau mỗi lần lây nhiễm đã dễ dàng vượt qua các phần mềm chống virus dựa trên chữ ký.
Rủi ro lớn nhất hiện nay là hành vi đánh cắp dữ liệu. AI giúp kẻ tấn công thực hiện dò quét hạ tầng mục tiêu trên diện rộng, xác định điểm yếu về cấu hình, sau đó tự động di chuyển bên trong hệ thống để tránh bị phát hiện. Một tổ chức y tế lớn gần đây đã bị xâm nhập thông qua email spear-phishing được tạo ra bởi AI sau khi phân tích hồ sơ mạng xã hội của nhân viên. Cuộc tấn công này đã dẫn đến việc rò rỉ dữ liệu bệnh nhân nhạy cảm.
Ngoài ra, AI còn được dùng để khai thác cơ sở hạ tầng đám mây và lai. Nó có thể phát hiện các kho lưu trữ sai cấu hình, API không bảo vệ hoặc cổng mạng mở. Từ đó, hệ thống sẽ bị đánh cắp dữ liệu hàng loạt một cách tự động. Trong một sự cố bảo mật năm 2023, nhân viên của một hãng điện thoại toàn cầu đã vô tình làm rò rỉ mã nguồn và tài liệu nội bộ khi tương tác với một chatbot AI, minh họa rõ mối nguy từ bên trong do các công cụ tạo sinh mang lại.
Hiện nay, các tổ chức phòng thủ phải đối mặt với lưu lượng mạng ngày càng được mã hóa và khó kiểm soát. Kẻ tấn công sử dụng AI để phân mảnh dữ liệu bị đánh cắp, giả mạo các giao thức hợp pháp và thay đổi liên tục máy chủ điều khiển. Để ứng phó, các phương pháp như phát hiện bất thường về băng thông, phân tích hành vi và nhận diện fingerprint lưu lượng mã hóa đang được triển khai.
Theo báo cáo, các nhà quản lý an ninh đang ưu tiên mở rộng khả năng giám sát theo thời gian thực và tăng cường quan sát lưu lượng dữ liệu đang di chuyển trong hệ thống. Những nền tảng như SOAR, khi được tích hợp với năng lực quan sát toàn mạng, sẽ giúp cô lập kịp thời các tài sản đã bị xâm nhập trước khi dữ liệu bị rò rỉ.
Có một thực tế đã rõ ràng: trí tuệ nhân tạo và học máy đang làm thay đổi hoàn toàn cách thức các cuộc tấn công mạng được tiến hành. Kẻ tấn công có thể mở rộng quy mô và che giấu hành vi một cách khéo léo hơn bao giờ hết. Để không bị tụt lại phía sau, các tổ chức cần đẩy mạnh triển khai giải pháp phòng thủ thông minh, đảm bảo khả năng quan sát liên tục trong môi trường điện toán hiện đại và duy trì ý thức bảo mật ở tất cả các cấp nhân sự. Chỉ một sơ hở nhỏ trong kỷ nguyên AI cũng có thể dẫn đến hậu quả nghiêm trọng.
Dữ liệu từ Gigamon Hybrid Cloud Security Survey 2025 và các báo cáo quốc tế
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview