Với việc công nghệ không ngừng phát triển nhanh chóng, năm 2024 là năm định hình để tiếp tục những đột phá có thể làm thay đổi cách sống, cách giao tiếp của con người. Đổi mới sáng tạo, sự phát triển mạnh mẽ của trí tuệ nhân tạo (AI) và máy học đang tác động mạnh mẽ tới mọi khía cạnh trong đời sống , trong đó có an ninh mạng. Dưới đây là một số xu hướng an ninh mạng được các hãng bảo mật như Kaspersky, Gartner; Fortinet Keysight Technologies... ghi nhận sẽ là xu hướng trong năm 2024.
1. Tội phạm mạng tiếp tục sử dụng AI để tạo ra các cuộc tấn công phức tạp hơn
Khi các công cụ AI ngày càng phát triển về cả số lượng và tính năng, chúng ta sẽ tiếp tục chứng kiến những cuộc tấn công tinh vi được thực hiện bởi các công cụ này, cụ thể: (1) Sử dụng AI trong tấn công Phishing (tấn công giả mạo): AI tạo sinh và các mô hình ngôn ngữ lớn (LLMs) sẽ được tận dụng tối ưu trong các vụ tấn công Phishing, tin nhắn SMS và các cách thức tấn công kĩ thuật xã hội khác để khiến nội dung và các yếu tố liên quan khi lừa đảo có vẻ đáng tin cậy hơn; (2) Cung cấp dịch vụ AI tạo sinh và LLMs phục vụ tấn công: LLMs và các công cụ AI sẽ không ngừng được phát triển và thương mại hóa như là một dịch vụ hỗ trợ những kẻ tấn công đạt được mục tiêu. Chúng sẽ cung cấp các dịch vụ trả phí trên những diễn đàn ngầm với nhiều mục đích khác nhau như tạo ra chiến dịch Phishing hay cung cấp và lan tỏa các thông tin sai lệch. Hoạt động này đã nhen nhóm diễn ra trong những năm gần đây và dự kiến sẽ phát triển mạnh trong năm 2024.
Các công ty phát triển giải pháp an ninh mạng và đội ngũ an ninh mạng của những tổ chức lớn sẽ có xu hướng ứng dụng AI tạo sinh và các công nghệ liên quan để củng cố khả năng phát hiện, phản ứng, xác định đối thủ trên quy mô lớn, đồng thời tăng tốc quá trình phân tích, thực hiện kĩ thuật đảo ngược hay những nhiệm vụ cần nhiều thời gian của đội ngũ nhân sự. Trường hợp phổ biến khác được dự báo là sử dụng AI hỗ trợ việc tổng hợp lượng lớn dữ liệu và tạo bối cảnh cho dữ liệu trong các thông tin báo cáo về mối đe dọa phục vụ việc đội ngũ bảo mật đưa ra các phát hiện có thể hành động hoặc phân tích khác.
Năm 2024, con người sẽ có thể phân tích và suy luận nhanh hơn từ các tập dữ liệu lớn với sự hỗ trợ của AI và AI tạo sinh. Những cách thức mới sẽ xuất hiện để bảo vệ dữ liệu khách hàng với độ bảo mật cao, giúp các tổ chức đưa ra hành động nhanh chóng trên quy mô phù hợp khi có vấn đề xảy ra. Đây sẽ là một trong những bước chuyển đổi lớn đối với các tổ chức tận dụng AI cho mục đích bảo mật trong những năm tới, giúp họ giảm tải công việc và giúp ngăn ngừa các mối đe dọa từ an ninh mạng.
2. Sự phát triển của mã độc tống tiền (Ransomware) và nhắm mục tiêu vào cơ sở hạ tầng quan trọng
Ransomware là phần mềm độc hại chuyên mã hóa dữ liệu của người dùng để đòi tiền chuộc. Dữ liệu quan trọng của người dùng hoặc tổ chức được mã hóa để họ không thể truy cập, sử dụng, sau đó, các tin tặc sẽ đòi một khoản tiền chuộc để cung cấp quyền truy cập trở lại cho người dùng.
Trong vài năm qua, các cuộc tấn công bằng Ransomware trên toàn cầu đã tăng vọt, khiến mọi tổ chức, mọi quy mô hay ngành, nghề đều trở thành mục tiêu bị tấn công. Bên cạnh việc thực hiện các cuộc tấn công Ransomware để đòi những khoản tiền chuộc lớn, các nhóm tội phạm cũng đang nhanh chóng chuyển sang những mục tiêu nhỏ, dễ tấn công hơn.
Theo các chuyên gia, năm 2024 và trong những năm tới, những kẻ tấn công sẽ áp dụng phương pháp quyết liệt hơn, chuyển trọng tâm sang các ngành quan trọng như y tế, tài chính, giao thông vận tải và tiện ích công cộng - những ngành nếu bị tấn công sẽ tác động tiêu cực lớn đến xã hội và khiến kẻ tấn công có thể kiếm được khoản tiền đáng kể hơn. Những kẻ tấn công cũng sẽ phát triển các kịch bản gài bẫy, làm cho các hoạt động tấn công trở nên mạnh và mang tính hủy diệt hơn.
Các cuộc tấn công Ransomware có thể sẽ phát triển về mức độ tinh vi và cường độ. Họ có thể sử dụng các chiến thuật nâng cao như tống tiền kép, trong đó dữ liệu bị đánh cắp có nguy cơ bị xuất bản hoặc bán, ngoài việc mã hóa các tập tin của nạn nhân. Những kẻ tấn công được dự báo sẽ tiếp tục triển khai các kiểu tấn công này trên tất cả các ngành trong năm tới.
Chìa khóa của các tổ chức là tiếp tục củng cố khả năng phòng thủ của mình. Trong nhiều trường hợp, một cuộc tấn công bằng Ransomware có thể được ngăn chặn bằng cách đào tạo thêm về an ninh mạng cho nhân viên; lập kế hoạch ứng phó sự cố; dùng các giải pháp khôi phục và sao lưu nâng cao; triển khai mô hình bảo mật không tin tưởng ai (zero-trust) và xác thực đa yếu tố; chia sẻ thông tin và hợp tác với cơ quan thực thi pháp luật; tăng cường áp dụng/sử dụng nền tảng thông tin về mối đe dọa; tập trung vào quản lí lỗ hổng bảo mật; đảm bảo chuỗi cung ứng và quản lí rủi ro từ nhà cung cấp.
3. Tấn công chuỗi cung ứng và rủi ro của bên thứ ba
Tấn công chuỗi cung ứng (supply chain attack) là một cuộc tấn công mạng nhắm vào một doanh nghiệp thông qua các nhà cung cấp của doanh nghiệp đó. Các cuộc tấn công chuỗi cung ứng thường nhắm vào các công ty nhỏ hơn để xâm phạm các công ty lớn. Động cơ của các cuộc tấn công này có thể bao gồm từ lợi ích tài chính đến hoạt động gián điệp. Theo các chuyên gia, năm 2024 có thể chứng kiến những bước phát triển mới trong hoạt động thị trường truy cập web “đen” liên quan đến chuỗi cung ứng, tạo điều kiện cho các cuộc tấn công quy mô lớn và hiệu quả hơn.
Các doanh nghiệp có chuỗi cung ứng càng lớn hoặc phức tạp, nguy cơ bị tấn công càng cao. Tấn công chuỗi cung ứng được thực hiện ở tất cả các ngành, nghề, lĩnh vực, từ gia công phần mềm tới công nghệ sản xuất, từ tài chính tới chăm sóc sức khỏe, thậm chí các tổ chức chính phủ. Hậu quả mà các doanh nghiệp phải gánh chịu rất đa dạng: Rò rỉ thông tin, xáo trộn hoặc gián đoạn hoạt động kinh doanh, doanh thu giảm sút, ảnh hưởng tới uy tín, thương hiệu; mất cơ hội được đầu tư, thậm chí phải xử lí các vấn đề liên quan đến pháp lí.
Các cuộc tấn công chuỗi cung ứng có thể trở nên phổ biến hơn khi những kẻ tấn công nhắm vào các nhà cung cấp và nhà cung cấp phần mềm để xâm phạm sản phẩm của họ, ảnh hưởng đến phạm vi tổ chức rộng hơn. Rủi ro của bên thứ ba có thể bị khai thác để truy cập trái phép vào mạng, tiêm mã độc hoặc đánh cắp dữ liệu nhạy cảm. Các tổ chức sẽ cần tập trung vào việc bảo mật chuỗi cung ứng của mình và kiểm tra chặt chẽ các biện pháp bảo mật của các nhà cung cấp bên thứ ba.
Để ngăn ngừa rủi ro bị tấn công chuỗi cung ứng, các doanh nghiệp được khuyến cáo nên kiểm soát chặt chẽ quy trình hợp tác với các nhà cung cấp, chọn hợp tác với các bên có cam kết bảo mật thông tin, có quy trình xử lí đầu việc rõ ràng, khoa học. Ngoài ra, doanh nghiệp cũng nên chú trọng đến việc chọn đúng đối tác để bảo vệ cho bản thân.
4. Xuất hiện dịch vụ Hack
Các chuyên gia đã dự đoán về sự xuất hiện của nhiều nhóm cung cấp dịch vụ Hack cho thuê, các chuyên gia cho biết, các nhóm Hack cho thuê đang gia tăng, cung cấp dịch vụ đánh cắp dữ liệu cho các đối tượng xấu để thực hiện các hành vi phạm tội.
Sự nở rộ của các dịch vụ tấn công mạng nhắm vào chuỗi cung ứng có thể trở thành một xu hướng tấn công mạng mới trong năm 2024. Với dịch vụ này, kẻ xấu có thể mua dịch vụ Hack để tấn công vào các công ty nhỏ nằm trong chuỗi cung ứng, từ đó tìm cách xâm nhập vào các doanh nghiệp lớn hơn.
Kaspersky dự đoán sẽ xuất hiện một thị trường dịch vụ tấn công mạng nhằm vào chuỗi cung ứng trong thế giới ngầm, đây là tiền đề cho các cuộc tấn công mạng quy mô lớn hơn. Song hành cùng với thị trường này, hoạt động của các nhóm Hacker đánh thuê sẽ gia tăng. Đây là những Hacker được người khác thuê để thực hiện các vụ tấn công mạng đánh cắp dữ liệu, nhằm mục đích điều tra tư nhân hoặc tấn công các đối thủ cạnh tranh.
Nhận định về tình hình an ninh mạng thế giới năm 2024, ông Igor Kuznetsov, Giám đốc Nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky cho rằng: “Chúng tôi dự đoán những xu hướng sắp tới sẽ bao gồm việc tin tặc sử dụng những phương pháp tân tiến để tiến hành các cuộc tấn công nhắm vào chuỗi cung ứng, sự nổi lên của các dịch vụ Hack thuê, các cách khai thác lỗ hổng mới dành cho thiết bị tiêu dùng... Trước những mối đe dọa này, chúng ta cần đi trước một bước nâng cấp khả năng bảo mật để chống lại các mối đe dọa về an ninh mạng hiệu quả hơn”.
5. Xu hướng tấn công vào lỗ hổng zero-day và các thiết bị biên (edge devices)
Việc sử dụng lỗ hổng zero-day trong các cuộc tấn công dần trở nên phổ biến kể từ năm 2012 và năm 2023 đã vượt qua kỉ lục trước đó của năm 2021.
Khi sử dụng lỗ hổng zero-day cũng như các thiết bị biên, kẻ tấn công có thể duy trì quyền truy cập vào môi trường lâu hơn so với những cách thức khác, ví dụ như gửi một email lừa đảo và triển khai phần mềm độc hại do đội ngũ triển khai hay cả những giải pháp an ninh đã xác định tốt hơn các email lừa đảo và phần mềm độc hại, do đó, những kẻ tấn công sẽ chuyển sang những phương tiện khác để tránh bị phát hiện.
Thiết bị biên và phần mềm ảo hóa cũng đặc biệt hấp dẫn đối với các tác nhân đe dọa vì việc giám sát chúng tương đối khó khăn. Đối với các tội phạm mạng, việc sử dụng một lỗ hổng zero-day sẽ tăng số lượng nạn nhân và dựa trên các sự kiện kích tả hàng loạt gần đây, số lượng tổ chức có thể chi trả tiền chuộc hoặc đòi hỏi tiền chuộc cao. Do đó, cảnh báo về mối đe dọa mạng đang thay đổi, nhấn mạnh sự cần thiết của các biện pháp an ninh và sự cảnh báo cao để đối phó với những chiến thuật tinh vi này.
Trong năm 2024, số cuộc tấn công zero-day cũng được các chuyên gia của Google dự đoán sẽ tăng lên từ cả các nhóm tấn công trong nước lẫn các nhóm tội phạm mạng quốc tế.
Tuy nhiên, trong năm 2024 với sự phát triển của AI, mô hình bảo mật mạng zero trust được dự đoán sẽ không chỉ còn là một mô hình an ninh mạng kĩ thuật mà còn trở thành một hệ thống linh hoạt và toàn diện, được kích hoạt bởi việc xác minh và giám sát hoạt động liên tục thông qua AI. Hi vọng với mô hình bảo mật này, các cuộc tấn công vào lỗ hổng zero-day và các thiết bị biên sẽ sớm được phát hiện và ngăn chặn.
6. Các cuộc tấn công hạ tầng 5G
5G là thế hệ di động mới nhất đang được nhiều quốc gia trên thế giới triển khai thương mại. Theo số liệu công bố tháng 10/2023 của Hiệp hội các nhà cung cấp di động toàn cầu (GSA) cho thấy, sau hơn 4 năm kể từ khi Hàn Quốc triển khai mạng 5G thương mại đầu tiên trên thế giới vào tháng 4/2019, đến nay trên toàn cầu đã có 292 mạng 5G thương mại và 578 nhà khai thác di động đang đầu tư vào mạng 5G.
So với các thế hệ mạng 2G, 3G và 4G thì 5G sẽ cung cấp cho người dùng các trải nghiệm hoàn toàn mới như trải nghiệm trò chơi thực tế ảo, tập thể thao cùng huấn luyện viên ảo, tham quan bảo tàng nghệ thuật ảo... Với tốc độ tối đa lí tưởng nhanh hơn gấp 100 lần mạng 4G, mạng 5G được kì vọng sẽ mang đến cho người dùng trải nghiệm học tập, mua sắm và làm việc trực tuyến nhanh nhất.
Đến năm 2024, mạng 5G được dự báo sẽ trở nên phổ biến ở nhiều quốc gia trên thế giới, trở thành một tiêu chuẩn thông tin di động mới, cung cấp cho người dùng tốc độ dữ liệu cực nhanh và độ trễ cực thấp. Nhưng xu hướng này không dừng lại ở đó, các nghiên cứu về công nghệ di động thế hệ tiếp theo (6G) sẽ được thúc đẩy một cách mạnh mẽ bởi các công ty công nghệ hàng đầu trên thế giới, tạo tiền đề cho việc phát triển và thương mại hóa thế hệ di động tiên tiến sau 5G. Với khả năng truy cập vào các công nghệ kết nối ngày càng tăng, tội phạm mạng chắc chắn sẽ tìm thấy những cơ hội mới để tấn công. Với việc mỗi ngày có thêm nhiều thiết bị trực tuyến, không khó để dự đoán rằng tội phạm mạng sẽ tận dụng lợi thế này để tiến hành các cuộc tấn công mạng trong tương lai. Một cuộc tấn công thành công vào hạ tầng 5G có thể dễ dàng làm đảo lộn các ngành công nghiệp quan trọng như dầu khí, giao thông vận tải, an ninh công cộng, tài chính và y tế, vì thế chúng ta cần có những giải pháp phòng, ngừa để tránh tổn hại từ các cuộc tấn công.
7. Rootkit nhân hệ điều hành sẽ phổ biến trở lại
Rootkit là một dạng phần mềm độc hại (malware) được xây dựng với mục tiêu chủ yếu là để ẩn giấu các đoạn mã độc có khả năng gây nguy hiểm đến máy tính của chúng ta. Rootkit có khả năng ngụy trang cao, khi được cài đặt sẽ “qua mặt” được các phần mềm diệt virus thông thường. Bản chất Rootkit không mang mã độc nhưng khi đi chung với các chương trình mang tính “phá hoại” như: Virus, sâu, phần mềm gián điệp, trojan... thì nó trở nên độc hại và nguy hiểm hơn rất nhiều.
Rootkit được chia làm hai loại:
(1) Rootkit chế độ người dùng: Rootkit ở chế độ người dùng sử dụng nhiều phương pháp khác nhau để lẩn trốn không bị phát hiện. Chúng có nhiều cách thức tấn công khác nhau và sẽ thay đổi những giao diện lập trình ứng dụng (API). Nó sẽ chỉnh sửa một hàm API sao cho khi một ứng dụng nào đó sử dụng hàm này, thay vì thực hiện tính năng vốn có, nó sẽ được chuyển hướng để thực thi mã độc trong Rootkit; (2) Rootkit chế độ nhân: Loại này khó bị phát hiện và cũng khó bị diệt vì nó ẩn sâu bên trong hệ điều hành. Khi người sử dụng vừa bật máy lên, những con Rootkit này sẽ tải bản thân nó lên trước các driver máy tính và tất nhiên là trước luôn cả những biện pháp bảo mật thông thường vốn được tích hợp ở chế độ người dùng. Để thực hiện được mục đích của mình, Rootkit chế độ nhân sẽ tác động vào trung tâm, bộ nhớ và các thành phần hệ thống khác.
Theo các chuyên gia, mặc dù đã có các biện pháp bảo mật hiện đại như Kernel Mode Code Signing, PatchGuard, Hypervisor Protected Code Integrity (HVCI), năm 2024, các rào cản thực thi mã cấp nhân hệ điều hành vẫn đang bị tấn công. Các cuộc tấn công nhân hệ điều hành Windows phổ biến trở lại và ngày càng gia tăng, được kích hoạt bởi việc lạm dụng Well Head Control Panel (WHCP), thị trường ngầm cho chứng chỉ EV (EV certificates) và kí mã hóa (Code signing) bị đánh cắp cũng đang dần phát triển. Bên cạnh đó, các tác nhân đe dọa đang tận dụng công cụ độc hại hơn như Bring Your Own Vulnerable Driver (BYOVD) trong chiến thuật.
Để phòng, ngừa, cách tốt nhất là ngăn Rootkit không cho nó được cài đặt ngay từ đầu. Bên cạnh đó, người dùng cần: Cập nhật hệ thống chống virus và phần mềm gián điệp; triển khai hệ thống tường lửa mạng và host-based; cập nhật các bản vá cho hệ điều hành và ứng dụng; sử dụng phương pháp xác thực mạnh; không bao giờ sử dụng phần mềm từ những nguồn không tin cậy.
8. Sự tiến bộ của công nghệ lượng tử
Điện toán lượng tử là một lĩnh vực đa ngành, bao gồm nhiều khía cạnh của khoa học máy tính, vật lí và toán học vận dụng cơ học lượng tử để giải quyết những vấn đề phức tạp của máy tính. Máy tính lượng tử có thể giải quyết một số vấn đề nhanh hơn máy tính thông thường hàng triệu lần nhờ tận dụng các hiệu ứng cơ học lượng tử, chẳng hạn như trạng thái chồng chất và giao thoa lượng tử.
Công nghệ lượng tử đã có bước tiến mới vào năm 2023, như Intel chế tạo thành công bộ xử lí lượng tử Tunnel Falls; Microsoft thông báo trong quá trình xây dựng siêu máy tính lượng tử đầu tiên. IBM, Google và một số công ty công nghệ Trung Quốc cũng đã tham gia lĩnh vực này từ nhiều năm trước.
Các công ty lớn như Microsoft, Amazon và Google đang nỗ lực đổi mới và đầu tư rất nhiều nguồn lực vào lĩnh vực này. Trên thực tế, quy mô thị trường điện toán lượng tử toàn cầu đạt 10,13 tỉ USD trong năm 2022 và dự kiến sẽ vượt qua 125 tỉ USD vào năm 2030, với tốc độ CAGR dự kiến là 36,89% trong giai đoạn dự báo 2022 - 2030.
Theo các chuyên gia, thời gian tới, điện toán lượng tử sẽ tiếp tục phát triển, bên cạnh các lợi ích mà nó mang lại, sẽ có mối nguy hiểm tiềm ẩn vì nó có thể khiến các hoạt động mã hóa hiện tại trở nên vô dụng. Vì vậy, bất kì quốc gia nào phát triển điện toán lượng tử trên quy mô lớn đều có thể phá vỡ mã hóa của các quốc gia, doanh nghiệp, hệ thống bảo mật khác... Đây là xu hướng cần theo dõi cẩn thận khi nhiều quốc gia đang dự kiến đầu tư lớn vào phát triển công nghệ điện toán lượng tử năm 2024.
Trịnh Thu Hà
Trường Đại học Bách khoa Hà Nội
