Báo cáo

Báo cáo Threatscape Defender Lumen 2026: Tại sao khả năng hiển thị tại thời điểm vi phạm bỏ lỡ kịch bản

mm
Đã xuất bản
Đã cập nhật

Báo cáo Threatscape Defender Lumen 2026 của Lumen, được hỗ trợ bởi cánh tay tình báo đe dọa Black Lotus Labs, đưa ra một thông điệp rõ ràng rằng hầu hết các tổ chức vẫn đang chống lại các cuộc tấn công mạng quá muộn. Báo cáo lập luận rằng vào thời điểm một vi phạm được phát hiện trong mạng, công việc thực sự của cuộc tấn công đã được hoàn thành. Những gì trông giống như một sự xâm nhập đột ngột thường là bước cuối cùng trong một hoạt động được xây dựng cẩn thận.

Thay vì tập trung vào những gì xảy ra sau khi bị xâm phạm, báo cáo chuyển sự chú ý sang những gì xảy ra trước khi bị xâm phạm. Sự thay đổi này làm thay đổi mọi thứ.

Các cuộc tấn công mạng bắt đầu từ rất lâu trước khi bị vi phạm

Các hoạt động mạng hiện đại không còn giống như những vụ đột nhập cơ hội. Chúng trông giống như các chiến dịch được xây dựng có cấu trúc theo thời gian. Các tác nhân đe dọa bắt đầu bằng cách quét internet liên tục, tìm kiếm các hệ thống bị lộ, thiết bị không được vá và các điểm xác thực yếu. Khi họ tìm thấy cơ hội, họ xây dựng cơ sở hạ tầng xung quanh chúng.

Giai đoạn chuẩn bị này bao gồm việc xác thực các thông tin đăng nhập bị đánh cắp, thiết lập mạng proxy, kiểm tra các kênh liên lạc và đảm bảo rằng các hệ thống lệnh có thể hoạt động mà không bị gián đoạn. Vào thời điểm một tổ chức phát hiện hoạt động đáng ngờ, kẻ tấn công đã xây dựng được các đường dẫn cần thiết để di chuyển trong môi trường.

Điều làm cho điều này đặc biệt nguy hiểm là hầu hết các tổ chức không bao giờ nhìn thấy giai đoạn đầu này. Các công cụ bảo mật truyền thống được thiết kế để phát hiện các mối đe dọa đã biết hoặc hoạt động đáng ngờ trong mạng. Chúng không được thiết kế để quan sát cách một cuộc tấn công được xây dựng từ đầu.

Lớp cơ sở hạ tầng hiện là chiến trường thực sự

Một trong những phát hiện quan trọng nhất trong báo cáo là các cuộc tấn công mạng không còn được định nghĩa bởi malware alone. Thay vào đó, chúng được định nghĩa bởi cơ sở hạ tầng hỗ trợ chúng. Các kẻ tấn công đang đầu tư nhiều hơn vào việc xây dựng các hệ thống linh hoạt, thích nghi có thể tồn tại sự gián đoạn và tái tạo nhanh chóng.

Sự thay đổi này có thể nhìn thấy trên cả các hoạt động tội phạm và các chiến dịch của quốc gia. Các mạng proxy đã trở thành một thành phần cốt lõi của hầu như mọi cuộc tấn công. Những mạng này cho phép các kẻ tấn công định tuyến lưu lượng truy cập qua các thiết bị bị xâm phạm, thường làm cho hoạt động độc hại trông giống như nó đến từ người dùng hợp pháp.

Đồng thời, các kẻ tấn công đang chuyển hướng từ các điểm cuối và hướng tới các thiết bị biên như bộ định tuyến, cổng VPN và tường lửa. Những hệ thống này nằm ở các điểm quan trọng trong mạng, thường có khả năng hiển thị yếu hơn và cung cấp quyền truy cập trực tiếp vào các hệ thống nội bộ. Chúng cũng có xu hướng có thời gian hoạt động dài hơn và ít kiểm soát giám sát hơn, khiến chúng trở thành điểm tựa lý tưởng.

Kết quả là một cảnh quan mối đe dọa mà các kẻ tấn công hoạt động trong mô tả của internet chứ không phải ở rìa của nó.

Trí tuệ nhân tạo đang tăng tốc toàn bộ quá trình

Báo cáo nhấn mạnh cách trí tuệ nhân tạo tạo sinh đang tăng tốc đáng kể tốc độ của các hoạt động mạng. Các nhiệm vụ từng yêu cầu sự phối hợp của con người hiện có thể được tự động hóa. Các kẻ tấn công đang sử dụng AI để quét các điểm yếu, tạo cơ sở hạ tầng, kiểm tra các cuộc tấn công và thích nghi chiến lược của họ trong thời gian thực.

Sự thay đổi này nén thời gian của một cuộc tấn công. Những gì từng mất vài ngày hoặc vài tuần có thể xảy ra trong vài giờ. Trong một số trường hợp, các hệ thống được thúc đẩy bởi AI có thể đánh giá các điều kiện mạng, xác định đường dẫn hiệu quả nhất và điều chỉnh chiến thuật mà không cần can thiệp của con người.

Đối với những người phòng thủ, điều này tạo ra một thách thức mới. Các đội bảo mật không còn phải đối mặt với các mối đe dọa tĩnh. Họ đang đối mặt với các hệ thống liên tục phát triển, phản ứng với các biện pháp phòng thủ khi chúng gặp phải.

Tội phạm mạng đã trở thành một ngành công nghiệp chuyên nghiệp

Một chủ đề nổi bật khác trong báo cáo là tội phạm mạng đã trưởng thành thành một hệ sinh thái chuyên nghiệp, có cấu trúc. Nhiều hoạt động hiện nay giống như các công ty công nghệ hợp pháp. Họ cung cấp dịch vụ, hỗ trợ khách hàng và liên tục cải tiến sản phẩm của mình.

Các nền tảng malware được bán dưới dạng dịch vụ đăng ký. Các mạng proxy được cho thuê theo yêu cầu. Truy cập vào các hệ thống bị xâm phạm có thể được mua và bán lại thông qua các thị trường. Các diễn viên khác nhau chuyên về các phần khác nhau của chu kỳ cuộc tấn công, từ truy cập ban đầu đến xuất dữ liệu đến kiếm tiền.

Mức độ tổ chức này cho phép các tội phạm mạng mở rộng hoạt động của họ một cách hiệu quả. Nó cũng làm cho họ trở nên mạnh mẽ hơn. Khi một thành phần bị gián đoạn, một thành phần khác có thể nhanh chóng thay thế.

Cùng cơ sở hạ tầng thường được chia sẻ trên nhiều nhóm, làm mờ ranh giới giữa hoạt động tội phạm và hoạt động của quốc gia. Điều này làm cho việc quy kết trở nên khó khăn hơn và tăng rủi ro hiểu lầm bản chất thực sự của một cuộc tấn công.

Các mạng proxy đang thay đổi định nghĩa về niềm tin trên internet

Một trong những phát triển quan trọng nhất được mô tả trong báo cáo là sự gia tăng của các mạng proxy được xây dựng từ các thiết bị bị xâm phạm. Những mạng này cho phép các kẻ tấn công hoạt động từ những gì trông giống như địa chỉ IP bình thường hoặc thương mại.

Đối với một người phòng thủ, đây là một vấn đề lớn. Các mô hình bảo mật truyền thống phụ thuộc rất nhiều vào các tín hiệu tin cậy như vị trí, danh tiếng IP và quyền sở hữu mạng. Các mạng proxy làm suy yếu tất cả các tín hiệu này.

Một kẻ tấn công có thể trông giống như một người dùng hợp pháp kết nối từ một mạng dân cư. Họ có thể bỏ qua các kiểm soát định vị địa lý, tránh hệ thống phát hiện và hòa nhập hoàn hảo vào các mẫu lưu lượng truy cập bình thường.

Điều này có nghĩa là những gì trông sạch sẽ không nhất thiết là an toàn. Chính internet đã trở thành một lớp ngụy trang.

Ngay cả các cuộc tấn công đơn giản cũng đã được tái phát minh

Báo cáo cũng cho thấy rằng các kỹ thuật cũ như các cuộc tấn công lực lượng brutes không còn lỗi thời. Thay vào đó, chúng đã được biến đổi bởi quy mô và tự động hóa.

Các kẻ tấn công hiện có quyền truy cập vào các tập dữ liệu lớn của các thông tin đăng nhập bị đánh cắp. Họ kết hợp điều này với cơ sở hạ tầng phân tán và các công cụ được thúc đẩy bởi AI để kiểm tra các hệ thống xác thực trên hàng nghìn mục tiêu đồng thời. Những cuộc tấn công này không còn ngẫu nhiên. Chúng được nhắm mục tiêu, dai dẳng và hiệu quả cao.

Điều làm cho chúng đặc biệt nguy hiểm là chúng thường đóng vai trò là bước đầu tiên trong một hoạt động lớn hơn. Khi quyền truy cập được cấp, các kẻ tấn công có thể di chuyển sâu hơn vào mạng, triển khai các công cụ bổ sung và thiết lập kiểm soát lâu dài.

Các hoạt động của quốc gia đang trở thành các nền tảng cơ sở hạ tầng

Báo cáo nhấn mạnh cách các diễn viên quốc gia đang xây dựng cơ sở hạ tầng lâu dài hỗ trợ nhiều chiến dịch theo thời gian. Những hoạt động này được thiết kế cho tính linh hoạt. Chúng có thể được sử dụng cho việc do thám, khai thác hoặc gián đoạn tùy thuộc vào mục tiêu.

Thay vì tập trung vào một mục tiêu duy nhất, những hệ thống này tạo ra một nền tảng có thể được tái sử dụng trên các hoạt động khác nhau. Chúng được xây dựng để mở rộng quy mô, thích nghi và tồn tại ngay cả dưới áp lực.

Trong một số trường hợp, các kẻ tấn công thậm chí không xây dựng cơ sở hạ tầng của riêng họ. Họ tiếp quản các hệ thống đã được kiểm soát bởi các nhóm khác, sử dụng chúng làm sân khấu cho các hoạt động của riêng họ. Điều này thêm một lớp phức tạp khác và làm cho nó thậm chí còn khó hiểu hơn về ai đứng sau một cuộc tấn công.

Tương lai của an ninh mạng sẽ được định nghĩa bởi khả năng hiển thị

Nhìn về phía trước, báo cáo xác định một số thay đổi sẽ định hình cảnh quan mối đe dọa trong năm 2026 và hơn thế nữa. Trong số những thay đổi này, ý tưởng quan trọng nhất là rủi ro sẽ được định nghĩa bởi sự phơi bày.

Các kẻ tấn công đang quét internet liên tục. Bất kỳ hệ thống nào có thể nhìn thấy và dễ bị tấn công sẽ cuối cùng bị nhắm mục tiêu. Điều này không quan trọng đến ngành công nghiệp mà nó thuộc về. Cơ hội là yếu tố thúc đẩy.

Đồng thời, các tín hiệu quan trọng nhất sẽ không đến từ các thiết bị riêng lẻ. Chúng sẽ đến từ các mẫu trong mạng. Cách các hệ thống giao tiếp, cách cơ sở hạ tầng được xây dựng và bỏ rơi, và cách lưu lượng truy cập chảy qua internet sẽ tiết lộ các cuộc tấn công trước khi chúng đạt đến mục tiêu của chúng.

Điều này đòi hỏi một cách tiếp cận bảo mật khác. Thay vì chỉ tập trung vào các điểm cuối và cảnh báo, các tổ chức cần phải hiểu môi trường rộng lớn hơn trong đó các cuộc tấn công đang hình thành.

Một cách tiếp cận mới để phòng thủ

Báo cáo làm rõ rằng các chiến lược phòng thủ truyền thống không còn đủ. Các tổ chức cần phải di chuyển sớm hơn trong chu kỳ cuộc tấn công. Họ cần tập trung vào việc phát hiện và gián đoạn cơ sở hạ tầng cho phép các cuộc tấn công, không chỉ các cuộc tấn công chính.

Điều này có nghĩa là đối xử với các thiết bị biên như các tài sản quan trọng. Điều này có nghĩa là theo dõi cách lưu lượng truy cập vào và rời khỏi mạng. Điều này có nghĩa là hiểu mối quan hệ giữa các hệ thống thay vì dựa vào các chỉ số tĩnh.

Điều này cũng có nghĩa là chấp nhận rằng ranh giới giữa hoạt động tội phạm và hoạt động được tài trợ bởi quốc gia đang trở nên ngày càng mờ. Mỗi xâm nhập nên được coi là chiến lược tiềm năng.

Bài học thực sự của báo cáo

Bài học quan trọng nhất từ Báo cáo Threatscape Defender Lumen 2026 là các cuộc tấn công mạng không còn là các sự kiện riêng lẻ. Chúng là các hệ thống được xây dựng. Chúng được lên kế hoạch, kiểm tra và tinh chỉnh lâu trước khi chúng được thực hiện.

Vào thời điểm một cảnh báo được kích hoạt, kẻ tấn công đã nằm trong môi trường ở một số hình thức. Nền tảng đã được đặt.

Các tổ chức sẽ thành công trong môi trường mới này sẽ là những tổ chức thay đổi sự tập trung của họ. Họ sẽ nhìn vượt ra ngoài điểm cuối. Họ sẽ nhìn vượt ra ngoài vi phạm. Họ sẽ tập trung vào cơ sở hạ tầng cho phép các cuộc tấn công này có thể xảy ra.

Bằng cách này, họ sẽ có được lợi thế quan trọng nhất trong an ninh mạng hiện đại. Họ sẽ nhìn thấy cuộc tấn công trước khi nó bắt đầu.

mm

Antoine là một nhà lãnh đạo có tầm nhìn và là đối tác sáng lập của Unite.AI, được thúc đẩy bởi niềm đam mê không ngừng nghỉ trong việc định hình và thúc đẩy tương lai của trí tuệ nhân tạo và robot. Là một doanh nhân liên tục, ông tin rằng trí tuệ nhân tạo sẽ gây ra sự gián đoạn cho xã hội giống như điện, và thường được bắt gặp khi nói về tiềm năng của các công nghệ gián đoạn và AGI.

Là một nhà tương lai học, ông dành mình để khám phá cách những đổi mới này sẽ định hình thế giới của chúng ta. Ngoài ra, ông là người sáng lập của Securities.io, một nền tảng tập trung vào đầu tư vào các công nghệ tiên tiến đang định hình lại tương lai và thay đổi toàn bộ lĩnh vực.