Báo cáo
Báo cáo Threatscape Defender 2026 của Lumen: Tại sao khả năng hiển thị tại thời điểm bị xâm phạm lại bỏ qua cốt truyện
Báo cáo Threatscape Defender 2026 của Lumen do Lumen thực hiện, được hỗ trợ bởi cánh tay thông tin威脅 của họ Black Lotus Labs, đưa ra một thông điệp rõ ràng rằng hầu hết các tổ chức vẫn đang chống lại các cuộc tấn công mạng quá muộn. Báo cáo cho rằng vào thời điểm một cuộc xâm phạm được phát hiện bên trong mạng, công việc thực sự của cuộc tấn công đã được hoàn thành. Những gì trông giống như một sự xâm nhập đột ngột thường là bước cuối cùng trong một hoạt động được xây dựng cẩn thận.
Thay vì tập trung vào những gì xảy ra sau khi bị xâm phạm, báo cáo chuyển sự chú ý đến những gì xảy ra trước đó. Sự thay đổi này làm thay đổi mọi thứ.
Các cuộc tấn công mạng hiện bắt đầu từ lâu trước khi bị xâm phạm
Các hoạt động mạng hiện đại không còn giống như những vụ đột nhập cơ hội. Chúng trông giống như các chiến dịch được xây dựng theo từng mảnh qua thời gian. Các tác nhân威脅 bắt đầu bằng cách quét liên tục internet, tìm kiếm các hệ thống bị lộ, thiết bị chưa được vá và các điểm xác thực yếu. Khi họ tìm thấy cơ hội, họ xây dựng cơ sở hạ tầng xung quanh chúng.
Giai đoạn chuẩn bị này bao gồm việc xác thực các thông tin đăng nhập bị đánh cắp, thiết lập mạng proxy, kiểm tra các kênh liên lạc và đảm bảo rằng các hệ thống lệnh có thể hoạt động mà không bị gián đoạn. Vào thời điểm một tổ chức phát hiện hoạt động đáng ngờ, kẻ tấn công đã xây dựng xong các con đường cần thiết để di chuyển qua môi trường.
Điều làm cho điều này đặc biệt nguy hiểm là hầu hết các tổ chức không bao giờ thấy giai đoạn đầu này. Các công cụ bảo mật truyền thống được thiết kế để phát hiện các威脅 đã biết hoặc hoạt động đáng ngờ bên trong mạng. Chúng không được thiết kế để quan sát cách một cuộc tấn công được xây dựng từ đầu.
Lớp cơ sở hạ tầng hiện là chiến trường thực sự
Một trong những phát hiện quan trọng nhất trong báo cáo là các cuộc tấn công mạng không còn được định nghĩa bởi malware alone. Thay vào đó, chúng được định nghĩa bởi cơ sở hạ tầng hỗ trợ chúng. Các kẻ tấn công đang đầu tư nhiều hơn vào việc xây dựng các hệ thống mạnh mẽ, thích nghi được và có thể tồn tại sau sự gián đoạn và tái tạo nhanh chóng.
Sự thay đổi này có thể thấy được trên cả các hoạt động tội phạm và các chiến dịch của quốc gia. Các mạng proxy đã trở thành một thành phần cốt lõi của hầu hết các cuộc tấn công. Các mạng này cho phép các kẻ tấn công định tuyến lưu lượng truy cập qua các thiết bị bị xâm phạm, thường làm cho hoạt động恶意 xuất hiện như thể nó đến từ người dùng hợp pháp.
Đồng thời, các kẻ tấn công đang chuyển hướng từ các điểm cuối đến các thiết bị cạnh như bộ định tuyến, cổng VPN và tường lửa. Các hệ thống này nằm ở các điểm quan trọng trong mạng, thường có khả năng hiển thị yếu hơn và cung cấp quyền truy cập trực tiếp vào các hệ thống nội bộ. Chúng cũng có xu hướng có thời gian hoạt động lâu hơn và ít kiểm soát giám sát hơn, khiến chúng trở thành điểm tựa lý tưởng.
Kết quả là một cảnh quan威脅 mà các kẻ tấn công hoạt động bên trong các mô tả của internet chứ không phải ở các cạnh của nó.
Trí tuệ nhân tạo đang tăng tốc toàn bộ quá trình
Báo cáo nhấn mạnh cách trí tuệ nhân tạo tạo ra đang tăng tốc đáng kể tốc độ của các hoạt động mạng. Các nhiệm vụ từng yêu cầu sự phối hợp của con người hiện có thể được tự động hóa. Các kẻ tấn công đang sử dụng AI để quét các lỗ hổng, tạo cơ sở hạ tầng, kiểm tra các cuộc tấn công và thích nghi chiến lược của họ trong thời gian thực.
Sự thay đổi này nén thời gian của một cuộc tấn công. Những gì từng mất vài ngày hoặc vài tuần có thể xảy ra trong vài giờ. Trong một số trường hợp, các hệ thống được thúc đẩy bởi AI có thể đánh giá các điều kiện mạng, xác định con đường hiệu quả nhất và điều chỉnh chiến thuật mà không cần can thiệp của con người.
Đối với các đội phòng thủ, điều này tạo ra một thách thức mới. Các đội an ninh không còn phải đối mặt với các威脅 tĩnh. Họ đang phải đối mặt với các hệ thống liên tục phát triển, phản ứng với các biện pháp phòng thủ khi chúng gặp phải.
Tội phạm mạng đã trở thành một ngành công nghiệp chuyên nghiệp
Một chủ đề nổi bật khác trong báo cáo là tội phạm mạng đã trưởng thành thành một hệ sinh thái chuyên nghiệp, có cấu trúc. Nhiều hoạt động hiện giống như các công ty công nghệ hợp pháp. Họ cung cấp dịch vụ, hỗ trợ khách hàng và liên tục cải tiến sản phẩm của họ.
Các nền tảng malware được bán dưới dạng dịch vụ đăng ký. Các mạng proxy được cho thuê theo yêu cầu. Truy cập vào các hệ thống bị xâm phạm có thể được mua và bán lại thông qua các thị trường. Các tác nhân khác nhau chuyên về các phần khác nhau của chu kỳ cuộc tấn công, từ truy cập ban đầu đến trích xuất dữ liệu đến kiếm tiền.
Mức độ tổ chức này cho phép các tội phạm mạng mở rộng hoạt động của họ một cách hiệu quả. Nó cũng làm cho họ trở nên mạnh mẽ hơn. Khi một thành phần bị gián đoạn, một thành phần khác có thể nhanh chóng thay thế.
Cùng một cơ sở hạ tầng thường được chia sẻ trên nhiều nhóm, làm mờ ranh giới giữa hoạt động tội phạm và hoạt động của quốc gia. Điều này làm cho việc quy kết trở nên khó khăn hơn và tăng nguy cơ hiểu lầm bản chất thực sự của một cuộc tấn công.
Các mạng proxy đang định nghĩa lại niềm tin trên internet
Một trong những phát triển quan trọng nhất được mô tả trong báo cáo là sự gia tăng của các mạng proxy được xây dựng từ các thiết bị bị xâm phạm. Các mạng này cho phép các kẻ tấn công hoạt động từ những gì trông giống như địa chỉ IP bình thường hoặc thương mại.
Từ góc độ của người phòng thủ, đây là một vấn đề lớn. Các mô hình bảo mật truyền thống phụ thuộc rất nhiều vào các tín hiệu tin cậy như vị trí, danh tiếng IP và quyền sở hữu mạng. Các mạng proxy làm suy yếu tất cả các tín hiệu này.
Một kẻ tấn công có thể xuất hiện như một người dùng hợp pháp kết nối từ một mạng dân cư. Họ có thể vượt qua các kiểm soát định vị địa lý, tránh các hệ thống phát hiện và hòa nhập hoàn hảo vào các mẫu lưu lượng truy cập bình thường.
Điều này có nghĩa là những gì trông sạch sẽ không nhất thiết là an toàn. Chính internet đã trở thành một lớp ngụy trang.
Ngay cả các cuộc tấn công đơn giản cũng đã được tái phát minh
Báo cáo cũng cho thấy rằng các kỹ thuật cũ như các cuộc tấn công bạo lực không còn lỗi thời. Thay vào đó, chúng đã được biến đổi bởi quy mô và tự động hóa.
Các kẻ tấn công hiện có quyền truy cập vào các tập dữ liệu lớn của các thông tin đăng nhập bị đánh cắp. Họ kết hợp điều này với cơ sở hạ tầng phân tán và các công cụ được thúc đẩy bởi AI để kiểm tra các hệ thống xác thực trên hàng nghìn mục tiêu đồng thời. Các cuộc tấn công này không còn ngẫu nhiên. Chúng được nhắm mục tiêu, kiên trì và rất hiệu quả.
Điều làm cho chúng đặc biệt nguy hiểm là chúng thường đóng vai trò là bước đầu tiên trong một hoạt động lớn hơn. Khi quyền truy cập được cấp, các kẻ tấn công có thể di chuyển sâu hơn vào mạng, triển khai các công cụ bổ sung và thiết lập quyền kiểm soát lâu dài.
Các hoạt động của quốc gia đang trở thành các nền tảng cơ sở hạ tầng
Báo cáo nhấn mạnh cách các tác nhân của quốc gia đang xây dựng cơ sở hạ tầng lâu dài hỗ trợ nhiều chiến dịch qua thời gian. Các hoạt động này được thiết kế để linh hoạt. Chúng có thể được sử dụng cho việc do thám, khai thác hoặc gián đoạn tùy thuộc vào mục tiêu.
Thay vì tập trung vào một mục tiêu duy nhất, các hệ thống này tạo ra một nền tảng có thể được tái sử dụng trên các hoạt động khác nhau. Chúng được xây dựng để mở rộng quy mô, thích nghi và tồn tại ngay cả dưới áp lực.
Trong một số trường hợp, các kẻ tấn công không cần xây dựng cơ sở hạ tầng của riêng họ. Họ tiếp quản các hệ thống đã được kiểm soát bởi các nhóm khác, sử dụng chúng làm địa điểm trung chuyển cho các hoạt động của riêng họ. Điều này thêm một lớp phức tạp khác và làm cho nó thậm chí còn khó hiểu hơn về ai đứng sau một cuộc tấn công.
Tương lai của an ninh mạng sẽ được định nghĩa bởi khả năng hiển thị
Nhìn về phía trước, báo cáo xác định một số sự thay đổi sẽ định hình cảnh quan威脅 trong năm 2026 và hơn thế nữa. Trong số những thay đổi quan trọng nhất là ý tưởng rằng rủi ro sẽ được định nghĩa bởi sự phơi bày.
Các kẻ tấn công đang quét internet liên tục. Bất kỳ hệ thống nào có thể nhìn thấy và dễ bị tấn công sẽ cuối cùng bị nhắm mục tiêu. Nó không quan trọng đến ngành nào nó thuộc về. Cơ hội là yếu tố quyết định.
Đồng thời, các tín hiệu quan trọng nhất sẽ không đến từ các thiết bị cá nhân. Chúng sẽ đến từ các mẫu trong mạng. Cách các hệ thống giao tiếp, cách cơ sở hạ tầng được xây dựng và bỏ rơi, và cách lưu lượng truy cập chảy qua internet sẽ tiết lộ các cuộc tấn công trước khi chúng đến được mục tiêu của chúng.
Điều này đòi hỏi một cách tiếp cận bảo mật khác. Thay vì chỉ tập trung vào các điểm cuối và cảnh báo, các tổ chức cần phải hiểu môi trường rộng lớn hơn trong đó các cuộc tấn công đang hình thành.
Một cách tiếp cận mới để phòng thủ
Báo cáo làm rõ rằng các chiến lược phòng thủ truyền thống không còn đủ. Các tổ chức cần phải di chuyển sớm hơn trong chu kỳ cuộc tấn công. Họ cần tập trung vào việc phát hiện và phá vỡ cơ sở hạ tầng cho phép các cuộc tấn công, không chỉ các cuộc tấn công chính.
Điều này có nghĩa là phải coi các thiết bị cạnh là các tài sản quan trọng. Nó có nghĩa là phải theo dõi cách lưu lượng truy cập vào và rời khỏi mạng. Nó có nghĩa là phải hiểu mối quan hệ giữa các hệ thống thay vì chỉ dựa vào các chỉ số tĩnh.
Điều này cũng có nghĩa là phải chấp nhận rằng ranh giới giữa hoạt động tội phạm và hoạt động được tài trợ bởi quốc gia đang trở nên mờ hơn. Mỗi xâm nhập nên được coi là có khả năng chiến lược.
Bài học thực sự của báo cáo
Bài học quan trọng nhất từ Báo cáo Threatscape Defender 2026 của Lumen là các cuộc tấn công mạng không còn là các sự kiện riêng lẻ. Chúng là các hệ thống được xây dựng. Chúng được lên kế hoạch, kiểm tra và tinh chỉnh lâu trước khi chúng được thực hiện.
Vào thời điểm một cảnh báo được kích hoạt, kẻ tấn công đã ở bên trong môi trường dưới một hình thức nào đó. Nền tảng đã được xây dựng.
Các tổ chức thành công trong môi trường mới này sẽ là những tổ chức thay đổi sự tập trung của họ. Họ sẽ nhìn vượt ra ngoài điểm cuối. Họ sẽ nhìn vượt ra ngoài cuộc xâm phạm. Họ sẽ tập trung vào cơ sở hạ tầng cho phép các cuộc tấn công này.
Bằng cách làm như vậy, họ sẽ có được lợi thế quan trọng nhất trong an ninh mạng hiện đại. Họ sẽ nhìn thấy cuộc tấn công trước khi nó bắt đầu.
