Tội phạm mạng đang có xu hướng “công nghiệp hóa”

Hiệu suất và tốc độ sẽ quyết định thay đổi

Vì trí tuệ nhân tạo (AI), tự động hóa và chuỗi cung ứng tội phạm mạng đã phát triển khá hoàn thiện khiến việc xâm nhập nhanh chóng và dễ dàng hơn bao giờ hết, những kẻ tấn công sẽ dành ít thời gian hơn để phát minh ra các công cụ mới mà tập trung vào tinh chỉnh và tự động hóa các kỹ thuật đã phát huy hiệu quả.

Hệ thống AI sẽ quản lý việc trinh sát, tăng tốc xâm nhập, phân tích dữ liệu bị đánh cắp và tạo ra các cuộc đàm phán tiền chuộc. Đồng thời, các tác nhân tội phạm mạng tự động trên dark web sẽ bắt đầu thực hiện toàn bộ các giai đoạn tấn công với sự giám sát tối thiểu của con người.

Những thay đổi này sẽ mở rộng năng lực của kẻ tấn công theo cấp số nhân. Một tác nhân ransomware từng quản lý một vài chiến dịch sẽ sớm có thể khởi động hàng chục chiến dịch cùng lúc. Và thời gian giữa xâm nhập và tác động sẽ rút ngắn từ nhiều ngày xuống còn vài phút, khiến tốc độ trở thành yếu tố rủi ro quyết định đối với các tổ chức vào năm 2026.

Xu hướng tấn công

FortiGuard Labs dự đoán sự xuất hiện của các tác nhân AI chuyên biệt được thiết kế để hỗ trợ các hoạt động tội phạm mạng. Mặc dù các tác nhân này chưa thể hoạt động độc lập, nhưng chúng sẽ bắt đầu tự động hóa và tăng cường các giai đoạn quan trọng của chuỗi tấn công, bao gồm đánh cắp thông tin đăng nhập, di chuyển ngang hàng trong hệ thống và kiếm tiền từ dữ liệu.

Đồng thời, AI sẽ đẩy nhanh quá trình kiếm tiền từ dữ liệu. Khi kẻ tấn công có quyền truy cập vào các cơ sở dữ liệu bị đánh cắp, các công cụ AI sẽ ngay lập tức phân tích và ưu tiên dữ liệu, xác định nạn nhân nào mang lại lợi nhuận cao nhất và tạo ra các thông điệp tống tiền được cá nhân hóa. Kết quả là, dữ liệu sẽ trở thành tiền tệ nhanh hơn bao giờ hết.

Nền kinh tế ngầm cũng sẽ có cấu trúc rõ rệt hơn. Các dịch vụ botnet và cho thuê thông tin đăng nhập sẽ ngày càng được tùy chỉnh nhiều hơn vào năm 2026. Việc làm giàu dữ liệu và tự động hóa sẽ cho phép người bán cung cấp các gói truy cập cụ thể hơn dựa trên ngành nghề, vị trí địa lý và cấu hình hệ thống, thay thế các gói chung chung đang tràn lan trên thị trường ngầm hiện nay. Thị trường chợ đen sẽ áp dụng dịch vụ khách hàng, chấm điểm uy tín và ký quỹ tự động. Nhờ những đổi mới này, tội phạm mạng sẽ đẩy nhanh quá trình tiến hóa hướng tới công nghiệp hóa toàn diện.

Sự thay đổi của phòng thủ

Các lực lượng phòng thủ sẽ cần phải phản hồi với hiệu quả và sự phối hợp tương tự. Vào năm 2026, các hoạt động bảo mật sẽ tiến gần hơn đến điều mà FortiGuard Labs mô tả là phòng thủ tốc độ máy (machine-speed defense) – một quy trình liên tục gồm thu thập thông tin tình báo, xác thực và cô lập mối đe doạ, giúp rút ngắn thời gian phát hiện và phản hồi từ hàng giờ xuống còn vài phút.

Các khung bảo mật tiêu chuẩn như Continuous Threat Exposure Management (CTEM) và MITRE ATT&CK sẽ cần được tận dụng để các bên bảo mật có thể nhanh chóng lập bản đồ các mối đe dọa đang hoạt động, xác định các lỗ hổng và ưu tiên khắc phục dựa trên dữ liệu thời gian thực. Định danh cũng sẽ cần trở thành nền tảng của các hoạt động bảo mật, vì các tổ chức sẽ cần phải xác thực không chỉ con người mà còn cả các tác nhân tự động, quy trình AI và tương tác giữa máy móc với nhau.

Việc quản lý các định danh phi con người này sẽ trở nên rất quan trọng trong nỗ lực ngăn chặn rò rỉ dữ liệu và leo thang đặc quyền quy mô lớn.

Hợp tác và ngăn chặn

Tội phạm mạng mang tính công nghiệp hóa sẽ đòi hỏi nỗ lực lớn hơn trong phối hợp phản ứng toàn cầu. Các sáng kiến như Chiến dịch Serengeti 2.0 của INTERPOL, được hỗ trợ bởi Fortinet và các đối tác tư nhân khác, chứng minh việc chia sẻ thông tin tình báo chung để cùng phá vỡ mục tiêu có thể mang tới kết quả khả quan trong nỗ lực phá hủy cơ sở hạ tầng tội phạm. Các sáng kiến mới, chẳng hạn như chương trình Fortinet-Crime Stoppers International Cybercrime Bounty, sẽ cho phép cộng đồng toàn cầu báo cáo các mối đe dọa mạng một cách an toàn, giúp mở rộng khả năng ngăn chặn và tăng cường trách nhiệm giải trình.

FortiGuard Labs cũng kỳ vọng sẽ tiếp tục đầu tư vào các chương trình giáo dục hướng tới giới trẻ hoặc những người có nguy cơ cao bị lôi kéo vào tội phạm trực tuyến. Việc ngăn chặn thế hệ tội phạm mạng tiếp theo sẽ phụ thuộc vào khả năng định hướng lại họ trước khi họ bước chân vào hệ sinh thái tội phạm.

Tầm nhìn tương lai

Đến năm 2027, tội phạm mạng dự kiến sẽ hoạt động ở quy mô tương đương với các ngành công nghiệp hợp pháp toàn cầu. FortiGuard Labs dự đoán xu hướng tự động hóa hơn nữa các hoạt động tấn công thông qua các mô hình AI dựa trên tác nhân, nơi các tác nhân dựa trên bầy đàn sẽ bắt đầu phối hợp các nhiệm vụ một cách bán tự động và thích ứng với hành vi của bên phòng thủ, cùng với các cuộc tấn công chuỗi cung ứng ngày càng tinh vi nhắm vào AI và các hệ thống nhúng.

Bên phòng thủ cũng cần phải phát triển, tận dụng tình báo dự đoán, tự động hóa và quản lý rủi ro để ngăn chặn các sự cố nhanh hơn đồng thời dự đoán hành vi của đối phương tốt hơn. Giai đoạn tiếp theo của an ninh mạng sẽ phụ thuộc vào mức độ hiệu quả trong phối hợp và thích ứng giữa con người và máy móc.

Tốc độ và quy mô sẽ định hình thập kỷ tới. Các tổ chức hợp nhất trí tuệ, tự động hóa và chuyên môn của con người vào một hệ thống duy nhất, có khả năng phản ứng nhanh sẽ là những tổ chức có khả năng chống chịu tốt nhất trước những xu hướng tấn công sắp tới.

Ông Nguyễn Gia Đức, Giám đốc Quốc gia, Fortinet Việt Nam nhấn mạnh: "Đối với các chuyên gia bảo mật, chúng ta đang chứng kiến một sự thay đổi sâu sắc. Các cấu hình tĩnh và đánh giá định kỳ không thể theo kịp môi trường nơi kẻ tấn công tự động hóa việc thu thập thông tin tình báo, leo thang đặc quyền và tống tiền chỉ trong vài phút. Điều mà các tổ chức cần là một hình thái bảo mật thích ứng, thống nhất, kết hợp thông tin tình báo về mối đe dọa, quản lý rủi ro và ứng phó sự cố vào một quy trình làm việc liên tục, được hỗ trợ bởi trí tuệ nhân tạo.

Tại Fortinet, chúng tôi tập trung vào việc giúp khách hàng xây dựng khả năng phục hồi để họ có thể hành động với tốc độ tương đương với các mối đe dọa mà họ phải đối mặt, đồng thời tăng cường khả năng ngăn chặn các cuộc tấn công trước khi xảy ra".