Chỉ khóa cửa chính là không đủ cho hệ thống

Phần lớn chiến lược an ninh mạng hiện nay vẫn tập trung vào việc khóa chặt cửa ra vào và giám sát lưu lượng Bắc Nam, tức dòng dữ liệu đi ra và vào hệ thống. Tuy nhiên, khi kẻ xâm nhập đã lọt vào bên trong, các biện pháp truyền thống thường trở nên kém hiệu quả.

Thực tế cho thấy tin tặc ngày càng khai thác khả năng di chuyển ngang giữa các máy chủ, môi trường làm việc và khối lượng tác vụ bên trong mạng nội bộ, theo dòng lưu lượng dữ liệu Đông - Tây.

Với sự phát triển của điện toán đám mây, mô hình hạ tầng kết hợp, dịch vụ vi mô và thiết bị IoT, lưu lượng nội bộ có xu hướng gia tăng nhanh chóng và trong nhiều trường hợp đã vượt lưu lượng ra vào. Sự gia tăng này tạo ra khoảng trống trong giám sát an ninh nếu doanh nghiệp không có năng lực quan sát đủ sâu.

Khảo sát "Bảo mật đám mây Lai 2025" của Gigamon ghi nhận 65% lãnh đạo an ninh mạng tại khu vực châu Á - Thái Bình Dương đang ưu tiên giám sát dữ liệu nội bộ nhiều hơn. Tuy vậy, hơn một nửa vẫn chưa thực sự tin tưởng vào khả năng phát hiện các hoạt động độc hại với hệ thống công cụ hiện tại.

Tại Việt Nam, rủi ro hiện hữu không hề nhỏ. Năm 2024 ghi nhận gần 14,5 triệu tài khoản bị rò rỉ dữ liệu, chiếm khoảng 12% tổng số sự cố toàn cầu. Một tập đoàn năng lượng lớn chịu thiệt hại hơn 2,5 triệu USD do mã độc tấn công, ảnh hưởng tới hơn 1.000 máy chủ.

Theo ông Vladimir Yordanov, Giám đốc cấp cao phụ trách Kỹ thuật Giải pháp khu vực châu Á - Thái Bình Dương và Nhật Bản của Gigamon, nếu không thể nhìn thấy điều gì đang diễn ra trong hệ thống, doanh nghiệp cũng không thể bảo vệ được nó.

Một trong những thách thức lớn là năng lực giám sát dữ liệu di chuyển giữa các tầng hệ thống trong môi trường hạ tầng kết hợp. Khi một máy chủ bị chiếm quyền điều khiển, tin tặc có thể âm thầm mở rộng tấn công sang các thành phần liên quan mà không bị phát hiện nếu thiếu khả năng hiển thị toàn diện.

Gigamon đã hiện diện tại Việt Nam gần một thập kỷ, cung cấp giải pháp quan sát sâu cho các tổ chức chính phủ, ngân hàng, nhà mạng và doanh nghiệp sản xuất. Theo ông Vladimir, nhiều doanh nghiệp Việt Nam đang cho thấy sự thay đổi trong tư duy. Không còn bị động với bảo mật, họ chủ động xây dựng kiến trúc giám sát và vận hành theo thời gian thực.

“Các hệ thống an ninh mạng tại Việt Nam hiện nay được xây dựng khá hiện đại và phức tạp, vượt xa những định kiến trước đây về sự đơn giản hay sơ sài,” ông Vladimir nhận xét.

Một ngân hàng lớn tại Việt Nam từng đối mặt với khối lượng dữ liệu phát sinh lên tới 20 terabyte mỗi ngày, gây áp lực lớn cho hệ thống giám sát và lưu trữ. Giải pháp quan sát sâu đã giúp tổ chức này lọc bỏ các gói tin trùng lặp, giảm nhiễu và phân phối chính xác dữ liệu tới từng tầng phân tích. Nhờ đó, khối lượng cần xử lý giảm xuống chỉ còn vài chục gigabyte mỗi ngày, giúp tiết kiệm đáng kể chi phí và tăng tốc độ phản ứng khi có sự cố.

Đây cũng là cách tiếp cận đang được một số tổ chức khác tại Việt Nam áp dụng nhằm tối ưu hóa năng lực giám sát trong bối cảnh dữ liệu tăng trưởng nhanh.

Quan sát sâu cũng giúp nhận diện các hành vi tiềm ẩn rủi ro trong vận hành hàng ngày. Một tổ chức chuyên xử lý dữ liệu nhạy cảm đã phát hiện lưu lượng chia sẻ ngang hàng phát sinh do nhân viên sử dụng mạng nội bộ để truy cập các nội dung giải trí. Nếu không kịp thời phát hiện, hành vi này có thể mở đường cho phần mềm độc hại xâm nhập.

Một nhà mạng lớn trong khu vực từng bị tin tặc lợi dụng kẽ hở chuyển vùng quốc tế bằng cách kích hoạt SIM tại quốc gia khác với nơi phát hành, tạo trạng thái roaming không giới hạn. Hệ thống giám sát cũ không nhận ra điều bất thường cho đến khi lưu lượng đột ngột tăng cao.

Ngoài các mối đe dọa trực tiếp, doanh nghiệp còn phải đối mặt với yêu cầu tuân thủ ngày càng nghiêm ngặt. Từ PCI DSS trong lĩnh vực tài chính, HIPAA trong y tế đến các quy định nội địa phân cấp mức độ an toàn hệ thống, việc kiểm soát dữ liệu không thể qua loa.

Cùng với sự phát triển nhanh chóng của AI, lượng dữ liệu huấn luyện và vận hành mô hình cũng tăng vọt. Doanh nghiệp cần khả năng giám sát trọn vẹn các dòng dữ liệu liên quan đến AI để đảm bảo mô hình không vi phạm quy định, đồng thời sử dụng AI một cách minh bạch và có trách nhiệm.

Hiện tại, phần lớn khách hàng của Gigamon là các tổ chức quy mô lớn. Tuy nhiên, công ty đang từng bước mở rộng năng lực phục vụ cho doanh nghiệp vừa, đặc biệt trong những ngành cần tính bảo mật và ổn định cao như sản xuất, logistics, năng lượng và khai khoáng.