Tấn công vô hình: tại sao giám sát lưu lượng truy cập không còn đủ nữa

Muốn duy trì mô hình giám sát lưu lượng truyền thống, dựa trên phân tích gói tin, phát hiện bất thường và kiểm tra biên giới, là lãng phí thời gian quý báu cho các đội CNTT.Điều này là do các kỹ thuật tiên tiến đã được phát triển ngày càng nhiều để tránh bị phát hiện bởi các hệ thống cổ điển, sử dụng các lỗ hổng vẫn vô hình đối với các công cụ bảo mật chỉ dựa trên lưu lượng mạng.

Thực tế, thực ra, 72% của người trả lời trong một cuộc khảo sát toàn cầu của Diễn đàn Kinh tế Thế giới 2025, báo cáo rủi ro mạng của tổ chức gia tăng, phản ánh cách các mối đe dọa phát triển để ẩn náu khỏi các biện pháp phòng thủ truyền thống 10 Lần nữa cơ hội thành công hơn các cuộc tấn công phần mềm độc hại dựa trên tệp truyền thống.

Tội phạm mạng đã ngừng hành động bằng cách thử và sai.Hôm nay, họ hành động chính xác và không để lại dấu vết.Họ sử dụng các cuộc tấn công không cần tập tin rất nhiều, khai thác các công cụ hệ thống hợp pháp như PowerShell và WMI để thực thi các lệnh độc hại mà không gây nghi ngờ, và di chuyển ngang qua mạng một cách âm thầm, như thể chúng đã thuộc về môi trường.

Kiểu tấn công này được thiết kế có chủ ý để trông hợp pháp, giao thông không gây nghi ngờ, các công cụ không được biết đến và các sự kiện không tuân theo các mô hình đe dọa phổ biến, theo báo cáo của Diễn đàn Kinh tế Thế giới 2025, 66% của các tổ chức tin trí tuệ nhân tạo sẽ có tác động đáng kể nhất đến an ninh mạng, cả về phòng thủ và tấn công, phản ánh sự thay đổi mô hình.

Các giải pháp truyền thống như tường lửa, IDS và các hệ thống tương quan đơn giản không cung cấp được sự bảo vệ cần thiết, đặc biệt là 47% của các tổ chức trích dẫn những tiến bộ đối nghịch được hỗ trợ bởi AI tạo ra là mối quan tâm chính của họ.Ngoài ra, 54% của các tổ chức lớn chỉ ra các lỗ hổng chuỗi cung ứng là rào cản lớn nhất đối với khả năng phục hồi mạng, khuếch đại sự phức tạp của thách thức.

Vai trò của khả năng hiển thị chi tiết

Trong kịch bản này, khả năng hiển thị chi tiết nổi lên như một yêu cầu cơ bản cho một chiến lược an ninh mạng hiệu quả.Đây là khả năng quan sát, chi tiết, hành vi của các điểm cuối, người dùng, quy trình, luồng nội bộ và hoạt động giữa các hệ thống, theo cách bối cảnh và liên tục.

Cách tiếp cận này đòi hỏi phải sử dụng các công nghệ tiên tiến hơn như EDR (Phát hiện và phản hồi điểm cuối), XDR (Phát hiện và phản hồi mở rộng) và NDR (Phát hiện và phản hồi mạng).Các công cụ này thu thập dữ liệu đo từ xa ở nhiều lớp khác nhau, từ mạng đến điểm cuối và áp dụng phân tích hành vi, trí tuệ nhân tạo và tương quan sự kiện để phát hiện các mối đe dọa sẽ không được chú ý trong môi trường chỉ được giám sát bởi lưu lượng truy cập.

Kỹ thuật khai thác khả năng tàng hình

Trong số các chiến thuật phổ biến nhất được sử dụng trong các cuộc tấn công vô hình, chúng tôi nhấn mạnh:

• DNS tunneling, đóng gói dữ liệu trong các truy vấn DNS dường như bình thường;
• Kỹ thuật số steganography, ẩn các lệnh độc hại trong các tập tin hình ảnh, âm thanh hoặc video; 
• Các kênh lệnh và điều khiển được mã hóa (C2), liên lạc an toàn giữa phần mềm độc hại và bộ điều khiển của nó, gây khó khăn cho việc chặn; 
• Những kỹ thuật này không chỉ bỏ qua các hệ thống truyền thống, mà còn khai thác các lỗ hổng trong mối tương quan giữa các lớp bảo mật.Traffic có thể xuất hiện sạch sẽ, nhưng hoạt động thực tế được ẩn đằng sau các hoạt động hợp pháp hoặc các mẫu mật mã.

Giám sát thông minh và theo ngữ cảnh

Để đối phó với loại mối đe dọa này, điều cần thiết là phân tích vượt ra ngoài các chỉ số cam kết (IoC), và bắt đầu xem xét các chỉ số hành vi (IoB).Điều này có nghĩa là giám sát không chỉ “o that”được truy cập hoặc truyền đi, mà còn “como”, “por quem”và “em bối cảnh nào” một hành động cụ thể đã xảy ra.

Ngoài ra, việc tích hợp giữa các nguồn dữ liệu khác nhau, chẳng hạn như nhật ký xác thực, thực thi lệnh, di chuyển ngang và lệnh gọi API, cho phép bạn phát hiện các sai lệch tinh tế và phản hồi sự cố nhanh hơn và chính xác hơn.

Tất cả những điều này có ý nghĩa gì

Sự tinh vi ngày càng tăng của các cuộc tấn công mạng đòi hỏi phải đánh giá lại khẩn cấp các hoạt động phòng thủ kỹ thuật số. giám sát giao thông vẫn cần thiết, nhưng không còn có thể là trụ cột duy nhất của bảo vệ.Tầm nhìn dạng hạt, với phân tích liên tục, theo ngữ cảnh và tương quan, trở nên cần thiết để phát hiện và giảm thiểu các mối đe dọa vô hình.

Đầu tư vào công nghệ phát hiện tiên tiến và các chiến lược xem xét hành vi thực tế của các hệ thống, ngày nay, là cách hiệu quả duy nhất để đối mặt với những đối thủ biết cách ẩn nấp trong tầm nhìn rõ ràng.