Một báo cáo lớn mới từ Sophos đã đưa ra con số đáng chú ý về một vấn đề mà các chuyên gia bảo mật đã cảnh báo trong nhiều năm: **71% tổ chức trên toàn thế giới đã chịu ít nhất một vụ vi phạm liên quan đến danh tính...**

Sophos: 71% Doanh Nghiệp Bị Tấn Công Danh Tính Năm 2025

Một báo cáo lớn mới từ Sophos đã đưa ra con số đáng chú ý về một vấn đề mà các chuyên gia bảo mật đã cảnh báo trong nhiều năm: 71% tổ chức trên toàn thế giới đã chịu ít nhất một vụ vi phạm bảo mật liên quan đến danh tính trong năm qua. Kết quả này xuất hiện vào thời điểm các cuộc tấn công dựa trên danh tính không còn là mối đe dọa hẹp nữa mà đã trở thành phương thức chính yếu để kẻ tấn công giành được chỗ đứng bên trong môi trường doanh nghiệp. Đối với cả doanh nghiệp lẫn cá nhân, dữ liệu này là tín hiệu rõ ràng rằng vệ sinh danh tính không thể tiếp tục bị xem là mối quan tâm thứ yếu.

Dữ Liệu Từ Sophos Tiết Lộ Gì Về Tần Suất Và Phạm Vi Của Vi Phạm Danh Tính

Quy mô tuyệt đối của phát hiện từ Sophos thật khó lờ đi. Gần ba trong bốn tổ chức, xuyên suốt các ngành và khu vực địa lý, đã trải qua một vụ xâm phạm liên quan đến danh tính chỉ trong một năm. Đây không phải là câu chuyện về một số ít mục tiêu nổi bật; nó phản ánh một lỗ hổng mang tính hệ thống, lan rộng trong cách các tổ chức quản lý ai, và cái gì, có quyền truy cập vào hệ thống của họ.

Vi phạm liên quan đến danh tính khác với xâm nhập mạng truyền thống ở một điểm quan trọng. Thay vì phá vỡ tường lửa, kẻ tấn công chiếm đoạt thông tin đăng nhập hoặc token cho phép chúng có được quyền truy cập trông có vẻ hợp pháp. Một khi đã vào bên trong, chúng có thể di chuyển ngang, leo thang đặc quyền, và đánh cắp dữ liệu trong khi bề ngoài, ít nhất là ban đầu, trông như một người dùng được ủy quyền. Điều này khiến việc phát hiện chậm hơn và khắc phục phức tạp hơn.

Những hậu quả thực tế từ các thất bại về danh tính đã tràn ngập các tiêu đề báo trong năm 2025. Vụ vi phạm Alert 360 làm lộ 2,5 triệu hồ sơ và vụ vi phạm Zara ảnh hưởng đến gần 200.000 khách hàng thông qua một nhà cung cấp bên thứ ba đều minh họa cách mà các thông tin đăng nhập bị xâm phạm, dù qua tấn công trực tiếp hay phơi nhiễm chuỗi cung ứng, có thể leo thang thành những tổn thất dữ liệu khổng lồ.

Các Danh Tính Phi Con Người Và Khóa API Trở Thành Mục Tiêu Hàng Đầu Như Thế Nào

Một trong những phát hiện có tầm nhìn xa trong báo cáo của Sophos là sự chú ý mà nó dành cho các danh tính phi con người. Danh mục này bao gồm khóa API, tài khoản dịch vụ, tập lệnh tự động hóa, và ngày càng nhiều, các tác nhân AI được cấp quyền truy cập vào hệ thống để thực hiện nhiệm vụ một cách tự động.

Khi các tổ chức áp dụng các công cụ hỗ trợ bởi AI và tự động hóa nhiều quy trình làm việc, họ đang tạo ra một kho ngày càng lớn các tác nhân phi con người nắm giữ thông tin đăng nhập và quyền hạn. Vấn đề là các danh tính này thường xuyên bị quản lý kém: quyền quá rộng, thông tin đăng nhập hiếm khi được thay đổi, và việc giám sát hành vi bất thường thì không nhất quán, nói là tốt nhất.

Một khóa API được nhúng trong kho mã nguồn, hay một tác nhân AI được cấp quyền ghi vào cơ sở dữ liệu sản xuất, đại diện cho một mục tiêu giá trị cao đối với kẻ tấn công. Không giống tài khoản người dùng con người, các danh tính phi con người thường thiếu quy trình quản lý vòng đời tương tự, nghĩa là chúng có thể tồn tại dai dẳng sau khi không còn cần thiết và không bị chú ý khi bị xâm phạm. Báo cáo của Sophos xác định sự quản lý kém này là một trong những vectơ tấn công chính dẫn đến con số 71%.

Tại Sao Lỗi Con Người Vẫn Là Mắt Xích Yếu Nhất Trong Bảo Mật Danh Tính

Song song với sự gia tăng rủi ro từ danh tính phi con người, phát hiện của Sophos xác nhận rằng lỗi con người tiếp tục làm suy yếu ngay cả những chương trình bảo mật có nguồn lực tốt. Lừa đảo trực tuyến (phishing) vẫn cực kỳ hiệu quả. Việc tái sử dụng thông tin đăng nhập giữa tài khoản cá nhân và công việc tạo ra các lối mòn để kẻ tấn công chuyển từ một vụ vi phạm người tiêu dùng sang môi trường doanh nghiệp. Và các tài khoản được cấp quá nhiều đặc quyền, được tạo ra vì sự tiện lợi và không bao giờ được giới hạn phạm vi đúng cách, trao cho kẻ tấn công quyền truy cập lớn hơn những gì chúng đáng lẽ có thể đạt được.

Yếu tố con người cũng thể hiện rõ ở cách các vụ vi phạm leo thang nhanh chóng một khi có được quyền truy cập ban đầu. Một tài khoản bị xâm phạm duy nhất được sử dụng bởi ai đó có quyền quản trị rộng rãi có thể làm lộ hàng nghìn hồ sơ trong vài giờ. Lĩnh vực chăm sóc sức khỏe đã chứng tỏ tính dễ bị tổn thương đặc biệt, như đã thấy trong các sự cố như vụ vi phạm NYC Health ảnh hưởng đến 1,8 triệu cá nhân, nơi mà sự quản lý danh tính kém ở bất kỳ cấp nào trong một hệ thống phức tạp cũng có thể gây ra những hậu quả vượt tỉ lệ.

Các chương trình đào tạo và nâng cao nhận thức có ích, nhưng chúng không đủ nếu chỉ đứng riêng lẻ. Dữ liệu của Sophos gợi ý rằng các tổ chức cần các biện pháp kiểm soát mang tính cấu trúc để giảm phạm vi ảnh hưởng của các sai sót con người, chứ không chỉ dựa vào các chính sách đòi hỏi nhân viên phải làm đúng mọi lúc.

Phòng Thủ Chiều Sâu: Vai Trò Của VPN Và Các Công Cụ Bảo Mật Riêng Tư Trong Bảo Vệ Danh Tính

Không một công cụ đơn lẻ nào giải quyết được bài toán bảo mật danh tính, và đó chính là điểm mấu chốt. Khái niệm phòng thủ chiều sâu, xếp chồng nhiều lớp kiểm soát an ninh để một thất bại ở lớp này không tự động dẫn đến xâm phạm toàn diện, chính là khuôn khổ mà các phát hiện của Sophos ủng hộ, dù ngầm ẩn.

VPN đóng một vai trò cụ thể và quan trọng trong chồng lớp này. Bằng cách mã hóa lưu lượng mạng và che giấu siêu dữ liệu kết nối, VPN giảm nguy cơ thông tin đăng nhập hoặc token phiên bị chặn bắt trên đường truyền, đặc biệt trên các mạng không tin cậy. Đối với người làm việc từ xa truy cập tài nguyên công ty từ khách sạn, sân bay hoặc không gian làm việc chung, VPN là một biện pháp kiểm soát cơ bản nhưng có ý nghĩa giúp đóng lại cánh cửa sổ vốn mở toang.

Bên cạnh VPN, một chiến lược bảo vệ danh tính theo lớp bao gồm xác thực đa yếu tố trên tất cả các tài khoản, nguyên tắc đặc quyền tối thiểu cho cả danh tính con người lẫn phi con người, kiểm tra định kỳ các thông tin đăng nhập và khóa API đang hoạt động, và giám sát các mẫu hình đăng nhập bất thường. Dữ liệu của Sophos củng cố rằng đây không phải là những thứ xa xỉ tùy chọn dành cho các doanh nghiệp lớn; các tổ chức ở mọi quy mô đang bị nhắm đến.

Điều Này Có Ý Nghĩa Gì Với Bạn

Cho dù bạn quản lý CNTT cho một công ty hay chỉ đơn giản là một cá nhân đang cố gắng bảo vệ tài khoản của mình, báo cáo của Sophos mang một thông điệp trực tiếp: danh tính chính là ranh giới bây giờ, và nó cần được bảo vệ tương ứng.

Sau đây là các bước cụ thể cần thực hiện:

• Kiểm tra thông tin đăng nhập của bạn. Xác định bất kỳ tài khoản nào đang sử dụng mật khẩu yếu hoặc bị tái sử dụng và cập nhật chúng bằng các lựa chọn thay thế phức tạp, độc nhất được lưu trữ trong trình quản lý mật khẩu.
• Bật xác thực đa yếu tố ở mọi nơi. Ưu tiên tài khoản email, tài chính và công việc của bạn trước.
• Xem xét quyền ứng dụng và quyền truy cập API. Nếu bạn quản lý bất kỳ dự án phần mềm hay công cụ doanh nghiệp nào, hãy kiểm tra những dịch vụ nào đang nắm giữ thông tin đăng nhập đang hoạt động và thu hồi bất cứ thứ gì không còn được sử dụng.
• Sử dụng VPN trên các mạng không tin cậy. Mã hóa kết nối của bạn ngăn chặn việc chặn bắt thông tin đăng nhập khi bạn rời khỏi môi trường được bảo mật.
• Cập nhật thông tin về các vụ vi phạm. Các dịch vụ thông báo khi email của bạn xuất hiện trong tập dữ liệu vi phạm đã biết giúp bạn có cảnh báo sớm để thay đổi thông tin đăng nhập bị ảnh hưởng trước khi kẻ tấn công có thể khai thác chúng.

Con số 71% từ Sophos không phải là lý do để hoảng sợ, nhưng là lý do để hành động. Vi phạm bảo mật liên quan đến danh tính trong năm 2025 không phải là rủi ro giả thuyết; chúng đang xảy ra với phần lớn các tổ chức ngay lúc này. Xây dựng các lớp phòng thủ, kết hợp thực hành danh tính mạnh mẽ với các biện pháp bảo vệ ở cấp độ mạng, chính là phản ứng thiết thực mà dữ liệu đòi hỏi.

FAQ (dịch từng câu hỏi và câu trả lời): Q1: Bao nhiêu phần trăm tổ chức đã trải qua một vụ vi phạm liên quan đến danh tính trong năm qua theo Sophos? A1: 71% tổ chức trên toàn thế giới đã chịu ít nhất một vụ vi phạm bảo mật liên quan đến danh tính trong năm qua. Q2: Các vụ vi phạm dựa trên danh tính khác với xâm nhập mạng truyền thống như thế nào? A2: Thay vì phá vỡ tường lửa, kẻ tấn công chiếm đoạt thông tin đăng nhập hoặc token để có được quyền truy cập trông có vẻ hợp pháp, khiến việc phát hiện chậm hơn và khắc phục phức tạp hơn. Q3: Một số ví dụ thực tế gần đây về các vụ vi phạm do danh tính bị xâm phạm là gì? A3: Vụ vi phạm Alert 360 làm lộ 2,5 triệu hồ sơ, và vụ vi phạm Zara ảnh hưởng đến gần 200.000 khách hàng thông qua một nhà cung cấp bên thứ ba, cả hai đều xuất phát từ thông tin đăng nhập bị xâm phạm. Q4: Tại sao các danh tính phi con người như khóa API và tác nhân AI lại trở thành mục tiêu hàng đầu? A4: Chúng thường xuyên bị quản lý kém với quyền quá rộng, hiếm khi được thay đổi, và được giám sát không nhất quán, khiến chúng trở thành mục tiêu giá trị cao có thể tồn tại dai dẳng mà không bị chú ý. Q5: Điều gì khiến khóa API trong các kho mã nguồn đặc biệt rủi ro? A5: Một khóa API được nhúng trong kho mã nguồn có thể cấp cho kẻ tấn công quyền truy cập mà không có quy trình quản lý vòng đời phù hợp, vì các danh tính phi con người này thường thiếu việc thay đổi và giám sát định kỳ. ---END---