CrowdStrike: AI rút ngắn thời gian đột nhập của tin tặc xuống 29 phút

AI rút ngắn thời gian đột nhập của tin tặc xuống 29 phút

Theo Báo cáo Đe dọa Toàn cầu 2026 do CrowdStrike (NASDAQ: CRWD) phát hành vào ngày 24 tháng 2 năm 2026, các đối thủ an ninh mạng đang vũ khí hóa trí tuệ nhân tạo để thực hiện các cuộc tấn công với tốc độ chưa từng có. Phát hiện đáng báo động nhất của báo cáo là sự sụt giảm của "thời gian đột nhập", cửa sổ quan trọng mà các nhà phòng thủ có được giữa một sự xâm nhập ban đầu và sự di chuyển ngang của kẻ tấn công trong mạng. Chỉ số này đã giảm xuống mức trung bình chỉ còn 29 phút vào năm 2025, đánh dấu mức tăng tốc 65% so với năm trước. Trong trường hợp cực đoan nhất được quan sát, kẻ tấn công đã di chuyển ngang chỉ trong 27 giây.

Sự tăng tốc này liên quan trực tiếp đến việc áp dụng AI, vốn đã cho phép các cuộc tấn công có sự hỗ trợ của AI tăng 89% so với cùng kỳ năm trước. Kẻ tấn công đang sử dụng AI tạo sinh để tinh chỉnh email lừa đảo, viết tập lệnh phần mềm độc hại và tăng tốc trinh sát. Điều này làm cho các cuộc tấn công không chỉ nhanh hơn mà còn rẻ hơn và có khả năng mở rộng hơn, thay đổi cơ bản bối cảnh mối đe dọa cho các doanh nghiệp.

Tấn công không dùng phần mềm độc hại đạt 82% khi các cuộc xâm nhập đám mây tăng vọt

Báo cáo làm nổi bật sự dịch chuyển quyết định trong kỹ nghệ của kẻ thù sang tàng hình và lẩn tránh. Các kỹ thuật tấn công không dùng phần mềm độc hại, dựa vào việc lạm dụng thông tin đăng nhập và công cụ hợp pháp, hiện chiếm 82% tổng số vụ phát hiện, tăng đáng kể so với 51% vào năm 2020 khi chúng chuyển sang sử dụng thông tin đăng nhập bị đánh cắp. Xu hướng này cho thấy kẻ tấn công đang ưu tiên hòa nhập với lưu lượng mạng bình thường để tránh bị phát hiện, khiến việc phòng thủ trở nên khó khăn hơn đáng kể.

Chiến lược lẩn tránh này mở rộng trực tiếp vào môi trường đám mây, vốn đã trở thành một chiến trường chính. Các cuộc xâm nhập có chủ đích vào đám mây đã tăng 37% tổng thể vào năm 2025. Đáng chú ý hơn, các cuộc xâm nhập từ các tác nhân do nhà nước bảo trợ nhắm vào đám mây đã tăng vọt 266%, khi các nhóm tinh vi này nhận ra giá trị của thông tin đăng nhập đám mây bị xâm phạm. Với 35% các cuộc xâm nhập đám mây tận dụng các tài khoản hợp lệ, trọng tâm đã chuyển từ việc đột nhập vào mạng sang chỉ đơn giản là đăng nhập bằng thông tin đăng nhập bị đánh cắp.

Các tác nhân liên quan đến Trung Quốc thúc đẩy tăng 38% các cuộc xâm nhập có mục tiêu

Các nhóm được nhà nước Trung Quốc bảo trợ đã tăng đáng kể tốc độ hoạt động của họ, với hoạt động xâm nhập có mục tiêu tăng 38% vào năm 2025. Các chiến dịch này tập trung vào các lĩnh vực quan trọng đối với các mục tiêu kinh tế và tình báo dài hạn của Bắc Kinh, bao gồm logistics (tăng 85%), viễn thông (tăng 30%) và dịch vụ tài chính (tăng 20%). Một yếu tố chính trong chiến lược của họ là khai thác nhanh chóng các lỗ hổng zero-day, với kẻ thù triển khai khai thác chỉ trong vài ngày sau khi công khai.

Các tác nhân này liên tục nhắm mục tiêu vào các thiết bị biên như VPN, tường lửa và cổng, những thiết bị thường ít được giám sát hơn các hệ thống nội bộ. Điều này cho phép chúng có được quyền truy cập ban đầu và duy trì không bị phát hiện trong thời gian dài. Adam Meyers, Trưởng bộ phận Hoạt động chống đối thủ tại CrowdStrike, đã giải thích hiệu quả của chiến thuật này:

Nếu bạn nghĩ về các tác nhân như Salt Typhoon, mà chúng tôi theo dõi là Operator Panda và Vanguard Panda (còn được gọi là Volt Typhoon), việc nhắm mục tiêu vào các thiết bị mạng là quan trọng đối với Trung Quốc. Họ tìm thấy rất nhiều lỗ hổng ở đó, và họ có thể ẩn mình trên các thiết bị đó vì chúng không được quản lý.

— Adam Meyers, Trưởng bộ phận Hoạt động chống đối thủ, CrowdStrike.

Cách tiếp cận lâu dài, kiên trì này nhấn mạnh sự tập trung chiến lược vào việc thu thập thông tin tình báo hơn là phá hoại ngắn hạn, đặt ra một mối đe dọa bền vững và tiên tiến cho các doanh nghiệp toàn cầu.