Theo một báo cáo được công bố hôm thứ Ba bởi một nhà cung cấp giải pháp bảo mật danh tính và dữ liệu, ranh giới truyền thống giữa bảo mật danh tính và bảo mật dữ liệu đang thu hẹp nhanh chóng, và đó là tin xấu đối với các đội ngũ bảo mật.

“Giai đoạn tiếp theo của sự gián đoạn an ninh mạng sẽ đến từ việc các đối thủ mở rộng quy mô các cuộc tấn công danh tính để xâm phạm an ninh dữ liệu khi trí tuệ nhân tạo (AI) trở nên nổi bật hơn”, Netwrix , có trụ sở tại Frisco, Texas, dự đoán trong bản dự báo về các xu hướng sẽ định hình an ninh mạng vào năm 2026 và những năm tiếp theo.

Theo báo cáo dựa trên nghiên cứu về các cuộc tấn công danh tính thực tế và các con đường rò rỉ dữ liệu được các nhà nghiên cứu của Netwrix quan sát, đến năm 2026, bảo mật danh tính sẽ chứng kiến ​​sự mở rộng đáng kể trong việc điều phối và tự động hóa quy trình làm việc trên các khía cạnh cấp phát, xác thực mã thông báo và quản lý đặc quyền.

Báo cáo giải thích rằng các quy trình này hiện đang xác định ai và những gì có thể truy cập dữ liệu nhạy cảm, có nghĩa là những lỗi trong tự động hóa xác thực danh tính sẽ trực tiếp dẫn đến nguy cơ rò rỉ dữ liệu.

Báo cáo tiếp tục cho biết, các đối thủ đang chuyển trọng tâm từ thông tin xác thực cá nhân sang điều phối danh tính, độ tin cậy liên kết và tự động hóa cấu hình sai. Vì việc truy cập vào các kho dữ liệu quan trọng bắt đầu từ danh tính, nên cần có khả năng hiển thị thống nhất trên toàn bộ hệ thống bảo mật danh tính và dữ liệu để phát hiện các cấu hình sai, giảm thiểu điểm mù và phản hồi nhanh hơn.

Các chuyên gia cảnh báo rằng sự thay đổi đó làm tăng đáng kể nguy cơ xảy ra các sự cố về nhận dạng.

Bán kính vụ nổ mở rộng

“Việc điều phối danh tính, sự tin cậy liên kết hoặc các lỗi tự động hóa cho phép kẻ tấn công vượt qua các biện pháp kiểm soát, có phạm vi ảnh hưởng lớn hơn và nhiều lựa chọn tấn công hơn”, Phó Chủ tịch Nghiên cứu An ninh của Netwrix, Dirk Schrader, cho biết.

“Những kẻ tấn công nhắm vào việc quản lý danh tính vì đó là điểm mấu chốt quyết định ai được truy cập, khi nào và trong điều kiện nào,” ông nói với TechNewsWorld. “Việc đánh cắp một bộ thông tin đăng nhập chỉ mang lại phạm vi hạn chế và thường bị vô hiệu hóa bởi xác thực đa yếu tố (MFA) hoặc đặt lại mật khẩu.”

“Việc xâm phạm lớp điều phối cho phép kẻ tấn công tạo ra hoặc chiếm đoạt các phiên và mã thông báo đáng tin cậy trên quy mô lớn, vượt qua các biện pháp kiểm soát bằng cách thay đổi chính sách và duy trì hoạt động bằng cách tạo ra các danh tính đặc quyền mới hoặc ứng dụng OAuth,” ông tiếp tục.

"Tác động lan rộng ra nhiều hệ thống trên nền tảng đám mây và SaaS, và hoạt động này có thể trông có vẻ 'tuân thủ' một cách hợp pháp trong nhật ký hệ thống," ông nói thêm.

Michael Bell, CEO của Suzu Testing , một nhà cung cấp dịch vụ an ninh mạng dựa trên trí tuệ nhân tạo tại Las Vegas, giải thích rằng việc điều phối danh tính kiểm soát ai được cấp thông tin xác thực, cách thức cấp phát và những gì họ có thể làm với chúng. Ông nói với TechNewsWorld: “Những kẻ tấn công đã nhận ra rằng việc xâm nhập vào hệ thống cấp quyền truy cập hiệu quả hơn việc đánh cắp các khóa riêng lẻ”.

“Sự tin cậy liên kết đặc biệt hấp dẫn vì bạn chỉ cần thỏa hiệp với một nhà cung cấp danh tính và thừa hưởng sự tin cậy trên mọi hệ thống liên kết với nó,” ông nói. “Tự động hóa cấu hình sai là vấn đề dễ bị khai thác vì hầu hết các tổ chức đều vội vàng triển khai mà không bảo mật các tài khoản dịch vụ và mã thông báo API cần thiết để vận hành nó.”

Thất bại được khuếch đại bởi AI

Các nhà nghiên cứu của Netwrix cũng phát hiện ra rằng mối liên hệ giữa bảo mật danh tính và bảo mật dữ liệu trở nên rõ rệt hơn khi quá trình tự động hóa dựa trên trí tuệ nhân tạo hoạt động liên tục và trên quy mô lớn.

Schrader giải thích rằng tự động hóa AI thường là một chuỗi các tác nhân. “Mỗi tác nhân là một thực thể phi con người cần được quản lý vòng đời, và mỗi bước đều truy cập, chuyển đổi hoặc chuyển giao dữ liệu,” ông nói. “Điều đó có nghĩa là một sai sót trong quản lý danh tính — tác nhân được cấp quyền quá mức, kiểm soát mã thông báo yếu, thiếu xác thực — ngay lập tức trở thành một sự cố bảo mật dữ liệu — với tốc độ và quy mô của máy móc — bởi vì quy trình làm việc tiếp tục thực thi và truyền tải quyền truy cập và dữ liệu xuống các bước tiếp theo.”

“Khi quá trình tự động hóa AI diễn ra liên tục, việc ủy ​​quyền trở thành một hệ thống kiểm soát trực tiếp, chứ không phải là một cuộc đánh giá hàng quý,” ông tiếp tục. “Chuỗi tác nhân khuếch đại các lỗi. Một danh tính phi con người được cấp quyền quá mức có thể lan truyền quyền truy cập và dữ liệu xuống các cấp thấp hơn giống như sự di chuyển ngang theo quy trình làm việc. Các danh tính phi con người lan rộng nhanh chóng thông qua API và OAuth. Rủi ro dữ liệu cũng thay đổi một cách năng động khi các tác nhân chuyển đổi và làm phong phú thêm đầu ra.”

Ở quy mô lớn, một sai sót nhỏ trong chính sách có thể dẫn đến sự dịch chuyển dữ liệu khổng lồ, Ensar Seker, Giám đốc An ninh Thông tin (CISO) của SOCRadar , một công ty tình báo về mối đe dọa tại Newark, Delaware, cho biết thêm. “Rủi ro không chỉ đến từ trí tuệ nhân tạo độc hại, mà còn từ những sai lầm được khuếch đại – các tác nhân được cấp quyền quá mức, phạm vi yếu, đặc quyền lỗi thời, các trình kết nối quá rộng và thiếu các rào cản về nơi dữ liệu có thể luân chuyển,” ông nói với TechNewsWorld.

Nathan Vega, người đứng đầu bộ phận tiếp thị sản phẩm tại Starburst , một công ty nền tảng dữ liệu và phân tích ở Boston, giải thích rằng AI tiêu thụ và xử lý dữ liệu liên tục, và các quy trình và mô hình tự động cần quyền truy cập rộng rãi, thường là theo thời gian thực, quyền truy cập này được cấp và giới hạn thông qua danh tính.

“Rủi ro tăng lên gấp bội khi có tự động hóa,” ông nói với TechNewsWorld. “Một danh tính dịch vụ bị xâm phạm có thể gây ra hiện tượng đánh cắp dữ liệu tự động, làm sai lệch mô hình hoặc cấu hình sai trên quy mô lớn chỉ trong vài giây, nhanh hơn nhiều so với các cuộc tấn công thủ công.”

Những thay đổi trong quan điểm về bảo hiểm

Các nhà nghiên cứu cũng báo cáo rằng các công ty bảo hiểm mạng đang thay đổi cách họ đánh giá rủi ro và định giá. Schrader của Netwrix cho biết: “Các công ty bảo hiểm mạng đang thay đổi cách đánh giá và định giá vì mô hình 'bảng câu hỏi mỗi năm một lần' cũ không dự đoán được tổn thất thực tế”.

“Phần mềm tống tiền, các lỗ hổng bảo mật chưa được vá (zero-day), sự tập trung dữ liệu trên đám mây và các cuộc tấn công dây chuyền từ bên thứ ba tạo ra rủi ro tương quan và thay đổi nhanh chóng — do đó, việc tự xác nhận rủi ro trở nên lỗi thời và giá cả bị ảnh hưởng,” ông tiếp tục. “Đó là lý do tại sao nhiều công ty bảo hiểm đang chuyển sang hình thức thẩm định dựa trên bằng chứng với các tín hiệu về cấu hình và kiểm soát, tần suất vá lỗi và bảo mật, khả năng khôi phục dữ liệu sao lưu và mức độ trưởng thành trong ứng phó sự cố.”

Một lĩnh vực sẽ được các công ty bảo hiểm tăng cường giám sát là lỗ hổng bảo mật ở rìa mạng. “Năm 2025, các cuộc tấn công mạng nhắm vào VPN và tường lửa đã tăng vọt về tốc độ, số lượng và giá trị tiền chuộc yêu cầu”, Paul Asadoorian, nhà nghiên cứu mối đe dọa chính tại Eclypsium , một nhà cung cấp bảo mật chuỗi cung ứng ở Portland, Oregon, giải thích.

“Xu hướng các lỗ hổng bảo mật của thiết bị mạng bị khai thác sẽ khiến các công ty bảo hiểm an ninh mạng yêu cầu các biện pháp bảo vệ nghiêm ngặt hơn đối với các thiết bị này,” ông nói với TechNewsWorld. “Điều này có thể bao gồm các biện pháp kiểm soát bù trừ như giám sát trực tiếp các cổng VPN, cũng như kiểm tra cấu hình của chúng để đảm bảo chúng an toàn trước các cuộc tấn công.”

“Báo cáo hoàn toàn chính xác khi cho rằng ngành bảo hiểm an ninh mạng đang thay đổi cách suy nghĩ về các sự cố,” Arvind Parthasarathi, người sáng lập kiêm CEO của Cygnvs , một công ty đa quốc gia cung cấp giải pháp ứng phó sự cố an ninh mạng, cho biết thêm.

“Trước đây, người ta cho rằng khách hàng hoặc người mua bảo hiểm sẽ không bao giờ có yêu cầu bồi thường,” ông nói với TechNewsWorld. “Giờ đây, thế giới đang chuyển biến theo hướng không có khoản tiền nào mà một tổ chức có thể chi ra để đảm bảo rằng họ sẽ không bao giờ gặp phải sự cố lớn hoặc vi phạm dữ liệu.”

Thị trường bảo hiểm đang trở nên khan hiếm

Rich Seiersen, giám đốc công nghệ rủi ro tại Qualys , một nhà cung cấp các giải pháp CNTT, bảo mật và tuân thủ dựa trên điện toán đám mây có trụ sở tại Foster City, California, chỉ ra rằng trong năm tới, hầu hết các nhà phân tích dự đoán thị trường bảo hiểm sẽ thắt chặt vừa phải với việc tăng phí bảo hiểm dần dần, lựa chọn bảo hiểm kỹ lưỡng hơn và chú trọng hơn đến các biện pháp kiểm soát an ninh.

“Tuy nhiên, khó có khả năng chúng ta sẽ quay trở lại tình trạng khó khăn như các thị trường tín dụng trước đây, khi người nộp đơn phải đối mặt với những bảng câu hỏi phức tạp và thời gian xét duyệt kéo dài,” ông nói với TechNewsWorld.

Tuy nhiên, ông thừa nhận rằng một yếu tố khó lường lớn là khả năng xảy ra một sự cố an ninh mạng mang tính hệ thống—sự cố mất điện toán đám mây, sự xâm phạm chuỗi cung ứng trên diện rộng, hoặc một làn sóng tấn công mã độc tống tiền có tác động mạnh mẽ nhắm vào nhiều khách hàng được bảo hiểm cùng một lúc. Ông nói: “Một sự kiện như vậy có thể đẩy thị trường vào một chu kỳ tăng cường bảo mật mạnh mẽ hơn”.

Ông nói thêm: “Tuy nhiên, điều quan trọng là phải nhận ra rằng giá bảo hiểm bị ảnh hưởng bởi các yếu tố kinh tế vĩ mô, chẳng hạn như lãi suất, dòng vốn và giá tái bảo hiểm, cũng như các sự cố cụ thể liên quan đến an ninh mạng. Thiệt hại là vấn đề quan trọng, nhưng các điều kiện tài chính rộng hơn thường chi phối chu kỳ này.”

Sự thay đổi quan trọng về an ninh

Ông Vega của Starburst nhận xét rằng báo cáo của Netwrix nêu bật một sự thay đổi quan trọng: vấn đề bảo mật ngày càng tập trung vào việc kiểm soát được thực thi ở đâu (danh tính, chính sách, quản trị) hơn là chỉ đơn thuần về khả năng phát hiện hoặc khối lượng dữ liệu đo từ xa. Ông nói: “Các tổ chức nên coi việc điều phối danh tính, quản trị liên kết và tăng cường bảo mật tự động hóa là những vấn đề bảo mật hàng đầu, chứ không phải là những vấn đề thứ yếu”.

Ông nói thêm: “Đầu tư vào việc truy cập dữ liệu liên kết, có nhận thức về chính sách, kiểm soát vòng đời và thời gian thực của danh tính mạnh mẽ, cùng với kế hoạch đảm bảo tính liên tục của nhà cung cấp sẽ là những yếu tố tạo nên sự khác biệt thiết thực trong ba đến bốn năm tới”.

Điểm mấu chốt quan trọng nhất từ ​​báo cáo là bảo mật danh tính và bảo mật dữ liệu không thể được coi là hai chương trình riêng biệt nữa, theo nhận định của Seker từ SOCRadar. Mặt điều khiển (danh tính) và tài sản (dữ liệu) hiện được kết nối với nhau thông qua tự động hóa, giữa con người và máy móc.

“Nếu bạn không có khả năng giám sát thống nhất về việc danh tính nào có thể truy cập dữ liệu nhạy cảm nào, thông qua quy trình làm việc nào, bạn sẽ liên tục gặp phải các lỗi cấu hình, cấp quyền quá mức và lạm dụng danh tính diễn ra nhanh chóng”, ông nói.

“Báo cáo đã xác định chính xác rằng bảo mật danh tính và bảo mật dữ liệu đang hội tụ thành một vấn đề duy nhất,” Bell của Suzu Testing nói thêm. “Các tổ chức gặp khó khăn nhất là những tổ chức vẫn coi chúng là những lĩnh vực riêng biệt với các nhóm riêng biệt và ngân sách riêng biệt.”

“Rủi ro thực sự của AI không phải là các cuộc tấn công tự động,” ông nói. “Mà là bề mặt tấn công bạn đang tạo ra bằng cách triển khai AI mà không kiểm soát danh tính và quyền truy cập dữ liệu mà các hệ thống đó cần để hoạt động.”