Báo cáo SpyCloud 2025 Identity Threat Report mới nhất đã chỉ ra một sự khác biệt đáng báo động giữa nhận thức về khả năng sẵn sàng bảo mật và thực tế hoạt động trong việc đối phó với mối đe dọa định danh. Mặc dù 86% lãnh đạo an ninh mạng tự tin vào năng lực ngăn chặn các cuộc tấn công dựa trên định danh, nhưng có tới 85% tổ chức đã phải đối mặt với sự cố mã độc ransomware ít nhất một lần trong năm qua. Đáng chú ý, hơn một phần ba trong số đó bị ảnh hưởng từ sáu đến mười lần.

Thực trạng Mối Đe Dọa Định Danh Hiện Nay

Bản khảo sát thị trường với hơn 500 lãnh đạo bảo mật trên khắp Bắc Mỹ và Vương quốc Anh đã làm rõ khoảng cách giữa niềm tin và mức độ phơi nhiễm thực tế. Hơn hai phần ba tổ chức bày tỏ lo ngại đáng kể hoặc cực kỳ lo ngại về các cuộc tấn công dựa trên định danh.

Tuy nhiên, chỉ 38% có khả năng phát hiện các rò rỉ định danh lịch sử. Những rò rỉ này tạo ra rủi ro nghiêm trọng do thói quen vệ sinh an ninh mạng kém, chẳng hạn như việc sử dụng lại thông tin xác thực.

Khoảng cách giữa Nhận thức và Thực tế

Trong bối cảnh các tổ chức đang phải vật lộn với hàng loạt định danh kỹ thuật số trải rộng trên các nền tảng SaaS, thiết bị không được quản lý và hệ sinh thái bên thứ ba, kẻ tấn công đang lợi dụng những khoảng trống này.

Theo Damon Fleury, Giám đốc Sản phẩm của SpyCloud, các tác nhân đe dọa đang khai thác những lỗ hổng định danh bị bỏ qua, từ phishing, các vụ lây nhiễm infostealer đến thông tin xác thực bị sử dụng lại và quyền truy cập không được quản lý.

Các chiến thuật này cho phép đối thủ vượt qua các hệ thống phòng thủ truyền thống. Chúng có thể thiết lập quyền truy cập một cách âm thầm, dẫn đến các cuộc tấn công tiếp theo như mã độc ransomware, chiếm đoạt tài khoản, cướp phiên và lừa đảo.

Sự Gia Tăng của Rò Rỉ Dữ liệu Định Danh

Định danh đã trở thành trọng tâm của các mối đe dọa định danh hiện đại. Định danh kỹ thuật số của một cá nhân hiện bao gồm hàng trăm điểm tiếp xúc.

Các điểm tiếp xúc này bao gồm thông tin xác thực của công ty và cá nhân, cookie phiên, dữ liệu tài chính và thông tin nhận dạng cá nhân (PII) trên các nền tảng SaaS, thiết bị được quản lý và không được quản lý, cũng như các ứng dụng bên thứ ba.

Khi những yếu tố này bị lộ trên darknet, chúng tạo ra một bề mặt tấn công rộng lớn, liên kết chặt chẽ và chín muồi để khai thác. SpyCloud đã thu hồi được 63.8 tỷ bản ghi định danh riêng biệt từ dark web, tăng 24% so với năm trước.

Điều này minh họa quy mô chưa từng có của dữ liệu đang lưu hành trong thế giới ngầm tội phạm. Các tổ chức trở nên dễ bị tổn thương do thiếu khả năng hiển thị và tự động hóa cần thiết để loại bỏ những rủi ro này trước khi chúng trở thành điểm truy cập bổ sung cho các cuộc tấn công dựa trên định danh tiếp theo.

Các Phương Thức Tấn Công Dựa Trên Định Danh Phổ Biến

Sự gia tăng phơi nhiễm này đang gây ra mối lo ngại rộng rãi. Gần 40% các tổ chức được khảo sát đã xác định bốn hoặc nhiều hơn các mối đe dọa định danh là “cực kỳ đáng lo ngại”.

Các mối đe dọa hàng đầu bao gồm phishing (40%), mã độc ransomware (37%), các tác nhân nhà nước (36%), và các thiết bị không được quản lý hoặc trái phép (36%).

Khai thác Định Danh Bị Lộ

Báo cáo cũng nhấn mạnh rằng các mối đe dọa nội gián, dù là cố ý hay vô ý, thường có chung nguồn gốc: sự thỏa hiệp định danh. Các tác nhân nhà nước, bao gồm các nhân viên IT Triều Tiên, đang tận dụng các định danh bị đánh cắp hoặc tổng hợp để xâm nhập các tổ chức.

Chúng giả mạo làm nhà thầu hoặc nhân viên hợp pháp. Các phát hiện điều tra của SpyCloud cho thấy những kẻ tấn công đang tạo ra các định danh tổng hợp bằng cách sử dụng cookie bị đánh cắp qua phishing, khóa API bị đánh cắp bởi mã độc và thông tin xác thực được sử dụng lại.

Điều này giúp chúng vượt qua quá trình kiểm tra lý lịch và các quy trình sàng lọc yếu kém. Một nghiên cứu trước đây của SpyCloud cũng chỉ ra rằng 60% các tổ chức vẫn phụ thuộc vào giao tiếp thủ công, tùy tiện giữa các nhóm nhân sự và an ninh.

Nếu không có quy trình sàng lọc bảo mật mạnh mẽ, cho phép các tổ chức thấy rõ lịch sử lạm dụng định danh của ứng viên và các kết nối với cơ sở hạ tầng tội phạm, những tác nhân này có thể không bị phát hiện cho đến khi quá muộn.

Vai trò của Phishing và Mã Độc

Đồng thời, nhân viên, nhà thầu hoặc đối tác hợp pháp có thể vô tình tạo ra rủi ro khi định danh của họ bị xâm phạm. Những người nội bộ không cố ý này thường bị nhắm mục tiêu thông qua phishing và mã độc infostealer.

Điều này dẫn đến việc đánh cắp thông tin xác thực và cookie phiên, cung cấp quyền truy cập liên tục vào các hệ thống nội bộ. Đặc biệt, phishing được coi là điểm xâm nhập hàng đầu cho mã độc ransomware vào năm 2025, chiếm 35% các sự cố – tăng 10 điểm phần trăm so với năm trước.

Giải Pháp Bảo Vệ Định Danh Toàn Diện

Mặc dù nhận thức về các mối đe dọa định danh ngày càng tăng, hầu hết các tổ chức không được trang bị để phản ứng hiệu quả. Chỉ 19% các tổ chức có quy trình khắc phục định danh tự động được áp dụng.

Phần còn lại phụ thuộc vào điều tra từng trường hợp hoặc các playbook không đầy đủ. Điều này tạo ra những lỗ hổng mà kẻ tấn công có thể khai thác.

Nâng Cao Khả Năng Phát Hiện và Ứng Phó

Theo Trevor Hilligoss, Trưởng phòng Nghiên cứu An ninh của SpyCloud, nhiệm vụ phòng thủ đã thay đổi. Kẻ tấn công mang tính cơ hội, kết nối dữ liệu định danh bị đánh cắp để tìm bất kỳ điểm truy cập nào có sẵn.

Tuy nhiên, các hệ thống phòng thủ truyền thống vẫn tập trung hẹp vào hành vi và điểm cuối, bỏ qua các rò rỉ định danh cho phép truy cập liên tục và không bị phát hiện. Dữ liệu cho thấy các tổ chức phải mở rộng phạm vi bảo vệ đến lớp định danh.

Điều này bao gồm việc liên tục theo dõi các rủi ro và thực hiện khắc phục để ngăn chặn các mối đe dọa định danh trước khi các cuộc tấn công tiếp theo có thể xảy ra.

Tầm Quan Trọng của Trí Tuệ Định Danh

Báo cáo nhấn mạnh sự cần thiết của một cách tiếp cận toàn diện để bảo vệ định danh. Điều này có nghĩa là liên tục tương quan các rủi ro trên toàn bộ dấu chân kỹ thuật số của người dùng.

Nó bao gồm các định danh trong quá khứ và hiện tại, cá nhân và công ty. Đồng thời, tự động hóa việc khắc phục thông tin xác thực, cookie, PII và mã thông báo truy cập bị xâm phạm. Báo cáo SpyCloud 2025 Identity Threat Report cung cấp cái nhìn chi tiết hơn về các phương pháp này.

Khi làm như vậy, các tổ chức sẽ vượt ra ngoài việc bảo vệ cấp tài khoản. Họ sẽ có được khả năng hiển thị các rủi ro định danh mà các tác nhân đe dọa đã và đang khai thác.

Trí tuệ định danh toàn diện của SpyCloud giúp các tổ chức ngăn chặn các mối đe dọa định danh. Các đội ngũ xuất sắc trong bảo mật định danh biết chính xác nơi tồn tại các rủi ro, có thể giải quyết chúng trên quy mô lớn, hoạt động với trách nhiệm được xác định rõ ràng và liên tục thích ứng thay vì chỉ phản ứng.

Tương lai thuộc về những ai coi định danh là nhiệm vụ tối quan trọng. Đó là xây dựng các hệ thống phát hiện sự thỏa hiệp sớm, phản ứng dứt khoát và đánh bại các tác nhân đe dọa khỏi việc phát động các cuộc tấn công tiếp theo, đồng thời duy trì một lực lượng lao động mạnh mẽ và an toàn.