Năm 2025 đang diễn ra trong bối cảnh niềm tin vào các cơ sở dữ liệu lỗ hổng bị xói mòn, số lượng **tấn công mạng** bùng nổ, và tình trạng quá tải kỹ thuật số diễn ra tại nhiều doanh nghiệp. Các vụ rò rỉ dữ liệu đã trở thành sự cố thường nhật, số lượng **lỗ hổng CVE** tiếp tục phá vỡ các kỷ lục, và các phương pháp phòng thủ truyền thống không còn hiệu quả.

Chuyên gia an ninh mạng Ilia Dubov, Trưởng phòng An toàn Thông tin và Tuân thủ tại Kaspersky, đã công bố một cái nhìn tổng quan về ngành và chiến lược **quản lý lỗ hổng** trên tạp chí The Top Voices. Bài viết này tổng hợp những sự thật và xu hướng quan trọng đang định hình bối cảnh ngành trong năm nay.

Sự Bùng Nổ của Lỗ Hổng CVE và Khủng Hoảng NVD

Kỷ Lục Mới về Lỗ Hổng và Thời Gian Khai Thác Rút Ngắn

Năm 2024 đã lập kỷ lục về số lượng **lỗ hổng CVE**. Theo Diễn đàn Các Đội Ứng phó Sự cố và An ninh (FIRST), hơn 45.000 lỗ hổng đã được ghi nhận trong vòng mười hai tháng. Con số này dự kiến sẽ tăng thêm 11% vào năm 2025.

Đối với các chuyên gia bảo mật, điều này không chỉ đồng nghĩa với khối lượng công việc ngày càng tăng mà còn là thời gian phản ứng bị thu hẹp đáng kể. Đáng lo ngại nhất là khoảng cách giữa thời điểm công bố và thời điểm khai thác một lỗ hổng giờ đây chỉ còn vài giờ.

Các tác nhân tấn công đang tận dụng tự động hóa và học máy để biến các **lỗ hổng CVE** thành mã khai thác hoạt động nhanh hơn mức các tổ chức có thể chuẩn bị và triển khai các bản vá.

Khủng Hoảng Cơ Sở Dữ Liệu Lỗ Hổng Quốc Gia (NVD)

Trong bối cảnh số lượng lỗ hổng mới tăng nhanh chóng, cộng đồng bảo mật đang đối mặt với những thách thức về hạ tầng chưa từng có. Ví dụ điển hình nhất là cuộc khủng hoảng tại Cơ sở Dữ liệu Lỗ hổng Quốc gia (NVD).

Trong nhiều năm, các nhà phát triển và đội ngũ bảo mật trên toàn thế giới đã dựa vào NVD. Tuy nhiên, vào năm 2024, NVD đã bị quá tải và không thể theo kịp với lượng dữ liệu đổ về.

Đến tháng 11, cơ sở dữ liệu này đã tích lũy hơn 20.000 lỗ hổng chưa được xử lý. Trong số đó, 93% là lỗ hổng mới, và gần một nửa đã bị khai thác tích cực. Nói cách khác, những mối đe dọa mà cộng đồng cần khả năng hiển thị nhất lại không được phân tích và phân loại.

Như Dubov đã nhấn mạnh, tình huống này đã làm suy yếu niềm tin vào các nguồn thông tin tập trung và mở ra thêm cơ hội cho kẻ tấn công.

Sự cố của NVD đã gây ra hiệu ứng domino: một số công ty buộc phải chuyển sang các nền tảng thương mại, trong khi những công ty khác lại tìm đến các sáng kiến cục bộ. Điều này càng làm phân mảnh bối cảnh dữ liệu và tăng **rủi ro bảo mật** trùng lặp hoặc mất thông tin quan trọng.

Cuộc khủng hoảng cũng không bị bỏ qua ở cấp độ chính trị: Liên minh Châu Âu đã chính thức giao nhiệm vụ cho ENISA phát triển một cơ sở dữ liệu lỗ hổng của Châu Âu. Đây là lần đầu tiên một cơ quan quản lý khu vực công khai đặt câu hỏi về hiệu quả của nguồn dữ liệu toàn cầu.

Để hiểu rõ hơn về tình trạng quá tải của NVD, bạn có thể tham khảo bài viết về NVD backlog: https://socket.dev/blog/nvd-backlog-tops-20-000-cves

Hạn Chế của Phương Pháp Quản Lý Lỗ Hổng Truyền Thống

Mô Hình Cũ Không Còn Hiệu Quả

Trong khi đó, hoạt động kinh doanh vẫn không chậm lại. Các dịch vụ đám mây, IoT, SaaS và các dịch vụ dựa trên AI đang được triển khai với tốc độ nhanh hơn bao giờ hết, tạo ra thêm nhiều điểm **rủi ro bảo mật** mới.

Trong các hạ tầng lớn và phân tán, các lỗ hổng xuất hiện nhanh hơn khả năng khắc phục chúng. Dubov nhấn mạnh rằng các tổ chức thiếu một nguồn dữ liệu đáng tin cậy duy nhất về các mối đe dọa, các bản cập nhật bị trì hoãn, và các khuyến nghị thường không nhất quán.

Trong điều kiện này, các chiến lược **quản lý lỗ hổng** truyền thống ngày càng trở nên cứng nhắc. Các chu kỳ quét và vá lỗi theo lịch trình không còn cho phép các tổ chức đi trước các kẻ tấn công.

Các công ty thường chỉ phản ứng sau khi sự cố đã xảy ra, trong khi bề mặt tấn công tiếp tục mở rộng. Thay vì liên tục giảm thiểu các mối đe dọa, các tổ chức đang tích lũy một “khoản nợ bảo mật” – số lượng lỗ hổng chưa được giải quyết ngày càng tăng mà kẻ tấn công có thể dễ dàng khai thác.

Mô hình **quản lý lỗ hổng** truyền thống được xây dựng dựa trên việc quét định kỳ, ưu tiên hóa dựa trên CVSS và vá lỗi thường xuyên. Mô hình này đã hoạt động hiệu quả khi số lượng lỗ hổng thấp hơn và việc phát triển mã khai thác mất nhiều tuần. Ngày nay, nó đã phần lớn trở thành một hình thức.

Các máy quét không thể bao phủ đầy đủ các môi trường lai như container, đám mây và SaaS. Điểm CVSS không phản ánh đúng khả năng bị khai thác thực tế hoặc mức độ quan trọng về kinh doanh của các tài sản.

Kết quả là, các tổ chức nhận được các báo cáo với hàng trăm lỗ hổng “màu đỏ” nhưng lại thiếu sự rõ ràng về những lỗ hổng nào gây ra mối đe dọa tức thì. Quy trình này tồn tại trên giấy tờ, nhưng nó không còn giảm thiểu các **rủi ro bảo mật** trong thế giới thực.

Điểm Mù Quan Trọng của Mô Hình Cũ

Quan trọng hơn, mô hình **quản lý lỗ hổng** cũ có những điểm mù lớn. Nó tập trung độc quyền vào các lỗ hổng đã đăng ký (CVEs) và phần lớn bỏ qua các yếu tố sau:

• Các cấu hình bị lộ (exposed configurations).
• Tài khoản bị quên (forgotten accounts).
• Mã token được gắn cứng (hardcoded tokens).
• Các liên kết yếu trong chuỗi cung ứng (weak links in supply chains).

Những vấn đề này không được theo dõi trong NVD và không nhận được điểm CVSS. Tuy nhiên, trên thực tế, chúng thường là các điểm xâm nhập ban đầu cho kẻ tấn công.

Nói cách khác, quy trình truyền thống chỉ bao phủ “phần nổi của tảng băng chìm”, khiến các tổ chức phải đối mặt với một phổ rộng các **rủi ro bảo mật** mà các máy quét đơn giản là không thể nhìn thấy.

Hướng Đi Mới: Quản Lý Rủi Ro Phơi Nhiễm (Exposure Management)

Con đường phía trước là chuyển đổi sang **quản lý rủi ro phơi nhiễm**. Mô hình mới này nhìn xa hơn các **lỗ hổng CVE** để bao gồm toàn bộ phổ các điểm **rủi ro bảo mật**: các cấu hình bị lộ, tài khoản bị quên, mã token được gắn cứng, và các liên kết yếu trong chuỗi cung ứng.

Cốt lõi của nó là một kho tài sản toàn diện, được cập nhật liên tục, từ các hệ thống tại chỗ đến các dịch vụ đám mây, IoT và OT.

Các Trụ Cột của Quản Lý Rủi ro Phơi Nhiễm

Việc tổng hợp dữ liệu từ nhiều nguồn – NVD, CISA KEV (Known Exploited Vulnerabilities), VulnCheck, các nguồn cấp thông tin tình báo về mối đe dọa (threat intelligence feeds), và các bản tin của nhà cung cấp – cung cấp một bức tranh chính xác hơn về những mối đe dọa nào thực sự quan trọng.

Việc ưu tiên được thúc đẩy bởi ngữ cảnh kinh doanh: mức độ quan trọng của tài sản, khả năng bị khai thác, và tác động tiềm tàng.

Tự động hóa và AI đóng vai trò trung tâm, cho phép phản ứng nhanh hơn và tập trung hơn vào những gì quan trọng nhất.

Đo Lường Hiệu Quả Mới

Hiệu quả của **quản lý lỗ hổng** thông qua phương pháp Exposure Management được đo lường bằng các chỉ số mới mà Dubov nhấn mạnh trong bài viết của mình:

• Thời gian trung bình để khắc phục (MTTR – Mean Time to Remediate): Đây là số liệu quan trọng nhất, phản ánh tốc độ tổ chức có thể vá hoặc giảm thiểu các rủi ro đã xác định.
• Tỷ lệ giảm thiểu rủi ro (Risk Reduction Rate): Đo lường mức độ giảm thiểu tổng thể các rủi ro trong một khoảng thời gian nhất định.
• Điểm phơi nhiễm tổng thể (Overall Exposure Score): Một chỉ số tổng hợp đánh giá mức độ phơi nhiễm chung của tổ chức trước các mối đe dọa.

Những Hành Động Cần Thiết

Năm 2025 đang trở thành một bước ngoặt. Các phương pháp lỗi thời không còn có thể theo kịp tốc độ và quy mô của các cuộc tấn công. Mô hình mới – **quản lý rủi ro phơi nhiễm** – đòi hỏi tự động hóa, dữ liệu tích hợp và sự hợp tác đa chức năng giữa các đội ngũ bảo mật, DevOps và kinh doanh.

Các tổ chức thích nghi sẽ có thể duy trì quyền kiểm soát rủi ro thực sự. Những người tiếp tục dựa vào chiến lược “vá lỗi và cầu nguyện” sẽ vẫn ở thế phòng thủ và đối mặt với các cuộc tấn công thường xuyên hơn mà họ không được chuẩn bị.

Đối với thị trường và các tổ chức riêng lẻ, điều này được chuyển thành ba hành động chính:

• Xây dựng một kho tài sản hoàn chỉnh: Bao gồm mọi tài sản kỹ thuật số, từ phần cứng vật lý đến các dịch vụ đám mây, ứng dụng SaaS, thiết bị IoT và hệ thống OT. Đây là nền tảng cho mọi chiến lược bảo mật hiệu quả.
• Kết hợp các nguồn dữ liệu thông tin tình báo về mối đe dọa: Tích hợp dữ liệu từ NVD, CISA KEV, VulnCheck và các nguồn cấp thông tin tình báo để có cái nhìn toàn diện về các mối đe dọa mới nhất và các lỗ hổng đang bị khai thác.
• Ưu tiên khắc phục dựa trên ngữ cảnh kinh doanh: Không chỉ dựa vào điểm CVSS mà còn xem xét mức độ quan trọng của tài sản, khả năng bị khai thác thực tế và tác động tiềm tàng đến hoạt động kinh doanh.

Để biết chi tiết chiến lược và các khuyến nghị thực tế, bạn có thể tham khảo bài viết của Ilia Dubov: “Implementation Strategy for Vulnerability Management in the 2025 Cybersecurity Landscape” tại https://thetopvoices.com/story/implementation-strategy-for-vulnerability-management-in-the-2025-cybersecurity-landscape.