Trong vai trò các chuyên gia an ninh mạng, chúng ta thường bị cuốn vào “cuộc đua” đối phó với những kỹ thuật tấn công tiên tiến mới nhất. Thế nhưng, những cuộc tấn công gây thiệt hại nặng nề nhất lại không đến từ các khai thác zero-day hay kỹ thuật tinh vi, mà chủ yếu từ thông tin đăng nhập bị lộ và tài khoản hợp lệ bị chiếm quyền.
Mặc dù mối đe dọa này đã được nhắc đến từ lâu, báo cáo Picus Security – Blue Report 2025 cho thấy nhiều tổ chức vẫn gặp khó khăn trong việc ngăn chặn tấn công bẻ khóa mật khẩu và phát hiện hành vi khai thác trái phép từ tài khoản đã bị xâm phạm.
Kết thúc nửa đầu năm 2025, tài khoản hợp lệ bị chiếm quyền tiếp tục là kỹ thuật tấn công ít được phòng ngừa hiệu quả nhất – minh chứng cho sự cần thiết của một chiến lược chủ động tập trung vào những mối đe dọa đang vượt qua các lớp phòng thủ hiện tại.
Hồi chuông cảnh tỉnh: Tỷ lệ bẻ khóa mật khẩu thành công tăng đáng báo động
Blue Report là nghiên cứu thường niên của Picus, đánh giá khả năng phòng ngừa và phát hiện các mối đe dọa mạng trong thực tế. Khác với các báo cáo chỉ dừng lại ở số liệu khảo sát, Blue Report được xây dựng dựa trên 160 triệu mô phỏng tấn công triển khai trong hệ thống của các tổ chức trên toàn cầu, thông qua Picus Security Validation Platform.
Trong Blue Report 2025, Picus Labs phát hiện rằng các cuộc tấn công bẻ khóa mật khẩu thành công trong 46% môi trường được kiểm thử – gần như gấp đôi so với năm trước. Con số này chỉ ra lỗ hổng nghiêm trọng trong cách doanh nghiệp quản lý hoặc áp dụng chính sách mật khẩu.
Các yếu tố như mật khẩu yếu và thuật toán băm lỗi thời khiến hệ thống quan trọng dễ dàng bị khai thác qua brute-force hoặc rainbow table attack, từ đó kẻ tấn công giành quyền truy cập trái phép.
Điều đáng lo ngại là bẻ khóa mật khẩu vốn là một trong những phương thức tấn công lâu đời nhưng bền bỉ hiệu quả nhất, vậy mà nhiều tổ chức lại tập trung quá mức vào các mối đe dọa “tân tiến”, trong khi không duy trì chính sách mật khẩu an toàn cơ bản và chưa triển khai đầy đủ các cơ chế xác thực hiện đại.
Vì sao doanh nghiệp vẫn thất bại trong việc ngăn chặn tấn công bẻ khóa mật khẩu?
Nguyên nhân cốt lõi nằm ở mật khẩu yếu và cơ chế lưu trữ thông tin xác thực lỗi thời. Nhiều hệ thống vẫn sử dụng:
-
Mật khẩu dễ đoán
-
Thuật toán băm yếu, thiếu kỹ thuật salting
-
Thiếu xác thực đa yếu tố (MFA)
Kết quả khảo sát cho thấy: 46% môi trường có ít nhất một mật khẩu bị bẻ khóa và chuyển đổi về dạng cleartext, phản ánh sự thiếu sót nghiêm trọng trong chính sách mật khẩu, đặc biệt với tài khoản nội bộ, nơi kiểm soát thường lỏng lẻo hơn so với tài khoản bên ngoài.
Giải pháp: tổ chức cần áp dụng chính sách mật khẩu nghiêm ngặt hơn, triển khai MFA cho toàn bộ người dùng, và định kỳ kiểm thử khả năng phòng thủ của hệ thống lưu trữ thông tin đăng nhập. Nếu không, kẻ tấn công sẽ tiếp tục khai thác tài khoản hợp lệ để tiếp cận hệ thống trọng yếu một cách dễ dàng.
Tấn công dựa trên thông tin đăng nhập: Mối đe dọa âm thầm nhưng hủy diệt
Mối đe dọa từ việc lạm dụng thông tin xác thực (credential abuse) vừa phổ biến vừa nguy hiểm. Khi đã có trong tay tài khoản hợp lệ, kẻ tấn công có thể:
-
Di chuyển ngang (lateral movement)
-
Leo thang đặc quyền (privilege escalation)
-
Kiểm soát hệ thống trọng yếu
Các nhóm infostealer và ransomware thường dựa vào tài khoản bị đánh cắp để lây lan trong mạng, “đào sâu” qua nhiều lớp, thường không kích hoạt cảnh báo. Điều này cho phép chúng tồn tại lâu dài (long dwell time) trong hệ thống, âm thầm trích xuất dữ liệu theo ý muốn.
Tuy nhiên, nhiều tổ chức vẫn tập trung ngân sách vào phòng thủ chu vi (perimeter defense), trong khi bảo mật định danh và thông tin đăng nhập lại chưa được quan tâm đúng mức.
Một phát hiện quan trọng từ Blue Report 2025: kỹ thuật Valid Accounts (MITRE ATT&CK T1078) tiếp tục là phương thức bị khai thác nhiều nhất với tỷ lệ thành công lên tới 98%. Một khi kẻ tấn công có được thông tin đăng nhập – dù từ bẻ khóa mật khẩu hay mua từ Initial Access Broker (IAB) – chúng có thể nhanh chóng mở rộng kiểm soát hệ thống, vượt qua các lớp phòng thủ truyền thống.
Làm thế nào để tăng cường phòng thủ trước Credential Abuse và Password Cracking?
Các tổ chức cần:
-
Triển khai chính sách mật khẩu mạnh, yêu cầu độ phức tạp cao
-
Loại bỏ thuật toán băm lỗi thời, thay thế bằng phương thức bảo mật tiên tiến
-
Bắt buộc MFA cho toàn bộ tài khoản nhạy cảm
-
Thường xuyên mô phỏng tấn công để kiểm thử khả năng phòng vệ
-
Nâng cao khả năng phát hiện hành vi bất thường liên quan đến credential abuse và lateral movement
-
Giám sát chặt chẽ lưu lượng outbound để phát hiện dữ liệu bị rò rỉ, kết hợp với các giải pháp DLP (Data Loss Prevention)
Thu hẹp khoảng trống trong quản lý mật khẩu và thông tin đăng nhập
Kết quả từ Blue Report 2025 cho thấy nhiều tổ chức vẫn dễ bị truy cập vào hệ thống trước mối đe dọa âm thầm từ bẻ khóa mật khẩu và tài khoản bị chiếm quyền.
Mặc dù việc củng cố phòng thủ là cần thiết, nhưng báo cáo chỉ ra rằng điểm yếu cốt lõi nằm ở quản lý thông tin xác thực và kiểm soát nội bộ. Các nhóm ransomware và infostealer đã và đang tận dụng triệt để khoảng trống này.
Nếu doanh nghiệp của bạn sẵn sàng chủ động nâng cao khả năng phòng thủ, giảm thiểu rủi ro, và tập trung vào những lỗ hổng trọng yếu nhất, Blue Report 2025 sẽ là nguồn tham khảo vô giá để định hướng chiến lược.
Tại Picus Security, chúng tôi luôn sẵn sàng đồng hành, giúp tổ chức của bạn xây dựng năng lực phòng thủ trước các mối đe dọa ngày càng tinh vi.