Gần 8 năm kinh nghiệm trong lĩnh vực an ninh bảo mật, trải qua các vị trí từ người chuyên đi tìm kiếm lỗ hổng (Offensive Security Engineer) cho đến trực tiếp kiến tạo các nền tảng bảo mật quy mô lớn, tôi nhận ra một sự thật phũ phàng: Các doanh nghiệp vẫn đang chi những khoản tiền khổng lồ để mua sự an tâm một cách mơ hồ.
Doanh nghiệp sẵn sàng đầu tư mạnh tay vào phần "ngọn", mua sắm các công cụ, phần mềm đắt tiền như những "tấm khiên" hào nhoáng, với kỳ vọng có thể “mua được sự an tâm”. Nhưng điều đó lại hoàn toàn bỏ ngỏ phần "gốc", là nền tảng ứng dụng. Phần “gốc” ấy chính là việc quản lý tài sản số rõ ràng, phân loại dữ liệu minh bạch, xây dựng quy trình thiết kế an toàn từ đầu và ứng phó sự cố chuẩn mực.
Tôi cho rằng, công nghệ tiên tiến đến đâu cũng không phát huy tác dụng nếu bạn không biết mình đang bảo vệ điều gì. Khi sự cố xảy ra, chi phí khắc phục luôn đắt đỏ gấp hàng chục đến hàng trăm lần so với việc xây móng vững chãi. Bảo mật chỉ thực sự phát huy sức mạnh khi ba trụ cột: Con người, Quy trình và Công nghệ được phát triển đồng đều.
 |
| Ngoài phụ trách an ninh bảo mật tại đơn vị, anh Lê Ngọc Linh cũng tham gia các hội thảo về an ninh bảo mật với tư cách diễn giả. |
"Chạy đúng" so với "An toàn khi sai"
Sự lệch pha trong đầu tư kể trên bắt nguồn từ một điểm khác biệt cốt lõi: Cách chúng ta nhìn nhận hệ thống. Khi nhìn một hệ thống, nhiều người chỉ quan tâm nó có “chạy đúng” hay không. Nhưng trong bảo mật, câu hỏi quan trọng hơn là: chuyện gì xảy ra khi nó không còn chạy đúng nữa.
Nói cách khác, viết code là để hệ thống vận hành trơn tru khi mọi thứ bình thường. Còn kiến trúc bảo mật là kỹ thuật đảm bảo hệ thống vẫn an toàn ngay cả khi mọi thứ bắt đầu sai lệch.
Trước đây, đội ngũ kỹ sư bảo mật nền tảng chúng tôi từng đối mặt với chiến dịch tấn công web skimmer (mã độc đánh cắp dữ liệu thanh toán) trên một nền tảng thương mại điện tử khổng lồ.
Kẻ tấn công không hề đánh sập trang web. Thay vào đó, chúng âm thầm tiêm vài dòng mã độc cực kỳ tinh vi vào chính các tệp lệnh (script) hợp lệ đang phục vụ các tính năng bình thường, như chức năng hiển thị giỏ hàng. “Kẻ móc túi vô hình” này sẽ gửi thông tin thẻ tín dụng, được sao chép thông qua đoạn mã bí mật, rồi tuồn dữ liệu ra một máy chủ bên ngoài, ngay khi người dùng hoàn tất thông tin thanh toán món hàng.
Giữa hàng trăm nghìn tệp mã nguồn và hàng triệu giao dịch, việc rà soát code thủ công chẳng khác nào mò kim đáy bể. Lúc đó, tư duy "kiến trúc an toàn" buộc chúng tôi phải lật ngược cách tiếp cận. Thay vì tìm xem mã độc nằm ở file nào, chúng tôi chuyển sang giám sát hành vi của "dòng chảy dữ liệu" – thiết lập các chốt chặn để phát hiện kết nối thanh toán bất thường ngay trong nội bộ hệ thống. Từ đó phát hiện ra một thành phần vốn được tin tưởng mặc định trong hệ thống đã bị hacker xâm nhập và kiểm soát, dẫn đến việc cài cắm script độc hại vào hệ thống.
Từ Zero Trust đến bài toán khuếch đại rủi ro của AI
Trận chiến đó là minh chứng rõ nhất cho một nguyên lý kỹ thuật: Bạn không thể tin tưởng bất kỳ luồng dữ liệu hay thành phần nào chỉ vì nó nằm bên trong hệ thống và trông "có vẻ" hợp lệ.
Sau những sự cố như vậy, Zero Trust không còn là một khái niệm, mà là thứ bắt buộc phải có, một thiết kế thực dụng với nguyên lý “Không giả định niềm tin có sẵn”. Nói đơn giản, mọi yêu cầu truy cập, dù từ trong hay ngoài, đều phải được xác thực liên tục dựa trên ngữ cảnh (là ai, thiết bị gì, vị trí nào). Trong một môi trường biến động từng phút, niềm tin phải là thứ được cấp phát có điều kiện. Và thiết kế Zero Trust này càng trở nên mang tính sống còn khi chúng ta đối mặt với bề mặt tấn công mới: Trí tuệ nhân tạo (AI).
Đừng tách rời AI khỏi bức tranh kiến trúc, bởi nó chính là một bộ "khuếch đại rủi ro" cực kỳ đáng sợ. Thay vì mò mẫm thủ công, AI giúp kẻ tấn công tự động vẽ ra "bản đồ sống" của hệ thống, nhận diện những sai lệch logic siêu nhỏ mà con người bỏ qua. Các chiến dịch lừa đảo phishing được cá nhân hóa hoàn hảo, và mã độc sẽ liên tục "biến hình" để qua mặt các chốt chặn tĩnh. Điều đáng ngại nhất là AI giúp những kẻ tấn công hạng trung bình trở nên nguy hiểm, nhanh chóng và khó đoán hơn bao giờ hết.
Để đối phó với sự khuếch đại này, cách tiếp cận không phải là né tránh AI, mà là đưa nó vào hệ thống phòng thủ như một thành phần có kiểm soát. Nhưng khi bắt tay xây dựng các sản phẩm an ninh mạng “Make in Vietnam”, tôi xác định rất rõ một nguyên tắc: chúng ta không thể phụ thuộc vào AI như một lời giải sẵn có. Nếu không hiểu hệ thống của mình đang vận hành ra sao, đang bảo vệ điều gì, thì việc thêm AI chỉ làm tăng thêm một lớp phức tạp khó kiểm soát.
Với tôi, “Make in Vietnam” không chỉ là viết sản phẩm ở Việt Nam, mà là làm chủ được cách hệ thống được thiết kế, cách nó đưa ra quyết định và cách nó thất bại mà vẫn an toàn. AI có thể hỗ trợ phân tích và tăng tốc, nhưng quyền kiểm soát cuối cùng phải nằm ở kiến trúc và con người đứng sau nó.
 |
| Lê Ngọc Linh, Trưởng nhóm kỹ sư bảo mật nền tảng, đơn vị FPT Smart Cloud. |
AI có thể phân tích hàng tỷ log sự kiện trong chớp mắt, nhưng nó chỉ là một lớp hỗ trợ phân tích. Nó có thể phân tích nhanh và phát hiện bất thường, nhưng mọi kết luận vẫn cần có khả năng kiểm chứng và giải thích được. Với những quyết định quan trọng, con người vẫn phải là điểm kiểm soát cuối cùng.
Bảo mật không phải là câu chuyện của một công cụ hay một công nghệ. Nó là cách một hệ thống được thiết kế, vận hành và hiểu chính nó. Nếu phần nền tảng không vững, mọi lớp bảo vệ phía trên chỉ mang tính tạm thời. Ngược lại, khi hệ thống được xây dựng với đúng tư duy ngay từ đầu, nó không chỉ chạy đúng, mà còn đủ khả năng tự bảo vệ khi mọi thứ bắt đầu đi sai.
Lê Ngọc Linh | Trưởng nhóm kỹ sư bảo mật nền tảng, FPT Smart Cloud
| Chuyên mục "FPT Làm chủ công nghệ" kể câu chuyện về hành trình đầy tự hào của người FPT trên con đường chuyển mình từ nhà cung cấp dịch vụ sang trực tiếp làm chủ công nghệ lõi. Bước vào năm 2026, mỗi dòng code, mỗi giải pháp Made-by-FPT không chỉ dừng lại ở bài toán kinh doanh, mà còn mang sứ mệnh "đồng kiến tạo năng lực quốc gia", dùng trí tuệ để bảo vệ sự tự chủ số của Việt Nam. |
Ý kiến
()