1. Bức tranh mối đe dọa năm 2025
Năm 2025 đánh dấu bước ngoặt lớn khi quy mô và bản chất tấn công mạng tại Việt Nam trở nên phức tạp hơn rất nhiều. Dữ liệu từ Báo cáo tấn công mạng tại Việt Nam 2026 của VNETWORK cho thấy tin tặc đang lạm dụng AI để tự động hóa toàn bộ quy trình phá hoại, từ dò quét mục tiêu, chọn thời điểm tối ưu, điều phối hàng triệu bot cùng lúc đến tự động đổi chiến thuật theo thời gian thực dựa trên phản ứng của hệ thống phòng thủ.
Khi rủi ro dữ liệu và thiệt hại tài chính tăng theo cùng tốc độ đó, an ninh mạng không còn là câu chuyện riêng của phòng kỹ thuật. Đây là lý do các cơ quan quản lý liên tục siết chặt hành lang pháp lý thông qua Nghị định 53/2022/NĐ-CP và Luật An ninh mạng mới, đặt doanh nghiệp vào vị thế bắt buộc phải chủ động nâng cấp hệ thống để đáp ứng trách nhiệm tuân thủ pháp lý trực tiếp.
Số liệu đáng chú ý: An ninh mạng Việt Nam 2025
- 2.364.118 sự kiện tấn công bị ngăn chặn trong năm, tương đương 6.480 cuộc/ngày
- 46% sự kiện tấn công có dấu hiệu sử dụng AI (1.092.441 sự kiện)
- 37,2% tổng lưu lượng Internet là bot traffic, với gần 864 tỷ bot request
- Hơn 1,8 tỷ bản ghi dữ liệu bị rò rỉ; hơn 6.000 tỷ đồng thiệt hại từ lừa đảo trực tuyến
- Credential Attacks dẫn đầu các phương thức tấn công: 685.912 sự kiện (25,1%)
- Web Exploits đứng thứ 2: 543.247 sự kiện (19,9%)
- DDoS: 512.438 cuộc, đỉnh điểm 1,89 Tbps (18,7%)
- Bot Abuse: 425.384 sự kiện (15,6%)
- Phishing: 357.901 sự kiện (13,1%)
- Malware: 210.236 sự kiện, tỷ lệ thấp nhất nhưng tác động nặng nhất (7,7%)
- Gần 4,6 triệu email độc hại bị chặn, tương đương 529 email/giờ
- 69% email độc hại là phishing email (3.198.742 sự kiện)
- 882.937 email/sự kiện phishing có dấu hiệu được tạo bởi AI
- Chỉ 33,7% doanh nghiệp triển khai đầy đủ mô hình Defense in Depth
- Chỉ 22,1% doanh nghiệp có hệ thống giám sát tập trung
- Chỉ 8% doanh nghiệp rà soát quyền truy cập nội bộ định kỳ
- Chỉ 16,3% doanh nghiệp tuân thủ đầy đủ chính sách bảo vệ dữ liệu cá nhân
- Botnet DDoS được dự báo vượt ngưỡng 2 Tbps trong năm 2026

2. Các phương thức tấn công mạng phổ biến năm 2025
Để xây dựng một chiến lược phòng ngự hiệu quả, doanh nghiệp không thể chỉ nhìn vào số lượng cuộc tấn công tổng quan mà cần bóc tách từng phương thức cụ thể. Dưới đây là sáu hình thức phổ biến nhất được ghi nhận tại Việt Nam, xếp theo mức độ xuất hiện giảm dần.

2.1 Credential attacks (Tấn công thông tin xác thực)
Đứng đầu về cả số lượng lẫn mức độ nguy hại tại Việt Nam hiện nay là Credential attacks, chiếm tới 25,1% tổng số sự kiện được hệ thống bảo mật ghi nhận. Xu hướng này bắt nguồn từ một logic đơn giản là việc phá tường lửa đòi hỏi nguồn lực kỹ thuật lớn, trong khi đánh cắp tài khoản thì ngược lại. Khi một tổ hợp tài khoản bị lộ, hệ thống tự động có thể thử nghiệm nó trên hàng chục nền tảng khác nhau chỉ trong vài phút.
Chiến thuật phổ biến nhất trong nhóm này là credential stuffing, hay còn gọi là nhồi nhét thông tin xác thực. Tin tặc dùng bot để thử hàng nghìn tài khoản bị rò rỉ từ các vụ lộ lọt dữ liệu trước đó vào hệ thống mục tiêu. Vì sử dụng thông tin đăng nhập có thực, hình thức này có tỷ lệ thành công vượt trội so với việc đoán mật khẩu (brute force) thông thường. Nguy hiểm hơn, hệ thống sẽ ghi nhận đây là phiên truy cập hợp lệ nên không kích hoạt bất kỳ cảnh báo bất thường nào.
Sau khi xâm nhập, kẻ tấn công thường ẩn mình để thực hiện di chuyển ngang (lateral movement), âm thầm leo thang từ tài khoản ít đặc quyền lên cấp cao hơn trong nhiều tuần hoặc nhiều tháng. Đó là lý do nhiều doanh nghiệp chỉ phát hiện ra vụ việc sau khi thiệt hại đã xảy ra từ lâu.
Dữ liệu từ Báo cáo Toàn cảnh An ninh mạng Doanh nghiệp Việt Nam 2026 đã phản ánh rõ lỗ hổng này khi chỉ vỏn vẹn 8% doanh nghiệp thực hiện rà soát quyền truy cập nội bộ định kỳ và có tới 33,7% tổ chức chưa áp dụng phân quyền theo vai trò (RBAC). Hệ quả là chỉ cần một tài khoản bị chiếm quyền, phạm vi thiệt hại sẽ ngay lập tức vượt ra khỏi tầm kiểm soát. Trong kỷ nguyên số hóa, danh tính số đã trở thành tử huyệt mới của mọi doanh nghiệp.
Để vá lỗ hổng này, giải pháp nằm ở kỷ luật vận hành với ba hành động cốt lõi bao gồm triển khai MFA cho toàn bộ tài khoản trọng yếu, chủ động giám sát hành vi đăng nhập bất thường và liên tục thu hồi các quyền truy cập dư thừa. Khi một cuộc tấn công chiếm đoạt thông tin xác thực thành công, mức độ thiệt hại nặng hay nhẹ phụ thuộc hoàn toàn vào tốc độ phát hiện chứ không phải do sự tinh vi của kỹ thuật.
2.2 Tấn công DDoS
Với 512.438 cuộc tấn công DDoS được ghi nhận trong năm 2025, chiếm 18,7% tổng số sự kiện và cường độ đỉnh điểm đạt 1,89 Tbps, DDoS tiếp tục là mối đe dọa hàng đầu. Tuy nhiên, thay đổi đáng lo ngại nhất không nằm ở quy mô mà là ở cách thức tin tặc sử dụng loại tấn công này. Việc hiểu sai vai trò của DDoS trong bức tranh an ninh mạng hiện đại đang khiến nhiều tổ chức đầu tư phòng thủ sai chỗ.
DDoS không còn hoạt động đơn độc với mục tiêu duy nhất là đánh sập hệ thống. Trong năm qua, nhiều chiến dịch đã dùng DDoS như một vũ khí gây nhiễu nhằm làm tê liệt hạ tầng và thu hút toàn bộ sự chú ý của đội ngũ bảo mật. Trong lúc nhân sự ứng phó bị phân tâm, tin tặc sẽ tranh thủ tạo khoảng trống để âm thầm khai thác các lỗ hổng ứng dụng song song. Do đó, việc sập website chỉ là phần nổi của tảng băng, còn kịch bản nguy hiểm hơn lại diễn ra bí mật ở phía sau.


Xu hướng tấn công đa vector cũng đang ngày càng phổ biến khi tin tặc kết hợp đồng thời nhiều kỹ thuật khác nhau thay vì chỉ làm nghẽn băng thông truyền thống. Số liệu thực tế cho thấy các cuộc tấn công nhắm vào tầng giao thức mạng (Protocol Attacks) chiếm 32,4%, tấn công làm nghẽn băng thông (Volumetric Attacks) chiếm 26,7%, tấn công nhắm vào ứng dụng web và API (Application Layer Attacks) chiếm 23,1%, còn lại 17,8% là các đợt tấn công phức hợp (Multi-vector Attacks) kết hợp tất cả các hình thức trên. Sự phối hợp này làm tăng cường độ sát thương và khiến việc phân loại, phản ứng của doanh nghiệp trở nên khó khăn hơn gấp bội.
Đáng chú ý là có đến 234.918 cuộc tấn công DDoS mang dấu hiệu được điều phối bởi AI. Công nghệ này giúp hệ thống của tin tặc tự động theo dõi phản ứng phòng thủ của doanh nghiệp để thay đổi chiến thuật theo thời gian thực, chẳng hạn như lập tức chuyển sang tấn công tầng ứng dụng ngay khi lưu lượng băng thông bị màng lọc bảo mật chặn lại. Đây cũng là lý do vì sao các giải pháp chống DDoS truyền thống dựa trên các quy tắc tĩnh đang dần đuối sức trước các cuộc tấn công thế hệ mới.
2.3 Tấn công email
Hệ thống bảo mật của VNETWORK đã ghi nhận gần 4,6 triệu email độc hại bị chặn trong năm 2025, tương đương với áp lực 529 email mỗi giờ và 12.704 email mỗi ngày. Tỷ lệ email độc hại chiếm tới 29,7% tổng lưu lượng, đồng nghĩa với việc cứ gần 3 trong số 10 email gửi đến doanh nghiệp là một mối đe dọa tiềm ẩn. Email luôn là kênh tấn công hiệu quả nhất của tin tặc vì nó khai thác trực tiếp vào yếu tố con người, thứ không thể vá bằng các phần mềm kỹ thuật thông thường.
Khi phân tích sâu theo từng danh mục, Phishing email (email lừa đảo) chiếm tỷ lệ áp đảo với 69%, tương ứng 3.198.742 sự kiện. Các email này thường giả dạng cấu trúc của các ngân hàng, sàn thương mại điện tử hoặc đồng nghiệp để lừa lấy thông tin đăng nhập. Xếp các vị trí tiếp theo lần lượt là Malware Attachments với 18,2%, BEC chiếm 7,6% và Credential Harvesting đạt 5,2%.
Một biến thể đáng chú ý xuất hiện trong năm qua là QR Phishing (Quishing) với 161.121 trường hợp. Tin tặc đã chèn mã QR độc hại trực tiếp vào email để dẫn dụ người dùng truy cập vào các trang giả mạo trên thiết bị di động. Phương thức này giúp chúng vượt qua hoàn toàn các bộ lọc kiểm tra URL truyền thống, ngay trong bối cảnh người dùng điện thoại thường ít có tâm lý cảnh giác hơn.


Mức độ nguy hiểm còn được đẩy cao hơn thông qua làn sóng AI-generated phishing. VNETWORK đã ghi nhận gần 883.000 email lừa đảo được tạo bởi AI với nội dung cá nhân hóa chính xác từ họ tên, chức danh cho đến bối cảnh công việc thực tế, khiến ngay cả những nhân sự có kinh nghiệm cũng dễ dàng bị đánh lừa.
Bên cạnh đó, hình thức lừa đảo thỏa hiệp email doanh nghiệp (BEC) lại gây lo ngại lớn về mặt tác động tài chính trực tiếp. Bằng cách giả mạo email của lãnh đạo hoặc đối tác chiến lược để thúc giục chuyển tiền khẩn cấp, tin tặc không cần sử dụng bất kỳ mã độc nào. Chỉ cần một kịch bản đủ thuyết phục được gửi đúng lúc, một vụ tấn công BEC đơn lẻ đã có thể gây thiệt hại từ hàng trăm triệu đến hàng chục tỷ đồng cho tổ chức.
2.4 Bot abuse và Web exploits
Hình thức lừa đảo và lạm dụng bot (Bot Abuse) đã ghi nhận 425.384 sự kiện, chiếm 15,6% tổng số vụ tấn công. Để đánh giá đúng mức độ nghiêm trọng, doanh nghiệp cần phân biệt rõ bản chất của các loại bot vì không phải mọi robot mạng đều mang mục đích xấu. Thực tế cho thấy các bot hợp pháp như trình thu thập dữ liệu của công cụ tìm kiếm chỉ chiếm 10,4% tổng lưu lượng. Ngược lại, bot độc hại chiếm tới 26,8% và chúng được vận hành bởi các mạng botnet tinh vi, có khả năng điều khiển hàng triệu thiết bị trên Internet từ máy tính dính mã độc cho đến các thiết bị IoT thiếu bảo mật.
Trong nhóm bot độc hại này, chiến thuật credential stuffing thông qua bot chiếm tỷ lệ cao nhất với 33,9%, đóng vai trò là cầu nối trực tiếp dẫn đến các cuộc tấn công thông tin xác thực đã phân tích ở phần trước. Các vị trí tiếp theo bao gồm web scraping nhằm thu thập giá hoặc đánh cắp dữ liệu người dùng với 22,7%, rà quét lỗ hổng tự động (vulnerability scanning) chiếm 17,3%, tấn công Layer 7 DDoS chiếm 15% và spam tự động (spam automation) đạt 11,1%.
Đáng ngại hơn, nhiều mạng botnet hiện nay đã được tích hợp AI để mô phỏng hành vi của người dùng thật một cách hoàn hảo. Chúng biết cách ngắt quãng thời gian giữa các lượt request, di chuyển chuột ngẫu nhiên và liên tục thay đổi user agent, từ đó làm vô hiệu hóa các hàng rào nhận diện truyền thống bao gồm cả mã CAPTCHA.

Song song đó, các cuộc khai thác lỗ hổng ứng dụng web (Web Exploits) cũng chiếm tới 19,9% với 543.247 sự kiện, tập trung chủ yếu vào các nền tảng Fintech và thương mại điện tử. Các kỹ thuật như SQL Injection, tấn công XSS hoặc khai thác lỗ hổng chưa vá thường là hậu quả của quy trình phát triển phần mềm thiếu kiểm tra bảo mật định kỳ, khiến các lỗ hổng tồn tại âm thầm trong mã nguồn cho đến khi bị tin tặc phát hiện.
Riêng tại thị trường Việt Nam, xu hướng SEO poisoning thông qua việc chèn backlink độc hại đang bùng nổ mạnh mẽ. Tin tặc sẽ lợi dụng các form đăng ký không được kiểm duyệt hoặc các plugin lỗi để chiếm quyền quản trị website, từ đó nhồi nhét từ khóa cờ bạc, cá độ bất hợp pháp. Đây là đòn đánh trực diện vào uy tín thương hiệu lẫn thứ hạng tìm kiếm trên Google, gây ra những thiệt hại về mặt lâu dài còn nghiêm trọng hơn cả các cuộc tấn công kỹ thuật thông thường.
2.5 Tấn công Phishing
Với 357.901 sự kiện được ghi nhận trong năm 2025, Phishing chiếm 13,1% tổng số vụ tấn công mạng. Tuy nhiên, con số này cần được phân tích cùng một thực tế cốt lõi rằng Phishing không còn là một phương thức độc lập mà đã biến thành cổng vào cho hầu hết các chuỗi tấn công phức tạp hơn. Cả Credential attack, Ransomware cho đến lừa đảo BEC phần lớn đều bắt nguồn từ một mắt xích Phishing thành công. Vì vậy, thấu hiểu Phishing chính là thấu hiểu điểm khởi đầu của đa số sự cố an ninh mạng nghiêm trọng hiện nay.
Phishing trong năm 2025 cũng đã vượt ra khỏi ranh giới của những hòm thư điện tử từ lâu. Hình thức này đang bủa vây người dùng trên mọi mặt trận từ tin nhắn SMS (smishing), mã QR (quishing), các mạng xã hội, ứng dụng nhắn tin cho đến những trang web giả mạo dịch vụ đám mây hợp pháp như Google Drive hay SharePoint. Tin tặc cố tình lạm dụng hạ tầng của các dịch vụ có uy tín cao này để lưu trữ trang lừa đảo, lợi dụng việc các hệ thống lọc thường cho phép traffic từ các domain uy tín đi qua mà không kiểm tra kỹ nội dung bên trong.
Sự trỗi dậy của AI-generated phishing đang làm thay đổi hoàn toàn cuộc chơi bảo mật. VNETWORK đã ghi nhận 882.937 sự kiện Phishing có dấu hiệu được hỗ trợ hoặc tạo ra hoàn toàn bởi trí tuệ nhân tạo. Không chỉ dừng lại ở việc trau chuốt nội dung thuyết phục hơn, AI còn cho phép tin tặc cá nhân hóa kịch bản ở quy mô đại trà. Mỗi thông điệp độc hại gửi đi đều có thể tự động tùy chỉnh chính xác theo họ tên, chức danh, tên công ty, lĩnh vực hoạt động và thậm chí là sao chép cả phong cách viết của người gửi giả mạo. Nhờ đó, một chiến dịch lừa đảo tinh vi vốn trước đây cần hàng tuần để thiết kế thì nay có thể triển khai diện rộng chỉ trong vài giờ ngắn ngủi.
Bên cạnh công nghệ, kỹ thuật thao túng tâm lý Social Engineering trong các đợt Phishing ngày càng đạt độ tinh vi thượng thừa. Tin tặc sẽ thu thập và nghiên cứu kỹ lưỡng thông tin của mục tiêu từ mạng LinkedIn cho đến các thông báo nội bộ bị rò rỉ nhằm xây dựng những kịch bản có độ xác thực cực cao, đánh trúng vào tên dự án đang triển khai, đúng đối tác liên kết hoặc đúng thời điểm nhạy cảm trong quy trình tài chính của doanh nghiệp.
Hệ quả của Phishing không dừng lại ở việc thông tin bị rò rỉ ban đầu. Một tài khoản sau khi bị chiếm quyền hoàn toàn có thể bị lợi dụng để phát tán Phishing nội bộ. Khi nhận được email từ một địa chỉ đồng nghiệp quen thuộc, nhân sự thường sẽ mất đi tâm lý phòng vệ, khiến vòng lặp lây nhiễm mã độc lan rộng với tốc độ chóng mặt nếu tổ chức thiếu đi các giải pháp giám sát hành vi email toàn diện.
2.6 Mã độc Malware
Hệ thống ghi nhận 210.236 sự kiện mã độc trong năm 2025. Về mặt quy trình, Malware thường chỉ xuất hiện ở giai đoạn sau, khi các đợt Phishing đã thành công, Credential attack đã mở được cửa hệ thống, và kẻ tấn công đã có đủ thời gian định vị sâu bên trong mạng lưới nội bộ. Việc xuất hiện muộn ở các tầng sâu của hạ tầng giải thích lý do vì sao Malware luôn gây ra những tổn thất nặng nề và khó khắc phục nhất cho doanh nghiệp.
Trong năm 2025, nhiều chiến dịch Ransomware nguy hiểm đã bắt đầu bằng các mã độc tải xuống (Malware Loader) phát tán qua email lừa đảo. Chúng âm thầm nằm im suốt nhiều tuần để thăm dò và lập bản đồ dữ liệu trước khi chính thức kích hoạt lệnh mã hóa hoặc âm thầm dựng các cổng sau (Backdoor) vĩnh viễn. Đến khi tổ chức phát hiện ra sự cố thì thiệt hại thực tế và chi phí khôi phục thường đã vượt xa những hình dung ban đầu.
Một xu hướng đáng lo ngại khác là sự xuất hiện ngày càng dày đặc của Polymorphic Malware, loại mã độc có khả năng tự thay đổi cấu trúc chữ ký của mình sau mỗi lần thực thi. Cơ chế này khiến các hệ thống Antivirus truyền thống dựa trên việc nhận diện chữ ký (Signature-based detection) hoàn toàn bị mù do biến thể mới chưa từng tồn tại trong cơ sở dữ liệu. Hiện nay, trí tuệ nhân tạo đang cho phép tin tặc sản sinh ra các biến thể mã độc mới với tốc độ vượt mặt hoàn toàn khả năng cập nhật của các phần mềm quét mẫu thông thường.
Bên cạnh Ransomware thì danh mục mã độc phổ biến trong năm qua còn ghi nhận các dòng Trojan, Spyware, Backdoor và đặc biệt là Infostealer. Dòng mã độc đánh cắp thông tin này cực kỳ nguy hiểm trong kỷ nguyên làm việc từ xa khi nó âm thầm thu thập thông tin đăng nhập, cookie phiên làm việc cùng dữ liệu trình duyệt, giúp tin tặc chiếm quyền truy cập vào hàng loạt hệ thống mà không cần tốn công bẻ khóa mật khẩu gốc.
Chính vì vậy, điểm mấu chốt trong phòng chống Malware nằm ở tốc độ phản ứng chứ không chỉ là khâu phát hiện. Mỗi ngày mã độc ẩn mình thành công trong hệ thống là một ngày rủi ro thiệt hại của doanh nghiệp bị nhân lên. Thực tế chứng minh các tổ chức trang bị giải pháp EDR kết hợp giám sát hành vi luôn phát hiện ra các dấu hiệu bất thường sớm hơn đáng kể so với việc chỉ dựa dẫm vào các phần mềm diệt virus kiểu cũ.
3. Doanh nghiệp Việt đang phòng thủ đến đâu?
Khảo sát hơn 500 lãnh đạo IT và CISO trong khuôn khổ Báo cáo Toàn cảnh An ninh mạng Doanh nghiệp Việt Nam 2026 cho thấy một thực tế đáng suy ngẫm. Nếu chỉ nhìn vào các con số riêng lẻ, bức tranh phòng thủ trông khá ổn định với 81,1% doanh nghiệp đã trang bị firewall, 60% triển khai EDR và 72,1% tổ chức duy trì đào tạo nhân viên định kỳ.
Tuy nhiên, khi đánh giá mức độ đồng bộ, số liệu tổng hợp lại trái ngược hoàn toàn nhận định trên khi chỉ có 33,7% doanh nghiệp thực tế triển khai đầy đủ mô hình Defense in Depth trên toàn hệ thống. Phần lớn các tổ chức còn lại đang vận hành những mảnh ghép bảo mật rời rạc và thiếu tính liên kết. Lỗ hổng lớn nhất hiện nay không phải là thiếu giải pháp, mà là các công cụ đang hoạt động độc lập, vô tình tạo ra những khoảng trống lý tưởng cho tin tặc khai thác.
3.1 Mức độ triển khai bảo mật thực tế
Phản xạ tự nhiên của đa số tổ chức là ưu tiên bảo vệ cửa ngõ trước tiên. Đó là lý do lớp chu vi được đầu tư mạnh tay nhất với 81,1% doanh nghiệp sở hữu firewall và 44,7% có hệ thống IDS/IPS. Tuy nhiên, việc dồn toàn lực cho "vòng ngoài" đã lỗi thời khi tin tặc ngày nay chuyển sang dùng AI và ưu tiên dùng tài khoản chính chủ để đường hoàng đi qua cửa chính. Dù 52,1% đơn vị đã siết cấu hình MFA cho các truy cập từ xa qua VPN hoặc RDP, vẫn còn 16,3% doanh nghiệp đang thả nổi điểm cốt tử này.
Bên trong nội bộ, những con số như 71,6% doanh nghiệp đã phân vùng mạng hay 61,6% áp dụng mã hóa AES-256 nghe rất lý tưởng. Dẫu vậy, các hàng rào này sẽ trở nên vô nghĩa nếu hệ thống không có khả năng phát hiện kẻ xâm nhập kịp thời, và đây chính là điểm yếu chí mạng của đại đa số doanh nghiệp hiện nay.
3.2 Những khoảng trống nguy hiểm nhất
Hệ quả của việc thiếu liên kết dẫn đến việc chỉ 22,1% doanh nghiệp có hệ thống giám sát tập trung. Điều này đồng nghĩa với việc gần 8 trong 10 tổ chức đang vận hành mạng lưới trong trạng thái bị động hoàn toàn trước những gì diễn ra bên trong nội bộ. Khi mã độc dính vào tài khoản bị đánh cắp và âm thầm nằm vùng suốt nhiều tuần, việc thiếu một tầm nhìn toàn cảnh sẽ khiến doanh nghiệp mất đi cơ hội vàng để ngăn chặn sự cố từ sớm.
Đáng báo động hơn, chỉ đúng 8% doanh nghiệp duy trì rà soát quyền truy cập nội bộ định kỳ. Việc bỏ quên các tài khoản cũ của nhân sự đã nghỉ việc hoặc chuyển bộ phận đã vô tình tạo ra những chiếc chìa khóa vạn năng cho tin tặc. Kẻ tấn công không cần tốn công phá cửa khi chính doanh nghiệp đang để sẵn chìa khóa ở đó.
Không chỉ hổng về kỹ thuật, rủi ro pháp lý cũng đang hiển hiện khi có tới hơn 83% tổ chức chưa hoàn thiện chính sách bảo vệ dữ liệu cá nhân theo Luật số 91/2025/QH15 mới. Khoảng cách từ luật đến thực tế vẫn còn quá xa khi 30,5% doanh nghiệp mới chỉ dừng lại ở bước lập kế hoạch và 21,1% thậm chí chưa hề có động thái bắt đầu.
Sau tất cả, rào cản lớn nhất ngăn doanh nghiệp tối ưu hiệu quả bảo mật không nằm ở công nghệ, mà xuất phát từ bài toán phân bổ ngân sách và nguồn lực vận hành chiếm 42,1%, đi kèm sự thiếu hụt về chuyên môn chuyên sâu đạt 38,4%. Một hệ thống bảo mật dù được đầu tư lớn nhưng nếu thiếu đi kế hoạch duy trì dài hạn và đội ngũ chuyên trách theo dõi liên tục thì rất khó để phát huy được toàn bộ giá trị bảo vệ thực tế.
4. Ngành nào bị tấn công mạng nhiều nhất năm 2025?
Tác động từ các cuộc tấn công mạng trong năm qua có sự phân hóa rõ rệt giữa các lĩnh vực. Số liệu thực tế cho thấy một quy luật mang tính tỷ lệ thuận: những ngành nghề có tốc độ chuyển đổi số nhanh, vận hành hệ thống giao dịch trực tuyến quy mô lớn và lưu trữ khối lượng dữ liệu nhạy cảm cao thường là đích ngắm trọng điểm của tội phạm mạng.

Dưới đây là bức tranh toàn cảnh về các lĩnh vực chịu áp lực lớn nhất, đi kèm những rủi ro bảo mật đặc thù gắn liền với mô hình vận hành của từng ngành:
- Tài chính (22,4%): Sở hữu dòng tiền lớn và kho dữ liệu khách hàng vô giá, các hệ thống ngân hàng trực tuyến, ví điện tử và sàn chứng khoán luôn là đích ngắm hàng đầu. Tin tặc thường dùng bão DDoS để đánh sập cổng giao dịch, kết hợp với các chiến dịch lừa đảo tinh vi nhằm chiếm đoạt tài khoản người dùng.
- Thương mại điện tử (20,0%): Đây là chiến trường khốc liệt của các loại bot độc hại. Do lượng giao dịch và thông tin sản phẩm khổng lồ, tin tặc thường thả bot để cào quét dữ liệu giá cả nhằm cạnh tranh không lành mạnh, rà quét mật khẩu để cướp tài khoản, hoặc xả DDoS làm nghẽn mạng ngay đúng các khung giờ vàng khuyến mãi.
- Truyền thông (16,1%): Đặc thù của các nền tảng nội dung và báo chí điện tử là lưu lượng truy cập khổng lồ và yêu cầu hệ thống phải hoạt động liên tục không một giây ngắt quãng. Điểm yếu này khiến ngành truyền thông rất dễ bị tê liệt trước các đòn tấn công từ chối dịch vụ (DDoS) quy mô lớn.
- Sản xuất (14,7%): Hệ thống quản trị và chuỗi cung ứng của ngành sản xuất vốn có rất nhiều mắt xích nhỏ và các bên trung gian hợp tác. Tin tặc thường chọn cách tấn công bắc cầu: chúng không đánh thẳng vào tập đoàn lớn mà chọn đột nhập qua các nhà cung cấp nhỏ hơn có bảo mật lỏng lẻo, từ đó len lỏi vào mạng lưới lõi.
- Giáo dục (13,8%): Các trường học và tổ chức giáo dục nắm giữ khối lượng hồ sơ cá nhân khổng lồ của học sinh, sinh viên nhưng hạ tầng bảo mật lại thường khá mỏng. Điều này biến ngành giáo dục thành mục tiêu lý tưởng cho các đòn lừa đảo chiếm quyền hoặc mã độc tống tiền nhắm vào các tài liệu nghiên cứu độc quyền.
- Du lịch (11,2%): Do các hệ thống đặt vé và phòng khách sạn luôn phải công khai giá cả lẫn lịch trình, chúng trở thành miếng mồi béo bở cho vấn nạn cào quét dữ liệu tự động. Tin tặc và đối thủ cạnh tranh sẽ dùng bot để vét sạch thông tin về các chương trình khuyến mãi, vé máy bay và phòng trống nhằm trục lợi hoặc phá hoại kinh doanh.
5. AI đang thay đổi cuộc chơi theo cả hai chiều
Gần 46% tổng số vụ tấn công mạng năm 2025 tại Việt Nam có sự can thiệp của AI, tương đương hơn 1,09 triệu sự kiện được ghi nhận. Con số này là minh chứng rõ nhất cho thấy AI đang là vũ khí tối tân làm thay đổi luật chơi của cả hai phía.
- Phía tấn công: AI giúp tin tặc tự động hóa toàn bộ vòng đời phá hoại. Cụ thể, công nghệ này đảm nhiệm 27% khâu thăm dò lỗ hổng, điều phối 22% mạng lưới botnet, tạo ra 19% chiến dịch lừa đảo, đóng góp 18% vào việc tùy biến chiến thuật và phát triển 14% mã độc biến thể. Sức mạnh này giúp tin tặc dễ dàng vượt qua các hàng rào Antivirus truyền thống nhờ khả năng tự viết lại cấu trúc mã độc liên tục.
- Phía phòng thủ: Các giải pháp AI WAF và công nghệ phân tích hành vi đang trở thành lá chắn bắt buộc phải có. Thay vì chờ đợi các mẫu nhận diện cũ, AI tự học dữ liệu thực tế để vẽ nên khung hành vi chuẩn. Mọi dấu hiệu lệch chuẩn như việc tài khoản truy cập lúc 3 giờ sáng từ địa điểm lạ để trích xuất file nhạy cảm sẽ bị gắn cờ ngay lập tức. Ngoài ra, AI còn tự động lọc nhiễu cảnh báo tại trung tâm SOC, phân tích sâu ngữ cảnh email và kích hoạt lệnh cô lập thiết bị độc hại theo thời gian thực.
Khi tin tặc chỉ mất chưa đầy 5 ngày để khai thác một lỗ hổng mới, tốc độ phản ứng tính bằng phút của con người đã trở nên quá chậm. Doanh nghiệp không thể lấy quy trình thủ công để đối đầu với các đòn tấn công tự động. Tuy nhiên, AI phòng thủ sẽ hoàn toàn vô hại nếu tổ chức không sở hữu một hạ tầng giám sát và kiểm soát truy cập toàn diện.

6. Xu hướng an ninh mạng đáng chú ý năm 2026
Dữ liệu năm 2025 không chỉ là bức tranh hồi ký mà còn là chỉ dấu cho những gì đang đến. Năm xu hướng dưới đây được đúc kết từ phân tích chiều hướng tấn công và bối cảnh công nghệ hiện tại.
- Vũ khí hóa AI trên diện rộng: AI sẽ tự vận hành cả vòng đời tấn công, từ thăm dò, xâm nhập, khai thác đến duy trì quyền truy cập, hoàn toàn tự động và thích ứng theo thời gian thực. Tốc độ đó sẽ vượt xa khả năng phản ứng thủ công nếu phòng thủ không được tự động hóa tương đương.
- Tấn công danh tính leo thang: Credential stuffing sẽ tận dụng các đợt rò rỉ dữ liệu lớn để tấn công dồn dập hơn. Mô hình Zero Trust với xác thực liên tục sẽ chuyển từ lựa chọn thành tiêu chuẩn bắt buộc, kể cả với người dùng nội bộ.
- API và chuỗi cung ứng là điểm yếu mới: Một cấu hình API sai có thể lộ dữ liệu hàng triệu người dùng mà không cần xâm nhập server chính, và một điểm xâm nhập duy nhất vào nhà cung cấp SaaS hay thư viện mã nguồn mở có thể kéo theo hàng nghìn tổ chức.
- Những cuộc tấn công DDoS vượt ngưỡng 2 Tbps: IoT không bảo mật mở rộng kéo theo cường độ DDoS được dự báo vượt mức này, đòi hỏi hạ tầng chống DDoS có khả năng hấp thụ và lọc lưu lượng ngay tại biên (edge) trước khi đến gần máy chủ gốc.
- Tuân thủ pháp lý trở thành yếu tố chiến lược: Luật An ninh mạng số 116/2025/QH15 và Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 đặt trách nhiệm pháp lý trực tiếp lên lãnh đạo doanh nghiệp. Bảo mật không còn là bài toán của phòng IT mà là vấn đề quản trị rủi ro ở cấp hội đồng quản trị.
7. Khuyến nghị cho doanh nghiệp
Dữ liệu phân tích chứng minh môi trường an ninh mạng đang biến dịch với tốc độ chóng mặt. Các cuộc tấn công ngày càng tự động hóa, quy mô lớn hơn và nhắm thẳng vào hạ tầng cốt lõi của tổ chức. Trong bối cảnh đó, doanh nghiệp bắt buộc phải thay đổi tư duy, chuyển dịch từ thế phòng thủ thụ động, chờ sự cố xảy ra mới ứng phó sang mô hình bảo mật chủ động để bảo vệ toàn vẹn hoạt động kinh doanh trên không gian số.
Các khuyến nghị dưới đây được xây dựng dựa trên những bộ khung tiêu chuẩn bảo mật uy tín toàn cầu bao gồm NIST CSF, ISO/IEC 27001 và CIS Critical Security Controls, nhấn mạnh vào việc xây dựng hàng rào phòng thủ nhiều lớp, quản trị rủi ro nghiêm ngặt và giám sát liên tục.
- Triển khai bảo mật đa lớp: Doanh nghiệp cần thiết lập một kiến trúc bảo mật nhiều tầng để bảo vệ hệ thống trước các phương thức tấn công phức tạp. Mô hình này đòi hỏi sự đồng bộ toàn diện từ việc bảo vệ hạ tầng mạng, ứng dụng Web, API, hệ thống email, thiết bị đầu cuối cho đến quản lý hành vi người dùng, nhằm bủa vây và ngăn chặn tin tặc ở mọi giai đoạn xâm nhập.
- Áp dụng mô hình Zero Trust: Bản chất của Zero Trust tuân theo nguyên tắc cốt lõi là không tin tưởng bất kỳ ai. Mọi yêu cầu truy cập hệ thống, dù đến từ bên trong hay bên ngoài mạng nội bộ, đều phải được xác thực liên tục. Bằng cách kết hợp mã bảo mật hai lớp (MFA), phân đoạn mạng và giám sát hành vi, mô hình này giúp triệt tiêu tối đa rủi ro từ các làn sóng tấn công chiếm quyền điều khiển tài khoản.
- Bảo vệ Web và API: Các ứng dụng Web và cổng kết nối API hiện là mục tiêu công phá hàng đầu, đòi hỏi doanh nghiệp phải trang bị những giải pháp chuyên dụng như tường lửa WAF, API Gateway và hệ thống phát hiện bot tự động. Việc kết hợp chặt chẽ giữa chính sách giới hạn tần suất gửi yêu cầu (rate limiting) và kiểm thử bảo mật định kỳ sẽ giúp tổ chức chủ động vá các lỗ hổng tiềm ẩn trước khi bị khai thác.
- Triển khai hệ thống giám sát an ninh 24/7: Để giảm thiểu tối đa thiệt hại, doanh nghiệp cần duy trì giám sát liên tục qua mô hình Trung tâm điều hành an ninh (SOC) nhằm phát hiện sớm bất thường và kích hoạt phản ứng nhanh. Nếu không có sẵn đội ngũ chuyên trách hoặc gặp khó khăn về chi phí, giải pháp tối ưu cho doanh nghiệp là thuê dịch vụ SOC bên ngoài từ các đơn vị uy tín. Phương án này giúp tổ chức vừa sở hữu lá chắn bảo mật chuyên sâu 24/7, vừa giải phóng áp lực vận hành cho phòng IT nội bộ.
8. Kết luận
Bối cảnh công nghệ hiện tại đã xác nhận một thực tế rằng an ninh mạng không còn là câu chuyện riêng của phòng kỹ thuật, mà chính là bài toán chiến lược quyết định sự sống còn của doanh nghiệp. Khi tin tặc đã chuyển sang tự động hóa toàn bộ quy trình phá hoại bằng AI với tần suất tấn công dồn dập, câu hỏi đặt ra cho các nhà quản lý lúc này không còn là liệu hệ thống có bị xâm nhập hay không, mà là tổ chức sẽ phát hiện nhanh đến mức nào và mất bao lâu để khôi phục lại hoạt động kinh doanh.
Để giúp doanh nghiệp chủ động làm chủ cuộc chơi và bẻ gãy các làn sóng tấn công từ sớm thay vì kiệt quệ chạy theo xử lý hậu quả, VNETWORK mang đến hệ sinh thái bảo mật toàn diện cho cả Web, App, API và Email. Hãy liên hệ với VNETWORK ngay hôm nay để nhận tư vấn chuyên sâu và xây dựng một kiến trúc phòng thủ vững chắc, tối ưu riêng cho mô hình vận hành của tổ chức.
FAQ - Những câu hỏi thường gặp
1. An ninh mạng Việt Nam 2025 có điểm gì khác so với các năm trước?
Khác biệt lớn nhất là gần 46% sự kiện tấn công mang dấu hiệu sử dụng AI để tự động hóa toàn bộ vòng đời tấn công, từ thăm dò mục tiêu đến điều phối botnet và đổi chiến thuật theo thời gian thực. Ranh giới giữa tội phạm mạng thông thường và các chiến dịch gián điệp có chủ đích (APT) cũng mờ dần, với các chiến dịch nhắm đúng vào giai đoạn doanh nghiệp dễ tổn thương nhất.
2. Hình thức tấn công mạng nào phổ biến nhất tại Việt Nam năm 2025?
Tấn công thông tin xác thực (Credential Attacks) dẫn đầu với 25,1% tổng số vụ, phản ánh việc tin tặc ưu tiên đánh cắp tài khoản hơn phá hạ tầng kỹ thuật. Tiếp theo là Web Exploits, DDoS, Bot Abuse, Phishing và Malware; trong đó DDoS thường được dùng kết hợp với phương thức khác trong chiến dịch đa lớp thay vì hoạt động đơn độc.
3. Tại sao doanh nghiệp Việt Nam vẫn dễ bị tấn công dù đã đầu tư bảo mật?
Vấn đề không phải thiếu giải pháp mà là thiếu đồng bộ giữa các lớp phòng thủ. Chỉ 33,7% doanh nghiệp triển khai đầy đủ mô hình bảo mật nhiều lớp, 22,1% có giám sát tập trung và 8% rà soát quyền truy cập định kỳ, khiến khả năng phát hiện và phản ứng sự cố bị hạn chế nghiêm trọng.
4. Doanh nghiệp cần làm gì để phòng chống tấn công email hiệu quả?
Cần bảo mật email đa lớp kết hợp phân tích hành vi để phát hiện phishing và BEC, vì hệ thống lọc truyền thống không còn đủ trước AI-generated phishing và QR Phishing. Song song đó, doanh nghiệp nên đào tạo nhân viên nhận diện email giả mạo và thêm bước xác minh cho các giao dịch tài chính quan trọng.
5. Xu hướng an ninh mạng nào cần chú ý nhất trong năm 2026?
Năm 2026 sẽ chứng kiến AI weaponization toàn diện khi tin tặc tự động hóa cả vòng đời tấn công, tấn công danh tính và chuỗi cung ứng tiếp tục leo thang, botnet được dự báo vượt ngưỡng 2 Tbps. Đồng thời, các quy định pháp lý mới biến tuân thủ bảo mật thành trách nhiệm trực tiếp của lãnh đạo doanh nghiệp.