Quản trị

Theo các tổ chức nghiên cứu thị trường các và hãng phân tích công nghệ, giai đoạn tiếp theo của hoạt động bảo mật đang phản ánh đúng xu hướng tái cấu trúc ngành an ninh mạng xoay quanh AI và tự động hóa.

Thị trường bảo mật xoay trục sang AI

Báo cáo “Top Cybersecurity Trends for 2025” của Gartner cho biết các doanh nghiệp hiện sử dụng trung bình tới 45 công cụ bảo mật khác nhau, trong khi thị trường có hơn 3.000 nhà cung cấp giải pháp an ninh mạng. Sự phân mảnh này khiến trung tâm điều hành an ninh mạng của các doanh nghiệp phải xử lý lượng cảnh báo khổng lồ trên nhiều hệ thống riêng lẻ, làm gia tăng cảnh báo giả và kéo dài thời gian phản ứng. Gartner đánh giá “Tactical AI” (AI chiến thuật) và tối ưu hóa nền tảng bảo mật hợp nhất sẽ trở thành xu hướng trọng tâm trong giai đoạn 2025-2027, thay vì tiếp tục mở rộng số lượng công cụ đơn lẻ.

Các nghiên cứu gần đây cũng cho thấy ngành bảo mật đang chuyển dịch từ mô hình “AI hỗ trợ” sang “AI tác nhân” nơi các tác nhân AI có thể tự động điều tra, đối chiếu dữ liệu và kích hoạt phản ứng mà không cần quá nhiều thao tác thủ công từ chuyên viên trung tâm điều hành. Gartner cũng dự báo đến năm 2028, khoảng 33% ứng dụng doanh nghiệp sẽ tích hợp AI tác nhân và 15% quyết định vận hành hằng ngày sẽ được thực hiện tự động bởi AI, tăng mạnh so với mức gần như bằng 0 hiện nay.

Giới phân tích nhận định điểm mấu chốt của xu hướng này không nằm ở việc bổ sung thêm AI, mà là tái cấu trúc kiến trúc dữ liệu để AI, công cụ phát hiện và hệ thống phản ứng hoạt động trên cùng một lớp ngữ cảnh. Điều này lý giải vì sao các nhà cung cấp SIEM (hệ thống thu thập, lưu trữ, phân tích và tương quan dữ liệu log bảo mật từ nhiều nguồn khác nhau nhằm phát hiện mối đe dọa và hỗ trợ điều tra sự cố) và SOAR (công nghệ giúp tự động hóa và điều phối phản ứng an ninh mạng) đang chuyển sang xây dựng các nền tảng bảo mật hợp nhất, nơi AI có thể trực tiếp truy cập dữ liệu phát hiện, điều phối quy trình và thực thi phản ứng trong một vòng lặp khép kín.

Xu hướng này cũng kéo theo làn sóng đầu tư mới vào thị trường bảo mật AI-native (sản phẩm được xây dựng xoay quanh AI ngay từ kiến trúc nền tảng). Theo Axios, số thương vụ liên quan đến các nền tảng SOAR và tự động hóa bảo mật đã tăng 76,5% vào cuối năm 2025, phản ánh nhu cầu ngày càng lớn đối với các nền tảng có khả năng điều phối phản ứng tự động trên quy mô lớn.

Tuy nhiên, giới chuyên gia cũng cảnh báo thị trường đang bước vào giai đoạn thổi phồng về AI tác nhân, khi nhiều nhà cung cấp gắn nhãn AI tác nhân cho các công cụ tự động hóa truyền thống. Gartner ước tính hiện chỉ khoảng 130 nhà cung cấp thực sự có công nghệ AI tác nhân đúng nghĩa, và hơn 40% dự án AI tác nhân có thể bị hủy trước năm 2027 do chi phí cao hoặc không chứng minh được hiệu quả vận hành thực tế.

Doanh nghiệp tăng tốc tự động hóa bảo mật

Ông Nguyễn Tử Quảng, Phó Chủ tịch VINASA, Hiệp hội An ninh mạng quốc gia cho biết, nếu như trước đây một cuộc tấn công cần một tuần, thậm chí hằng tháng để chuẩn bị thì bây giờ với AI có thể diễn ra trong vài giờ.

“Và điều đó dẫn đến một thực tế, mọi doanh nghiệp dù lớn hay nhỏ đều đang đứng trước các nguy cơ bị tấn công, không phải nếu mà là khi nào”, ông Nguyễn Tử Quảng nhấn mạnh.

Trong khi đó, doanh nghiệp SME được cho là đối tượng dễ bị tấn công bởi nguồn lực hạn chế, hệ thống an ninh mạng quá phức tạp để vận hành và không đủ năng lực để giải quyết khi gặp sự cố. Mới đây, ManageEngine, bộ phận trực thuộc Zoho Corporation và là nhà cung cấp giải pháp quản lý công nghệ thông tin doanh nghiệp vừa công bố nâng cấp kiến trúc lõi cho nền tảng bảo mật thống nhất Log360 với việc tích hợp tính năng SOAR gốc, nhằm thu hẹp khoảng cách từ phát hiện đến phản ứng thông qua tự động hóa đa miền cho doanh nghiệp.

Theo đó, bản nâng cấp mới đưa toàn bộ quy trình phát hiện, điều tra bằng AI và phản ứng tự động vào cùng một mô hình dữ liệu thống nhất. Cùng với đó, Log360 được bổ sung thêm 7 tích hợp mới với các nền tảng bảo mật hàng đầu trong công nghệ bảo mật (EDR), quản lý định danh và cảnh báo mối đe dọa, qua đó mở rộng khả năng điều phối, phản ứng trên nhiều miền bảo mật khác nhau.

Tính năng SOAR gốc của Log360 được thiết kế hoạt động trực tiếp trên nền tảng dữ liệu lõi của hệ thống. Chỉ với một kịch bản phản ứng duy nhất, nền tảng có thể đồng thời thực hiện nhiều tác vụ như cách ly thiết bị đầu cuối thông qua EDR, thu hồi phiên truy cập bị xâm nhập qua hệ thống IAM, bổ sung dữ liệu từ nguồn tình báo mối đe dọa bên ngoài, tạo phiếu hỗ trợ kỹ thuật và gửi cảnh báo đến đội ngũ điều hành an ninh mạng.

Ông Manikandan Thangaraj, Phó Chủ tịch ManageEngine, cho biết giai đoạn tiếp theo của hoạt động bảo mật sẽ là việc tái cấu trúc hệ thống để AI, công cụ phát hiện và phản ứng hoạt động trên cùng một nền tảng dữ liệu. Theo ông, khi AI điều tra và công cụ điều phối cùng chia sẻ một mô hình dữ liệu thống nhất, các rào cản vốn khiến đội ngũ bảo mật luôn ở thế bị động sẽ được loại bỏ, đồng thời giảm nhu cầu xây dựng các kết nối API phức tạp hay tái tạo ngữ cảnh sự cố giữa các hệ thống khác nhau.

Bên cạnh khả năng điều phối tự động, Log360 còn tích hợp thư viện kịch bản phản ứng mẫu, sẵn sàng sử dụng ngay từ ngày đầu triển khai. Các mẫu phản ứng này được phân phối qua mạng lưới các máy chủ phân tán ở nhiều vị trí địa lý khác nhau, cho phép doanh nghiệp nhanh chóng kích hoạt các kịch bản tự động hóa mà không cần xây dựng từ đầu.

Ngoài ra, nền tảng còn hỗ trợ phản ứng sự cố theo ngữ cảnh bằng cách tự động làm giàu dữ liệu cảnh báo với thông tin tình báo mối đe dọa và dữ liệu tài sản. Hệ thống có thể áp dụng các điều kiện logic để phân loại mức độ nghiêm trọng hoặc yêu cầu tuân thủ trước khi kích hoạt chuỗi phản ứng nhiều bước mà không cần can thiệp thủ công.

Trong bối cảnh các cuộc tấn công mạng ngày càng phức tạp và tốc độ phản ứng trở thành yếu tố sống còn, AI đang dần chuyển từ vai trò hỗ trợ sang trung tâm vận hành của các hệ thống bảo mật doanh nghiệp. Tuy vậy, giới chuyên gia cho rằng cuộc đua AI trong an ninh mạng sẽ không chỉ phụ thuộc vào khả năng tự động hóa, mà còn ở việc các nền tảng có thực sự tạo ra hiệu quả vận hành và giảm tải cho đội ngũ điều hành hay không.

Diễm Ngọc