Ngày 19/03/2026, trong phiên thảo luận “Beyond Threat Intelligence” tại sự kiện SASIG Cybersecurity Innovation in Insurance tổ chức tại Lloyd’s of London—một địa điểm mang tính biểu tượng của ngành quản trị rủi ro toàn cầu. Không gian nơi đây quy tụ hàng loạt CISO, những người đang cùng đối diện với một thực tế mới:
Trong năm 2026, resilience không còn là hệ quả của công nghệ, mà đã trở thành một yêu cầu mang tính chiến lược.
Thay vì chỉ bàn về công nghệ hay công cụ, cuộc thảo luận xoay quanh những áp lực thực tế mà các lãnh đạo ngành bảo hiểm đang phải đối mặt. Một câu hỏi nổi bật liên tục được đặt ra:
Làm thế nào để chuyển từ việc “biết về mối đe dọa” sang “sống sót trước nó ở tốc độ máy”?
Từ các góc nhìn tại sự kiện (được tổng hợp lại theo nguyên tắc Chatham House), có thể đúc kết thành 4 vấn đề cốt lõi liên quan đến Cyber Threat Intelligence (CTI)—kèm theo đó là cách tiếp cận mang tư duy resilience-first.
Bài toán Signal-to-Noise trong SOC: Khi dữ liệu nhiều nhưng hành động lại ít
Một trong những vấn đề phổ biến nhất là tình trạng SOC bị quá tải. Các đội ngũ CTI và CISO đều nhận thấy hệ thống của họ hoàn toàn có thể vận hành hiệu quả hơn, nhưng lại bị “nhấn chìm” bởi lượng false positive và dòng chảy intelligence quá chậm.
Cảm giác này rất quen thuộc:
“Chúng ta có rất nhiều dữ liệu, nhưng lại ngập trong alert không dẫn đến hành động.”
Thực tế đáng lo ngại
Dữ liệu từ KELA cho thấy attacker ngày càng “log in” thay vì “break in”. Chỉ riêng năm 2025 đã ghi nhận 2.86 tỷ credential bị lộ. Điều này đồng nghĩa:
Nếu CTI của bạn chỉ dừng ở danh sách IP độc hại, bạn đang bỏ lỡ yếu tố quan trọng nhất: intent dựa trên danh tính (identity-based intent)—nguồn gốc thực sự của các cuộc tấn công.
Chuyển hướng chiến lược
Doanh nghiệp cần tái định hướng cách tiếp cận CTI, chuyển từ mô hình tập trung vào Aggregated Intelligence (tactical intelligence) sang Validated Exposure Management (operational intelligence).
- Aggregated Intelligence (tactical intelligence) – nơi các nguồn threat data được tổng hợp, nhưng mang tính rời rạc, khó hành động
- Validated Exposure Management (operational intelligence) – nơi các rủi ro và điểm phơi nhiễm được xác thực, có thể liên kết trực tiếp với hệ thống, tài sản và ngữ cảnh vận hành thực tế
Sự chuyển dịch này giúp biến intelligence từ dữ liệu tham khảo thành cơ sở ra quyết định có thể hành động ngay trong vận hành bảo mật.
Hành động thực tế
- Không coi mọi threat “có thể xảy ra” là alert
- Tập trung vào validated external exposure
- Theo dõi credential hoặc SaaS token bị rao bán trên các diễn đàn IAB (Initial Access Broker)
Đồng thời, đội ngũ cần nâng cao khả năng prioritization dựa trên:
- Threat thực tế
- Risk
- Exposure
- Blast radius
- Source
Một mô hình điển hình:
Advanced Adversary + Confirmed Intent + Active Infrastructure + Confirmed Communications + Exposed Asset + CVSS + KEV + Asset Owner Risk Rating = Priority Score
Third-Party Risk: Khi “Security Theater” không còn đủ
Trong ngành bảo hiểm, dữ liệu liên tục được chia sẻ giữa broker, underwriter và claims adjuster, tạo nên một “Regulated Web of Trust”. Tuy nhiên, điều này cũng khiến toàn bộ hệ thống dễ bị ảnh hưởng chỉ từ một điểm yếu trong chuỗi cung ứng.
Vấn đề cốt lõi
Các audit truyền thống mang tính tĩnh thực chất chỉ là “security theater”—chúng phản ánh trạng thái của vendor tại một thời điểm trong quá khứ (có thể là 6 tháng trước).
Bối cảnh mới
Attacker đã chuyển sang Upstream Exploitation:
- Một lỗ hổng trong SaaS dùng chung
→ có thể trở thành “master key” cho hàng loạt hệ thống downstream
Song song đó, regulatory compliance đang dịch chuyển mạnh sang:
→ giám sát chủ động (proactive monitoring) thay vì phản ứng sau sự cố.
Cách tiếp cận resilience
- Triển khai Continuous External Visibility
- Đánh giá khả năng quan sát của hệ sinh thái bên ngoài
Hành động cụ thể
- Bổ sung continuous attack surface monitoring cho Nth-party
- Khi đối tác có dấu hiệu suy giảm bảo mật
→ hệ thống cần tự động điều chỉnh (ví dụ: revoke OAuth token)
Availability Sabotage: Khi ransomware không chỉ là tiền
Cuộc thảo luận tại Lloyd’s trở nên nghiêm trọng hơn khi nói về sự thay đổi trong mục tiêu của ransomware.
Không còn đơn thuần là data theft, mà là:
đình trệ toàn bộ hoạt động kinh doanh
Mối đe dọa
- Dự báo tăng 45% ransomware trong năm 2026
- Xu hướng sử dụng dịch vụ chuyên nghiệp (Ransomware-as-a-Service)
Các cuộc tấn công đang tiến hóa:
- Extortion → Disruption → Sabotage / Distraction
Chuyển dịch chiến lược
Doanh nghiệp cần thay đổi trọng tâm đánh giá hiệu quả bảo mật, chuyển từ MTTD (Mean Time to Detect) sang Mean Time to Protect.
- MTTD (Mean Time to Detect) – thời gian trung bình để phát hiện mối đe dọa
- Mean Time to Protect – thời gian trung bình để thực sự bảo vệ hệ thống trước mối đe dọa
Sự chuyển dịch này phản ánh một thay đổi quan trọng: trong bối cảnh tấn công diễn ra ở tốc độ máy, việc chỉ phát hiện là chưa đủ—giá trị thực sự nằm ở khả năng bảo vệ và ngăn chặn trước khi thiệt hại xảy ra.
Resilience trong thực tế
Trong các cuộc tấn công tốc độ máy: con người không thể phản ứng kịp , “kill switch” thủ công là không đủ
Hành động cần thiết
- Xác định Blast Radius
- Bảo vệ các thành phần critical:
- Underwriting
- Claims processing
- Policyholder data
- Xây dựng workflow tự động:
- isolate hệ thống chỉ trong vài phút
Lưu ý quan trọng: Không còn là “phát hiện ransomware”— khi bạn phát hiện, bạn đã bị tấn công
Personal Resilience: Khi CISO không chỉ chịu trách nhiệm kỹ thuật
Một thay đổi quan trọng đang diễn ra trong ngành là sự dịch chuyển từ việc xem các sự cố bảo mật như một technical failure thuần túy, sang việc gắn trực tiếp với trách nhiệm cá nhân của CISO sau mỗi sự cố.
Insight quan trọng
Resilience không chỉ là response hay recovery → mà là khả năng lãnh đạo trong khủng hoảng
Các CISO giỏi:
- Xây dựng đội ngũ đa dạng
- Biết cách tận dụng điểm mạnh
- Thậm chí, nhiều người đánh giá cựu quân nhân là lợi thế lớn
Tư duy quân sự trong Cyber
- “Train as you Fight”
- Áp dụng mô hình OODA:
- Observe – Orient – Decide – Act
Kết hợp với:
- Continuous exposure discovery
- Advanced penetration testing
→ giúp chuyển từ cyber manager → cyber leader
Một góc nhìn ít được nói đến
CISO hoàn toàn có thể yêu cầu:
- đại diện pháp lý độc lập trong hợp đồng
→ để tự bảo vệ khi xảy ra sự cố
Mục tiêu cuối cùng
Kết nối Cyber với Boardroom
Hành động
- Đưa resilience thành trải nghiệm thực tế trong tổ chức
- Tổ chức tabletop exercise dạng gamified
- Có sự tham gia của:
- Board
- CEO
- Non-technical leaders
Khi mọi người đều hiểu vai trò của mình trong kịch bản Total Data Loss
→ rủi ro cá nhân của CISO sẽ giảm đáng kể
Kết luận: Tương lai thuộc về Intelligence thực chiến
Khi kết thúc phiên thảo luận tại Lloyd’s of London, một điều trở nên rất rõ ràng:
Năm 2026 sẽ kiểm tra khả năng “chịu đòn” thực sự của doanh nghiệp.
Chúng ta không thể tiếp tục dựa vào perimeter.
Resilience thực sự là sự kết hợp của:
- Con người
- AI
- Công cụ
→ để tạo ra Ground Truth Intelligence
Tại KELA, mục tiêu là:
- Hiểu cách attacker lên kế hoạch bên ngoài hệ thống
- Cho phép doanh nghiệp điều chỉnh defense
→ và né được đòn tấn công trước khi nó xảy ra
Khuyến nghị: Từ Threat Intelligence đến hành động thực tế
Trong bối cảnh các mối đe dọa ngày càng vận hành ở tốc độ máy, việc sở hữu intelligence là chưa đủ—điều quan trọng là biến intelligence thành năng lực hành động thực tế trong tổ chức.
Nền tảng CTI của KELA cung cấp các báo cáo threat intelligence hoàn chỉnh, được thiết kế dành cho cấp điều hành và có thể truy cập theo nhu cầu (on-demand). Những báo cáo này không chỉ dừng lại ở việc mô tả mối đe dọa, mà tập trung vào việc làm rõ ý đồ của attacker, cách họ chuẩn bị hạ tầng bên ngoài, và những điểm phơi nhiễm thực sự của doanh nghiệp.
Tuy nhiên, giá trị thực sự không nằm ở công cụ hay dữ liệu, mà nằm ở cách doanh nghiệp tiếp cận và triển khai intelligence trong thực tế vận hành.
Tại thị trường Việt Nam, Unitas đóng vai trò là đơn vị phân phối chính thức của KELA, mang đến không chỉ nền tảng công nghệ mà còn là năng lực tư vấn, triển khai và đồng hành cùng doanh nghiệp trong việc xây dựng mô hình resilience-first.
Thông qua Unitas, doanh nghiệp có thể:
- Hiểu rõ intelligence theo ngữ cảnh vận hành thực tế, không chỉ là dữ liệu thô
- Xây dựng khả năng theo dõi exposure và attacker intent theo thời gian thực
- Chuyển đổi từ phản ứng bị động sang chủ động phòng thủ và thích ứng
Nếu bạn muốn hiểu rõ:
- Threat intelligence thời gian thực thực sự vận hành như thế nào
- Và làm thế nào để nó giúp doanh nghiệp dự đoán, ra quyết định chính xác và tránh được các cuộc tấn công
Thì việc làm việc với một đối tác triển khai phù hợp sẽ là yếu tố quyết định.
Unitas không chỉ mang KELA đến doanh nghiệp, mà còn giúp biến KELA thành năng lực thực sự trong hệ thống của bạn.
Unitas cam kết đồng hành cùng doanh nghiệp, cung cấp các giải pháp và phân tích an ninh mạng tiên tiến nhất. Để nhận được tư vấn chuyên sâu hoặc hỗ trợ nhanh chóng, vui lòng liên hệ với chúng tôi qua email: info@unitas.vn hoặc Hotline: (+84) 939 586 168.
