Liên hệ
10/03/2026
Bình luận(0)Năm 2025, hệ thống thông tin tại Việt Nam ghi nhận khoảng 552.000 cuộc tấn công mạng. Con số đó đủ để giật mình. Nhưng điều đáng lo hơn lại nằm ở chỗ khác: số lượng tấn công giảm 19%, nhưng tỷ lệ doanh nghiệp chịu thiệt hại thực sự lại tăng — từ 46% lên hơn 52%. Tấn công ít hơn, nhưng đau hơn. Điều đó có nghĩa là gì? Kẻ tấn công đang trở nên chọn lọc hơn. Chúng biết nơi nào yếu, và chúng vào đúng chỗ đó.
Câu hỏi đặt ra không phải là “liệu doanh nghiệp bạn có bị tấn công không” — mà là “liệu bạn đã biết điểm yếu của mình chưa trước khi họ tìm ra”.
Kiểm thử xâm nhập là gì và tại sao nó khác với việc cài antivirus
VAPT — Vulnerability Assessment and Penetration Testing — là quá trình chủ động tìm kiếm lỗ hổng trong hệ thống của bạn bằng cách mô phỏng chính xác các kỹ thuật tin tặc sử dụng ngoài thực tế. Không phải quét tự động rồi xuất báo cáo PDF. Đội kiểm thử sẽ thực sự cố gắng xâm nhập — qua ứng dụng web, hạ tầng mạng, API, thậm chí qua email phishing nhắm vào nhân viên.
Antivirus bảo vệ bạn khỏi mã độc đã biết. Tường lửa chặn lưu lượng không mong muốn. Nhưng không công cụ nào trong số đó trả lời được câu hỏi thực sự quan trọng: nếu một người có kỹ năng và động cơ thực sự cố gắng vào hệ thống này, họ vào được không?
VAPT trả lời đúng câu hỏi đó.
Những gì thường bị phát hiện
Qua các dự án VAPT tại Việt Nam, một số lỗ hổng xuất hiện gần như ở mọi nơi:
Ứng dụng web cũ không được vá lỗi. Nhiều doanh nghiệp triển khai hệ thống ERP, CRM, hoặc cổng thông tin nội bộ rồi để nguyên trong nhiều năm. Phiên bản phần mềm lỗi thời là cánh cửa mở cho kẻ tấn công có kiến thức cơ bản.
Phân quyền truy cập quá rộng. Nhân viên cấp thấp có quyền đọc toàn bộ cơ sở dữ liệu khách hàng. Tài khoản dịch vụ chạy với quyền quản trị viên. Khi tin tặc chiếm được một tài khoản bất kỳ, chúng thường leo thang đặc quyền trong vài phút.
Mật khẩu mặc định trên thiết bị mạng. Router, switch, camera IP — nhiều thiết bị vẫn còn dùng mật khẩu nhà sản xuất. Đây là điểm vào đơn giản đến mức đáng xấu hổ, nhưng vẫn tồn tại phổ biến.
Và cái khó chịu nhất: nhân viên click vào link phishing. Không phải vì họ thiếu thông minh — mà vì email giả mạo ngày nay đã đủ tinh vi để đánh lừa cả người có kinh nghiệm.
Khi nào doanh nghiệp cần làm VAPT
Không phải chỉ khi bạn lo sợ bị tấn công. Có những thời điểm VAPT gần như bắt buộc:
Trước khi ra mắt sản phẩm hoặc hệ thống mới. Một ứng dụng di động, một cổng thanh toán, một hệ thống đặt lịch — bất kỳ thứ gì kết nối với internet và xử lý dữ liệu người dùng cần được kiểm thử trước khi có người thực sự dùng nó.
Khi chuẩn bị chứng nhận ISO 27001 hoặc Cyber Trust Mark. Cả hai tiêu chuẩn này đều yêu cầu đánh giá rủi ro kỹ thuật. VAPT là bằng chứng cụ thể nhất bạn có thể cung cấp cho kiểm toán viên.
Sau một sự cố bảo mật. Khi đã xảy ra chuyện, câu hỏi không phải là “sửa lỗ hổng đó chưa” mà là “còn bao nhiêu lỗ hổng tương tự mà chúng ta chưa biết”. VAPT giúp trả lời điều đó một cách có hệ thống.
Định kỳ hàng năm. Hệ thống thay đổi liên tục — phần mềm mới, nhân viên mới, cấu hình mới. Một bài kiểm thử thực hiện ba năm trước không còn phản ánh đúng thực trạng hiện tại.
VAPT theo quy định pháp lý tại Việt Nam
Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đặt ra yêu cầu rõ ràng về bảo mật kỹ thuật đối với dữ liệu nhạy cảm. Luật An ninh mạng 2018 và các thông tư hướng dẫn yêu cầu hệ thống thông tin quan trọng phải được đánh giá định kỳ. Các doanh nghiệp trong lĩnh vực tài chính, y tế, viễn thông còn chịu thêm yêu cầu từ cơ quan quản lý ngành.
VAPT không chỉ là thực hành bảo mật tốt — đối với nhiều doanh nghiệp Việt Nam, nó đang dần trở thành nghĩa vụ pháp lý.
Chọn đơn vị kiểm thử như thế nào
Không phải tất cả các dịch vụ VAPT đều như nhau. Có những điểm cần chú ý khi lựa chọn:
Hỏi về phương pháp luận. Đội kiểm thử có sử dụng OWASP, PTES, hay NIST không? Họ có kết hợp kiểm thử thủ công và tự động không? Báo cáo chỉ liệt kê lỗ hổng hay còn có hướng dẫn khắc phục cụ thể?
Xem xét chứng chỉ. CREST, OSCP, CEH — đây là những chứng chỉ ngành cho thấy đội kiểm thử được đào tạo đúng chuẩn. Một đơn vị được CREST công nhận đã trải qua đánh giá độc lập về năng lực và quy trình.
Đặt câu hỏi về phạm vi. VAPT tốt sẽ bắt đầu bằng việc xác định rõ phạm vi kiểm thử — hệ thống nào, giao thức nào, khung thời gian nào. Không rõ phạm vi thường dẫn đến báo cáo nông và ít giá trị thực tế.
Không phải chờ đến khi bị tấn công mới nghĩ đến VAPT
Năm 2025, một cơ quan tín dụng quốc gia tại Việt Nam bị nhóm hacker ShinyHunters xâm nhập và rò rỉ dữ liệu. Trước đó, hàng loạt vụ tấn công ransomware gây thiệt hại ước tính 11 triệu USD chỉ trong một năm. Những sự cố này không xảy ra vì thiếu ngân sách bảo mật — chúng xảy ra vì các lỗ hổng đã tồn tại từ lâu mà không ai tìm kiếm.
VAPT không đảm bảo bạn bất khả xâm phạm. Không có gì làm được điều đó. Nhưng nó đảm bảo rằng bạn biết mình đang đứng ở đâu — và có thể hành động trước khi người khác hành động thay bạn.
Nếu bạn chưa thực hiện đánh giá bảo mật kỹ thuật trong vòng 12 tháng qua, đây là thời điểm phù hợp để bắt đầu. Liên hệ với Evvo Labs để tìm hiểu về dịch vụ VAPT phù hợp với quy mô và ngành của doanh nghiệp bạn.