Năm 2025, Việt Nam ghi nhận khoảng 552.000 cuộc tấn công mạng. Con số đó giảm 19% so với năm trước — nghe có vẻ như tin tốt. Nhưng thực tế đi kèm con số đó mới là phần đáng lo. Theo Hiệp hội An ninh mạng Quốc gia, 52,3% cơ quan, doanh nghiệp cho biết đã chịu tổn hại trong năm. Năm trước đó, con số này là 46,15%. Số vụ giảm — nhưng thiệt hại tăng. Hacker không còn tấn công ồ ạt. Họ chọn mục tiêu, chuẩn bị kỹ, rồi đánh một cái sâu. Đó là lý do VAPT — Vulnerability Assessment and Penetration Testing — không còn là “nên làm” mà trở thành “bắt buộc” với bất kỳ doanh nghiệp nào đang vận hành hệ thống trên không gian số.

Lỗ hổng mới xuất hiện mỗi ngày — vũ khí hóa trong 8 ngày

Theo VNPT-CTIP, trung bình mỗi ngày từ đầu năm 2025 có hơn 110 lỗ hổng bảo mật mới được công bố. Không phải lỗ hổng “lạ” — mà là những lỗ hổng đã có mã khai thác (PoC) công khai trên mạng. Thời gian trung bình để một lỗ hổng được tin tặc vũ khí hóa và triển khai tấn công là khoảng 8 ngày. Nhưng các cuộc rà quét bắt đầu chỉ trong vòng 4 giờ kể từ khi PoC được công bố. Nghĩa là: doanh nghiệp có trung bình 4 giờ — trước khi hacker bắt đầu quét hệ thống. Một lỗ hổng như CVE-2024-7097 (trên thiết bị Fortinet) đã được nhắm đến nhiều lần tại Việt Nam. Các sản phẩm của Palo Alto, Ivanti cũng liên tục nằm trong tầm ngắm. Các lỗ hổng Broken Access Control (BAC) và Security Misconfiguration — lỗi cấu hình — chiếm tỷ lệ lớn trong các vụ xâm nhập thành công.

Tại sao doanh nghiệp Việt vẫn chưa chạy VAPT

Có ba lý do phổ biến. **Thứ nhất: chưa thấy thiệt hại thực sự.** Nhiều doanh nghiệp tin rằng “hệ thống chạy bình thường là an toàn.” Nhưng ransomware, đánh cắp dữ liệu, và xâm nhập hệ thống thường diễn ra âm thầm — không có dấu hiệu rõ ràng cho đến khi dữ liệu đã nằm trên chợ đen. **Thứ hai: không biết bắt đầu từ đâu.** VAPT có nhiều cấp độ — từ quét lỗ hổng tự động (VA) đến kiểm thử xâm nhập thủ công chuyên sâu (Pentest). Doanh nghiệp nhỏ thường không có chuyên gia nội bộ để phân biệt và chọn gói phù hợp. **Thứ ba: cho rằng tốn kém.** Theo khảo sát thực địa, chi phí pentest cơ bản cho hệ thống nhỏ tại Việt Nam bắt đầu từ 15–30 triệu đồng/năm — thấp hơn nhiều so với thiệt hại khi bị tấn công. Một vụ ransomware trung bình tại Việt Nam có chi phí khôi phục ước tính 1,85 triệu USD theo Trellix.

VAPT gồm những gì — và doanh nghiệp cần cấp độ nào

VAPT là sự kết hợp của hai phương pháp: **Đánh giá lỗ hổng (VA)** — quét tự động toàn bộ hệ thống, xác định điểm yếu, phân loại theo mức độ nghiêm trọng (Critical, High, Medium, Low). Phù hợp để kiểm tra định kỳ hàng quý — chi phí thấp, bao quát rộng. **Kiểm thử xâm nhập (Pentest)** — chuyên gia thủ công mô phỏng tấn công thực sự, khai thác lỗ hổng để xác nhận mức độ ảnh hưởng thực tế. Phù hợp để đánh giá trước các sự kiện quan trọng (ra mắt sản phẩm, nâng cấp hệ thống) hoặc trước kiểm toán ISO 27001, CSA Cyber Trust Mark. Một dự án pentest chuẩn thường kéo dài 4–6 tuần, bao gồm: lập kế hoạch và xác định phạm vi, thu thập thông tin, quét và đánh giá lỗ hổng, khai thác có kiểm soát, báo cáo chi tiết kèm lộ trình khắc phục. Với doanh nghiệp vừa và nhỏ, Viettel IDC — đối tác VAPT chuẩn quốc tế tại Việt Nam — cung cấp gói pentest từ 15–30 triệu đồng/năm cho hệ thống cơ bản. FPT IS là doanh nghiệp duy nhất tại Việt Nam đạt chứng nhận CREST quốc tế cho dịch vụ kiểm thử xâm nhập.

Đặc biệt: website và email là điểm vào phổ biến nhất

Theo VNPT-CTIP, hơn 70% các cuộc tấn công vào hệ thống doanh nghiệp đi qua tài khoản hệ thống — thường là tài khoản email hoặc VPN bị lộ. Các mã độc stealer như VietCredCare đã tấn công 9 cơ quan chính phủ, 65 trường đại học và 21 ngân hàng — chỉ bằng cách đánh cắp credentials từ trình duyệt người dùng. Trong nửa đầu 2025, 911 tên miền lừa đảo và 746 trang giả mạo được phát hiện — tăng 82,8% so với cùng kỳ năm trước. Phần lớn nhắm vào thương hiệu Việt Nam để đánh cắp thông tin đăng nhập của khách hàng hoặc nhân viên. Điều này có nghĩa: VAPT cho website và hệ thống email không chỉ là bảo vệ “bên trong” — mà còn là bảo vệ uy tín thương hiệu.

Luật An ninh mạng 2025 — VAPT trở thành yêu cầu thực thi

Luật An ninh mạng có hiệu lực từ ngày 1 tháng 7 năm 2026. Các doanh nghiệp thuộc phạm vi điều chỉnh — đặc biệt trong lĩnh vực tài chính, viễn thông, công nghệ — sẽ phải chứng minh năng lực bảo vệ hệ thống thông tin. VAPT là công cụ để tạo bằng chứng đó — báo cáo từ nhà cung cấp uy tín, có phạm vi, phương pháp và kết quả rõ ràng. Tương tự, khi doanh nghiệp hướng tới chứng chỉ ISO 27001 hoặc CSA Cyber Trust Mark, kiểm thử xâm nhập là yêu cầu bắt buộc trong quy trình đánh giá.

Evvo Labs — VAPT cho doanh nghiệp Việt

Tại Evvo Labs, chúng tôi cung cấp dịch vụ VAPT phù hợp với quy mô và ngân sách doanh nghiệp — từ đánh giá lỗ hổng nhanh cho hệ thống nhỏ, đến kiểm thử xâm nhập chuyên sâu cho hạ tầng phức tạp. Chúng tôi đã thực hiện VAPT cho nhiều tổ chức tại Việt Nam và Đông Nam Á — phát hiện lỗ hổng trước khi hacker khai thác, đồng thời hỗ trợ doanh nghiệp xây dựng báo cáo tuân thủ cho Luật An ninh mạng, ISO 27001, và CSA Cyber Trust Mark. Nếu anh/chị chưa biết bắt đầu từ đâu — đây chính là bước đầu tiên.

Dịch vụ liên quan: Kiểm thử xâm nhập (VAPT) | Tư vấn ISO 27001