top of page

9 điểm mấu chốt từ báo cáo State of Secrets Sprawl 2026: Trọng tâm hành động cho các CIO tại Việt Nam

  • 3 thg 4
  • 6 phút đọc

Đối với các Giám đốc CNTT (CIO) và Giám đốc Bảo mật tại Việt Nam, việc vận hành một đội ngũ hàng trăm lập trình viên luôn đi kèm với áp lực tối ưu thời gian phát hành sản phẩm. Dưới áp lực tiến độ, lập trình viên thường có xu hướng gán cứng (hardcode) các khóa API, token xác thực nền tảng hoặc mật khẩu cơ sở dữ liệu trực tiếp vào mã nguồn để hệ thống chạy nhanh nhất có thể.

Việc bỏ qua quy trình bảo mật này dẫn đến những hậu quả đo lường được bằng tiền. Đã có nhiều trường hợp doanh nghiệp phải thanh toán hóa đơn hạ tầng đám mây (AWS, Azure) lên đến hàng tỷ đồng chỉ trong vài ngày do hacker chiếm dụng khóa API bị rò rỉ để chạy máy chủ khai thác tiền điện tử. Thậm chí, toàn bộ cơ sở dữ liệu khách hàng có thể bị mã hóa tống tiền chỉ vì một đoạn mã chứa thông tin truy cập bị đẩy nhầm lên GitHub.

Trọng tâm hành động cho các CIO tại Việt Nam
Trọng tâm hành động cho các CIO tại Việt Nam

Báo cáo "The State of Secrets Sprawl 2026" của GitGuardian, vừa được The Hacker News phân tích, đã cung cấp những số liệu thực tế về mức độ lây lan của vấn đề này. Dưới đây là 9 điểm mấu chốt từ báo cáo mà ban lãnh đạo công nghệ cần nắm bắt.

9 điểm mấu từ báo cáo State of Secrets Sprawl 2026

1. Khối lượng dữ liệu rò rỉ chạm mức kỷ lục

Trong năm 2025, hệ thống rà quét của GitGuardian đã phát hiện 28,65 triệu secret bị nhúng trực tiếp và rò rỉ trên các kho lưu trữ công khai. Tỷ lệ này tăng 34% so với năm trước, cho thấy các phương pháp kiểm soát bảo mật truyền thống không còn theo kịp tốc độ sản xuất code hiện nay.

2. Rủi ro từ mã nguồn nội bộ (Internal Repositories) cao gấp 6 lần

Các tổ chức thường cho rằng mã nguồn nội bộ luôn an toàn do đã nằm sau hệ thống tường lửa (firewall). Tuy nhiên, số liệu chứng minh điều ngược lại: Internal repositories có khả năng chứa secret bị lộ cao gấp 6 lần so với các kho lưu trữ công khai. Khi tin tặc vượt qua được lớp mạng ngoài, hệ thống nội bộ ngay lập tức cung cấp hàng loạt thông tin xác thực hợp lệ để chúng xâm nhập sâu hơn.

3. Tốc độ rò rỉ vượt xa tốc độ tăng trưởng nhân sự

Số lượng secret bị rò rỉ đang tăng nhanh hơn số lượng lập trình viên. Tính từ năm 2021, tốc độ gia tăng của các secret bị lộ cao gấp 1,6 lần so với sự mở rộng của lực lượng phát triển phần mềm. Quy trình rà soát code thủ công đã hoàn toàn bị vô hiệu hóa trước khối lượng công việc này.

4. Ứng dụng AI làm gia tăng số lượng lỗi bảo mật

Việc sử dụng các công cụ trí tuệ nhân tạo (AI) để hỗ trợ viết code làm tăng năng suất, nhưng tỷ lệ rò rỉ secret trong các đoạn code do AI tạo ra lại cao gấp đôi mức trung bình.

Ứng dụng AI làm gia tăng số lượng lỗi bảo mật
Ứng dụng AI làm gia tăng số lượng lỗi bảo mật

Bản thân các thông tin xác thực liên quan trực tiếp đến dịch vụ AI cũng tăng 81%, đạt mốc 1,27 triệu sự cố.

5. Danh tính phi con người (NHI) chiếm tỷ trọng áp đảo

Hệ thống mạng hiện đại hoạt động dựa trên sự giao tiếp giữa các máy chủ và ứng dụng. Tỷ lệ giữa danh tính phi con người (Non-Human Identity - bao gồm service account, bot, API token) so với danh tính người dùng thực trong doanh nghiệp đang ở mức 100:1. Thiếu cơ chế giám sát nhóm danh tính này là một lỗ hổng lớn trong quản trị phân quyền.

6. Sự cố rò rỉ lan rộng ra ngoài kho chứa code

Rủi ro không chỉ nằm trên Git. Có đến 28% các sự cố lộ lọt thông tin xác thực xuất phát từ các công cụ làm việc nội bộ như Slack, Jira, Confluence, hoặc được lưu trữ trực tiếp dưới dạng văn bản (plaintext) trên máy tính cá nhân của nhân sự.

7. 97% tổ chức từng đối mặt với sự cố danh tính

Báo cáo ghi nhận 97% các tổ chức gặp phải ít nhất một sự cố liên quan đến danh tính trong năm qua, trong đó 70% xuất phát từ các dự án và hoạt động có tích hợp AI.

8. Công tác khắc phục sự cố đang bị đình trệ

Dữ liệu cho thấy 64% các secret hợp lệ bị rò rỉ từ năm 2022 vẫn chưa được vô hiệu hóa (revoke) và vẫn có thể dùng để truy cập hệ thống vào đầu năm 2026. Lập trình viên thường chỉ xóa đoạn mã chứa mật khẩu ở phiên bản hiện tại, trong khi lịch sử commit trên nền tảng quản lý phiên bản vẫn lưu giữ toàn bộ thông tin đó.

9. Bắt buộc chuyển đổi từ "Dò quét" sang "Quản lý toàn diện"

Để đối phó với quy mô của Secret Sprawl, việc dùng công cụ dò quét lỗ hổng chỉ mang tính đối phó. Tổ chức cần một cơ chế quản lý toàn bộ vòng đời của secret, tự động luân chuyển (rotate) định kỳ và vô hiệu hóa ngay khi hệ thống phát hiện hành vi truy cập bất thường.

Đề xuất giải pháp: Chuyển đổi sang tự động hóa và DevSecOps

Biết được 9 điểm mấu chốt trên là bước đầu để nhận diện rủi ro. Tuy nhiên, để xử lý triệt để hàng triệu dòng code đang tồn tại và lượng code mới sinh ra mỗi ngày, các CIO không thể chỉ dựa vào việc ban hành quy định hay yêu cầu lập trình viên cẩn thận hơn.

Chuyển đổi sang tự động hóa và DevSecOps
Chuyển đổi sang tự động hóa và DevSecOps

Tổ chức cần triển khai tự động hóa bảo mật ngay từ khâu viết code (Shift-left Security) bằng cách thiết lập quy trình DevSecOps chuẩn mực.

Thay vì tự xây dựng từ đầu và loay hoay với việc lựa chọn công cụ, nhiều doanh nghiệp tại Việt Nam đang tìm đến các đơn vị tư vấn bảo mật chuyên sâu như IPSIP Vietnam để đánh giá lại toàn bộ hạ tầng và tích hợp trực tiếp các giải pháp quản lý secret vào quy trình CI/CD.

Việc thiết lập đúng kiến trúc bảo mật này mang lại các chỉ số thay đổi rõ ràng cho tổ chức:

  • Hệ thống vận hành được gia tăng những gì? Giải pháp cung cấp khả năng hiển thị (visibility) 100% đối với mọi thông tin xác thực trên toàn hạ tầng, từ kho chứa code, hệ thống CI/CD đến các công cụ chat. Đồng thời, tốc độ phát hành phần mềm được gia tăng vì hệ thống tự động kiểm tra và chặn các lệnh commit chứa secret ngay tại máy của lập trình viên, không làm gián đoạn luồng công việc chung.

  • Mức độ rủi ro, thời gian và chi phí được cắt giảm ra sao? Phương pháp này giúp loại bỏ đến 90% rủi ro bị tấn công chuỗi cung ứng nhờ làm sạch mã nguồn từ sớm. Đội ngũ IT và bảo mật tiết kiệm được hàng trăm giờ rà soát code thủ công mỗi tháng. Quan trọng nhất, tổ chức ngăn chặn hoàn toàn nguy cơ mất hàng tỷ đồng do chi phí hạ tầng Cloud phát sinh ngoài ý muốn và tránh được các rắc rối pháp lý khi dữ liệu khách hàng bị rò rỉ.

Câu hỏi thường gặp (FAQ)

Secret Sprawl gây ra những thiệt hại tài chính trực tiếp nào?

Chi phí lớn nhất thường phát sinh khi hacker chiếm dụng API key của các dịch vụ đám mây (AWS, Google Cloud, Azure) để chạy hệ thống máy chủ đào tiền điện tử, khiến hóa đơn của doanh nghiệp tăng đột biến chỉ trong vài ngày. Bên cạnh đó là chi phí ngừng trệ hệ thống để rà soát sự cố và bồi thường thiệt hại nếu dữ liệu người dùng bị rò rỉ.

Tại sao xóa code chứa API Key trên Git không giải quyết được rò rỉ?

Hệ thống Git lưu trữ mọi sự thay đổi qua từng phiên bản (version control). Việc xóa một dòng code chứa API key chỉ làm nó biến mất ở phiên bản mới nhất, trong khi dữ liệu gốc vẫn tồn tại nguyên vẹn trong lịch sử commit. Bất kỳ ai có quyền truy cập vào repo đều có thể trích xuất lại thông tin này.

Quy trình chuẩn để xử lý khi phát hiện lộ thông tin xác thực là gì?

Hành động ưu tiên số một là Luân chuyển (Rotate) và Thu hồi (Revoke). Nhân sự cần truy cập ngay vào nền tảng quản lý dịch vụ gốc (ví dụ: bảng điều khiển AWS, cổng API của đối tác), vô hiệu hóa vĩnh viễn khóa cũ và tạo khóa mới. Sau khi đảm bảo khóa cũ không còn giá trị sử dụng, mới tiến hành bước dọn dẹp mã nguồn.

-----

Nguồn tham khảo:

Bình luận

LOGO IPSIP vietnam 1

CÔNG TY TNHH MTV IPSIP VIỆT NAM (IPSIP VIETNAM OMLLC)

​MST: 0313859600

🏢 Số SH05.01 Đường B4, Khu Saritown, Phường An Khánh, Thành phố Hồ Chí Minh, Việt Nam

​☎  +84 91 885 30 68

  • Linkedin
  • Facebook
  • TikTok
  • Email liên h��ệ
Dịch vụ nổi bật

Giải pháp cho SMEs

SOC 24/7

NOC 24/7

IT Support

An ninh mạng
Cloud

Đăng ký nhận tài liệu, tin tức an ninh mạng chuyên sâu từ IPSIP Việt Nam

bottom of page