Gửi nhật ký, cảnh báo và dữ liệu đo lường qua bộ Data Diode

Tìm hiểu cách thức
Chúng tôi sử dụng trí tuệ nhân tạo để dịch trang web và mặc dù chúng tôi luôn cố gắng đảm bảo độ chính xác, nhưng đôi khi bản dịch có thể không đạt độ chính xác tuyệt đối. Mong quý vị thông cảm.
Trang chủ/ Blog / An ninh mạng quốc phòng vào năm 2026: Được thực thi…
Bảo mật Hệ thống mạng Trọng yếu

An ninh mạng quốc phòng vào năm 2026: Ranh giới được kiểm soát chặt chẽ, nội dung không được kiểm duyệt

Qua OPSWAT
Cập nhật lần cuối:
Chia sẻ bài viết này

Một nhóm đe dọa có liên hệ với Trung Quốc đã duy trì sự hiện diện bên trong cơ sở hạ tầng trọng yếu Mỹ cơ sở hạ tầng trọng yếu hơn năm năm trước khi bị phát hiện.[1] Một chiến dịch riêng biệt nhắm vào lĩnh vực hàng không vũ trụ và quốc phòng cụ thể đã duy trì sự hiện diện không bị phát hiện trung bình trong 393 ngày.[2] Trong cả hai trường hợp, đối tượng tấn công đều không xâm nhập bằng cách đột nhập. Chúng xâm nhập thông qua một tệp tin, qua một nhà cung cấp, hoặc qua ranh giới mạng được thiết lập nhưng chưa bao giờ được kiểm tra.

Cơ sở công nghiệp quốc phòng không thiếu các biện pháp bảo vệ vành đai. Tuy nhiên, vẫn tồn tại một khoảng trống giữa ranh giới mà các nhà bảo vệ vạch ra và nơi mà kẻ thù thực sự xâm nhập. Khoảng trống đó nằm ở nội dung — các tệp tin, thiết bị và các luồng dữ liệu di chuyển qua mạng lưới quốc phòng hàng ngày, vốn thường được cho là an toàn.

Để đảm bảo an toàn, cần phải có các biện pháp kiểm soát đã được xác thực tại các điểm cụ thể mà nội dung đáng tin cậy được chuyển từ miền này sang miền khác: điểm nhập liệu từ phương tiện lưu trữ di động, ranh giới phân loại, giao diện OT-IT và gói phần mềm khi được đưa vào môi trường quan trọng đối với nhiệm vụ.

Các mối đe dọa nhắm vào lĩnh vực quốc phòng vào năm 2026

Hơn 80% các tổ chức trong lĩnh vực hàng không vũ trụ và quốc phòng đã gặp phải sự cố rò rỉ dữ liệu trong 12 tháng qua.[3] Ngành này phải đối mặt với khoảng 1.250 sự cố mạng mỗi tuần, [4] với số vụ tấn công tăng 300% kể từ năm 2018 và 61% tổ chức bị tấn công bởi ransomware trong năm qua.[5] Chi phí trung bình cho mỗi vụ vi phạm là 5,46 triệu đô la, chưa tính đến sự gián đoạn của các chương trình bí mật, rủi ro về phản gián hoặc rủi ro hợp đồng sau khi nhà cung cấp bị xâm phạm.[6]

Threat Intelligence của Google đã xác nhận vào tháng 2 năm 2026 rằng các nhóm gián điệp có liên hệ với Trung Quốc đã nhắm mục tiêu vào lĩnh vực quốc phòng và hàng không vũ trụ nhiều hơn bất kỳ thực thể nhà nước nào khác trong hai năm qua,[7] bằng cách khai thác các thiết bị biên, thiết bị VPN và các kênh truyền tệp để thiết lập quyền truy cập lâu dài. Nga, Iran và Triều Tiên hoạt động trên cùng một cơ sở công nghiệp. Các chiến dịch DDoS của các hacker hoạt động vì mục đích chính trị tạo ra hơn 76% số lượng sự cố trong lĩnh vực này (gấp đôi mức trung bình của các ngành khác[8]), nhưng số lượng không phải là thước đo quan trọng. Mối đe dọa chiến lược là chính xác và kiên nhẫn. Nó không gõ cửa. Nó xâm nhập thông qua nội dung đã được tin cậy.

Các kỹ thuật LOTL (Living Off the Land), vốn tận dụng các công cụ hệ thống hợp pháp đã có sẵn trên mạng, cho phép kẻ tấn công hoạt động mà không bị phát hiện. Đến khi hệ thống phân tích hành vi được kích hoạt, kẻ tấn công tinh vi thường đã ẩn náu đủ lâu để lập bản đồ môi trường, xác định các mục tiêu có giá trị cao và chuẩn bị cho việc đánh cắp dữ liệu. Việc phát hiện là cần thiết, nhưng chưa đủ. Điểm mấu chốt nằm ở điểm xâm nhập, chứ không phải bên trong mạng.

Quyền truy cập theo mô hình Zero Trust là cần thiết. Nhưng điều đó chưa đủ.

Mô hình Zero Trust đã trở thành tiêu chuẩn an ninh chủ đạo trong các mạng lưới quốc phòng và chính phủ, và điều này hoàn toàn có lý do chính đáng. Xác thực liên tục, nguyên tắc quyền truy cập tối thiểu, kiểm soát trạng thái thiết bị, phân đoạn vi mô — những biện pháp kiểm soát này là cần thiết và phải được tích hợp vào mọi kiến trúc quốc phòng. Vấn đề không nằm ở mô hình Zero Trust. Vấn đề nằm ở việc coi nó như một giải pháp toàn diện cho một vấn đề mà nó vốn không được thiết kế để giải quyết. Zero Trust Access được xây dựng để kiểm soát ai được truy cập vào mạng. Nó không được xây dựng để xác minh những gì được truyền qua ranh giới một khi họ đã vào mạng. 

Hạn chế này mang tính cụ thể. Mô hình Zero Trust xác minh danh tính của người vượt qua ranh giới. Quá trình xác minh nội dung xác định những gì được phép vượt qua. Một chính sách Zero Trust sẽ xác thực chính xác rằng một người dùng đã được xác thực trên thiết bị được ủy quyền đang yêu cầu một giao dịch hợp lệ. Mô hình này không thể phát hiện liệu tệp đang được chuyển có chứa macro độc hại, tải trọng độc hại được ghép nối hay lỗ hổng zero-day được nhúng trong định dạng tài liệu đáng tin cậy hay không. 

Các chiến dịch tấn công mở đầu bài viết này (vụ xâm nhập kéo dài 393 ngày của BRICKSTORM vào các môi trường A&D, cùng với việc Volt Typhoon duy trì sự hiện diện trong 5 năm tại cơ sở hạ tầng trọng yếu Mỹ) không hề vượt qua được các biện pháp kiểm soát truy cập. Chúng xâm nhập thông qua các nội dung mà các biện pháp kiểm soát truy cập không có lý do gì để nghi ngờ.  

Quản lý danh tính và quyền truy cập là lớp bảo mật cần thiết đầu tiên. Việc xác minh nội dung tại điểm vào vật lý, ranh giới phân loại và chuỗi cung ứng phần mềm là lớp bảo mật quyết định những gì thực sự được phép tiếp cận đích đến. Khi kết hợp với nhau, hai lớp này tạo thành một hệ thống hoàn chỉnh. Tuy nhiên, nếu hoạt động độc lập, mỗi lớp sẽ không thể lấp đầy những lỗ hổng mà lớp kia để lại. 

Bốn điểm yếu cụ thể và lý do tại sao các biện pháp kiểm soát biên giới lại bỏ sót chúng

Media di động Media các điểm tiếp nhận cách ly vật lý

51% tổng số phần mềm độc hại được phát hiện vào năm 2024 được thiết kế đặc biệt để khai thác USB , con số này tăng gấp sáu lần so với năm 2019. [9] 82% trong số các phần mềm độc hại đó có khả năng gây ra tình trạng mất khả năng quan sát hoặc mất quyền kiểm soát trong các môi trường OT. [10] Các giải pháp cách ly vật lý (air gaps) loại bỏ kênh mạng. Tuy nhiên, chúng không loại bỏ kênh vật lý. 

Đối với các khu vực an ninh thông tin (SCIF), hệ thống vũ khí cách ly mạng và môi trường công nghệ vận hành (OT) trên các mạng công nghiệp bị cô lập, mọi thiết bị đi vào cơ sở đều là một điểm xâm nhập tiềm ẩn. Năm 2024, một tác nhân đe dọa có liên quan đến Trung Quốc đã sử dụng một USB bị nhiễm độc để xâm nhập vào môi trường OT của một nhà sản xuất quốc phòng Tây Âu. Một trong bốn sự cố an ninh công nghiệp trong năm đó liên quan đến sự kiện USB . Một ổ đĩa duy nhất chưa được quét có thể vượt qua mọi biện pháp kiểm soát ở lớp mạng được triển khai vì các biện pháp kiểm soát ở lớp mạng không bao giờ phát hiện ra nó. 

Chuỗi cung ứng phần mềm

Các sự cố trong chuỗi cung ứng hiện chiếm 30% tổng số vụ vi phạm an ninh mạng, tăng so với mức 15% của năm trước.[11]Ít nhất 70% cơ sở công nghiệp quốc phòng bao gồm các doanh nghiệp nhỏ với nguồn lực an ninh hạn chế, nhưng lại phải đối mặt với cùng những tác nhân đe dọa do nhà nước hậu thuẫn đang nhắm vào các nhà thầu chính lớn nhất.[12]Các nhà thầu chính được bảo vệ rất chặt chẽ. Do đó, các đối thủ thường nhắm vào các nhà cung cấp cấp 2 và cấp 3. 

Mặt trận tấn công còn mở rộng sang các bản cập nhật phần mềm nhúng do các nhà thầu bảo trì cung cấp, các thành phần phụ thuộc mã nguồn mở trong phần mềm hệ thống vũ khí, cũng như các chuỗi công cụ phát triển được các nhà cung cấp trong ngành công nghiệp quốc phòng (DIB) sử dụng. Nếu thiếu khả năng theo dõi chi tiết đến cấp thành phần về những gì đang chạy trong môi trường quốc phòng, việc ứng phó với lỗ hổng bảo mật sẽ chỉ mang tính phản ứng, còn quản lý rủi ro chuỗi cung ứng chỉ dừng lại ở mức mong muốn. Một gói phần mềm độc hại có thể xâm nhập vào các hệ thống quan trọng cho nhiệm vụ trước khi có bất kỳ bản nhận diện nào dành cho nó. 

Việc truyền dữ liệu giữa các miền và ranh giới giữa OT và IT

Việc truyền tải tệp tin giữa các mức độ bảo mật SECRET và UNCLASSIFIED, các mạng lưới liên minh, hệ thống vận hành (OT) và công nghệ thông tin (IT), truyền dữ liệu giữa tàu và bờ, hệ thống đo từ xa trên không và hệ thống mặt đất, cùng với việc giám sát phòng thủ mạng tập trung trên các môi trường phân tán[13] đều là những điểm tiềm ẩn có thể bị xâm nhập hoặc rò rỉ thông tin. Các loại dữ liệu đã được mở rộng. Các nền tảng lưu trữ môi trường cao cấp và thấp cấp đã chuyển sang kiến trúc đám mây. Yêu cầu nhiệm vụ về trao đổi dữ liệu cũng ngày càng gia tăng.

Các điốt dữ liệu cung cấp cơ chế kiểm soát một chiều ở cấp độ phần cứng, đảm bảo rằng không có lỗ hổng phần mềm nào có thể tạo ra kênh truyền ngược thông qua một điốt được triển khai đúng cách. Tuy nhiên, điốt không kiểm tra nội dung của dữ liệu đi qua. Một tải trọng độc hại trong một tệp tin đáng tin cậy sẽ đi qua điốt một cách “sạch sẽ” không khác gì dữ liệu hợp pháp. Cuộc tấn công vào cơ sở hạ tầng năng lượng của Ba Lan năm 2025 đã minh họa chính xác kiểu thất bại này: việc kiểm soát hướng truyền mà không kiểm tra nội dung khiến tải trọng độc hại có thể tự do thực thi ngay khi đến mạng đích.

Kiến trúc xuyên miền cấp độ quốc phòng đòi hỏi phải áp dụng đồng thời cả hai biện pháp kiểm soát: thực thi có định hướng và xác minh nội dung tại cùng một ranh giới. Việc thực thi mà không kiểm tra sẽ để lọt nội dung độc hại. Việc kiểm tra mà không thực thi sẽ để ngỏ kênh ngược. Cả hai biện pháp nửa vời này đều không đủ.

Kỹ thuật lách luật dựa trên tệp: Lỗ hổng được tăng tốc bởi trí tuệ nhân tạo

Thay đổi mang tính chiến lược nhất trong bối cảnh các mối đe dọa dựa trên tệp tin trong giai đoạn 2025–2026 là việc ứng dụng trí tuệ nhân tạo (AI) vào việc tạo ra phần mềm độc hại và các kỹ thuật né tránh phát hiện. Nhóm tình báo mối đe dọa của Google đã xác định được các họ phần mềm độc hại có khả năng biến đổi theo thời gian thực trong giai đoạn tấn công, [14] đồng thời chi phí phát triển các lỗ hổng khai thác đã giảm mạnh từ hàng tuần công sức xuống gần như bằng không. [15]

Nghiên cứu OPSWATchính OPSWATđã ghi nhận một ví dụ cụ thể: kỹ thuật ghép nối tệp PDF, trong đó một tệp PDF độc hại được ghép nối về mặt cấu trúc vào một tệp PDF an toàn. Khi thử nghiệm trên 34 công cụ quét, tỷ lệ phát hiện đã giảm từ 34 xuống còn 5 khi các tệp được ghép nối.[16] Ba công cụ trước đó đã phát hiện mối đe dọa này đã ngừng phát hiện nó. Trình đọc PDF của người dùng hiển thị nội dung lừa đảo chính xác như ý đồ của kẻ tấn công. Hệ thống bảo mật đã đánh giá một tài liệu khác với tài liệu mà người dùng đã mở.

Không có dấu hiệu phần mềm độc hại nào để phát hiện. Không có lỗ hổng bảo mật nào để nhận diện. Chỉ là một cách sắp xếp cấu trúc của định dạng tệp hợp pháp khiến các công cụ quét và trình đọc hiển thị nội dung khác nhau. Tại ranh giới phân loại, một tệp duy nhất sử dụng kỹ thuật này có thể chuyển từ mức “Không phân loại” sang mức “Mật” mà không gây ra cảnh báo. Khoảng trống đó không chỉ tồn tại trên lý thuyết.

CDR (Content Disarm and Reconstruction) giải quyết vấn đề này ở cấp độ cơ chế. CDR không cố gắng xác định nội dung độc hại; thay vào đó, nó phân tách từng tệp thành các thành phần cơ bản, loại bỏ toàn bộ nội dung hoạt động và có thể thực thi bất kể cấu trúc tệp, đồng thời tái tạo một phiên bản sạch sẽ và vẫn giữ nguyên chức năng.

Một biến thể do AI tạo ra mà không có chữ ký nào được biết đến, một tài liệu độc hại được ghép nối về mặt cấu trúc, một tệp Office có chứa macro, một tệp lưu trữ được vũ khí hóa: tất cả đều bị vô hiệu hóa bằng cùng một quy trình, bởi vì CDR loại bỏ cơ chế thực thi trước khi tệp đến đích.

CDR là một cơ chế kiểm soát dựa trên ranh giới tệp. Cơ chế này không giải quyết các hoạt động LOTL bên trong mạng, cũng như không xử lý sự hiện diện của kẻ tấn công đã tồn tại trong môi trường.

Nền tảngMetaDefender®

MetaDefender được vận hành bởi MetaDefender cùng bộ công nghệ dựa trên cơ chế phòng ngừa và phát hiện, được triển khai tại các điểm ranh giới cụ thể trong môi trường bảo vệ, nơi nội dung di chuyển qua các vùng tin cậy.

Hệ thống phòng thủ nhiều lớp để đảm bảo phạm vi bảo vệ tối đa

MetaDefender Core đồng thời hơn 30 công cụ chống phần mềm độc hại thông qua Multiscanning Metascan™ Multiscanning, đạt tỷ lệ phát hiện phần mềm độc hại lên đến 99,2%. [19] Công nghệ Deep CDR™ hỗ trợ hơn 200 định dạng tệp — tài liệu Office, tệp PDF, tệp nén, hình ảnh, tệp CAD — bằng cách phân tích cấu trúc và tái tạo từng tệp để loại bỏ nội dung có khả năng độc hại hoặc vi phạm chính sách. Trong các đánh giá độc lập của SE Labs và SecureIQ Lab vào năm 2024, công nghệ Deep CDR™ đã đạt hiệu quả 100%.[20]

Vào tháng 3 năm 2026, MetaDefender Core chứng nhận Common Criteria EAL4+[21] — kết quả xác minh độc lập do phòng thí nghiệm được công nhận thực hiện đối với toàn bộ quy trình xử lý: nhập tệp, phát hiện định dạng, phân tích nội dung, logic tái tạo, xác thực đầu ra và API mà qua đó các hệ thống tương tác với nền tảng. Chứng nhận EAL4+ trên nền tảng phần mềm có sự khác biệt đáng kể so với chứng nhận EAL4+ trên thiết bị phần cứng.

Đối với một thiết bị, quá trình đánh giá chỉ giới hạn ở các thành phần vật lý và phần mềm nhúng. Đối với MetaDefender Core, quá trình đánh giá đã bao quát toàn bộ quy trình xử lý phần mềm đa công cụ mà các tổ chức tích hợp vào sản phẩm, quy trình làm việc và hạ tầng của riêng họ. Đối với các chuyên gia đánh giá C3PAO và cán bộ an ninh chương trình khi xem xét các tuyên bố của nhà cung cấp, đây chính là bằng chứng đã được xác minh trong phòng thí nghiệm.

MetaDefender Core cung cấp tính năng tạo SBOM và đánh giá lỗ hổng bảo mật ở cấp độ thành phần, giúp các nhà quản lý chương trình có cái nhìn toàn diện về mọi phụ thuộc mã nguồn mở và của bên thứ ba trong hệ thống phần mềm của họ, từ đó đáp ứng trực tiếp các yêu cầu về chuỗi cung ứng phần mềm theo CMMC RA.5 và EO 14028.

MetaDefender Kiosk™: Cổng vào vật lý

MetaDefender Kiosk Core MetaDefender tại ranh giới vật lý mà các biện pháp phòng thủ ở lớp mạng không thể tiếp cận. Mọi USB , đĩa CD và thiết bị di động đều được quét. Công nghệ Metascan và Deep CDR™ được áp dụng cho từng tệp tin trước khi thiết bị tiếp xúc với bất kỳ hệ thống nào. Không có tường lửa hay phần mềm đại lý đầu cuối nào có thể thực thi biện pháp kiểm soát này. Kiosk là kiến trúc duy nhất giải quyết vectơ tấn công vật lý bằng một điểm kiểm tra vật lý.

OPSWAT 98% các cơ sở hạt nhân của Hoa Kỳ, những cơ sở này phải tuân thủ các yêu cầu an ninh nghiêm ngặt nhất hiện nay đối với phương tiện lưu trữ di động. Ví dụ, cơ sở ngừng hoạt động hạt nhân Dounreay đã triển khai MetaDefender Kiosk, MetaDefender Core và MetaDefender để thay thế hệ thống cũ chỉ có một động cơ, không thể phát hiện các mối đe dọa hiện đại một cách đáng tin cậy và đòi hỏi phải xử lý thủ công trong nhiều ngày cho mỗi thiết bị. Kiến trúc bảo vệ các chương trình hạt nhân này cũng đáp ứng trực tiếp các yêu cầu về SCIF và hệ thống vũ khí cách ly mạng trong cơ sở công nghiệp quốc phòng.

MetaDefender Optical DiodeDiode™: Ranh giới phân loại đã được xác thực

MetaDefender Optical Diode truyền dữ liệu một chiều được thực thi bằng phần cứng giữa các mạng có mức phân loại khác nhau — một cơ chế ngắt giao thức không thể định tuyến giúp loại bỏ hoàn toàn mọi kênh ngược.[22] Việc thực thi bằng phần cứng giúp loại bỏ kênh ngược, có nghĩa là không có lỗ hổng phần mềm nào có thể mở kênh ngược thông qua một diode được triển khai đúng cách. MetaDefender Core nội dung bằng các công nghệ Metascan™ và Deep CDR™, được tích hợp với điốt qua MetaDefender X (trước đây là Transfer Guard) hoặc MetaDefender File Transfer™ để tạo thành một kiến trúc xuyên miền hoàn chỉnh. Điốt đảm bảo hướng truyền dữ liệu. MetaDefender Core nội dung nào được phép truyền qua.

Một bộ lọc dữ liệu tiêu chuẩn đảm bảo tính toàn vẹn của kênh truyền. Khi kết hợp với MetaDefender Core, kiến trúc này sẽ xác thực mọi dữ liệu đi qua kênh. Trong các môi trường phòng thủ, sự kết hợp này hỗ trợ các trường hợp sử dụng được liệt kê trên trang giải pháp xuyên miền OPSWAT: sao chép an toàn dữ liệu lịch sử OT (SCADA, DCS, AVEVA Pi) sang môi trường giám sát CNTT; chuyển cảnh báo, syslog và dữ liệu đo từ xa theo một chiều đến hệ thống giám sát phòng thủ mạng tập trung; phân đoạn mạng được thực thi bằng phần cứng cho các nhà máy điện, hệ thống hải quân và các môi trường được phân loại cách ly mạng; và chuyển tệp có kiểm soát qua các ranh giới phân loại khi cần ngắt kết nối giao thức không định tuyến.

Optical Diode MetaDefender Optical Diode MetaDefender X (được liệt kê trong danh mục NIAPC của NATO dưới tên gọi cũ là MetaDefender Transfer Guard) đều đã được phê duyệt để sử dụng trong các môi trường quan trọng đối với nhiệm vụ tại các quốc gia thành viên NATO. MetaDefender Optical Diode chứng nhận EAL4+, được xác nhận cụ thể về khả năng bảo mật việc truyền dữ liệu giữa các mạng có mức phân loại an ninh khác nhau, nhằm đáp ứng tiêu chuẩn phòng thí nghiệm độc lập theo yêu cầu của NSTISSP #11 đối với các sản phẩm IA thuộc Hệ thống An ninh Quốc gia.

Managed File TransferMetaDefender : Thực thi quy trình làm việc

Các yêu cầu đối với giải pháp liên miền đã có nhiều thay đổi. Các cộng đồng có chung lợi ích cần trao đổi dữ liệu ngày càng đa dạng hơn. Các loại dữ liệu đã mở rộng từ các tệp tin văn phòng tiêu chuẩn sang các khối lượng công việc hệ thống, nguồn dữ liệu tình báo và các định dạng bản địa đám mây. Để thiết kế một hệ thống liên kết dữ liệu (CDS) có khả năng tồn tại lâu dài, cần áp dụng một phương pháp tiếp cận mô đun và được điều phối, chứ không phải là một thiết bị cố định.

MetaDefender Managed File Transfer việc thu thập và truyền tải tệp tin an toàn qua các mạng được phân loại và không được phân loại, đồng thời thực thi các chính sách truyền tải, logic định tuyến và nhật ký kiểm tra trên toàn bộ quy trình làm việc. Các tệp tin đi qua hệ thốngCore MetaDefender Core để được kiểm tra nội dung tại mỗi điểm ranh giới. Cùng nhau, chúng tạo thành một kiến trúc liên miền thống nhất và được điều chỉnh bởi chính sách: MetaDefender Managed File Transfer luồng dữ liệu, trong khi MetaDefender Core nội dung được truyền qua.

Phạm vi áp dụng của việc tuân thủ và giới hạn của nó

CMMC 2.0 sẽ có hiệu lực áp dụng đối với các hợp đồng của Bộ Quốc phòng (DoD) kể từ ngày 10 tháng 11 năm 2025. Lần đầu tiên, an ninh mạng của các nhà thầu quốc phòng sẽ được xác minh thay vì chỉ dựa trên cam kết tự nguyện. Khoản 866 của Đạo luật Ủy quyền Quốc phòng (NDAA) năm tài chính 2026 yêu cầu Bộ Quốc phòng (DoD) phải chuẩn hóa các yêu cầu về an ninh mạng đối với Ngành Công nghiệp Quốc phòng (DIB) trước ngày 1 tháng 6 năm 2026, với ít quy định cụ thể cho từng hợp đồng hơn, nhưng việc thực thi sẽ nghiêm ngặt và nhất quán hơn.

Cả hai diễn biến này đều có ý nghĩa quan trọng. Tuy nhiên, không có diễn biến nào trong số đó có thể khắc phục những lỗ hổng đã nêu ở trên. 110 biện pháp kiểm soát của CMMC Cấp độ 2 được thiết kế nhằm nâng cao tiêu chuẩn cơ bản trên phạm vi rộng của nền công nghiệp, thay vì bắt buộc áp dụng các biện pháp kiểm soát cụ thể nhằm giải quyết các lỗ hổng bảo mật này. Các biện pháp kiểm soát này không yêu cầu kiểm tra phương tiện vật lý tại các điểm vào của cơ sở, xác minh nội dung tệp tại các ranh giới giữa các miền, khả năng hiển thị thành phần phần mềm ở cấp độ phụ thuộc, hay kiểm tra nội dung trực tiếp kết hợp với việc tách biệt mạng được thực thi bằng phần cứng.

Một nhà thầu có thể vượt qua đánh giá Cấp độ 2, bao gồm cả việc xác minh C3PAO, ngay cả khi tất cả các lỗ hổng đó vẫn chưa được khắc phục. Chỉ 21% doanh nghiệp quốc phòng đã lựa chọn công nghệ tuân thủ CMMC tính đến năm 2025.[17] Tính đến tháng 12 năm 2025, chỉ có 92 C3PAO được cấp phép so với cơ sở công nghiệp gồm hơn 80.000 nhà thầu.[18] Cơ sở hạ tầng tuân thủ vẫn chưa theo kịp.

Có một điểm khác biệt quan trọng khác cần lưu ý trong quá trình công nhận. CMMC quy định các biện pháp bảo mật của nhà thầu. Chương trình này không chứng nhận các công cụ được sử dụng để triển khai các biện pháp đó. Chứng nhận Tiêu chuẩn Chung (Common Criteria – được quy định bởi NSTISSP #11 đối với các sản phẩm IA trên Hệ thống An ninh Quốc gia) xác minh các thuộc tính bảo mật của một sản phẩm cụ thể thông qua việc đánh giá bởi một phòng thí nghiệm độc lập được công nhận. Một sản phẩm được chứng nhận CC được sử dụng để đáp ứng một biện pháp kiểm soát CMMC sẽ cung cấp cho chuyên gia đánh giá C3PAO bằng chứng đã được phòng thí nghiệm xác minh.

CMMC và Common Criteria là hai khung tiêu chuẩn bổ sung cho nhau. Một khung quy định các hoạt động của tổ chức, còn khung kia xác minh xem công cụ có thực hiện đúng như những gì nó tuyên bố hay không. Việc phân biệt rõ hai khung này là rất quan trọng.

Phạm vi kiểm soát theo Cấp độ 2 của CMMC

Kiểm soátYêu cầuMetaDefenderSản phẩm
MP.6MediaCông nghệ Multiscanning Deep CDR™ được áp dụng trên mọi thiết bị di động tại điểm kiểm tra vật lýMetaDefender Kiosk
MP.7Hạn chế đối với phương tiện lưu trữ di độngĐiểm kiểm tra quét vật lý – chặn các thiết bị chưa được quét từ bất kỳ mạng nàoMetaDefender Kiosk
SI.3Bảo vệ chống phần mềm độc hạiHơn 30 bộ máy quét AV + Công nghệ Deep CDR™ được tích hợp tại mọi điểm tiếp nhận tệpMetaDefender Core
RA.5Quét lỗ hổng bảo mậtTạo SBOM + đánh giá lỗ hổng bảo mật ở cấp độ thành phần trên tất cả các phụ thuộcMetaDefender Core
SC.3 / SC.7Bảo vệ ranh giớiChuyển dữ liệu một chiều Hardware+ CDR nội tuyến tại ranh giới phân loạiOptical Diode MFT

MetaDefender khoảng 20 trong số 110 biện pháp kiểm soát của CMMC Cấp độ 2 — đây là nhóm các biện pháp mà phần lớn các hệ thống bảo mật hiện nay không được thiết kế để đáp ứng. Các lĩnh vực như kiểm soát truy cập, ghi nhật ký kiểm toán, ứng phó sự cố và an ninh nhân sự nằm ngoài phạm vi áp dụng. Giá trị cốt lõi nằm ở tính chính xác: các biện pháp kiểm soát nghiêm ngặt tại các ranh giới mà hệ thống bảo mật hiện tại của bạn không thể tiếp cận, đã được xác nhận theo tiêu chuẩn của phòng thí nghiệm độc lập.

Ranh giới chính là nơi quyết định kết quả

Các tổ chức có vị thế tốt nhất trong ba năm tới không phải là những tổ chức có ngân sách an ninh lớn nhất hay đáp ứng được nhiều tiêu chí kiểm soát CMMC nhất. Đó là những tổ chức đã xác định được diện tích tấn công thực tế của mình — bao gồm các điểm xâm nhập vật lý, ranh giới phân loại, các giao diện OT-IT, chuỗi cung ứng phần mềm — và triển khai các biện pháp kiểm soát đã được xác thực tại từng điểm đó.

Việc phát hiện bên trong mạng luôn chậm hơn so với một kẻ tấn công tinh vi đã xâm nhập và ẩn náu trong hệ thống. Chìa khóa nằm ở việc phòng ngừa tại ranh giới: trước khi tệp tin được thực thi, trước khi thiết bị kết nối và trước khi mã độc vượt qua ngưỡng phân loại. Đó chính là lĩnh vực mà OPSWAT .

Hãy đăng ký một buổi tư vấn để thảo luận về môi trường và kiến trúc cụ thể của quý vị.

Bạn vẫn đang xây dựng kiến trúc CDS? Hãy tải xuống “Hướng dẫn mua sắm giải pháp liên miền dành cho chính phủ và quốc phòng” do các chuyên gia CDS biên soạn, dành cho các nhà quản lý chương trình, kiến trúc sư an ninh và đội ngũ mua sắm đang đánh giá các yêu cầu liên miền hiện đại.

Nguồn

  1. [1] CISA, FBI và NSA, Thông báo chung: Volt Typhoon (2024).https://www.cisa.gov/news-events/cybersecurity-advisories
  2. [2] GTIG, “Các mối đe dọa đối với Industrial quốc phòng,” ngày 10 tháng 2 năm 2026. BRICKSTORM (UNC5221): Thời gian lưu trú trung bình 393 ngày. Sđd.
  3. [3] PreVeil, “Thống kê về an ninh mạng năm 2026.” https://www.preveil.com/blog/cybersecurity-statistics/
  4. [4] PreVeil, “Thống kê về an ninh mạng năm 2026.” Xem lại.
  5. [5] PreVeil, “Thống kê về an ninh mạng năm 2026.” Xem lại.
  6. [6] PreVeil, “Thống kê về an ninh mạng năm 2026.” Xem lại.
  7. [7] Threat Intelligence của Google (GTIG), “Các mối đe dọa đối với Industrial Quốc phòng,” ngày 10 tháng 2 năm 2026. https://cloud.google.com/blog/topics/threat-intelligence/threats-to-defense-industrial-base
  8. [8] CybelAngel, “Bức tranh tổng quan về các mối đe dọa mạng trong lĩnh vực hàng không vũ trụ và quốc phòng giai đoạn 2024–2025.” https://cybelangel.com/blog/aerospace-defense-2024-2025-cyber-threat-landscape-threat-note/
  9. [9] Honeywell, “Báo cáo về USB năm 2024.” https://www.honeywell.com/us/en/news/2024/04/cybersecurity-in-2024-usb-devices-continue-to-pose-major-threat
  10. [10] Honeywell, “Báo cáo USB năm 2024.” Xem lại
  11. [11] Verizon, Báo cáo điều tra về vi phạm dữ liệu năm 2025; Honeywell, Báo cáo về các mối đe dọa mạng năm 2025. https://www.helpnetsecurity.com/2025/06/06/honeywell-2025-cyber-threat-report/
  12. [12] PreVeil, “Thống kê về an ninh mạng năm 2026.” Xem lại.
  13. [13] OPSWAT, “Ứng dụng của các thiết bị Data Diodes trong môi trường quốc phòng,” ngày 23 tháng 3 năm 2026. opswat
  14. [14] Google, “Phần mềm độc hại dựa trên trí tuệ nhân tạo khiến các cuộc tấn công trở nên tinh vi và Adaptive hơn,” Cybersecurity Dive, ngày 5 tháng 11 năm 2025. https://www.cybersecuritydive.com/news/ai-powered-malware-google/804760/
  15. [15] SecurityWeek, “Những nhận định về an ninh mạng năm 2026: Phần mềm độc hại và các cuộc tấn công mạng trong kỷ nguyên trí tuệ nhân tạo,” ngày 2 tháng 2 năm 2026. https://www.securityweek.com/cyber-insights-2026-malware-and-cyberattacks-in-the-age-of-ai/
  16. [16] OPSWAT, “Các tệp PDF ghép nối: Một thủ thuật đơn giản khiến các công cụ chống phần mềm độc hại và hệ thống trí tuệ nhân tạo bị nhầm lẫn,” ngày 1 tháng 4 năm 2026. opswat
  17. [17] PreVeil, “Thống kê về an ninh mạng năm 2026.” Xem lại.
  18. [18] GAO / Industrial , “Báo cáo của GAO nêu bật những rủi ro trong quá trình triển khai CMMC,” tháng 3 năm 2026. https://industrialcyber.co/reports/gao-report-highlights-risks-to-cmmc-rollout-as-nation-state-attacks-target-defense-contractors/
  19. [19] OPSWAT,Core MetaDefender Core . opswat
  20. [20] OPSWAT,OPSWAT chứng nhận Common Criteria EAL4+ cho MetaDefender ,” ngày 30 tháng 3 năm 2026. metadefender
  21. [21] OPSWAT, Thông báo về việc MetaDefender Core đạt chứng nhậnCore , ngày 30 tháng 3 năm 2026. Xem lại.
  22. [22] OPSWAT, MetaDefender Optical Diode. metadefender
  23. [23] OPSWAT, “Giải pháp xuyên miền: Không chỉ là luồng một chiều.” opswat;
Tags:

Bài viết mới nhất

Sign up for the OPSWAT Newsletter

Nhận các cập nhật mới nhất từ OPSWAT cùng thông tin sự kiện và xu hướng đang định hình ngành an ninh mạng
Đăng ký cho tôi

Theo dõi chúng tôi trên mạng xã hội

Theo dõi OPSWAT trên LinkedIn, Facebook, Twitter và YouTube để biết thêm thông tin!

Luôn cập nhật với OPSWAT!

Đăng ký ngay hôm nay để nhận thông tin cập nhật mới nhất về doanh nghiệp, câu chuyện, thông tin sự kiện và nhiều thông tin khác.
Đăng ký