Phát hiện lỗ hổng zero-day là gì?
Phát hiện lỗ hổng zero-day là quá trình xác định các tệp độc hại trước khi cơ sở dữ liệu phần mềm diệt virus có sẵn mẫu nhận diện tương ứng. Các công cụ diệt virus truyền thống vốn mang tính phản ứng: chúng chỉ có thể chặn các mối đe dọa mà nhà cung cấp đã liệt kê sẵn. Khoảng thời gian từ khi mối đe dọa xuất hiện lần đầu tiên cho đến khi các nhà cung cấp phần mềm diệt virus tạo ra mẫu nhận diện chính là khoảng trống mà kẻ tấn công tận dụng để hoạt động.
Tóm tắt / Những điểm chính
- Theo phân tích phát hiện lỗ hổng zero-day năm 2026 OPSWAT dựa trên hơn một triệu trường hợp phát hiện tệp, các công cụ chống vi-rút truyền thống chậm hơn trong việc phát hiện lỗ hổng zero-day trung bình 3,0 ngày, với thời gian tiếp xúc trong trường hợp xấu nhất lên tới 26,7 ngày
- Chỉ có 3,7% các mối đe dọa zero-day được các công cụ chống vi-rút truyền thống phát hiện trong vòng 24 giờ kể từ khi xuất hiện lần đầu
- Các loại tệp kịch bản và tài liệu luôn có thời gian tiếp xúc kéo dài nhất, với các tài liệu Office trung bình chậm hơn 6,9 ngày so với thời điểm phát hiện
- Khoảng 20,8% các lỗ hổng zero-day trong bộ dữ liệu cuối cùng đã bị các công cụ chống vi-rút truyền thống phát hiện; một phần đáng kể trong số đó có thời gian phản hồi quá lâu đến mức về cơ bản không mang lại bất kỳ sự bảo vệ nào
- MetaDefender đưa ra một kết quả duy nhất kèm theo mức độ tin cậy cho mỗi tệp, thông qua quy trình phát hiện bốn tầng không dựa vào việc so khớp mẫu
Phần mềm diệt virus truyền thống gặp vấn đề về thời điểm
Các công cụ chống vi-rút truyền thống phát hiện mối đe dọa bằng cách so sánh các tệp với cơ sở dữ liệu chứa các mẫu phần mềm độc hại đã biết. Một tệp không khớp với bất kỳ mẫu nào hiện có có thể lọt qua mà không bị chặn. Sự phụ thuộc về mặt cấu trúc vào kiến thức sẵn có này tạo ra một khoảng trễ có thể đo lường được và dễ bị lợi dụng giữa thời điểm mối đe dọa xuất hiện và thời điểm phần mềm chống vi-rút có thể ngăn chặn nó.
Theo phân tích phát hiện lỗ hổng zero-day năm 2026 của chúng tôi dựa trên hơn một triệu trường hợp phát hiện tệp, các công cụ chống virus truyền thống chậm hơn trong việc phát hiện lỗ hổng zero-day trung bình 3,0 ngày, với giá trị trung vị là 2,0 ngày. Thời gian tiếp xúc trong trường hợp xấu nhất lên tới 26,7 ngày. Chỉ 3,7% các mối đe dọa zero-day trong tập dữ liệu được các công cụ AV truyền thống phát hiện trong vòng 24 giờ. Khoảng 3% mất hơn một tuần để nhận được bất kỳ phản hồi phát hiện nào.
Một lưu ý về phương pháp luận: Giá trị trung bình 3,0 ngày không bao gồm các tệp có thời gian phản hồi của phần mềm diệt virus rất lâu và các tệp hoàn toàn không có lịch sử khớp mẫu. Bộ dữ liệu đầy đủ phản ánh phạm vi kết quả rộng hơn. Trong dữ liệu gốc cũng tồn tại tỷ lệ dương tính giả thấp nhưng không bằng không.
Dữ liệu bắt đầu từ những khoảnh khắc như thế này. Tại thời điểm quét, không có công cụ chống virus nào trong số 20 công cụ mà chúng tôi sử dụng phát hiện ra tệp này, và không có dịch vụ đánh giá uy tín nào ghi nhận nó. Mối đe dọa đã được xác nhận.
Hầu hết các lỗ hổng zero-day đều không trùng khớp với bất kỳ mẫu nào đã biết
Vấn đề về thời gian phát hiện càng trở nên nghiêm trọng hơn khi các công cụ chống vi-rút hoàn toàn không tạo ra được mẫu nhận diện phù hợp cho một mối đe dọa nào đó. Theo phân tích của chúng tôi, khoảng 20,8% tệp zero-day cuối cùng đã được các công cụ chống vi-rút truyền thống phát hiện. Khoảng 17,9% không có bất kỳ lịch sử khớp mẫu nào, khiến chúng hoàn toàn nằm ngoài danh mục của bất kỳ công cụ chống vi-rút nào được phân tích. Ước tính có 54% có thời gian phản hồi của phần mềm chống vi-rút kéo dài đến mức trên thực tế chúng không mang lại bất kỳ sự bảo vệ nào. Cần lưu ý rằng con số này, giống như các con số khác, có tỷ lệ dương tính giả thấp nhưng không bằng không và nên được coi là mang tính định hướng.
Khi các công cụ chống vi-rút cuối cùng cũng phát hiện ra, phạm vi phát hiện vẫn còn hạn chế. Khi quét lại sau đó, chỉ có ba trong số 20 công cụ chống vi-rút đó phát hiện ra sự trùng khớp với cùng một tệp. Phần lớn vẫn không phát hiện được gì.
Phương pháp phát hiện dựa trên mẫu yêu cầu nhà cung cấp phải quan sát, phân tích và lập danh mục mối đe dọa trước khi có thể triển khai biện pháp bảo vệ. Đối với phần mềm độc hại mới xuất hiện hoặc được cố ý che giấu, quy trình này có thể không bao giờ hoàn tất, hoặc hoàn tất quá muộn để còn ý nghĩa.
Điểm yếu lớn nhất của phương pháp phát hiện AV truyền thống
Không phải tất cả các loại tệp đều tiềm ẩn mức độ rủi ro như nhau khi phần mềm diệt virus phát hiện chậm trễ. Theo phân tích của chúng tôi, các tệp dựa trên kịch bản và dựa trên tài liệu luôn có thời gian tiếp xúc với rủi ro kéo dài nhất, và đây chính là những loại tệp xuất hiện trong hầu hết các quy trình làm việc của doanh nghiệp.
Loại tệp | Số ngày trung bình trước khi phát hiện mối đe dọa bằng phần mềm diệt virus truyền thống |
Tài liệu văn phòng | ~6,9 ngày |
PowerShell | ~6,3 ngày |
Các tập lệnh VBS | ~4,9 ngày |
HTA | ~3,5 ngày |
PE (Tệp thực thi) | ~3,1 ngày |
Các định dạng tài liệu văn phòng và kịch bản đứng đầu danh sách chính xác là do tính phức tạp của chúng khiến việc tạo chữ ký trở nên khó khăn hơn. Các macro, đối tượng nhúng và logic thực thi nhiều giai đoạn tạo ra nhiều lỗ hổng hơn cho kẻ tấn công khai thác, đồng thời buộc các nhà cung cấp phần mềm diệt virus phải đối phó với nhiều tình huống hơn trước khi có thể xây dựng được một mẫu nhận diện đáng tin cậy.
Các tệp PE (Portable Executable) đứng cuối bảng xếp hạng độ trễ, song thời gian trung bình mà chúng tồn tại mà không bị phát hiện vẫn lên tới hơn ba ngày. Đối với các tệp thực thi xâm nhập vào cơ sở hạ tầng trọng yếu , quy trình cập nhật bản vá hoặc luồng tệp được quản lý, khoảng thời gian ba ngày là không thể chấp nhận được.
Tại sao phương pháp phát hiện truyền thống lại chậm trễ
Phương pháp phát hiện dựa trên mẫu hoạt động bằng cách so sánh một tệp với thư viện các dấu hiệu phần mềm độc hại đã biết. Khi phát hiện trùng khớp, tệp đó sẽ bị chặn. Nếu không có sự trùng khớp nào, tệp sẽ được cho qua. Mô hình này hoàn toàn phụ thuộc vào dữ liệu đã có trước đó: một mối đe dọa phải được phát hiện, phân tích và lập danh mục trước khi có thể triển khai bất kỳ biện pháp bảo vệ nào. Đối với một tệp mới, quy trình đó vẫn chưa được thực hiện.
Hạn chế về mặt cấu trúc luôn tồn tại. Điều đã thay đổi là tốc độ mà những kẻ tấn công có thể tạo ra các biến thể mới. Hiện nay, các đối tượng xấu sử dụng trí tuệ nhân tạo (AI) và học máy để sản xuất phần mềm độc hại được che giấu và có khả năng lách qua hệ thống bảo mật trên quy mô lớn, tạo ra các tệp được thiết kế đặc biệt nhằm tránh khớp với bất kỳ chữ ký nào hiện có. Mỗi biến thể được tạo ra đều là mới về mặt kỹ thuật đối với cơ sở dữ liệu phần mềm diệt virus, ngay cả khi logic tấn công cơ bản đằng sau đó không phải là mới.
Các kỹ thuật né tránh càng làm trầm trọng thêm vấn đề. Các tác giả phần mềm độc hại thường xuyên tạo ra các tệp nhằm tránh bị phát hiện là các mối đe dọa đã được ghi nhận tại điểm xâm nhập, bằng cách sử dụng các kỹ thuật như:
- Nén và mã hóa để che giấu nội dung tệp
- Đa hình để tạo ra các biến thể có cấu trúc độc đáo
- Phương thức triển khai nhiều giai đoạn nhằm trì hoãn các hành vi độc hại cho đến sau khi đã xâm nhập
- Kiểm tra điều kiện thực thi nhằm tạm dừng hoạt động cho đến khi đạt đến điểm kết thúc thực sự
Các công cụ dựa trên chữ ký không có cơ chế nào để dự đoán trước bất kỳ chuỗi hành vi nào trong số này. Kết quả là mô hình phát hiện ngày càng kém hiệu quả khi các công cụ của kẻ tấn công ngày càng tinh vi hơn. Khoảng cách giữa thời điểm xuất hiện lần đầu và thời điểm phát hiện lần đầu không tự thu hẹp lại một cách nhanh chóng. Ngược lại, khoảng cách này ngày càng nới rộng.
Cách chúng tôi phát hiện các mối đe dọa trước khi có sự trùng khớp mẫu
MetaDefender là một giải pháp phát hiện lỗ hổng zero-day tích hợp, được thiết kế để xác định các tệp độc hại mà phương pháp so khớp chữ ký thông thường không thể phát hiện được. Thay vì chỉ kiểm tra xem một tệp có khớp với mẫu đã biết hay không, MetaDefender sẽ đặt ra bốn câu hỏi ngày càng chi tiết hơn đối với mỗi tệp đi qua hệ thống, sau đó tổng hợp các câu trả lời để đưa ra một kết luận duy nhất kèm theo mức độ tin cậy.
Lớp 1: Đánh giá mức độ nguy hiểm (hiệu quả 48,7%)
Mọi tệp tin đi vào quy trình xử lý đều được kiểm tra đối chiếu với các cơ sở dữ liệu thông tin tình báo về mối đe dọa OPSWAT . Các tệp tin độc hại đã được xác định sẽ bị chặn ngay lập tức. Các tệp tin đáng tin cậy sẽ được xử lý ưu tiên. Theo phân tích của chúng tôi, riêng lớp bảo vệ này đã loại bỏ được 48,7% các mối đe dọa, giúp tiết kiệm dung lượng của quy trình xử lý và tránh việc xử lý không cần thiết đối với những tệp tin không cần kiểm tra sâu hơn.
Lớp 2: Adaptive thông qua mô phỏng cấp lệnh (hiệu quả tích lũy 83,4%)
Các tệp vượt qua lớp đánh giá uy tín sẽ được đưa vào môi trường sandbox thích ứng MetaDefender . Thay vì sử dụng máy ảo, môi trường sandbox này mô phỏng hoạt động ở cấp độ lệnh CPU và hệ điều hành trên hơn 120 loại tệp. Cách tiếp cận này buộc các tệp phải thực thi toàn bộ chuỗi mã của mình, bất kể chúng có phát hiện ra môi trường ảo hóa hay không. Phần mềm độc hại có khả năng nhận diện máy ảo (VM-aware) – vốn thường ở trạng thái không hoạt động – sẽ không thể ẩn giấu hành vi của mình khi bị mô phỏng ở cấp độ lệnh. Các IOC (chỉ số xâm nhập) mới được phát hiện từ lớp này được phản hồi trở lại Lớp 1, củng cố cơ sở dữ liệu danh tiếng trong mỗi chu kỳ phân tích.
Một công cụ phát hiện dựa trên chữ ký nhận diện được một tập lệnh đã được mã hóa nhưng không tìm thấy kết quả khớp nào. Tuy nhiên, công nghệ mô phỏng vẫn cho phép tập tin đó thực thi. Ngay khi nó giải mã tải trọng ẩn và tải nó vào bộ nhớ, mục đích của nó sẽ lộ ra.
Lớp 3: Đánh giá mức độ đe dọa dựa trên học máy (hiệu quả tích lũy 99,3%)
Nhiều hệ thống học máy phân tích các tín hiệu hành vi, mẫu bất thường và các chỉ số chỉ báo mối đe dọa (IOC) được trích xuất từ lớp sandbox. Mỗi tệp sẽ nhận được một điểm đánh giá rủi ro có cấu trúc và được tính toán dựa trên mức độ tin cậy. Dữ liệu telemetry thô được chuyển đổi thành tín hiệu quyết định rõ ràng, giúp giảm thiểu các cảnh báo sai và giảm bớt gánh nặng kiểm tra của chuyên gia phân tích – vốn thường phát sinh từ các kết quả phân tán của các công cụ riêng lẻ.
Quét tệp của bạn miễn phí bằng các công cụ phát hiện của chúng tôi tại filescan.io/scan.
Tầng 4: Tìm kiếm dựa trên độ tương đồng được hỗ trợ bởi AI (hiệu quả tích lũy 99,9%)
Lớp cuối cùng so sánh dấu vân tay hành vi của từng tệp với cơ sở dữ liệu gồm hơn 100 triệu mẫu phần mềm độc hại đã được phân tích. Các tệp sẽ tự động được phân loại vào các họ phần mềm độc hại, chiến dịch và bộ công cụ tấn công đã biết nếu có kết quả trùng khớp. Các tệp không có kết quả trùng khớp trước đó sẽ được chuyển đổi thành dữ liệu tình báo mới, từ đó làm phong phú thêm cả mô hình phát hiện toàn cầu lẫn mô hình phát hiện cục bộ. Lớp này giúp nâng hiệu quả phát hiện tích lũy lên 99,9%.
MetaDefender so với các phương pháp Sandbox phần mềm diệt virus truyền thống
Các giải pháp hộp cát truyền thống và dựa trên máy ảo (VM) đều giải quyết một phần của vấn đề phát hiện lỗ hổng zero-day, nhưng không giải pháp nào đưa ra được kết luận thống nhất dựa trên các yếu tố như danh tiếng, hành vi, điểm số và tìm kiếm độ tương đồng. Bảng dưới đây so sánh hiệu quả của từng phương pháp trên các tính năng quan trọng nhất tại lớp bảo vệ biên.
Khả năng | Các bộ xử lý AV truyền thống | Sandbox dựa trên máy ảo | MetaDefender Aether |
Phương pháp phát hiện | Dựa trên mẫu | Hành vi (riêng lẻ) | Đường ống thống nhất bốn lớp |
Khả năng chống né tránh | Thấp | Trung bình (có thể phát hiện qua máy quét) | Cấp cao (mô phỏng cấp lệnh) |
Thời gian đưa ra phán quyết | Độ trễ từ 0 đến 26 ngày trở lên | Biến | Gần như thời gian thực |
Tích hợp SIEM/SOAR | Số lượng có hạn | Phương pháp tương quan thủ công | Có cấu trúc, bản địa |
Sử dụng hiệu quả tài nguyên | Thấp | Khả năng tính toán cao | 100x so với môi trường thử nghiệm dựa trên máy ảo |
Loại phán quyết | Trùng khớp/không trùng khớp | Báo cáo theo từng công cụ | Phán quyết duy nhất được chấm điểm theo mức độ tin cậy |
Các môi trường cách ly dựa trên máy ảo (VM) cải thiện khả năng phát hiện dựa trên chữ ký bằng cách quan sát hành vi của tệp trong quá trình chạy. Hạn chế ở đây là các tác giả phần mềm độc hại đã biết điều này. Các kỹ thuật như kiểm tra môi trường, trì hoãn thời gian và nhận dạng dấu vân tay của máy ảo cho phép các mối đe dọa tinh vi phát hiện điều kiện của môi trường cách ly và tạm hoãn hành vi độc hại cho đến khi chúng xâm nhập vào thiết bị đầu cuối thực sự. Công nghệ mô phỏng cấp lệnh loại bỏ hoàn toàn khả năng lẩn tránh này.
Khoảng cách về tài nguyên cũng rất đáng kể ở cấp độ biên. Cơ chế sandboxing dựa trên máy ảo (VM) đòi hỏi lượng tài nguyên tính toán đáng kể cho mỗi tệp. MetaDefender mang lại hiệu quả sử dụng tài nguyên cao gấp 100 lần so với các phương pháp dựa trên máy ảo (VM) nhờ kết hợp mô phỏng cấp lệnh với một đường ống xử lý nhiều lớp, chỉ chuyển các tệp cần phân tích sâu hơn lên cấp độ cao hơn.
Xem thêm về những điểm khác biệt chính giữa môi trường thử nghiệm truyền thống và môi trường thử nghiệm thích ứng tại đây.
Khi nào nên sử dụng tính năng phát hiện lỗ hổng zero-day thay thế hoặc kết hợp với công nghệ Deep CDR™
Công nghệ Deep CDR™ và MetaDefender giải quyết các vấn đề khác nhau. Việc hiểu rõ sự khác biệt này rất quan trọng đối với các kiến trúc sư an ninh khi thiết kế quy trình kiểm tra tệp, đặc biệt là trong cơ sở hạ tầng trọng yếu chịu sự quản lý chặt chẽ hoặc cơ sở hạ tầng trọng yếu .
Công nghệ Deep CDR™ chủ động vô hiệu hóa các mối đe dọa dựa trên tệp bằng cách loại bỏ nội dung có khả năng gây hại, bao gồm macro, tập lệnh và các đối tượng nhúng, khỏi hơn 200 loại tệp và tạo lại một phiên bản sạch, hoàn toàn có thể sử dụng được. Công nghệ này không dựa vào việc phát hiện. Một tệp sẽ được làm sạch mối đe dọa có được xác nhận cuối cùng hay không. Đối với các quy trình làm việc dựa trên tài liệu mà các tệp có thể được tái tạo một cách an toàn, Công nghệ Deep CDR™ loại bỏ mối đe dọa trước khi nó có cơ hội thực thi.
Hãy đọc bài viết trước của chúng tôi để tìm hiểu chi tiết hơn về cách thức hoạt động của nó tại đây.
MetaDefender là công cụ phù hợp khi các tệp không thể bị thay đổi. Các tệp thực thi, tệp bản vá, phần mềm nhúng, trình cài đặt và tập lệnh phải được giữ nguyên từng byte mới có thể hoạt động. Việc làm sạch dữ liệu trong các tệp này là không thể. Các tài liệu được quản lý chặt chẽ trong các lĩnh vực y tế, pháp lý và tài chính cũng có thể phải tuân thủ các yêu cầu pháp lý hoặc quy định cấm sửa đổi. Đối với các loại tệp này, phân tích động là phương pháp kiểm tra duy nhất khả thi.
Hai công nghệ này không phải là sự lựa chọn “hoặc là… hoặc là…”. Trên thực tế, hầu hết cơ sở hạ tầng trọng yếu doanh nghiệp và cơ sở hạ tầng trọng yếu đều xử lý cả các loại tệp có thể thay đổi và không thể thay đổi trong cùng một quy trình làm việc. Công nghệ Deep CDR™ xử lý các tài liệu và định dạng văn phòng có thể được khôi phục một cách an toàn. MetaDefender xử lý các tệp không thể sửa đổi. Khi kết hợp với nhau, hai công nghệ này đảm bảo khả năng bảo vệ toàn diện cho mọi loại tệp đi vào môi trường.
Các mối đe dọa zero-day không chờ đợi cho đến khi có chữ ký bảo mật, và hệ thống phòng thủ của bạn cũng không nên như vậy.
Những câu hỏi thường gặp
Sự khác biệt giữa tính năng phát hiện lỗ hổng zero-day và phần mềm diệt virus truyền thống là gì?
Phần mềm diệt virus truyền thống phát hiện các mối đe dọa bằng cách so sánh các tệp với cơ sở dữ liệu chứa các dấu hiệu nhận dạng phần mềm độc hại đã biết. Công nghệ phát hiện lỗ hổng ngày 0 (Zero-day) xác định các mối đe dọa chưa có dấu hiệu nhận dạng bằng cách phân tích hành vi, danh tiếng và các đặc điểm cấu trúc của tệp. MetaDefender kết hợp bốn lớp phân tích để đưa ra kết luận về các tệp với độ chính xác 99,9%, trong khi các công cụ diệt virus truyền thống sẽ bỏ qua mà không phát hiện ra.
Các công cụ quét virus truyền thống mất bao lâu để phát hiện một mối đe dọa zero-day?
Theo phân tích phát hiện lỗ hổng zero-day năm 2026 OPSWAT dựa trên hơn một triệu trường hợp phát hiện tệp, các công cụ chống vi-rút truyền thống chậm hơn trong việc phát hiện lỗ hổng zero-day trung bình 3,0 ngày, với giá trị trung vị là 2,0 ngày. Thời gian tiếp xúc trong trường hợp xấu nhất lên tới 26,7 ngày. Chỉ 3,7% các mối đe dọa zero-day nhận được phản hồi phát hiện từ phần mềm chống vi-rút trong vòng 24 giờ. Mức trung bình 3,0 ngày không bao gồm các tệp có thời gian phản hồi rất lâu và các tệp không có lịch sử khớp mẫu, do đó, phạm vi tiếp xúc thực tế rộng hơn con số này.
Những định dạng tệp nào là khó phát hiện nhất đối với phần mềm diệt virus?
Các loại tệp dựa trên kịch bản và tài liệu luôn có độ trễ phát hiện của phần mềm diệt virus cao nhất. Theo phân tích năm 2026 OPSWAT, các tài liệu Office trung bình bị chậm phát hiện 6,9 ngày, các tệp PowerShell trung bình 6,3 ngày và các kịch bản VBS trung bình 4,9 ngày. Các loại tệp này xuất hiện trong hầu hết mọi quy trình làm việc của doanh nghiệp, khiến khoảng thời gian dễ bị tấn công trở nên có ý nghĩa quan trọng về mặt vận hành.
Làm thế nào để mô phỏng cấp lệnh có thể vô hiệu hóa phần mềm độc hại nhận biết máy ảo?
Phần mềm độc hại nhận biết môi trường ảo hóa (VM-aware) sử dụng các cơ chế kiểm tra môi trường, trì hoãn thời gian và nhận dạng dấu vân tay ảo hóa để phát hiện khi nó đang chạy trong môi trường sandbox và ức chế hành vi độc hại của mình. Kỹ thuật mô phỏng cấp lệnh (instruction-level emulation) vượt qua các phương pháp này bằng cách mô phỏng trực tiếp tại cấp độ CPU và hệ điều hành, thay vì chạy một máy ảo hoàn chỉnh. Phần mềm độc hại không có cách nào đáng tin cậy để phân biệt môi trường được mô phỏng với một thiết bị đầu cuối thực, khiến việc ức chế quá trình thực thi trở nên khó khăn hơn đáng kể và làm lộ ra những hành vi vốn dĩ sẽ bị ẩn đi.
MetaDefender có thay thế được môi trường sandbox không?
MetaDefender tích hợp công nghệ sandboxing thích ứng như một trong bốn lớp phát hiện của mình, nhưng đây không phải là một sản phẩm sandbox độc lập. Giải pháp này kết hợp các yếu tố như danh tiếng mối đe dọa, mô phỏng cấp lệnh, đánh giá mức độ nguy hiểm dựa trên học máy (ML) và tìm kiếm độ tương đồng dựa trên trí tuệ nhân tạo (AI) thành một quy trình thống nhất, từ đó đưa ra một kết quả đánh giá có mức độ tin cậy cho từng tệp. Các tổ chức thay thế giải pháp sandbox độc lập dựa trên máy ảo (VM) bằng MetaDefender sẽ đạt được khả năng chống né tránh cao hơn, phạm vi phát hiện rộng hơn và giảm đáng kể chi phí tài nguyên.
