Cơ quan An ninh mạng và Hạ tầng Mỹ (CISA) vừa ban hành hướng dẫn mới, yêu cầu các cơ quan liên bang xử lý những lỗ hổng có mức rủi ro cao nhất trong thời gian ngắn nhất là 3 ngày. Động thái này cho thấy Mỹ đang chuyển từ cách xử lý đồng loạt sang mô hình ưu tiên theo rủi ro thực tế, trong bối cảnh các cuộc tấn công mạng sử dụng AI gia tăng.

Theo Gigazine ngày 11/6 (giờ địa phương), trọng tâm của hướng dẫn mới là không còn xử lý mọi lỗ hổng với cùng một tốc độ. Thay vào đó, các cơ quan phải ưu tiên những lỗ hổng có khả năng bị khai thác cao và có thể gây thiệt hại lớn. Với nhóm rủi ro cao nhất, lỗ hổng phải được vá hoặc vô hiệu hóa trong vòng 3 ngày; trong trường hợp cần thiết, hệ thống liên quan phải được tách khỏi Internet.

CISA cho biết bộ tiêu chí mới dựa trên 4 yếu tố: tài sản có công khai trên Internet hay không; lỗ hổng có nằm trong danh mục các lỗ hổng đã biết từng bị khai thác hay không; quá trình khai thác có thể được tự động hóa hay không; và nếu bị tấn công, tài sản đó có thể bị kiểm soát một phần hoặc toàn bộ hay không. Thời hạn xử lý sẽ được xác định theo mức độ đáp ứng các tiêu chí này.

Thay đổi trên diễn ra trong bối cảnh tốc độ tấn công mạng tăng lên khi tin tặc ngày càng tận dụng AI để tìm kiếm và khai thác các lỗ hổng chưa được vá. Trong khi đó, phía phòng thủ không có đủ nguồn lực để xử lý ngay toàn bộ số lỗ hổng liên tục phát sinh. Theo đó, CISA đang chuyển từ cách tiếp cận dựa chủ yếu vào Hệ thống chấm điểm lỗ hổng phổ biến (CVSS) và danh mục các lỗ hổng đã biết từng bị khai thác sang mô hình ưu tiên những trường hợp có rủi ro khai thác thực tế cao hơn.

Theo CISA, các lỗ hổng buộc phải xử lý trong 3 ngày chỉ chiếm khoảng 1% tổng số. Phần lớn còn lại không nhất thiết gây ra rủi ro tức thời ngay cả khi thời hạn xử lý được lùi lại, vì vậy việc ưu tiên được cho là sẽ giúp nâng hiệu quả thực chất.

Xu hướng này cũng phản ánh thực tế triển khai vá lỗi tại các cơ quan. Báo cáo Điều tra Vi phạm Dữ liệu năm 2026 của Verizon cho thấy trong số các lỗ hổng nằm trong danh mục của CISA, tỷ lệ được khắc phục hoàn toàn trong năm 2025 chỉ đạt 26%. Thời gian xử lý dứt điểm trung vị là 43 ngày.

Theo hướng dẫn mới, các cơ quan liên bang phải rà soát và điều chỉnh chính sách quản lý lỗ hổng nội bộ. Việc cập nhật không chỉ dừng ở rút ngắn lịch vá, mà còn đòi hỏi tích hợp quy trình đánh giá rủi ro và cơ chế ưu tiên xử lý vào các thủ tục vận hành.

Chris Butera, quyền Phó giám đốc điều hành phụ trách an ninh mạng của CISA, cho biết các cơ quan cần có một khoảng thời gian chuyển tiếp để đẩy nhanh việc triển khai bản vá đối với những lỗ hổng cấp bách nhất. Theo ông, các lỗ hổng có rủi ro thấp hơn có thể tiếp tục được xử lý theo chu kỳ vá định kỳ.

Dù chỉ áp dụng cho khối cơ quan liên bang, động thái mới của CISA cho thấy cách quản lý lỗ hổng đang thay đổi. Khi việc tự động hóa tấn công ngày càng dễ hơn và tốc độ xâm nhập vào các hệ thống lộ diện trên Internet tăng lên, việc phân bổ tốc độ ứng phó theo rủi ro khai thác thực tế thay vì theo số lượng lỗ hổng trở nên quan trọng hơn. Điều này cũng cho thấy hoạt động an ninh mạng tại Mỹ đang dịch chuyển từ trọng tâm điểm số nghiêm trọng sang đánh giá đồng thời khả năng bị tấn công và quy mô thiệt hại có thể xảy ra.