Trong kỷ nguyên số, một lỗ hổng có thể bị kẻ tấn công khai thác trước khi nhà cung cấp kịp phát hiện và vá. Đó là lỗ hổng zero‑day. Vì chưa có bản vá, zero‑day thường bị lợi dụng để chiếm quyền, đánh cắp dữ liệu hoặc làm gián đoạn dịch vụ.

Để giảm rủi ro, bạn cần hiểu: zero‑day là gì, khác gì với n‑day, CVE/CVSS ghi nhận lỗ hổng ra sao, và quan trọng nhất là phòng thủ nhiều lớp (ngăn ngừa – phát hiện – ứng phó) như thế nào.

Zero‑day là gì?

Zero‑day (0‑day) là lỗ hổng bảo mật trong phần mềm/phần cứng mà nhà cung cấp chưa biết tới, vì thế chưa có bản vá. Khi kẻ tấn công viết mã khai thác (exploit) và dùng lỗ hổng đó để xâm nhập, ta gọi là zero‑day exploit/attack.

Vòng đời ngắn gọn của một zero‑day:

1. Phát hiện: do nhà nghiên cứu, hacker mũ trắng/đen hoặc tình cờ.
2. Khai thác: viết exploit, tấn công mục tiêu.
3. Tiết lộ: báo riêng cho nhà cung cấp (có trách nhiệm) hoặc bị rò rỉ/công bố.
4. Vá lỗi: nhà cung cấp phát hành patch/hotfix.
5. Cập nhật: người dùng cài đặt bản vá (điểm dễ bị tấn công nếu chậm trễ).

Zero‑day khác n‑day thế nào?

• Zero‑day: chưa được biết tới → chưa có bản vá → rủi ro cao, khó phát hiện.
• n‑day: đã được công bố và thường có bản vá → vẫn nguy hiểm nếu hệ thống chưa cập nhật.

Tên gọi “zero‑day” xuất phát từ mốc “ngày 0” khi nhà cung cấp vừa biết về lỗ hổng.

Vì sao zero‑day nguy hiểm?

• Không có bản vá sẵn → công cụ/phần mềm bảo mật ban đầu khó chặn.
• Tỷ lệ khai thác cao trong giai đoạn đầu.
• Ảnh hưởng diện rộng nếu nằm trong sản phẩm phổ biến.
• Khó phát hiện vì hành vi có thể giống lưu lượng hợp lệ.

Lưu ý: Nhiều sự cố ngoài đời lại xuất phát từ n‑day do doanh nghiệp chưa kịp cập nhật. Kỷ luật vá lỗi là then chốt.

CVE & CVSS là gì ?

• CVE (Common Vulnerabilities and Exposures): hệ thống gán mã định danh chuẩn cho lỗ hổng (ví dụ CVE‑2025‑12345), do MITRE và mạng lưới CNA điều phối. Mục tiêu: mọi bên nói cùng một ngôn ngữ khi nhắc tới một lỗ hổng cụ thể.
• CVSS (Common Vulnerability Scoring System): thước đo mức độ nghiêm trọng, chấm điểm (thấp → nghiêm trọng) để ưu tiên vá.

Dễ hiểu: CVE = mã số lỗ hổng, CVSS = mức độ nguy hiểm.

 “Thị trường” zero‑day hoạt động ra sao?

• Black market (chợ đen): mua bán lỗ hổng/mã khai thác để tấn công, đánh cắp dữ liệu, tống tiền…
• White market (tiết lộ có trách nhiệm / bug bounty): báo lỗi cho nhà cung cấp hoặc qua nền tảng (HackerOne, Bugcrowd, WhiteHub…); sau khi xác minh và vá, trả thưởng cho người phát hiện.
• Gray market: bán exploit cho cơ quan quốc phòng/tình báo với mục đích an ninh/điều tra; giao dịch kín, giá trị lớn.

Phòng chống zero‑day: rõ ràng – từng lớp – có quy trình

Không có “thuốc tiên”. Hãy kết hợp ngăn ngừa – phát hiện – ứng phó.

Ngăn ngừa (giảm khả năng bị tấn công)

• Quản trị bản vá (Patch/Vulnerability management): theo dõi thông báo, đánh giá – thử nghiệm – vá theo mức ưu tiên; duy trì danh mục tài sản/phần mềm để biết phải vá ở đâu.
• Thiết kế an toàn: tách mạng (NAC/segmentation), chỉ cấp quyền tối thiểu (Least Privilege), bật MFA cho tài khoản quan trọng.
• Gia cố hạ tầng ứng dụng: WAF cho web công khai; kiểm soát phụ thuộc bên thứ ba; sao lưu 3‑2‑1 và thử khôi phục định kỳ.

Phát hiện (nhận ra sớm hành vi lạ)

• EDR/XDR trên endpoint/server để bắt hành vi bất thường, long‑lived process, kỹ thuật lẩn tránh.
• Giám sát log → SIEM; đặt cảnh báo theo kịch bản (đăng nhập lạ, đột biến băng thông, tạo tài khoản trái phép…).

Ứng phó (xử lý sự cố có kịch bản)

• Playbook IR: cô lập máy bị xâm nhập, chặn IOC, thu thập bằng chứng, khôi phục từ bản sao sạch.
• Pentest/Red Team định kỳ để kiểm tra khả năng phòng thủ; Bug bounty để “vá trước khi bị khai thác”.

Lộ trình triển khai nhanh (30–90 ngày)

0–7 ngày

• Kiểm kê tài sản CNTT; bật tự động cập nhật; vá ngay lỗ hổng CVSS ≥ 9.
• Bật MFA cho quản trị & dịch vụ quan trọng; thiết lập sao lưu 3‑2‑1 và kiểm thử khôi phục.

8–30 ngày

• Triển khai EDR/XDR; bật WAF cho web công khai; chuẩn hóa log → SIEM.
• Ban hành Vulnerability Disclosure Policy (VDP) để nhận báo lỗi có trách nhiệm.

31–90 ngày

• Tổ chức pentest theo phạm vi ưu tiên; thử nghiệm bug bounty (pilot).
• Phân đoạn mạng/NAC, áp dụng Least Privilege; diễn tập Incident Response theo kịch bản zero‑day.

Câu hỏi thường gặp (FAQ)

Zero‑day đã công bố có còn là zero‑day?
Thường được coi là n‑day. Nguy cơ vẫn cao cho tới khi bạn vá và triển khai đầy đủ.

CVE có phải mức độ nghiêm trọng?
Không. CVE là mã định danh. Mức độ nghiêm trọng dùng CVSS.

Dùng phần mềm bản quyền có hết zero‑day?
Không. Bản quyền giúp cập nhật nhanh và ổn định, nhưng zero‑day là lỗi chưa biết; vẫn cần phòng thủ nhiều lớp.

Doanh nghiệp nhỏ nên bắt đầu từ đâu?
Bật cập nhật tự động + MFA, sao lưu 3‑2‑1, dùng EDR cơ bản + WAF, theo dõi log tối thiểu và lập quy trình ứng phó.

Zero‑day là cuộc đua giữa kẻ tấn công và người phòng thủ. Hiểu đúng khái niệm, nắm CVE/CVSS, duy trì kỷ luật vá lỗi, và triển khai phòng thủ nhiều lớp sẽ giúp bạn giảm thiểu rủi ro rõ rệt. Hãy coi bảo mật là quy trình liên tục, không phải chiến dịch ngắn hạn.