TẤN CÔNG MẠNG NHẰM VÀO CHUỖI CUNG ỨNG

     

     Trong những năm gần đây, giới doanh nghiệp lao đao vì sự xuất hiện của các hình thức tấn công mới tinh vi hơn, khó đoán hơn. Trước đây, chẳng ai tưởng tượng được chỉ vì nhân viên công ty đối tác “trót dại” mở email của hacker mà người chịu hậu quả lại là doanh nghiệp mình. Nhưng ngày nay điều đó hoàn toàn là sự thật.

     Điểm yếu bảo mật của doanh nghiệp đôi khi không nằm trong hệ thống của doanh nghiệp, mà có thể xuất phát từ chuỗi cung ứng của doanh nghiệp đó, như là các đối tác và nhà cung cấp (provider/vendor).

 

     Đó là hình thức Tấn công chuỗi cung ứng.

     1. Tấn công chuỗi cung ứng

     Tấn công chuỗi cung ứng (supply chain attack) là một cuộc tấn công mạng nhắm vào một doanh nghiệp thông qua các đối tác, các nhà cung cấp (provider/vendor) của doanh nghiệp đó.

     Như vậy, doanh nghiệp có chuỗi cung ứng càng lớn hoặc phức tạp, nguy cơ bị tấn công bằng hình thức này càng cao. Đối tượng bị nhắm đến bởi hình thức tấn công này không loại trừ bất cứ lĩnh vực, ngành nghề nào. Thậm chí các tổ chức Chính phủ cũng hoàn toàn có thể bị ảnh hưởng bởi Tấn công chuỗi cung ứng.

     2. Thực trạng

     Theo báo cáo của Symantec, số vụ tấn công chuỗi cung ứng được phát hiện trong năm 2018 tăng 78% so với năm trước đó. Symantec tiết lộ trong Báo cáo Đe dọa An ninh Internet mới nhất (Internet Security Threat Report – ISTR). Nhiều cuộc tấn công định dạng này đến từ các dịch vụ của bên thứ ba bị xâm phạm được sử dụng bởi các nhà bán lẻ trực tuyến, bao gồm cả chatbot và các tiện ích đánh giá của khách hàng. Trong khi, các cuộc tấn công Ransomware đã giảm 20% so với năm 2017, nhưng các cuộc tấn công chống lại các doanh nghiệp tăng 12% và ransomware di động đã tăng 33%.

     Điều này chứng minh rằng chuỗi cung ứng có thể là một điểm yếu đối với các nhà bán lẻ trực tuyến và các trang web thương mại điện tử.

     Hãng bảo mật Kaspersky vừa phát hiện một chiến dịch tấn công có chủ đích (APT) mới mang tên Shadow Hammer, nhắm mục tiêu vào người dùng cài đặt ứng dụng Live Update của Asus bằng cách cài cửa hậu (backdoor) trên máy tính của họ, ảnh hưởng đến hơn một triệu người dùng trên toàn cầu, trong khoảng thời gian từ tháng 6 đến tháng 11/2018.

     Theo ước tính, tổng cộng hơn 600 địa chỉ MAC đã được sử dụng trong cuộc tấn công, được nhắm đến bởi hơn 230 mẫu backdoor với các shellcode khác nhau. Công cuộc tìm kiếm mã độc đã phát hiện trong phần mềm từ ba nhà cung cấp khác nhau ở châu Á, đều sử dụng phương pháp và kỹ thuật tương tự nhau.

     3. Nguyên nhân

     Nguyên nhân chính dẫn tới các cuộc tấn công chuỗi cung ứng là do sự bảo mật lỏng lẻo ở quy trình vận hành, hợp tác giữa 2 bên. Nó nhắm vào những điểm yếu trong hệ thống liên kết nguồn nhân lực, tổ chức, cơ sở vật chất và trí tuệ liên quan đến sản phẩm: từ giai đoạn phát triển ban đầu cho đến người dùng cuối.

     Mặc dù cơ sở hạ tầng của nhà cung cấp có thể được bảo mật, nhưng có khả năng tồn tại những lỗ hổng trong cơ sở vật chất của bên sản xuất, gây phá hoại chuỗi cung ứng, dẫn đến an toàn dữ liệu bị vi phạm nghiêm trọng.

     Cụ thể, nhiều doanh nghiệp cho phép các nhà cung ứng tiếp cận với các thông tin “nhạy cảm”, mà chính những thông tin đó có thể gây ảnh hưởng tới doanh nghiệp khi bị lộ ra ngoài.

     4. Các mắc xích dễ bị tấn công

     - Nhà cung cấp Phần cứng và phần mềm: Ngày nay, công ty đều sử dụng phần mềm hay phần cứng (thậm chí cả hai) từ các đối tác bên ngoài. Nhờ sự bùng nổ trong kinh tế nguồn mở, không còn ai xây dựng tất cả nền tảng công nghệ từ con số 0 nữa. Nhưng ẩn chứa trong lối tư duy này là một rủi ro đáng kể. Từng vật dụng được mua, từng ứng dụng tải về cần phải được kiểm kiểm tra và giám sát rủi ro bảo mật tiềm ẩn, và tất cả các bản vá cần phải được cập nhật bản mới nhất. Nếu một phần mềm hoặc phần cứng gặp lỗi được ghép vào sản phẩm, công ty gặp phải nhiều vấn đề về bảo mật hơn là chỉ có dữ liệu bị đe dọa. Một con chip máy tính bị lây nhiễm với bảo mật backdoor, một chiếc camera không đảm bảo tính xác thực hay một phần mềm độc hại có thể gây ra hậu quả to lớn. Ví dụ, sự cố Heartbleed đã làm ảnh hưởng hàng triệu website và thiết bị di động cùng với phần mềm bởi nhiều nhà cung cấp lớn như Orcle, VMware và Cisco.

     - Nhà cung cấp đám mây (Cloud services): Xu hướng dịch chuyển dữ liệu lên mây đã giúp cho nhiều công ty tinh giản được quy trình vận hành, nhưng nó cũng tiềm ẩn rủi ro bị tấn công chuỗi cung ứng, cụ thể là các nhà cung cấp dịch vụ Đám mây. Fred Kneip, CEO của CyberGRX phát biểu rằng: “Mục tiêu cần được bảo vệ nằm rất xa ngoài tầm với của bạn, và những tin tặc vô cùng thông minh. Họ lần theo đầu mối yếu nhất.

     5. Kiểm soát rủi ro

     Dov Goldman, phó giám đốc ban đổi mới và đối tác tại Opus Global, Inc. cho biết: “Nếu một công ty đánh giá khả năng bảo mật và các chính sách quyền riêng tư của tất cả những nhà cung cấp, khả năng bị xâm nhập dữ liệu giảm từ 66% xuống 46%. Điều này còn đúng với tất cả các nhà cung cấp.

     Một khi công ty xác định được tất cả những nhà cung cấp và ai trong số họ có quyền truy cập vào dữ liệu nhạy cảm, họ sẽ chủ động được các phương pháp giúp đánh giá khả năng bảo mật. Cụ thể, một số công ty đang thêm cả điều khoản bảo mật vào trong hợp đồng cung cấp dịch vụ với các nhà cung cấp của họ.

     Các công ty nên đánh giá cách thức các bên thứ ba tiếp cận dữ liệu tuyệt mật của mình để đảm bảo rằng chỉ có những cá nhân phù hợp mới có thể tiếp cận dữ liệu với mục đích đúng đắn. Theo Báo cáo Rủi ro Mạng của Ponemon, 42% người được hỏi trả lời rằng họ đang tăng cường kiểm soát đối với quyền tiếp cận dữ liệu tuyệt mật từ bên thứ ba.

     6. Lời kết

     Để ngăn ngừa rủi ro bị tấn công chuỗi cung ứng, các doanh nghiệp được khuyến cáo nên kiểm soát chặt chẽ quy trình hợp tác với các nhà cung cấp, chọn hợp tác với các bên có cam kết bảo mật thông tin, có quy trình xử lí đầu việc rõ ràng – khoa học. Bởi xét cho cùng, khi sự việc xảy ra, chính doanh nghiệp là đối tượng phải chịu thiệt hại nặng nề nhất.