Ngày nay, hầu hết các sản phẩm phần mềm đều dựa vào hàng nghìn gói viết sẵn do các nhà cung cấp tạo ra hoặc từ các thư viện mã nguồn mở. Việc sử dụng phổ biến nhất trong số các thành phần chuỗi cung ứng phần mềm của bên thứ ba này là mục tiêu được đánh giá cao của bọn tội phạm mạng. Nếu những kẻ tấn công xâm nhập vào chúng, chúng có thể xâm nhập hàng nghìn hoặc thậm chí hàng triệu công ty trong các ngành công nghiệp và trên toàn thế giới. Tin tốt là các công ty không phải cảm thấy bất lực; họ có thể dựa vào những người khác bên ngoài công ty để khám phá các lỗ hổng. Các nhà lãnh đạo công ty và nhóm CNTT có thể thực hiện ba bước để ưu tiên và khắc phục các lỗ hổng và ngăn chặn các cuộc tấn công mạng chuỗi cung ứng.
Vào tháng 7, REvil, một băng nhóm tội phạm mạng của Nga, đã có thể đóng cửa hệ thống CNTT của 800 cửa hàng tạp hóa Thụy Điển, một vài trường học ở New Zealand, hai chính quyền thị trấn Maryland và khoảng một nghìn doanh nghiệp khác trên khắp thế giới. Những kẻ tấn công đã phát hiện ra rằng Kaseya, một phần mềm được các nhà thầu dịch vụ CNTT sử dụng để quản lý từ xa các mạng công ty, có nhiều lỗ hổng bảo mật mạng. Bằng cách tấn công Kaseya, REvil đã có được một cửa hậu vào hệ thống CNTT của nhiều tổ chức mà phần mềm hỗ trợ. Do đó Kaseya là một hướng tấn công nguy hiểm.
Bây giờ chúng ta nên chuyển sự chú ý của mình sang các dịch vụ và sản phẩm công nghệ linchpin, nếu bị xâm phạm, sẽ có những tác động sâu rộng tương tự. Ngày nay, hầu hết các sản phẩm phần mềm đều dựa vào hàng nghìn gói viết sẵn do các nhà cung cấp tạo ra hoặc được rút ra từ các thư viện mã nguồn mở. Việc sử dụng phổ biến nhất trong số các thành phần chuỗi cung ứng phần mềm của bên thứ ba này là mục tiêu được đánh giá cao của bọn tội phạm mạng. Và họ dễ bị tổn thương. Một cuộc kiểm toán năm 2020 do Synopsys thực hiện phát hiện ra rằng 49% cơ sở mã thương mại sử dụng các thành phần mã nguồn mở có các lỗ hổng rủi ro cao. Nếu những kẻ tấn công khai thác những lỗ hổng này, chúng có thể làm tổn hại hàng ngàn hoặc thậm chí hàng triệu công ty trong các ngành công nghiệp và trên toàn thế giới.
Đây không phải là suy đoán vu vơ. Các tác nhân đe dọa tinh vi đã nhắm mục tiêu đến các thành phần chuỗi cung ứng được sử dụng rộng rãi – và được bảo mật kém. SVR, một cơ quan tình báo của Nga, đã cấy mã độc vào một bản cập nhật phần mềm của SolarWinds , một phần mềm quản lý đám mây. SVR cung cấp một hướng tấn công tiềm tàng vào 18.000 doanh nghiệp và cơ quan chính phủ đã cài đặt bản cập nhật.
Người Nga không đơn độc. Paul Nakasone, chỉ huy Bộ Chỉ huy Không gian mạng Hoa Kỳ, nói với Quốc hội rằng các quốc gia đang tăng cường “các phương pháp hay nhất” để nhắm vào các lỗ hổng của chuỗi cung ứng. Công ty bảo mật Sonatype ước tính sự gia tăng hơn 400% các cuộc tấn công chuỗi cung ứng từ tháng 7 năm 2019 đến tháng 3 năm 2020 so với 4 năm trước đó cộng lại.
Một khi kẻ thù đột nhập vào mạng lưới của tổ chức, chúng có thể gây ra thiệt hại nghiêm trọng về tài chính và danh tiếng. Nhiều doanh nghiệp sẽ không tồn tại được sau thời kỳ thất bại. Một nghiên cứu của Verizon được tìm thấy rằng 60% doanh nghiệp vừa và nhỏ sẽ ngừng kinh doanh trong vòng sáu tháng sau một cuộc tấn công mạng. Do đó, các công ty có trách nhiệm giảm thiểu rủi ro của họ.
Để hiểu rõ hơn về mối đe dọa và cách nó hiện đang được quản lý, chúng tôi đã thực hiện các cuộc phỏng vấn bán cấu trúc với giám đốc điều hành của các doanh nghiệp vừa và nhỏ và với những người trong chiến lược khắc phục chuỗi cung ứng: điều phối viên về tính dễ bị tổn thương tại CERT / CC, một tổ chức do chính phủ tài trợ tổ chức được giao nhiệm vụ sửa các lỗi an ninh mạng nghiêm trọng và các giám đốc an ninh của các công ty công nghệ.
Nhiều nhà lãnh đạo công ty mà chúng tôi đã nói chuyện rất quan trọng về thách thức. Một giám đốc điều hành của một công ty vốn hóa nhỏ thú nhận rằng ông không nghĩ rằng doanh nghiệp của mình có thể đảm bảo chuỗi cung ứng của mình. Phản ứng bản năng này có ý nghĩa. Báo cáo của Synopsys cho thấy rằng các cơ sở mã thương mại sử dụng trung bình 445 thành phần mã nguồn mở. Rất ít tổ chức có chuyên môn – và hầu như không có tổ chức nào có băng thông – để tìm kiếm các lỗ hổng bảo mật mạng của các nhà cung cấp bên thứ ba và thứ tư đa dạng của họ.
Nhưng tin tốt là các công ty không phải cảm thấy bất lực; họ có thể dựa vào những người khác bên ngoài công ty để khám phá các lỗ hổng. Trong vài năm qua, hệ sinh thái ngày càng phát triển của các nhà nghiên cứu bảo mật và các cơ quan chia sẻ thông tin đã xác định được hàng nghìn lỗ hổng nghiêm trọng trước khi chúng bị khai thác bởi những kẻ xấu. Các doanh nghiệp chỉ cần cập nhật thông tin và phản ứng với tinh thần khẩn trương đối với các mối đe dọa có thể ảnh hưởng đến họ.
Các doanh nghiệp sẽ sớm có quyền truy cập vào nhiều công cụ hơn nữa giúp họ nhanh chóng hiểu được liệu họ có thể bị xâm phạm bởi một lỗ hổng hay không. Hiện tại, một số nhà cung cấp phát hành hóa đơn vật liệu phần mềm (SBOM), trong đó liệt kê các thành phần chuỗi cung ứng được nhúng trong cơ sở mã sản phẩm của họ. Nhưng gần đây Lệnh điều hành của chính quyền Biden yêu cầu tất cả các nhà cung cấp công nghệ có hợp đồng với chính phủ liên bang (bao gồm các nhà sản xuất phần mềm phổ biến nhất) phải phát hành công khai các SBOM. Điều này sẽ mang lại sự minh bạch cần thiết cho chuỗi cung ứng phần mềm.
Thay vì tìm lỗi, doanh nghiệp cần nhanh chóng ưu tiên và vá các lỗ hổng. Thật không may một báo cáo của HP-Bromium được tìm thấy rằng nhiều công ty đã thất bại trong việc khắc phục các lỗ hổng lâu đời. Các doanh nghiệp không thể sửa chữa các lỗ hổng bảo mật mà bản vá tồn tại có nguy cơ rất cao. Như Dmitri Alperovitch, đồng sáng lập công ty ứng phó sự cố mạng hàng đầu CrowdStrike, đã lưu ý , nhiều nhóm tội phạm thiết kế ngược các bản vá để phát hiện ra các lỗ hổng và khai thác các tổ chức không an toàn.
Tin tốt là vấn đề này không phải là không thể vượt qua, ngay cả đối với các công ty nhỏ hơn. Các nhà lãnh đạo công ty và nhóm CNTT có thể thực hiện ba bước để ưu tiên và khắc phục các lỗ hổng và ngăn chặn các cuộc tấn công mạng chuỗi cung ứng.
Các nhà quản lý CNTT nên dựa nhiều hơn vào các công cụ tự động để sửa các lỗ hổng đơn giản
Kho lưu trữ mã trực tuyến GitHub đã phát triển “mã robot tự động” để xác định và sửa chữa các lỗ hổng đơn giản của người dùng chỉ bằng một cú nhấp chuột. Với việc SBOM trở nên phổ biến, các dịch vụ tương tự sẽ được phát triển.
Tuy nhiên, rất ít doanh nghiệp đã triển khai các công cụ mới này vào quy trình công việc CNTT của họ. Chỉ 42 trong số 1.896 người dùng GitHub được liên hệ về một lỗ hổng bảo mật chấp nhận bản vá tự động . Điều này phải thay đổi.
Các doanh nghiệp nên tiến hành phân tích chi phí – lợi ích để vá lỗ hổng
Rất nhiều lỗ hổng sẽ không dễ sửa chữa như vậy. Nhiều sản phẩm chỉ có thể được vá khi hệ thống của họ ngoại tuyến. Do đó, việc sửa chữa mọi lỗ hổng là không thực tế.
Rất may, nó không cần thiết. Không phải tất cả các lỗ hổng đều được tạo ra như nhau: Một số lỗ hổng khó có khả năng bị khai thác. Fortinet đã báo cáo rằng chỉ có 5% lỗ hổng được khai thác chống lại hơn 10% tổ chức được giám sát. Cũng giống như một bệnh viện bận rộn phân loại bệnh nhân, các nhóm CNTT có thể phân loại các lỗ hổng bảo mật. Các lỗ hổng có thể khai thác và tác động phải được khắc phục nhanh chóng. Các doanh nghiệp có thể đợi cho đến khi các bản cập nhật theo lịch trình để khắc phục các lỗ hổng ít khẩn cấp hơn.
Các doanh nghiệp có thể sử dụng các số liệu mới được tạo để phân loại các lỗ hổng. Ví dụ, Hệ thống chấm điểm dự đoán khai thác (EPSS), được phát triển bởi một nhóm các chuyên gia an ninh mạng và các nhà cung cấp phần mềm, ước tính xác suất một lỗ hổng sẽ bị khai thác dựa trên các đặc điểm vốn có của nó. Công cụ này sẽ giúp các nhà quản lý rủi ro xác định xem liệu lợi ích an ninh mạng của việc sửa chữa lỗ hổng bảo mật có vượt xa những gián đoạn mà việc khắc phục sẽ gây ra hay không.
Yêu cầu các nhà cung cấp công nghệ quan trọng thực hiện “bản vá nóng”
Một số công nghệ, chẳng hạn như hệ thống điều khiển công nghiệp vận hành các nhà máy và phần mềm quản lý lưới điện và mạng lưới phân phối nước, có vai trò then chốt đến mức chúng không thể bị lỗi. Các doanh nghiệp muốn họ không có bất kỳ lỗ hổng đã biết nào, bất kể họ nghĩ lỗ hổng này có thể bị khai thác như thế nào.
Nhưng các hệ thống này cũng phải luôn sẵn sàng. Nếu chúng cần phải đóng cửa để vá, các bản cập nhật an ninh mạng sẽ không thường xuyên, bởi vì các doanh nghiệp và chính phủ hiếm khi có đủ khả năng để đưa chúng ngoại tuyến.
Do đó, các doanh nghiệp nên yêu cầu các nhà cung cấp của họ triển khai các hệ thống vá lỗi nóng, cho phép họ triển khai các bản vá mà không cần khởi động lại phần mềm của họ. Mặc dù việc triển khai chức năng này có thể làm tăng chi phí, nhưng nó cũng sẽ đảm bảo rằng các doanh nghiệp không phải lựa chọn giữa an ninh mạng và tính khả dụng.
Để chắc chắn, các biện pháp này sẽ không bảo vệ các công ty trước tất cả các rủi ro trong chuỗi cung ứng phần mềm. Giống như bất kỳ thử nghiệm không hoàn hảo nào, EPSS tạo ra âm tính giả: Đôi khi nó kết luận sai rằng các lỗ hổng tiềm ẩn ít khẩn cấp hơn. Hơn nữa, các phương pháp bảo mật được đề xuất của chúng tôi sẽ không bảo vệ các công ty chống lại các tác nhân độc hại tận dụng các lỗ hổng chưa được cộng đồng an ninh mạng phát hiện cho đến khi chúng bị khai thác trong một cuộc tấn công. Tuy nhiên, bằng cách thực hiện các bước này, các công ty sẽ có thể đẩy lùi phần lớn các cuộc tấn công, vũ khí hóa các lỗ hổng đã biết và có thể khai thác. Các doanh nghiệp không cần cảm thấy bất lực – họ có thể quản lý rủi ro này.
