Kể từ cuộc tấn công chuỗi cung ứng vào SolarWinds, các doanh nghiệp đã tập trung nhiều hơn vào cách bảo đảm bảo mật cho các nhà cung cấp. Các doanh nghiệp dù lớn hay nhỏ thì đều có thể trở thành nạn nhân của loại hình tấn công này. Ngay cả với các nguồn lực và tài trợ của chính phủ như Bộ Tài chính và Bộ An ninh nội địa Hoa kỳ cũng bị ảnh hưởng trong vụ SolarWinds.
Mặc dù không có gì có thể đảm bảo rằng một doanh nghiệp có thể phát hiện một cuộc tấn công vào chuỗi cung ứng trước khi nó xảy ra, nhưng dưới đây là 10 khuyến nghị được helpnetsecurity đưa ra cho doanh nghiệp, để giúp giảm thiểu rủi ro và xác nhận tính bảo mật của chuỗi cung ứng.
Thứ nhất: Đánh giá tác động mà mỗi nhà cung cấp có thể có đối với doanh nghiệp nếu cơ sở hạ tầng công nghệ thông tin (CNTT) của nhà cung cấp bị xâm phạm.
Mặc dù việc đánh giá toàn bộ rủi ro được ưu tiên hơn, nhưng các tổ chức nhỏ có thể không đủ nguồn lực để tiến hành đánh giá. Tuy nhiên, ở mức tối thiểu, các doanh nghiệp nên phân tích các tình huống xấu nhất và đặt các câu hỏi như:
Thứ hai: Đánh giá nguồn lực và năng lực CNTT nội bộ của từng nhà cung cấp.
Cần xem xét các nhà cung cấp có một nhóm chuyên trách về an ninh mạng do người quản lý bảo mật hoặc CISO lãnh đạo không? Điều quan trọng là phải xác định lãnh đạo an ninh của nhà cung cấp, vì đó là người có thể trả lời các câu hỏi của doanh nghiệp. Nếu không tồn tại hoặc nhân sự chuyên trách về an ninh mạng yếu kém mà không có lãnh đạo thực sự, các doanh nghiệp cần xem xét lại việc hợp tác với nhà cung cấp này.
Thứ ba: Gặp gỡ người quản lý bảo mật của nhà cung cấp hoặc CISO để khám phá cách họ bảo vệ hệ thống và dữ liệu của họ.
Đây có thể là một cuộc họp ngắn, cuộc gọi điện thoại hoặc thậm chí là một cuộc trò chuyện qua email, tùy thuộc vào những rủi ro được xác định trong nội dung thứ nhất.
Thứ tư: Yêu cầu bằng chứng để xác minh những gì nhà cung cấp đang tuyên bố.
Báo cáo thâm nhập là một cách hữu ích để kiểm tra điều này. Đảm bảo phạm vi thử nghiệm là phù hợp và bất cứ khi nào có thể, yêu cầu báo cáo về hai lần thử nghiệm liên tiếp để xác minh rằng nhà cung cấp đang thực hiện theo các phát hiện của mình.
Thứ năm: Nếu là nhà cung cấp phần mềm, hãy yêu cầu báo cáo đánh giá mã nguồn độc lập.
Trong một số trường hợp, nhà cung cấp có thể yêu cầu NDA chia sẻ toàn bộ báo cáo hoặc có thể chọn không chia sẻ. Khi điều này xảy ra, doanh nghiệp hãy yêu cầu ít nhất một bản tóm tắt. Các báo cáo đánh giá mã nguồn sẽ cho thấy phần mềm tồn tại những lỗ hổng bảo mật nào và việc khắc phục chúng được thực hiện ra sao.
Thứ sáu: Nếu là nhà nhà cung cấp dịch vụ đám mây, hãy tiến hành rà quét
Doanh nghiệp cần thực hiện độc lập việc rà quét mạng của nhà cung cấp, thực hiện tìm kiếm trên Shodan hoặc yêu cầu nhà cung cấp cung cấp báo cáo về các lần quét của riêng họ.
Nếu doanh nghiệp tự thực hiện, hãy xin giấy phép từ nhà cung cấp và yêu cầu họ tách riêng địa chỉ khách hàng khỏi địa chỉ của họ để tránh rà quét hệ thống mạng không liên quan.
Thứ bảy: Kiểm tra các chương trình tiền thưởng lỗi
Nếu nhà cung cấp là nhà cung cấp phần mềm hoặc đám mây, hãy tìm hiểu xem nhà cung cấp có đang chạy chương trình thưởng tiền thưởng lỗi hay không. Các chương trình này giúp một tổ chức tìm và sửa chữa các lỗ hổng trước khi những kẻ tấn công có cơ hội khai thác chúng.
Thứ tám: Tìm hiểu về cách nhà cung cấp đang ưu tiên rủi ro như thế nào
Hệ thống chấm điểm lỗ hổng phổ biến (Common Vulnerability Scoring System - CVSS) là một tiêu chuẩn công nghiệp mở và miễn phí dành cho nhà cung cấp về mức độ nghiêm trọng của các lỗ hổng bảo mật hệ thống máy tính và ấn định điểm số mức độ nghiêm trọng so với có thể ưu tiên các phản ứng rủi ro.
Căn cứ vào CVSS các doanh nghệp có thể tìm hiểu về cách các nhà cung cấp đang ưu tiên quản trị rủi ro như thế nào.
Thứ chín: Yêu cầu các báo cáo vá lỗi của nhà cung cấp
Việc nhà cung cấp có các báo cáo vá lỗi phần nào chứng tỏ cam kết của họ đối trong việc đảm bảo bảo mật và quản lý các lỗ hổng. Nếu có thể, các doanh nghiệp hãy yêu cầu báo cáo do một tổ chức độc lập thực hiện.
Thứ mười: Thực hiện định kỳ
Các khuyến nghị từ 1 đến 9 nên được lặp lại hàng năm, tùy thuộc vào rủi ro và tác động đến doanh nghiệp. Đối với một nhà cung cấp có tác động thấp, điều này có thể được thực hiện ít thường xuyên hơn. Đối với một nhà cung cấp có nhiệm vụ quan trọng đối với sự thành công của doanh nghiệp và có rủi ro cao, doanh nghiệp có thể phát triển một quy trình đánh giá vĩnh viễn. Tuy nhiên, các nhà cung cấp SaaS và IaaS lớn có thể không sẵn sàng tham gia vào các cuộc đánh giá liên tục.
Bằng các thực tiễn tốt nhất được khuyến nghị này, doanh nghiệp có thể xác định các rủi ro liên quan đến một nhà cung cấp cụ thể, hiểu cách nhà cung cấp quản lý những rủi ro đó và thu thập bằng chứng về cách nhà cung cấp đang giảm thiểu những rủi ro đó.
Dựa trên bằng chứng này và khẩu vị rủi ro, một doanh nghiệp có thể đưa ra quyết định sáng suốt để làm việc với nhà cung cấp hay không. Cuối cùng, khi doanh nghiệp thực hiện những đánh giá này, hãy hướng tới sự nhất quán và tìm kiếm rủi ro thay đổi theo thời gian.
Hãy nhớ rằng không có gì đảm bảo rằng bất kỳ ai cũng có thể ngăn chặn một cuộc tấn công vào chuỗi cung ứng nhưng bằng cách bảo vệ môi trường của chính doanh nghiệp, tiến hành đào tạo liên tục về an ninh mạng với người dùng và tuân thủ theo 10 khuyến nghị này, doanh nghiệp có thể giảm thiểu rủi ro cho tổ chức của bạn.
Trí Công
18:00 | 22/07/2021
15:00 | 19/01/2022
08:00 | 18/04/2022
13:00 | 26/02/2024
Operation Triangulation là một chiến dịch phức tạp nhắm vào thiết bị iOS trong các cuộc tấn công zero-click. Tạp chí An toàn thông tin đã từng cung cấp một số bài viết liên quan đến chiến dịch này, như giải mã tính năng che giấu của phần mềm độc hại TriangleDB, những cuộc tấn công zero-day trên thiết bị iOS hay giới thiệu cách sử dụng công cụ bảo mật phát hiện tấn công zero-click. Tiếp nối chuỗi bài viết về chiến dịch Operation Triangulation, bài viết sẽ phân tích các phương thức khai thác, tấn công chính của tin tặc trong chuỗi tấn công này, dựa trên báo cáo của hãng bảo mật Kaspersky.
16:00 | 14/11/2023
Dựa trên công bố của công ty quản lý định danh và truy cập Okta (Mỹ) vào ngày 20/10/2023 liên quan đến một vi phạm bảo mật gần đây, các nhà nghiên cứu đã xác định rằng các tác nhân đe dọa đã giành được quyền truy cập thành công vào hệ thống hỗ trợ khách hàng của Okta, kẻ tấn công có thể xem các tệp tải lên (upload) liên quan đến các trường hợp hỗ trợ mới bằng mã thông báo phiên hợp lệ, các tác nhân đe dọa sau đó đã có được quyền truy cập vào hệ thống của khách hàng. Trong bài viết này sẽ mô tả tác động của các hành vi vi phạm của nhà cung cấp danh tính (IdP) và cách các tổ chức có thể tự chủ động bảo vệ mình trước các cuộc tấn công này.
10:00 | 22/09/2023
Internet robot hay bot là các ứng dụng phần mềm thực hiện các tác vụ lặp đi lặp lại một cách tự động qua mạng. Chúng có thể hữu ích để cung cấp các dịch vụ như công cụ tìm kiếm, trợ lý kỹ thuật số và chatbot. Tuy nhiên, không phải tất cả các bot đều hữu ích. Một số bot độc hại và có thể gây ra rủi ro về bảo mật và quyền riêng tư bằng cách tấn công các trang web, ứng dụng dành cho thiết bị di động và API. Bài báo này sẽ đưa ra một số thống kê đáng báo động về sự gia tăng của bot độc hại trên môi trường Internet, từ đó đưa ra một số kỹ thuật ngăn chặn mà các tổ chức/doanh nghiệp (TC/DN) có thể tham khảo để đối phó với lưu lượng bot độc hại.
10:00 | 28/08/2023
Trước đây đã có những quan điểm cho rằng MacBook rất khó bị tấn công và các tin tặc thường không chú trọng nhắm mục tiêu đến các dòng máy tính chạy hệ điều hành macOS. Một trong những nguyên do chính xuất phát từ các sản phẩm của Apple luôn được đánh giá cao về chất lượng lẫn kiểu dáng thiết kế, đặc biệt là khả năng bảo mật, nhưng trên thực tế MacBook vẫn có thể trở thành mục tiêu khai thác của các tin tặc. Mặc dù không bị xâm phạm thường xuyên như máy tính Windows, tuy nhiên đã xuất hiện nhiều trường hợp tin tặc tấn công thành công vào MacBook, từ các chương trình giả mạo đến khai thác lỗ hổng bảo mật. Chính vì vậy, việc trang bị những kỹ năng an toàn cần thiết sẽ giúp người dùng chủ động nhận biết sớm các dấu hiệu khi Macbook bị tấn công, đồng thời có những phương án bảo vệ hiệu quả trước các mối đe dọa tiềm tàng có thể xảy ra.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Những ngày gần đây, liên tục các kênh YouTube với lượng người theo dõi lớn như Mixigaming với 7,32 triệu người theo dõi của streamer nổi tiếng Phùng Thanh Độ (Độ Mixi) hay Quang Linh Vlogs - Cuộc sống ở Châu Phi với 3,83 triệu người theo dõi của YouTuber Quang Linh đã bị tin tặc tấn công và chiếm quyền kiểm soát.
10:00 | 22/04/2024