Kể từ cuộc tấn công chuỗi cung ứng vào SolarWinds, các doanh nghiệp đã tập trung nhiều hơn vào cách bảo đảm bảo mật cho các nhà cung cấp. Các doanh nghiệp dù lớn hay nhỏ thì đều có thể trở thành nạn nhân của loại hình tấn công này. Ngay cả với các nguồn lực và tài trợ của chính phủ như Bộ Tài chính và Bộ An ninh nội địa Hoa kỳ cũng bị ảnh hưởng trong vụ SolarWinds.
Mặc dù không có gì có thể đảm bảo rằng một doanh nghiệp có thể phát hiện một cuộc tấn công vào chuỗi cung ứng trước khi nó xảy ra, nhưng dưới đây là 10 khuyến nghị được helpnetsecurity đưa ra cho doanh nghiệp, để giúp giảm thiểu rủi ro và xác nhận tính bảo mật của chuỗi cung ứng.
Thứ nhất: Đánh giá tác động mà mỗi nhà cung cấp có thể có đối với doanh nghiệp nếu cơ sở hạ tầng công nghệ thông tin (CNTT) của nhà cung cấp bị xâm phạm.
Mặc dù việc đánh giá toàn bộ rủi ro được ưu tiên hơn, nhưng các tổ chức nhỏ có thể không đủ nguồn lực để tiến hành đánh giá. Tuy nhiên, ở mức tối thiểu, các doanh nghiệp nên phân tích các tình huống xấu nhất và đặt các câu hỏi như:
Thứ hai: Đánh giá nguồn lực và năng lực CNTT nội bộ của từng nhà cung cấp.
Cần xem xét các nhà cung cấp có một nhóm chuyên trách về an ninh mạng do người quản lý bảo mật hoặc CISO lãnh đạo không? Điều quan trọng là phải xác định lãnh đạo an ninh của nhà cung cấp, vì đó là người có thể trả lời các câu hỏi của doanh nghiệp. Nếu không tồn tại hoặc nhân sự chuyên trách về an ninh mạng yếu kém mà không có lãnh đạo thực sự, các doanh nghiệp cần xem xét lại việc hợp tác với nhà cung cấp này.
Thứ ba: Gặp gỡ người quản lý bảo mật của nhà cung cấp hoặc CISO để khám phá cách họ bảo vệ hệ thống và dữ liệu của họ.
Đây có thể là một cuộc họp ngắn, cuộc gọi điện thoại hoặc thậm chí là một cuộc trò chuyện qua email, tùy thuộc vào những rủi ro được xác định trong nội dung thứ nhất.
Thứ tư: Yêu cầu bằng chứng để xác minh những gì nhà cung cấp đang tuyên bố.
Báo cáo thâm nhập là một cách hữu ích để kiểm tra điều này. Đảm bảo phạm vi thử nghiệm là phù hợp và bất cứ khi nào có thể, yêu cầu báo cáo về hai lần thử nghiệm liên tiếp để xác minh rằng nhà cung cấp đang thực hiện theo các phát hiện của mình.
Thứ năm: Nếu là nhà cung cấp phần mềm, hãy yêu cầu báo cáo đánh giá mã nguồn độc lập.
Trong một số trường hợp, nhà cung cấp có thể yêu cầu NDA chia sẻ toàn bộ báo cáo hoặc có thể chọn không chia sẻ. Khi điều này xảy ra, doanh nghiệp hãy yêu cầu ít nhất một bản tóm tắt. Các báo cáo đánh giá mã nguồn sẽ cho thấy phần mềm tồn tại những lỗ hổng bảo mật nào và việc khắc phục chúng được thực hiện ra sao.
Thứ sáu: Nếu là nhà nhà cung cấp dịch vụ đám mây, hãy tiến hành rà quét
Doanh nghiệp cần thực hiện độc lập việc rà quét mạng của nhà cung cấp, thực hiện tìm kiếm trên Shodan hoặc yêu cầu nhà cung cấp cung cấp báo cáo về các lần quét của riêng họ.
Nếu doanh nghiệp tự thực hiện, hãy xin giấy phép từ nhà cung cấp và yêu cầu họ tách riêng địa chỉ khách hàng khỏi địa chỉ của họ để tránh rà quét hệ thống mạng không liên quan.
Thứ bảy: Kiểm tra các chương trình tiền thưởng lỗi
Nếu nhà cung cấp là nhà cung cấp phần mềm hoặc đám mây, hãy tìm hiểu xem nhà cung cấp có đang chạy chương trình thưởng tiền thưởng lỗi hay không. Các chương trình này giúp một tổ chức tìm và sửa chữa các lỗ hổng trước khi những kẻ tấn công có cơ hội khai thác chúng.
Thứ tám: Tìm hiểu về cách nhà cung cấp đang ưu tiên rủi ro như thế nào
Hệ thống chấm điểm lỗ hổng phổ biến (Common Vulnerability Scoring System - CVSS) là một tiêu chuẩn công nghiệp mở và miễn phí dành cho nhà cung cấp về mức độ nghiêm trọng của các lỗ hổng bảo mật hệ thống máy tính và ấn định điểm số mức độ nghiêm trọng so với có thể ưu tiên các phản ứng rủi ro.
Căn cứ vào CVSS các doanh nghệp có thể tìm hiểu về cách các nhà cung cấp đang ưu tiên quản trị rủi ro như thế nào.
Thứ chín: Yêu cầu các báo cáo vá lỗi của nhà cung cấp
Việc nhà cung cấp có các báo cáo vá lỗi phần nào chứng tỏ cam kết của họ đối trong việc đảm bảo bảo mật và quản lý các lỗ hổng. Nếu có thể, các doanh nghiệp hãy yêu cầu báo cáo do một tổ chức độc lập thực hiện.
Thứ mười: Thực hiện định kỳ
Các khuyến nghị từ 1 đến 9 nên được lặp lại hàng năm, tùy thuộc vào rủi ro và tác động đến doanh nghiệp. Đối với một nhà cung cấp có tác động thấp, điều này có thể được thực hiện ít thường xuyên hơn. Đối với một nhà cung cấp có nhiệm vụ quan trọng đối với sự thành công của doanh nghiệp và có rủi ro cao, doanh nghiệp có thể phát triển một quy trình đánh giá vĩnh viễn. Tuy nhiên, các nhà cung cấp SaaS và IaaS lớn có thể không sẵn sàng tham gia vào các cuộc đánh giá liên tục.
Bằng các thực tiễn tốt nhất được khuyến nghị này, doanh nghiệp có thể xác định các rủi ro liên quan đến một nhà cung cấp cụ thể, hiểu cách nhà cung cấp quản lý những rủi ro đó và thu thập bằng chứng về cách nhà cung cấp đang giảm thiểu những rủi ro đó.
Dựa trên bằng chứng này và khẩu vị rủi ro, một doanh nghiệp có thể đưa ra quyết định sáng suốt để làm việc với nhà cung cấp hay không. Cuối cùng, khi doanh nghiệp thực hiện những đánh giá này, hãy hướng tới sự nhất quán và tìm kiếm rủi ro thay đổi theo thời gian.
Hãy nhớ rằng không có gì đảm bảo rằng bất kỳ ai cũng có thể ngăn chặn một cuộc tấn công vào chuỗi cung ứng nhưng bằng cách bảo vệ môi trường của chính doanh nghiệp, tiến hành đào tạo liên tục về an ninh mạng với người dùng và tuân thủ theo 10 khuyến nghị này, doanh nghiệp có thể giảm thiểu rủi ro cho tổ chức của bạn.
Trí Công
18:00 | 22/07/2021
15:00 | 19/01/2022
08:00 | 18/04/2022
08:00 | 22/05/2024
Phần II của bài báo tiếp tục tập trung đánh giá một số công nghệ Blockchain phổ biến hiện nay, từ đó, xem xét tính ứng dụng của các công nghệ này đối với Việt Nam.
10:00 | 08/05/2024
Trong thời đại công nghệ phát triển ngày nay, việc tiếp xúc với môi trường trực tuyến đã trở nên rất phổ biến. Điện thoại thông minh không chỉ là công cụ để chúng ta có thể liên lạc với con cái, mà còn mở ra cơ hội cho trẻ tiếp cận kiến thức và giải trí một cách bổ ích, miễn là người lớn biết cách hướng dẫn chúng một cách đúng đắn. Thay vì kiểm soát, hãy tìm cách để thiết lập điện thoại sao cho phù hợp, từ đó đảm bảo an toàn cho trẻ em trên môi trường mạng. Bài báo sau đây sẽ hướng dẫn độc giả đặc biệt là các phụ huynh cách thiết lập quản lý việc sử dụng điện thoại thông minh (hệ điều hành Android) của con mình một cách hiệu quả và an toàn.
13:00 | 19/03/2024
Hiện nay, khi mức độ phổ biến của Hệ thống tệp liên mạng (Interplanetary File System - IPFS) ngày càng phát triển thì cũng kéo theo những rủi ro và mối đe dọa bởi tội phạm mạng nhanh chóng phát triển các kỹ thuật tấn công và lợi dụng công nghệ IPFS để mở rộng hoạt động phạm tội của chúng. Các cuộc tấn công này thậm chí còn trở nên nguy hiểm hơn khi nhiều dịch vụ lưu trữ tệp, lưu trữ web và đám mây hiện đang sử dụng IPFS. Xu hướng gần đây cho thấy sự gia tăng đáng lo ngại về các cuộc tấn công lừa đảo tận dụng IPFS, trong đó kẻ tấn công lạm dụng tính chất phi tập trung của công nghệ này để lưu trữ và phân phối nội dung độc hại. Bài báo trình bày tổng quan và thực trạng tấn công lừa đảo IPFS, từ đó đưa ra phương pháp phù hợp để phòng tránh trước các cuộc tấn công lừa đảo IPFS.
09:00 | 13/02/2024
Trong bối cảnh an ninh mạng ngày càng phát triển, các tổ chức liên tục phải đấu tranh với một loạt mối đe dọa trên môi trường mạng ngày càng phức tạp. Các phương pháp an toàn, an ninh mạng truyền thống thường sử dụng các biện pháp bảo vệ thống nhất trên các hệ thống đang tỏ ra kém hiệu quả trước các hình thái tấn công ngày càng đa dạng. Điều này đặt ra một bài toán cần có sự thay đổi mô hình bảo vệ theo hướng chiến lược, phù hợp và hiệu quả hơn thông qua việc Quản lý rủi ro bề mặt tấn công (Attack Surface Risk Management - ASRM).
Với sự phát triển mạnh mẽ của công nghệ số, số lượng các phần mềm chương trình được công bố ngày càng lớn. Song hành với đó là việc tin tặc luôn tìm cách phân tích, dịch ngược các chương trình nhằm lấy cắp ý tưởng, bẻ khóa phần mềm thương mại gây tổn hại tới các tổ chức, cá nhân phát triển phần mềm. Đặc biệt, trong ngành Cơ yếu có những chương trình có tích hợp các thuật toán mật mã ở mức mật và tối mật thì việc chống phân tích, dịch ngược có vai trò hết sức quan trọng. Do đó, việc phát triển một giải pháp bảo vệ các chương trình phần mềm chống lại nguy cơ phân tích, dịch ngược là rất cấp thiết.
16:00 | 04/08/2024
Có rất nhiều khái niệm về Zero Trust nhưng bạn đã thực sự hiểu về nó? Bài báo này sẽ đưa ra khái niệm dễ hiểu sự hình thành của thuật ngữ Zero Trust, các tác nhân, khu vực cần triển khai Zero Trust...
13:00 | 13/08/2024