Kể từ cuộc tấn công chuỗi cung ứng vào SolarWinds, các doanh nghiệp đã tập trung nhiều hơn vào cách bảo đảm bảo mật cho các nhà cung cấp. Các doanh nghiệp dù lớn hay nhỏ thì đều có thể trở thành nạn nhân của loại hình tấn công này. Ngay cả với các nguồn lực và tài trợ của chính phủ như Bộ Tài chính và Bộ An ninh nội địa Hoa kỳ cũng bị ảnh hưởng trong vụ SolarWinds.
Mặc dù không có gì có thể đảm bảo rằng một doanh nghiệp có thể phát hiện một cuộc tấn công vào chuỗi cung ứng trước khi nó xảy ra, nhưng dưới đây là 10 khuyến nghị được helpnetsecurity đưa ra cho doanh nghiệp, để giúp giảm thiểu rủi ro và xác nhận tính bảo mật của chuỗi cung ứng.
Thứ nhất: Đánh giá tác động mà mỗi nhà cung cấp có thể có đối với doanh nghiệp nếu cơ sở hạ tầng công nghệ thông tin (CNTT) của nhà cung cấp bị xâm phạm.
Mặc dù việc đánh giá toàn bộ rủi ro được ưu tiên hơn, nhưng các tổ chức nhỏ có thể không đủ nguồn lực để tiến hành đánh giá. Tuy nhiên, ở mức tối thiểu, các doanh nghiệp nên phân tích các tình huống xấu nhất và đặt các câu hỏi như:
Thứ hai: Đánh giá nguồn lực và năng lực CNTT nội bộ của từng nhà cung cấp.
Cần xem xét các nhà cung cấp có một nhóm chuyên trách về an ninh mạng do người quản lý bảo mật hoặc CISO lãnh đạo không? Điều quan trọng là phải xác định lãnh đạo an ninh của nhà cung cấp, vì đó là người có thể trả lời các câu hỏi của doanh nghiệp. Nếu không tồn tại hoặc nhân sự chuyên trách về an ninh mạng yếu kém mà không có lãnh đạo thực sự, các doanh nghiệp cần xem xét lại việc hợp tác với nhà cung cấp này.
Thứ ba: Gặp gỡ người quản lý bảo mật của nhà cung cấp hoặc CISO để khám phá cách họ bảo vệ hệ thống và dữ liệu của họ.
Đây có thể là một cuộc họp ngắn, cuộc gọi điện thoại hoặc thậm chí là một cuộc trò chuyện qua email, tùy thuộc vào những rủi ro được xác định trong nội dung thứ nhất.
Thứ tư: Yêu cầu bằng chứng để xác minh những gì nhà cung cấp đang tuyên bố.
Báo cáo thâm nhập là một cách hữu ích để kiểm tra điều này. Đảm bảo phạm vi thử nghiệm là phù hợp và bất cứ khi nào có thể, yêu cầu báo cáo về hai lần thử nghiệm liên tiếp để xác minh rằng nhà cung cấp đang thực hiện theo các phát hiện của mình.
Thứ năm: Nếu là nhà cung cấp phần mềm, hãy yêu cầu báo cáo đánh giá mã nguồn độc lập.
Trong một số trường hợp, nhà cung cấp có thể yêu cầu NDA chia sẻ toàn bộ báo cáo hoặc có thể chọn không chia sẻ. Khi điều này xảy ra, doanh nghiệp hãy yêu cầu ít nhất một bản tóm tắt. Các báo cáo đánh giá mã nguồn sẽ cho thấy phần mềm tồn tại những lỗ hổng bảo mật nào và việc khắc phục chúng được thực hiện ra sao.
Thứ sáu: Nếu là nhà nhà cung cấp dịch vụ đám mây, hãy tiến hành rà quét
Doanh nghiệp cần thực hiện độc lập việc rà quét mạng của nhà cung cấp, thực hiện tìm kiếm trên Shodan hoặc yêu cầu nhà cung cấp cung cấp báo cáo về các lần quét của riêng họ.
Nếu doanh nghiệp tự thực hiện, hãy xin giấy phép từ nhà cung cấp và yêu cầu họ tách riêng địa chỉ khách hàng khỏi địa chỉ của họ để tránh rà quét hệ thống mạng không liên quan.
Thứ bảy: Kiểm tra các chương trình tiền thưởng lỗi
Nếu nhà cung cấp là nhà cung cấp phần mềm hoặc đám mây, hãy tìm hiểu xem nhà cung cấp có đang chạy chương trình thưởng tiền thưởng lỗi hay không. Các chương trình này giúp một tổ chức tìm và sửa chữa các lỗ hổng trước khi những kẻ tấn công có cơ hội khai thác chúng.
Thứ tám: Tìm hiểu về cách nhà cung cấp đang ưu tiên rủi ro như thế nào
Hệ thống chấm điểm lỗ hổng phổ biến (Common Vulnerability Scoring System - CVSS) là một tiêu chuẩn công nghiệp mở và miễn phí dành cho nhà cung cấp về mức độ nghiêm trọng của các lỗ hổng bảo mật hệ thống máy tính và ấn định điểm số mức độ nghiêm trọng so với có thể ưu tiên các phản ứng rủi ro.
Căn cứ vào CVSS các doanh nghệp có thể tìm hiểu về cách các nhà cung cấp đang ưu tiên quản trị rủi ro như thế nào.
Thứ chín: Yêu cầu các báo cáo vá lỗi của nhà cung cấp
Việc nhà cung cấp có các báo cáo vá lỗi phần nào chứng tỏ cam kết của họ đối trong việc đảm bảo bảo mật và quản lý các lỗ hổng. Nếu có thể, các doanh nghiệp hãy yêu cầu báo cáo do một tổ chức độc lập thực hiện.
Thứ mười: Thực hiện định kỳ
Các khuyến nghị từ 1 đến 9 nên được lặp lại hàng năm, tùy thuộc vào rủi ro và tác động đến doanh nghiệp. Đối với một nhà cung cấp có tác động thấp, điều này có thể được thực hiện ít thường xuyên hơn. Đối với một nhà cung cấp có nhiệm vụ quan trọng đối với sự thành công của doanh nghiệp và có rủi ro cao, doanh nghiệp có thể phát triển một quy trình đánh giá vĩnh viễn. Tuy nhiên, các nhà cung cấp SaaS và IaaS lớn có thể không sẵn sàng tham gia vào các cuộc đánh giá liên tục.
Bằng các thực tiễn tốt nhất được khuyến nghị này, doanh nghiệp có thể xác định các rủi ro liên quan đến một nhà cung cấp cụ thể, hiểu cách nhà cung cấp quản lý những rủi ro đó và thu thập bằng chứng về cách nhà cung cấp đang giảm thiểu những rủi ro đó.
Dựa trên bằng chứng này và khẩu vị rủi ro, một doanh nghiệp có thể đưa ra quyết định sáng suốt để làm việc với nhà cung cấp hay không. Cuối cùng, khi doanh nghiệp thực hiện những đánh giá này, hãy hướng tới sự nhất quán và tìm kiếm rủi ro thay đổi theo thời gian.
Hãy nhớ rằng không có gì đảm bảo rằng bất kỳ ai cũng có thể ngăn chặn một cuộc tấn công vào chuỗi cung ứng nhưng bằng cách bảo vệ môi trường của chính doanh nghiệp, tiến hành đào tạo liên tục về an ninh mạng với người dùng và tuân thủ theo 10 khuyến nghị này, doanh nghiệp có thể giảm thiểu rủi ro cho tổ chức của bạn.
Trí Công
18:00 | 22/07/2021
15:00 | 19/01/2022
08:00 | 18/04/2022
10:00 | 26/10/2023
Trong thời gian gần đây, các trường hợp lừa đảo qua mã QR ngày càng nở rộ với các hình thức tinh vi. Bên cạnh hình thức lừa đảo cũ là dán đè mã QR thanh toán tại các cửa hàng khiến tiền chuyển về tài khoản kẻ gian, vừa qua còn xuất hiện các hình thức lừa đảo mới.
13:00 | 18/09/2023
Một trong những tham luận thu hút sự quan tâm lớn của giới bảo mật tại Hội nghị bảo mật hàng đầu thế giới Black Hat USA 2023 là tấn công TSSHOCK của nhóm nghiên cứu mật mã đến từ công ty Verichains (Việt Nam). Đáng lưu ý, tấn công này cho phép một node ác ý có thể đánh cắp on-chain tài sản mã hoá giá trị hàng triệu đến hàng tỉ USD trên các dịch vụ này.
13:00 | 30/05/2023
Mặc dù mạng 5G sẽ mang lại nhiều lợi ích cho xã hội và người dân, nhưng 5G cũng làm tăng thêm những rủi ro mới. Bảo mật 5G là vấn đề chung mà thế giới đang phải đối mặt, do đó cần tăng cường nghiên cứu, học hỏi kinh nghiệm của các nước để làm phong phú hơn kịch bản ứng phó của quốc gia mình.
17:00 | 18/01/2023
Ngày nay, mạng không dây đang trở nên phổ biến trong các tổ chức, doanh nghiệp và cá nhân. Sự ra đời, phát triển và cải tiến không ngừng của mạng Wifi đã giải quyết được những hạn chế trước đó của mạng có dây truyền thống. Tuy nhiên, công nghệ mạng Wifi vẫn còn tồn tại những điểm yếu liên quan đến tính bảo mật và an toàn thông tin (ATTT). Do tính chất môi trường truyền dẫn vô tuyến nên mạng Wifi rất dễ bị rò rỉ thông tin do tác động của môi trường bên ngoài, đặc biệt là sự tấn công từ các tin tặc.
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
11:00 | 13/05/2024
Cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. Nhiều giải pháp để bảo vệ phần cứng được đưa ra, trong đó, hàm không thể sao chép vật lý PUF (Physically Unclonable Functions) đang nổi lên như là một trong số những giải pháp bảo mật phần cứng rất triển vọng mạnh mẽ. RO-PUF (Ring Oscillator Physically Unclonable Function) là một kỹ thuật thiết kế PUF nội tại điển hình trong xác thực hay định danh chính xác thiết bị. Bài báo sẽ trình bày một mô hình ứng dụng RO-PUF và chứng minh tính năng xác thực của PUF trong bảo vệ phần cứng FPGA.
10:00 | 13/05/2024