Theo các báo cáo an ninh mạng gần đây và Báo cáo An ninh mạng của NCS, số lượng các cuộc tấn công, đặc biệt là tấn công chuỗi cung ứng tại Việt Nam đang gia tăng đáng kể. Tin tặc liên tục thay đổi chiến thuật, từ cài mã độc vào phần mềm, thực hiện các chiến dịch lừa đảo (phishing) cho đến tấn công từ chối dịch vụ (DDoS), khiến bức tranh an ninh mạng ngày càng trở nên đáng báo động.
Thực tế triển khai cho thấy, đội ngũ Redteam của NCS đã tiến hành thử nghiệm PoC tại một số tổ chức tại Việt Nam và thu được kết quả đáng lo ngại: chỉ trong thời gian rất ngắn, chúng tôi đã có thể thâm nhập thành công vào hệ thống—nhanh hơn đáng kể so với các cuộc tấn công Redteam truyền thống. Điều này minh chứng rõ ràng mức độ nguy hiểm của các cuộc tấn công chuỗi cung ứng, đồng thời cho thấy hệ thống bảo mật của nhiều tổ chức vẫn chưa đủ vững chắc trước loại hình tấn công tinh vi này.
1. Tấn công chuỗi cung ứng là gì?
Tấn công chuỗi cung ứng (Supply Chain Attack) là chiến thuật mà tin tặc lợi dụng lỗ hổng trong chuỗi cung ứng của một tổ chức để xâm nhập hệ thống. Thay vì tấn công trực tiếp vào mục tiêu chính, kẻ tấn công khai thác các mối quan hệ tin cậy giữa tổ chức đó với nhà cung cấp, đối tác hoặc bên thứ ba có kết nối gián tiếp. Khi một mắt xích bị xâm phạm, toàn bộ hệ thống của tổ chức có thể bị đe dọa, vượt qua nhiều cơ chế phòng thủ truyền thống.
2. Những cuộc tấn công chuỗi cung ứng nghiêm trọng
Trong thập kỷ qua, hàng loạt vụ tấn công chuỗi cung ứng đã làm rung chuyển ngành an ninh mạng, minh chứng cho sự nguy hiểm của loại hình tấn công này. Dưới đây là những sự cố tiêu biểu:
Vụ tấn công 3CX (2023)
Một trong những sự cố điển hình là vụ tấn công vào ứng dụng VoIP 3CX vào năm 2023. Cả hai phiên bản Windows và macOS của 3CXDesktopApp—sản phẩm của 3CX Communications—đều bị tin tặc cài mã độc, khởi đầu cho chiến dịch tấn công quy mô lớn mang tên “SmoothOperator.” Hơn 600.000 doanh nghiệp trên toàn cầu đã bị ảnh hưởng, và vụ việc được truy vết đến nhóm Lazarus của Triều Tiên (CVE-2023-29059).
Lỗ hổng XZ Utils (2024)
Một trong những vụ tấn công chuỗi cung ứng nghiêm trọng nhất gần đây là vụ cài backdoor vào XZ Utils—công cụ nén dữ liệu phổ biến. Mã độc được chèn vào thư viện liblzma trong XZ Utils phiên bản 5.6.0 và 5.6.1, cho phép kẻ tấn công kiểm soát từ xa nhiều hệ thống quan trọng, bao gồm cả OpenSSH (CVE-2024-30942).
Tấn công SolarWinds
Lỗ hổng Log4j
Tháng 3 năm 2024, lỗ hổng CVE-2024-3094 liên quan đến XZ Utils Backdoor đã trở thành một sự cố bảo mật nghiêm trọng, được đánh giá có mức độ nguy hiểm tương đương với Log4Shell và SolarWinds. Cuộc tấn công nhắm vào chuỗi cung ứng phần mềm bằng cách chèn mã độc vào thư viện liblzma trong XZ Utils phiên bản 5.6.0 và 5.6.1, cho phép kẻ tấn công vượt qua cơ chế xác thực SSH, mở đường cho việc chiếm quyền kiểm soát hệ thống. Lỗ hổng này được phát hiện bởi Andres Freund, một nhà phát triển tại Microsoft, và chủ yếu ảnh hưởng đến các bản phân phối Linux. Ngay sau đó, các tổ chức như CISA và cộng đồng Linux đã đưa ra cảnh báo khẩn cấp, khuyến nghị quay lại các phiên bản ổn định trước đó và triển khai các bản vá kịp thời.
Lỗ hổng MOVEit
Năm 2023, một loạt lỗ hổng nghiêm trọng trong phần mềm chuyển tệp MOVEit đã trở thành tâm điểm của các cuộc tấn công mạng, đặc biệt là do nhóm ransomware Cl0p khai thác. Các lỗ hổng SQL Injection nghiêm trọng, bao gồm CVE-2023-34362 và CVE-2023-35036, cho phép kẻ tấn công thực thi mã độc, xâm nhập hệ thống, leo thang đặc quyền và đánh cắp dữ liệu nhạy cảm. Theo thống kê, hơn 2.500 máy chủ trên toàn cầu đã bị ảnh hưởng, gây ra các vụ vi phạm dữ liệu quy mô lớn.
Cuộc tấn công đặc biệt tác động mạnh đến các ngành như chăm sóc sức khỏe và tài chính, nơi dữ liệu cá nhân và tài chính bị đánh cắp và sử dụng cho mục đích tống tiền. Nhóm Cl0p đã thực hiện chiến dịch ransomware-as-a-service (RaaS), đòi tiền chuộc từ các tổ chức bị ảnh hưởng để ngăn chặn rò rỉ dữ liệu.
Vụ việc này tiếp tục là lời cảnh báo về nguy cơ gia tăng từ các cuộc tấn công chuỗi cung ứng, nhấn mạnh tầm quan trọng của các biện pháp an ninh mạng mạnh mẽ, quản lý lỗ hổng phần mềm chủ động, cũng như việc giám sát và kiểm soát nhà cung cấp bên thứ ba nhằm giảm thiểu rủi ro bị khai thác.
ASUS Live Utility Attack
Vi phạm Okta
Đầu năm 2022, Okta báo cáo sự cố bảo mật do nhà cung cấp dịch vụ hỗ trợ bên thứ ba bị xâm phạm. Kẻ tấn công đã lợi dụng điểm yếu này để truy cập hệ thống nội bộ của Okta, đe dọa an toàn của nhiều khách hàng. Vụ việc nhấn mạnh rủi ro từ chuỗi cung ứng và tầm quan trọng của việc bảo vệ các mối quan hệ đối tác.
Những sự cố này minh họa cho các phương pháp đa dạng mà kẻ tấn công sử dụng để xâm phạm chuỗi cung ứng, từ khai thác lỗ hổng phần mềm đến xâm nhập vào các nhà cung cấp dịch vụ của bên thứ ba. Tác động của các cuộc tấn công này bao gồm từ sự gián đoạn và mất mát tài chính trên diện rộng đến thiệt hại về danh tiếng lâu dài. Bài học rút ra từ những trường hợp đáng chú ý này nhấn mạnh tầm quan trọng của sự cảnh giác, quản lý rủi ro chủ động và cải tiến liên tục trong các hoạt động an ninh mạng.
3. Những thách thức đối với an ninh mạng trong chuỗi cung ứng
Quá trình phát triển và triển khai phần mềm phụ thuộc nhiều vào các thành phần của bên thứ ba. Các phương pháp phát triển phần mềm hiện đại thường tích hợp các thành phần có sẵn như API, thư viện và mã nguồn mở vào ứng dụng độc quyền. Cách tiếp cận này giúp đẩy nhanh tiến độ và giảm chi phí, nhưng cũng mang lại những rủi ro bảo mật đáng kể.
Theo nghiên cứu trong ngành, một dự án phần mềm trung bình có tới 203 thành phần phụ thuộc. Những thành phần này được lấy từ nhiều nhà cung cấp bên ngoài và cộng đồng mã nguồn mở, tạo ra một mạng lưới phức tạp các thành phần liên kết với nhau. Điều này đồng nghĩa với việc nếu một thành phần có lỗ hổng bảo mật, toàn bộ dự án phần mềm có thể bị ảnh hưởng.
Sự phổ biến của các thành phần bên thứ ba trong dự án phần mềm khiến các cuộc tấn công chuỗi cung ứng trở nên đặc biệt nguy hiểm. Báo cáo Global Security Attitude Survey của CrowdStrike đã chỉ ra những mối lo ngại ngày càng tăng và khoảng cách trong khả năng ứng phó của các tổ chức:
- 84% chuyên gia bảo mật tin rằng các cuộc tấn công chuỗi cung ứng phần mềm sẽ ngày càng gia tăng, nhấn mạnh mức độ đe dọa nghiêm trọng.
- Chỉ 36% tổ chức đã kiểm tra toàn bộ nhà cung cấp của họ về vấn đề bảo mật trong năm qua, cho thấy sự thiếu sót trong việc duy trì các tiêu chuẩn bảo mật nghiêm ngặt trên toàn chuỗi cung ứng.
- 45% tổ chức đã từng đối mặt với một cuộc tấn công chuỗi cung ứng trong năm qua, minh chứng cho tần suất và tác động của các cuộc tấn công này.
- 59% tổ chức không có chiến lược ứng phó khi xảy ra cuộc tấn công chuỗi cung ứng đầu tiên, cho thấy sự thiếu chuẩn bị và khả năng phục hồi trước các mối đe dọa này.
Một trong những thách thức lớn nhất là sự thiếu hụt nhân lực chuyên trách về an ninh mạng. Khảo sát của Hiệp hội An ninh mạng quốc gia năm 2024 cho thấy hơn 20,06% đơn vị không có nhân sự chuyên trách, và 35,56% chỉ có không quá 5 người phụ trách, con số này quá nhỏ so với yêu cầu thực tế. Việc thiếu hụt này dẫn đến quá tải trong quản lý rủi ro và giảm hiệu quả phản ứng khi xảy ra sự cố.
Ngoài ra, việc phụ thuộc vào các nhà cung cấp bên thứ ba cũng tạo ra lỗ hổng cho chuỗi cung ứng. Các cuộc tấn công chuỗi cung ứng thường khai thác lỗ hổng trong mạng lưới kết nối giữa các nhà cung cấp, gây ra hậu quả lan rộng và tác động đến nhiều tổ chức trong chuỗi.
Hơn nữa, tỷ lệ sử dụng sản phẩm và dịch vụ an ninh mạng từ các nhà cung cấp Việt Nam còn hạn chế, chỉ đạt 24,77%. Điều này cho thấy tâm lý thiếu tin tưởng và sự phụ thuộc vào công nghệ nước ngoài, đặt ra thách thức trong việc phát triển hệ sinh thái an ninh mạng nội địa.
4. Xu Hướng Hiện Tại của Các Cuộc Tấn Công Chuỗi Cung Ứng
Trong những năm gần đây, các cuộc tấn công chuỗi cung ứng ngày càng gia tăng cả về tần suất lẫn mức độ tinh vi. Các tội phạm mạng và các nhóm tấn công do nhà nước hậu thuẫn đã nhận ra hiệu quả của việc nhắm vào chuỗi cung ứng để tạo ra tác động rộng lớn và vượt qua các hệ thống phòng thủ trực tiếp. Sự tiến hóa của các cuộc tấn công này được thúc đẩy bởi nhiều yếu tố:
- Sự phụ thuộc ngày càng lớn vào các thành phần bên thứ ba: Các tổ chức hiện đại sử dụng rộng rãi phần mềm, phần cứng và dịch vụ từ bên thứ ba, mở rộng bề mặt tấn công và tạo thêm nhiều điểm xâm nhập cho kẻ tấn công.
- Sự kết nối và tích hợp sâu rộng hơn: Quá trình chuyển đổi số và xu hướng tích hợp liền mạch giữa các hệ thống đã vô tình làm cho chuỗi cung ứng dễ bị khai thác hơn.
- Kỹ thuật tấn công tiên tiến: Các nhóm tấn công đang sử dụng các phương thức tinh vi hơn, bao gồm Advanced Persistent Threats (APTs), để thực hiện các cuộc tấn công chuỗi cung ứng phức tạp.
Sự phát triển nhanh chóng của các cuộc tấn công chuỗi cung ứng đã khiến chúng trở thành mối quan tâm hàng đầu của các chuyên gia an ninh mạng trên toàn cầu, nhấn mạnh nhu cầu tăng cường cảnh giác và áp dụng các biện pháp bảo mật mạnh mẽ hơn.
Các Ngành và Lĩnh Vực Bị Nhắm Đến
Các cuộc tấn công chuỗi cung ứng không giới hạn trong một lĩnh vực cụ thể mà thường nhắm vào các ngành công nghiệp có mức độ phụ thuộc cao vào các thành phần và dịch vụ bên thứ ba. Một số lĩnh vực bị tấn công nhiều nhất bao gồm:
- Công nghệ thông tin (IT): Các công ty IT thường sử dụng nhiều phần mềm và phần cứng bên thứ ba, khiến họ trở thành mục tiêu lý tưởng. Cuộc tấn công SolarWinds là một ví dụ điển hình, gây ảnh hưởng đến hàng loạt công ty IT và khách hàng của họ.
- Chăm sóc sức khỏe: Ngành y tế dựa vào nhiều ứng dụng và thiết bị y tế của bên thứ ba, vốn tiềm ẩn nhiều lỗ hổng bảo mật. Các cuộc tấn công có thể làm gián đoạn dịch vụ quan trọng và đánh cắp dữ liệu bệnh nhân nhạy cảm.
- Sản xuất: Quy trình sản xuất phụ thuộc vào phần mềm và phần cứng chuyên dụng từ nhiều nhà cung cấp khác nhau. Một cuộc tấn công chuỗi cung ứng có thể gây gián đoạn nghiêm trọng trong sản xuất và đánh cắp tài sản trí tuệ.
- Tài chính: Các tổ chức tài chính sử dụng nhiều dịch vụ bên thứ ba để vận hành và tương tác với khách hàng, khiến họ trở thành mục tiêu hấp dẫn của các cuộc tấn công nhằm mục đích tài chính.
- Đơn vị trọng yếu: Các cơ quan trọng yếu có một mạng lưới nhà thầu và nhà cung cấp phức tạp, tạo cơ hội cho các cuộc tấn công nhắm vào an ninh hoặc hoạt động gián điệp.
5. Chiến lược giảm thiểu rủi ro trước các cuộc tấn công chuỗi cung ứng
Trước sự gia tăng của các cuộc tấn công chuỗi cung ứng với mức độ ngày càng tinh vi, doanh nghiệp không thể chỉ phụ thuộc vào các biện pháp bảo mật truyền thống. Việc xây dựng một chiến lược phòng thủ toàn diện là yếu tố sống còn để bảo vệ hệ thống, dữ liệu và uy tín thương hiệu. Doanh nghiệp cần thường xuyên rà soát, đánh giá và quản lý rủi ro từ các bên thứ ba. Việc đảm bảo rằng đối tác và nhà cung cấp tuân thủ các tiêu chuẩn bảo mật nghiêm ngặt là bước đầu tiên để ngăn chặn những lỗ hổng tiềm ẩn.
Đánh giá bảo mật định kỳ
Những cuộc tấn công vào chuỗi cung ứng thường nhắm đến các mắt xích yếu nhất. Vì vậy, việc kiểm tra bảo mật và đánh giá tuân thủ định kỳ không chỉ giúp phát hiện các lỗ hổng mà còn tạo điều kiện để doanh nghiệp cải thiện hệ thống phòng thủ kịp thời.
Kết hợp công nghệ bảo mật tiên tiến
Một hệ thống bảo mật vững chắc cần có sự kết hợp giữa các công cụ truyền thống như tường lửa, hệ thống phát hiện xâm nhập và các công nghệ tiên tiến như Endpoint Detection & Response (EDR), Web Application Firewall (WAF). Sự kết hợp này tạo ra một kiến trúc phòng thủ nhiều lớp, giúp doanh nghiệp ứng phó linh hoạt với mọi mối đe dọa.
Tình báo mối đe dọa
Thông tin tình báo về mối đe dọa có giá trị như “giác quan thứ sáu” của doanh nghiệp. Việc đầu tư vào nguồn TI chất lượng cao giúp nhận diện sớm các nguy cơ tiềm ẩn, từ đó có phương án phòng ngừa trước khi kẻ tấn công ra tay. Một chiến lược bảo mật chỉ thực sự hiệu quả khi doanh nghiệp không ngừng cập nhật và dự báo trước các kịch bản tấn công có thể xảy ra.
Phát hiện tấn công dựa trên hành vi
Kẻ tấn công ngày càng sử dụng những phương thức khó đoán, vượt qua các cơ chế bảo mật truyền thống. Do đó, việc sử dụng hệ thống phân tích hành vi để phát hiện các hoạt động bất thường giúp doanh nghiệp nhận diện sớm các dấu hiệu của một cuộc tấn công tiềm ẩn, từ đó ngăn chặn trước khi thiệt hại xảy ra.
Kế hoạch ứng phó sự cố
Mọi doanh nghiệp đều có thể trở thành mục tiêu của các cuộc tấn công chuỗi cung ứng. Do đó, việc xây dựng và cập nhật kế hoạch ứng phó sự cố là điều kiện tiên quyết để đảm bảo khả năng khắc phục nhanh chóng và giảm thiểu tổn thất khi bị tấn công.
Đào tạo nhận thức an ninh mạng
Con người luôn là yếu tố then chốt trong mọi chiến lược bảo mật. Một nhân viên có hiểu biết về an ninh mạng có thể trở thành “tuyến phòng thủ đầu tiên”, giúp ngăn chặn các cuộc tấn công qua email giả mạo, mã độc hoặc lừa đảo tinh vi. Do đó, doanh nghiệp cần tổ chức các chương trình đào tạo nhận thức an toàn thông tin thường xuyên, giúp nhân viên hiểu rõ cách nhận diện và phản ứng trước các mối đe dọa.
Dịch vụ an ninh mạng – Lựa chọn tất yếu để bảo vệ chuỗi cung ứng
Tấn công chuỗi cung ứng không còn là mối đe dọa tiềm ẩn, mà đã trở thành thực tế nhức nhối. Doanh nghiệp không thể một mình chống lại làn sóng tấn công ngày càng tinh vi mà cần sự hỗ trợ từ các chuyên gia bảo mật.
- Đánh giá và củng cố hệ thống bảo mật toàn diện
- Phát hiện và ngăn chặn sớm các mối đe dọa tiềm ẩn
- Giảm thiểu rủi ro gián đoạn chuỗi cung ứng
- Đảm bảo tuân thủ các tiêu chuẩn bảo mật quốc tế
Rủi ro chuỗi cung ứng có thể âm thầm len lỏi vào hệ thống bất cứ lúc nào. Chủ động bảo vệ là cách duy nhất để doanh nghiệp đứng vững trước những mối đe dọa không ngừng biến đổi.
Liên hệ với NCS ngay để được tư vấn dịch vụ, giải pháp bảo mật phù hợp nhất cho chuỗi cung ứng của bạn!
