Ngày nay, cụm từ "chuỗi cung ứng" đã vô cùng phổ biến trong những câu chuyện đời sống hàng ngày và trở thành một yếu tố then chốt trong nền kinh tế toàn cầu, đóng vai trò quan trọng trong việc sản xuất và phân phối hàng hóa và dịch vụ. Đây cũng là mục tiêu mà tội phạm công nghệ cao nhắm tới bằng phần mềm độc hại hay nhiều cách thức khác nhau.

Tội phạm công nghệ cao nhắm mục tiêu phá vỡ các chuỗi cung ứng tại nguồn bằng các cuộc tấn công vào những mã nguồn kém chất lượng, các mạng bảo mật yếu và khai thác các lỗ hổng bảo mật. Khi tấn công vào các nhà cung cấp bên thứ ba, mã độc có thể được phân phối đến nhiều doanh nghiệp hơn.

Số lượng các cuộc tấn công vào chuỗi cung ứng đã tăng vọt lên 633% chỉ trong năm 2023, khiến việc hiểu rõ cách thức tấn công và cách ứng phó trở nên quan trọng hơn bao giờ hết. Dưới đây là 5 cuộc tấn công chuỗi cung ứng phổ biến nhất mà quý độc giả cần tìm hiểu để chuẩn bị phương án đối phó.

Tấn công chuỗi cung ứng là gì?

Chuỗi cung ứng là tập hợp các doanh nghiệp hoặc tổ chức khác nhau cùng hợp tác để sản xuất và cung cấp một sản phẩm hoặc dịch vụ cụ thể. Nó có thể bao gồm nhiều hoạt động khác nhau, từ sản xuất, bán lẻ hàng hóa đến khai thác, chế biến và phân phối các loại tài nguyên thiên nhiên. Phần lớn việc quản lý các chuỗi cung ứng này diễn ra trong thế giới kỹ thuật số.

Các cuộc tấn công chuỗi cung ứng nhằm vào một hoặc nhiều điểm cụ thể trong chuỗi để truy cập vào toàn bộ chuỗi, hoặc ít nhất là nhiều liên kết trong chuỗi đó. Những cuộc tấn công này cũng có thể bắt đầu từ một phần nhỏ, ít quan trọng hơn của chuỗi, nhằm truy cập vào một thực thể lớn hơn nằm ở một điểm nào đó trong chuỗi.

Phần mềm quản lý chuỗi cung ứng đặc biệt dễ bị tổn thương và những kẻ tấn công khai thác các chương trình này có thể gây thiệt hại nghiêm trọng cho nhiều doanh nghiệp.

Các cuộc tấn công chuỗi cung ứng phổ biến như thế nào?

Các cuộc tấn công chuỗi cung ứng đã tăng 430% trong năm 2020, với việc nhắm vào phần mềm nguồn mở để truy cập thông qua các quy trình phát triển. Chỉ riêng tại Hoa Kỳ, khoảng 61% doanh nghiệp đã bị ảnh hưởng bởi một số mối đe dọa thông qua chuỗi cung ứng vào năm 2023. Theo một nhà phân tích từ Capterra thuộc sở hữu của Gartner, những con số này có thể chỉ là sự khởi đầu.

Theo Gartner, tình hình các cuộc tấn công chuỗi cung ứng sẽ trở nên tồi tệ hơn. Họ dự đoán rằng đến năm 2025, 45% các tổ chức trên toàn thế giới sẽ trải qua một cuộc tấn công vào chuỗi cung ứng phần mềm của mình.

5 cuộc tấn công chuỗi cung ứng phổ biến nhất

Trong một thế giới ngày càng phụ thuộc vào các tập đoàn chuỗi cung ứng, việc đảm bảo an ninh phần mềm trên mọi mặt càng trở nên quan trọng hơn. Chúng ta cần có hiểu biết sâu hơn về mối đe dọa trước khi có thể tự bảo vệ một cách hiệu quả. Năm cuộc tấn công chuỗi cung ứng phổ biến nhất bao gồm:

1. Tấn công mã nguồn mở

Khi các chuỗi cung ứng ngày càng phụ thuộc vào phần mềm mã nguồn mở, kẻ tấn công có thể xâm nhập vào kho lưu trữ mã nguồn và chèn mã độc vào đó. Khi đó, các lỗ hổng đã biết sẽ được tận dụng và phần mềm độc hại được chèn vào và che giấu để xâm nhập vào hệ thống và thiết bị.

Theo một báo cáo của Sonatype, gần 10% người tham gia khảo sát của họ đã báo cáo các vi phạm bảo mật do lỗ hổng trong mã nguồn mở, chỉ có 11% các dự án nguồn mở được duy trì tích cực, cho thấy sự cần thiết của việc tập trung vào quản lý rủi ro từ các bên thứ ba hiện tại và trong tương lai.

2. Tấn công đăng nhập một lần (Single Sign-On - SSO)

Trong năm 2024, nhà nghiên cứu bảo mật ứng dụng web Sam Curry đã phát hiện rằng các công ty xe hơi như BMW, Rolls Royce và Mercedes-Benz đã bị tấn công. Các tấn công này đã xâm nhập vào hàng trăm ứng dụng nội bộ quan trọng thông qua các giao thức SSO được cấu hình không đúng.

Những ứng dụng này bao gồm nhiều phiên bản GitHub, các công cụ nội bộ trong toàn công ty và các API liên quan đến phương tiện nội bộ.

Thông tin chi tiết từ một nhân viên của hãng như sau: "Sau vài phút, chúng tôi phát hiện phiên bản GitHub chứa tài liệu nội bộ và mã nguồn của nhiều dự án của Mercedes-Benz, bao gồm ứng dụng Mercedes Me Connect, mà khách hàng sử dụng để kết nối từ xa với xe của họ. Tài liệu nội bộ cung cấp hướng dẫn chi tiết cho nhân viên về cách phát triển ứng dụng cho Mercedes-Benz để giao tiếp với xe của khách hàng và các bước cụ thể mà họ cần thực hiện để thực hiện điều này.”

“Chúng tôi đã sử dụng tài khoản nhân viên của mình để đăng nhập vào nhiều ứng dụng chứa thông tin nhạy cảm và thực hiện mã từ xa qua các bộ truyền động bị lộ, bảng điều khiển khởi động lò xo và hàng chục ứng dụng nội bộ nhạy cảm mà nhân viên của Mercedes-Benz sử dụng. Một trong những ứng dụng này là Mercedes-Benz Mattermost (tương tự Slack). Chúng tôi có quyền tham gia vào bất kỳ kênh nào, bao gồm cả các kênh bảo mật và có thể giả mạo là nhân viên Mercedes-Benz để hỏi những câu hỏi cần thiết cho kẻ tấn công, từ đó nâng cao đặc quyền truy cập của họ vào hạ tầng của Benz”.

Điều đáng ngạc nhiên là họ có thể truy cập vào hàng trăm dịch vụ nội bộ khác nhau, bao gồm AWS và bảng điều khiển điện toán đám mây, nơi họ có thể yêu cầu, quản lý và truy cập các hệ thống nội bộ khác.

Trong năm 2021, Atlassian gặp vấn đề với hệ thống SSO. Bằng cách thuyết phục người dùng Atlassian nhấp vào một liên kết độc hại, các kẻ tấn công đã khai thác thành công SSO của Atlassian để truy cập và thay đổi mã nguồn. Mặc dù Atlassian đã phản ứng nhanh chóng bằng việc phát hành các bản vá lỗi, nhưng thiệt hại rất lớn đã xảy ra cho hãng và người dùng.

3. Tấn công chứng chỉ bảo mật

Chứng chỉ bảo mật được sử dụng để đảm bảo rằng trang web hoặc sản phẩm của bạn an toàn khi sử dụng. Trong cuộc tấn công này, tin tặc đã cố gắng sử dụng chứng chỉ bị đánh cắp để chèn mã độc vào các trang web và dịch vụ của bạn. Phương pháp này cho phép tin tặc đọc và thay đổi dữ liệu đã được mã hóa khi chúng di chuyển giữa máy tính và mạng.

Một trong những ví dụ nổi tiếng nhất về sự cố này là vụ việc của Mimecast vào năm 2021. Khoảng 10% cơ sở người dùng của họ đã bị ảnh hưởng, cho phép tin tặc truy cập vào các máy chủ Microsoft 365 Exchange và có khả năng chiếm quyền truy cập vào hàng nghìn tài khoản email.

4. Tấn công qua các thiết bị được kết nối

Tại bất kỳ điểm nào trong chuỗi cung ứng có kết nối, có thể tìm thấy cơ hội khai thác thiết bị kết nối với mạng để cài đặt phần mềm độc hại. Những người kết nối với mạng của bạn thường sử dụng nhiều loại thiết bị, bao gồm máy tính xách tay, điện thoại, máy tính bảng, các thiết bị USB và các thiết bị khác.

Tất cả những gì tin tặc cần làm là tìm cách cài đặt phần mềm độc hại vào thiết bị, sau đó các thiết bị này có thể phát tán phần mềm độc hại trên mạng. Điều này có thể xảy ra qua nhiều phương thức, bao gồm email lừa đảo, liên kết độc hại hoặc thậm chí tấn công trực tiếp vào nguồn.

Tuy nhiên, điều quan trọng là người dùng phải cẩn thận với cách chúng ta cho phép các thiết bị kết nối, xác định rõ thiết bị nào được phép kết nối và quản lý các quyền truy cập sau khi thiết lập xong.

Thực tế là không thể biết chính xác mọi thiết bị mà bạn cho phép kết nối với mạng. Tuy nhiên, điều quan trọng là chúng ta vẫn cần giữ cảnh giác và đảm bảo người dùng có nhận thức về an ninh mạng để giảm thiểu các mối đe dọa này.

5. Tấn công từ chối dịch vụ phân tán ( Distributed Denial of Service - DDoS)

Tấn công DDoS xảy ra khi tin tặc gửi một lượng lớn lưu lượng truy cập đến máy chủ nhằm ngăn chặn người dùng bình thường truy cập vào các dịch vụ hoặc trang web mà họ đang sử dụng. Bằng cách liên tục gửi lưu lượng truy cập này đến máy chủ, họ có thể gây gián đoạn cho hoạt động hàng ngày của những người dùng trong chuỗi cung ứng.

Các cuộc tấn công này thường chỉ nhằm mục đích làm gián đoạn hoạt động bình thường của các doanh nghiệp trong chuỗi cung ứng, làm cho các doanh nghiệp khác nhìn thấy sự gián đoạn của chính họ.

Ví dụ, vào năm 2016, doanh nghiệp Máy chủ tên miền (DNS) Dyn đã trở thành mục tiêu không may của một cuộc tấn công DDoS. Cuộc tấn công này xuất phát từ các thiết bị dễ bị nhiễm virus như webcam và DVR, đã bị lây nhiễm bởi phần mềm độc hại Mirai.

Sau khi bị xâm nhập, chúng được sử dụng đồng loạt để thực hiện một cuộc tấn công chống lại cơ sở hạ tầng của Dyn thông qua một tấn công DDoS, làm ngăn người dùng truy cập vào các trang web như Amazon, Twitter và Netflix.

Các cuộc tấn công vào cơ sở hạ tầng quan trọng ngày càng trở nên phổ biến trong chuỗi cung ứng, khi các doanh nghiệp có thể bị nhiễm mã độc vào mạng của họ mà không hề hay biết.

Làm thế nào để ngăn chặn các cuộc tấn công chuỗi cung ứng

Mặc dù là thách thức lớn, nhưng vẫn có những bước bạn có thể thực hiện để ngăn chặn các cuộc tấn công trong chuỗi cung ứng trước khi chúng xảy ra. Dưới đây là một số điều nên cân nhắc:

Quản lý rủi ro của bên thứ ba

Với nhiều doanh nghiệp khác nhau trong chuỗi cung ứng, cần phải thực hiện đánh giá riêng đối với bất kỳ nhà cung cấp bên thứ ba nào có thể kết nối vào mạng của người dùng. Nghiên cứu các vi phạm đã xảy ra trước đây và điều tra cách mà doanh nghiệp đó đã xử lý các cuộc tấn công để ngăn chặn chúng khỏi lan sang hệ thống của người dùng.

Triển khai kiến trúc zero-trust

Kiến trúc zero-trust là kiến trúc được xây dựng với giả định rằng mọi người đều có thể là lỗ hổng thực tế hoặc tiềm ẩn và áp dụng quy trình xác thực liên tục về thông tin và hành vi.

Các nguyên tắc cơ bản của Zero Trust Network như sau:

Xác thực người dùng mạnh mẽ: bao gồm việc sử dụng phần mềm xác minh đa yếu tố (MFA) hoặc các phương pháp sinh trắc học, cùng với quản lý truy cập và danh tính (IAM).

Nguyên tắc đặc quyền tối thiểu: không cấp quyền truy cập đầy đủ; thay vào đó, ủy quyền được hạn chế theo nhu cầu và vai trò cụ thể.

Phân đoạn dữ liệu: không an toàn khi lưu trữ tất cả tài nguyên trong một khu vực cho phép bất kỳ ai truy cập; trong kiến trúc Zero Trust, dữ liệu được phân loại theo các cấp độ bảo mật khác nhau và quyền truy cập được hạn chế phù hợp.

Giám sát liên tục: tất cả các hệ thống, tài nguyên và người dùng đều được kiểm tra liên tục, bao gồm phân tích hành vi người dùng và thực thể (UEBA).

Nếu triển khai đúng cách, đây là một chiến lược có thể ngăn chặn các cuộc tấn công và tránh gây ra tổn thất cho doanh nghiệp.

Hãy chuẩn bị để đáp ứng

Mặc dù đã thực hiện các biện pháp để ngăn chặn các cuộc tấn công chuỗi cung ứng, nhưng việc chuẩn bị cho tình huống xấu nhất cũng rất quan trọng. Kế hoạch ứng phó sự cố là một kế hoạch hành động về cách bạn sẽ xử lý và báo cáo khi xảy ra vi phạm dữ liệu.

Điều này đặc biệt quan trọng trong chuỗi cung ứng vì nó có thể ảnh hưởng đến các doanh nghiệp khác. Người dùng luôn muốn ngăn chặn mọi cuộc tấn công tiềm ẩn khi các mạng khác kết nối với mạng của mình.

Khi đã có các quy trình rõ ràng và xác định vai trò cũng như trách nhiệm, người dùng sẽ có thể giải quyết các cuộc tấn công một cách hiệu quả và minh bạch.

Đào tạo nâng cao nhận thức về bảo mật

Điều quan trọng nhất để ngăn chặn các cuộc tấn công chuỗi cung ứng là đầu tư vào đào tạo nhận thức về an ninh mạng cho nhân viên. Tất cả nhân viên đều có thể kết nối với mạng nên việc đào tạo cần được thực hiện đồng bộ cho tất cả mọi người, chứ không chỉ riêng những người làm trong lĩnh vực CNTT và an ninh mạng.

Giảm rủi ro tấn công chuỗi cung ứng

Với nhiều nguồn tấn công tiềm ẩn vào chuỗi cung ứng, bạn cần chuẩn bị mọi phương án có thể. Ngoài 5 cuộc tấn công phổ biến đã được nêu ở trên, còn nhiều cách khác mà mạng của bạn có thể bị xâm phạm.

Để bảo vệ dữ liệu, các chuyên gia khuyến nghị đầu tư mạnh vào đào tạo an ninh mạng để quản lý rủi ro từ bên thứ ba. Với đào tạo phù hợp, nhân viên sẽ có thể duy trì các hoạt động quan trọng trực tuyến, tăng năng suất và xác định điểm yếu trong hệ sinh thái của bên thứ ba.