Đầu năm nay, công ty Gartner đã dự đoán đến năm 2025, 45% tổ chức trên toàn thế giới sẽ phải hứng chịu các cuộc tấn công vào chuỗi cung ứng phần mềm của họ - tăng gấp ba lần so với đỉnh điểm của năm 2021. Các cuộc tấn công này không chỉ gia tăng mà còn ở mức độ mà chúng xâm nhập vào các hệ thống và các kỹ thuật mà kẻ tấn công đang sử dụng cũng mới. Những kẻ tấn công hiện đang lợi dụng quyền truy cập được cấp cho các dịch vụ đám mây của bên thứ ba như một cửa hậu vào các hệ thống cốt lõi nhạy cảm nhất của công ty, như đã thấy trong các cuộc tấn công nổi tiếng gần đây vào Mailchimp, GitHub và Microsoft. Một thế hệ tấn công chuỗi cung ứng mới đang xuất hiện.

Sự trỗi dậy của tích hợp ứng dụng với ứng dụng

Vì phần lớn lực lượng lao động đã chuyển sang kỹ thuật số, các hệ thống cốt lõi của các tổ chức đã chuyển sang đám mây. Việc tăng tốc áp dụng sử dụng trên nền tảng cloud(đám mây) này đã làm tăng đáng kể việc sử dụng các ứng dụng của bên thứ ba và các kết nối giữa các hệ thống và dịch vụ, đã đưa ra một thách thức an ninh mạng hoàn toàn mới.

Có ba yếu tố chính dẫn đến sự gia tăng kết nối giữa ứng dụng với ứng dụng:

Tăng trưởng dựa trên sản phẩm (Product-led growth - PLG): Trong kỷ nguyên của PLG và áp dụng phần mềm từ dưới lên, với phần mềm dưới dạng dịch vụ (software-as-a-service - SaaS) quản lý làm việc nhóm dựa trên đám mây như Okta và Slack.

Phát triển và vận hành (DevOps): Các nhà phát triển được tự do tạo và nhúng các khóa API vào các phần mềm

Siêu tự động hóa: Sự gia tăng của siêu tự động hóa và các nền tảng mã thấp/không mã có nghĩa là "các nhà phát triển công dân" có thể tích hợp và tự động hóa các quy trình chỉ bằng một nút gạt.

Phạm vi tích hợp rộng lớn giờ đây có thể dễ dàng truy cập đối với bất kỳ nhóm làm việc nào, tiết kiệm được thời gian và tăng năng suất. Tuy nhiên, trong khi điều này làm cho công việc của một tổ chức trở nên dễ dàng hơn, thì nó lại làm lu mờ khả năng hiển thị các kết nối ứng dụng có khả năng bị lỗ hổng bảo mật, khiến các nhà lãnh đạo bảo mật và CNTT của tổ chức rất khó có được thông tin chi tiết về tất cả các tích hợp được triển khai trong môi trường của họ, ngoài ra phạm vi tích hợp rộng lớn sẽ mở rộng chuỗi cung ứng kỹ thuật số của tổ chức.

Vấn đề của bên thứ ba

Có một số sự thừa nhận về vấn đề này: Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) gần đây đã cập nhật các hướng dẫn về quản lý rủi ro chuỗi cung ứng an ninh mạng. Các chỉ thị mới này cho rằng khi các doanh nghiệp áp dụng ngày càng nhiều phần mềm để giúp điều hành doanh nghiệp của mình, họ sẽ tích hợp mã của bên thứ ba vào các sản phẩm phần mềm của mình ngày càng nhiều để tăng hiệu quả và năng suất.

Đối với các công ty có quy trình nội bộ là siêu kết nối không thể đảo ngược, kẻ tấn công chỉ cần phát hiện ra mắt xích, liên kết yếu nhất trong các ứng dụng hoặc dịch vụ được kết nối để xâm phạm toàn bộ hệ thống.

Các doanh nghiệp phải xác định cách tốt nhất để quản lý loại kịch bản này. Những ứng dụng này có quyền truy cập vào mức độ dữ liệu nào? Ứng dụng này sẽ có những loại quyền nào? Ứng dụng có đang được sử dụng không và hoạt động như thế nào?

Việc hiểu lớp lang toàn bộ hạ tầng hệ thống trong đó các tích hợp phần mềm này hoạt động có thể giúp các nhóm bảo mật xác định chính xác các khu vực khả năng bị tấn công của họ. Một số giám đốc an ninh thông tin (CISO) hướng tới tương lai nhận thức được vấn đề nhưng chỉ nhìn thấy một phần nhỏ của thách thức. Trong thời đại tăng trưởng dựa trên sản phẩm và áp dụng phần mềm từ dưới lên, thật khó để có thể nhìn thấy tất cả các tích hợp giữa các ứng dụng đám mây của một tổ chức, vì trung bình một doanh nghiệp sử dụng 1.400 dịch vụ đám mây.

Thu hẹp khoảng cách bảo mật

Rủi ro của các cuộc tấn công chuỗi cung ứng kỹ thuật số không còn giới hạn ở các ứng dụng kinh doanh cốt lõi hoặc nền tảng kỹ thuật - những lỗ hổng này hiện đã mở rộng với mạng lưới ngày càng nhiều các ứng dụng, tích hợp và dịch vụ của bên thứ ba được kết nối với nhau. Chỉ các chiến lược quản trị và bảo mật mới sẽ thu hẹp khoảng cách bảo mật ngày càng lớn này.

Cần phải có một sự thay đổi mô hình để bảo vệ bề mặt tấn công rộng lớn này. Khi làm như vậy, những điều sau đây sẽ cần được giải quyết:

Khả năng hiển thị trong tất cả các kết nối giữa ứng dụng với ứng dụng: Các đội, nhóm bảo mật cần có tầm nhìn rõ ràng không chỉ vào các hệ thống kết nối với tài sản nhạy cảm mà còn đầu vào

Phát hiện mối đe dọa: Bản chất của mọi hoạt động tích hợp - không chỉ các ứng dụng độc lập - cần được đánh giá về hiện trạng và mức độ rủi ro (truy cập thừa, quá nhiều quyền).

Các chiến lược khắc phục: Các chiến lược ngăn chặn mối đe dọa không thể là công việc một kích cỡ phù hợp với tất cả. Các chuyên gia bảo mật cần các biện pháp giảm thiểu theo ngữ cảnh thừa nhận phạm vi phức tạp của các ứng dụng được kết nối với nhau bao gồm bề mặt tấn công.

Thực thi tự động, mô hình không tin cậy: Nhóm bảo mật phải có khả năng thiết lập và thực thi các biện pháp bảo vệ chính sách đối với quyền truy cập lớp ứng dụng (ví dụ: cấp quyền, giao thức xác thực).

Tin tốt là chúng ta đang bắt đầu thấy sự thay đổi trong tư duy của nhiều ngành công nghiệp. Một số doanh nghiệp đã chủ động và đưa ra các quy trình để đón đầu một cuộc tấn công chuỗi cung ứng dịch vụ tiềm ẩn - như HubSpot, vừa đưa ra một thông báo giúp loại bỏ các rủi ro tiềm ẩn liên quan đến việc sử dụng khóa API. GitHub gần đây cũng đã giới thiệu một mã thông báo truy cập cá nhân chi tiết cung cấp bảo mật nâng cao cho các nhà phát triển và chủ sở hữu tổ chức để giảm rủi ro đối với dữ liệu của các mã thông báo bị xâm phạm.

Cuối cùng, thế giới kỹ thuật số mà chúng ta đang sống sẽ ngày càng trở nên siêu kết nối hơn. Đồng thời, các ngành công nghiệp cần nâng cao hiểu biết và kiến thức về những mối đe dọa tiềm ẩn này trong chuỗi cung ứng, trước khi chúng tạo thành các cuộc tấn công gây chú ý hơn.