Tiếp cận đa hướng để bảo vệ chuỗi cung ứng ICT khỏi tấn công mạng

Các cuộc tấn công mạng vào chuỗi cung ứng công nghệ thông tin và truyền thông (ICT) đang ngày càng gia tăng. Điều này rất nguy hiểm vì các lỗ hổng bảo mật có thể xuất hiện ở bất kỳ giai đoạn nào của vòng đời ICT từ thiết kế thông qua phát triển, sản xuất, phân phối, mua lại và triển khai đến bảo trì.

 

Tấn công vào chuỗi cung ứng CNTT-TT: Mục tiêu hấp dẫn của tin tặc

Ngày 25/10, công ty chế tạo phần mềm Microsoft (Mỹ) đưa ra cảnh báo về việc nhóm tin tặc đứng sau cuộc tấn công mạng SolarWinds đã khởi động một chiến dịch khác nhằm vào chuỗi cung ứng ICT toàn cầu, bao gồm các công ty và nhà cung cấp công nghệ đám mây.

Hay trường hợp một công ty cung cấp dịch vụ CNTT tại Dublin, Ireland đã bị phần mềm độc hại tấn công. Thông qua công ty này, tin tặc đã lây nhiễm mã độc tống tiền cho hàng trăm khách hàng trên thế giới và đòi tiền chuộc từ 50.000 - 5 triệu USD để đổi lấy chìa khóa giải mã.

Đầu năm nay, một cuộc tấn công khác cũng nhắm vào công ty phần mềm tại Mỹ, sau đó xâm nhập vào 9 cơ quan liên bang, bao gồm văn phòng Tổng thống, Bộ Tài chính và Thương mại.

Các cuộc tấn công này có thể gây ảnh hưởng nghiêm trọng đến các chính phủ, doanh nghiệp (DN) và người dân nói chung. Điểm chung của các cuộc tấn công là mô hình hoạt động: Tin tặc nhắm đến nhà cung cấp phần mềm hoặc công ty CNTT để chiếm quyền truy cập "cửa sau" vào hệ thống khách hàng, lây nhiễm hàng trăm đến hàng ngàn hệ thống chỉ trong một lần.

Theo Cơ quan Liên minh Châu Âu về An ninh mạng (ENISA), các cuộc tấn công vào chuỗi cung ứng ICT trong năm 2021 đang tăng mạnh, ước tính cao gấp 4 lần so với năm 2020. Rủi ro còn phức tạp vì các lỗ hổng bảo mật có thể xuất hiện ở bất kỳ giai đoạn nào của vòng đời ICT từ thiết kế thông qua phát triển, sản xuất, phân phối, mua lại và triển khai đến bảo trì.

Theo bà Genie Gan, Trưởng Bộ phận đối ngoại và quan hệ chính phủ, Kaspersky châu Á - Thái Bình Dương, tác động của những sự cố này cũng sẽ ngày càng lan rộng, do sự kết nối ngày càng tăng của các hệ thống CNTT giữa các tổ chức, lĩnh vực và quốc gia.

Trong một cuộc khảo sát năm 2019 của Gartner, 60% tổ chức cho biết đã làm việc với hơn 1.000 bên thứ ba. Sau khi xâm nhập thành công, tội phạm mạng thỏa sức tiến hành hoạt động gián điệp mạng, đánh cắp thông tin và tài sản trí tuệ hoặc tống tiền bằng ransomware - xu hướng đang có chiều hướng tăng. Từ 2019 đến 2020, số người dùng Kaspersky bị tấn công bởi ransomware chuyên dùng đế nhắm vào tập đoàn, tổ chức chính phủ và cơ quan các thành phố đã tăng 767%.

Mặc dù tác động đối với các chính phủ và DN có thể thấy rõ hơn, nhưng các ngành nghề khác cũng không tránh khỏi vòng tác động này. Một cuộc tấn công vào chuỗi bách hóa có thể khiến các siêu thị buộc phải đóng cửa tạm thời. Xa hơn nữa, hệ thống cung cấp dịch vụ chăm sóc sức khỏe hoặc tiện ích công bị tổn hại có thể làm gián đoạn việc cung cấp các dịch vụ thiết yếu này. Và đây là những điều hàng ngày gây ảnh hưởng đến mỗi người trong chúng ta.

Hành động của các quốc gia

Nhận thấy những rủi ro và tác động của các cuộc tấn công vào chuỗi cung ứng, nhiều quốc gia đang có những hành động kịp thời. Năm 2018, Bộ An ninh Nội địa Mỹ đã thành lập Lực lượng Đặc nhiệm quản lý rủi ro chuỗi cung ứng CNTT, một quan hệ đối tác công - tư nhằm phát triển sự đồng thuận về các chiến lược quản lý rủi ro nhằm tăng cường an ninh chuỗi cung ứng CNTT toàn cầu. Nhóm đặc nhiệm đã ban hành hướng dẫn về việc chia sẻ thông tin rủi ro chuỗi cung ứng và cân nhắc rủi ro cho các khách hàng là nhà cung cấp dịch vụ được quản lý.

Năm 2021, Trung tâm An ninh Mạng Úc cũng ban hành hướng dẫn cho DN trong việc xác định và quản lý các rủi ro an ninh mạng trong chuỗi cung ứng.

Cơ quan An ninh mạng Singapore thông báo sẽ sớm ra mắt Chương trình CII chuỗi cung ứng cho cá nhân và tổ chức để các bên liên quan tuân thủ các tiêu chuẩn và thông lệ quốc tế trong quản lý rủi ro chuỗi cung ứng.

Tuy nhiên, do đặc thù của chuỗi cung ứng ICT nên yêu cầu sự ứng phó mạnh mẽ và liên kết chặt chẽ hơn ở mỗi cấp tổ chức, cá nhân và khu vực. Trên toàn cầu, nhiều quốc gia và tổ chức quốc tế (như Interpol, Liên Hợp Quốc, ASEAN, Europol) đã và đang các những bước đi nhằm thắt chặt quan hệ hợp tác và chia sẻ thông lệ. Tại mỗi quốc gia, chính phủ cũng cần phải tiếp tục nỗ lực để thành lập tiêu chuẩn an ninh mạng xuyên suốt các lĩnh vực từ luật pháp, quy định, hướng dẫn, đào tạo và nâng cao nhận thức.

Các cuộc tấn công phức tạp đòi hỏi sự phòng thủ thông minh

Để phục hồi chuỗi cung ứng ICT, cần đặc biệt phát triển các nguyên tắc cốt lõi (ví dụ như bảo mật theo thiết kế), tiêu chuẩn kỹ thuật và khuôn khổ lập pháp/quy định để đảm bảo mức độ nhất quán của an ninh mạng và trách nhiệm giải trình giữa các bên liên quan. Bên cạnh đó, DN cần triển khai các giải pháp, công cụ có khả năng ngăn chặn các sự cố trước khi chúng xảy ra.

Ngày nay, tội phạm mạng đang khai thác sức mạnh của tự động hóa để không ngừng cải tiến các chiến thuật tấn công của chúng. Vậy các DN phải làm gì để theo kịp các phương thức tấn công mới như cuộc tấn công SolarWinds dựa trên chuỗi cung ứng. Các cuộc tấn công này, nhắm mục tiêu vào nhiều ngành công nghiệp trên toàn cầu, chứ không phải một lỗ hổng hệ thống đơn giản. Nó bao gồm một loạt các hành động phức tạp, trong đó sự lây nhiễm ban đầu chỉ là giai đoạn đầu tiên. Với một cuộc tấn công tinh vi như vậy, trí tuệ nhân tạo (AI) và tự động hóa là cách hiệu quả nhất để vô hiệu hóa toàn bộ các mối đe dọa từ những phương thức tấn công mới.

AI có thể giúp phát hiện, phản hồi và khắc phục các mối đe dọa và sự cố ngay lập tức, khai thác lượng lớn dữ liệu để đưa ra các cảnh báo ưu tiên, chất lượng cao bất cứ khi nào quan sát thấy hành vi của mối đe dọa.

Thông tin tình báo về một cuộc tấn công được cung cấp thông qua mô hình hóa mối đe dọa trong thời gian thực, tương quan sự cố và phân tích chiến thuật, kỹ thuật và quy trình. Tất cả các điểm dữ liệu trong một tổ chức, DN có thể được ngữ cảnh hóa thành một chuỗi hành động, cung cấp cho các chuyên gia bảo mật chìa khóa để không chỉ phát hiện các mối đe dọa mà còn ngăn chặn toàn diện chúng trên quy mô lớn, trước khi chúng thực hiện tấn công thành công.

Điều này còn chuyển đổi quy trình phân loại cảnh báo thủ công thành một quy trình tự động được hỗ trợ bởi AI trên mỗi và mọi điểm cuối. Hơn thế nữa, việc sử dụng AI sẽ giúp các tổ chức phản ứng nhanh chóng các mối đe dọa, tất cả mọi người từ các nhà phân tích trung tâm điều hành an ninh (SOC) đến các nhóm bảo mật, nhằm có thể tự động xử lý các mối đe dọa và bảo vệ chống lại ngay cả những cuộc tấn công tinh vi nhất.

Nhìn chung, việc ứng dụng các công nghệ tiên tiến sẽ giúp tự động hóa phản ứng với mối đe dọa, vì vậy, các tổ chức có cách tiếp cận chủ động để ngăn chặn các sự cố, thay vì chỉ phản ứng khi các vi phạm đã xảy ra.

Ngoài ra, các chuyên gia bảo mật có thể duy trì toàn quyền kiểm soát các quy trình phản ứng, bằng cách định cấu hình các quy tắc phát hiện tùy chỉnh nhằm giải quyết các mối đe dọa mới hoặc được nhắm mục tiêu, đồng thời kích hoạt các phản ứng thích hợp, được xác định trước dựa trên mức độ hoặc loại mối đe dọa. Việc kết hợp phát hiện tùy chỉnh với khả năng phát hiện của con người và AI sẽ loại bỏ các quy trình không cần thiết, giúp nâng cao khả năng khắc phục của hệ thống trong thời gian thực.

Tuy nhiên, việc sử dụng AI chỉ góp phần nâng cao khả năng đảm bảo an toàn, an ninh mạng chứ không phải thay thế được năng lực của con người. AI và tự động hóa sẽ giúp giảm tải cho các chuyên gia bảo mật, để họ có tập trung vào việc thực hiện các phân tích mối đe dọa quan trọng và phức tạp hơn. Bằng cách này, con người và AI có thể phối hợp với nhau để tạo ra một hệ thống phòng thủ mạnh mẽ./.