Kể từ cuộc tấn công chuỗi cung ứng vào SolarWinds, các doanh nghiệp đã tập trung nhiều hơn vào cách bảo đảm bảo mật cho các nhà cung cấp. Các doanh nghiệp dù lớn hay nhỏ thì đều có thể trở thành nạn nhân của loại hình tấn công này. Ngay cả với các nguồn lực và tài trợ của chính phủ như Bộ Tài chính và Bộ An ninh nội địa Hoa kỳ cũng bị ảnh hưởng trong vụ SolarWinds.
Mặc dù không có gì có thể đảm bảo rằng một doanh nghiệp có thể phát hiện một cuộc tấn công vào chuỗi cung ứng trước khi nó xảy ra, nhưng dưới đây là 10 khuyến nghị được helpnetsecurity đưa ra cho doanh nghiệp, để giúp giảm thiểu rủi ro và xác nhận tính bảo mật của chuỗi cung ứng.
Thứ nhất: Đánh giá tác động mà mỗi nhà cung cấp có thể có đối với doanh nghiệp nếu cơ sở hạ tầng công nghệ thông tin (CNTT) của nhà cung cấp bị xâm phạm.
Mặc dù việc đánh giá toàn bộ rủi ro được ưu tiên hơn, nhưng các tổ chức nhỏ có thể không đủ nguồn lực để tiến hành đánh giá. Tuy nhiên, ở mức tối thiểu, các doanh nghiệp nên phân tích các tình huống xấu nhất và đặt các câu hỏi như:
- Một cuộc tấn công bằng ransomware vào hệ thống của nhà cung cấp sẽ ảnh hưởng đến doanh nghiệp như thế nào?
- Doanh nghiệp sẽ bị ảnh hưởng ra sao nếu mã nguồn của nhà cung cấp bị virus hay Trojan xâm nhập?
- Nếu cơ sở dữ liệu của nhà cung cấp bị xâm phạm và dữ liệu bị đánh cắp, điều đó sẽ ảnh hưởng như thế nào đến hoạt động kinh doanh của doanh nghiệp?
Thứ hai: Đánh giá nguồn lực và năng lực CNTT nội bộ của từng nhà cung cấp.
Cần xem xét các nhà cung cấp có một nhóm chuyên trách về an ninh mạng do người quản lý bảo mật hoặc CISO lãnh đạo không? Điều quan trọng là phải xác định lãnh đạo an ninh của nhà cung cấp, vì đó là người có thể trả lời các câu hỏi của doanh nghiệp. Nếu không tồn tại hoặc nhân sự chuyên trách về an ninh mạng yếu kém mà không có lãnh đạo thực sự, các doanh nghiệp cần xem xét lại việc hợp tác với nhà cung cấp này.
Thứ ba: Gặp gỡ người quản lý bảo mật của nhà cung cấp hoặc CISO để khám phá cách họ bảo vệ hệ thống và dữ liệu của họ.
Đây có thể là một cuộc họp ngắn, cuộc gọi điện thoại hoặc thậm chí là một cuộc trò chuyện qua email, tùy thuộc vào những rủi ro được xác định trong nội dung thứ nhất.
Thứ tư: Yêu cầu bằng chứng để xác minh những gì nhà cung cấp đang tuyên bố.
Báo cáo thâm nhập là một cách hữu ích để kiểm tra điều này. Đảm bảo phạm vi thử nghiệm là phù hợp và bất cứ khi nào có thể, yêu cầu báo cáo về hai lần thử nghiệm liên tiếp để xác minh rằng nhà cung cấp đang thực hiện theo các phát hiện của mình.
Thứ năm: Nếu là nhà cung cấp phần mềm, hãy yêu cầu báo cáo đánh giá mã nguồn độc lập.
Trong một số trường hợp, nhà cung cấp có thể yêu cầu NDA chia sẻ toàn bộ báo cáo hoặc có thể chọn không chia sẻ. Khi điều này xảy ra, doanh nghiệp hãy yêu cầu ít nhất một bản tóm tắt. Các báo cáo đánh giá mã nguồn sẽ cho thấy phần mềm tồn tại những lỗ hổng bảo mật nào và việc khắc phục chúng được thực hiện ra sao.
Thứ sáu: Nếu là nhà nhà cung cấp dịch vụ đám mây, hãy tiến hành rà quét
Doanh nghiệp cần thực hiện độc lập việc rà quét mạng của nhà cung cấp, thực hiện tìm kiếm trên Shodan hoặc yêu cầu nhà cung cấp cung cấp báo cáo về các lần quét của riêng họ.
Nếu doanh nghiệp tự thực hiện, hãy xin giấy phép từ nhà cung cấp và yêu cầu họ tách riêng địa chỉ khách hàng khỏi địa chỉ của họ để tránh rà quét hệ thống mạng không liên quan.
Thứ bảy: Kiểm tra các chương trình tiền thưởng lỗi
Nếu nhà cung cấp là nhà cung cấp phần mềm hoặc đám mây, hãy tìm hiểu xem nhà cung cấp có đang chạy chương trình thưởng tiền thưởng lỗi hay không. Các chương trình này giúp một tổ chức tìm và sửa chữa các lỗ hổng trước khi những kẻ tấn công có cơ hội khai thác chúng.
Thứ tám: Tìm hiểu về cách nhà cung cấp đang ưu tiên rủi ro như thế nào
Hệ thống chấm điểm lỗ hổng phổ biến (Common Vulnerability Scoring System - CVSS) là một tiêu chuẩn công nghiệp mở và miễn phí dành cho nhà cung cấp về mức độ nghiêm trọng của các lỗ hổng bảo mật hệ thống máy tính và ấn định điểm số mức độ nghiêm trọng so với có thể ưu tiên các phản ứng rủi ro.
Căn cứ vào CVSS các doanh nghệp có thể tìm hiểu về cách các nhà cung cấp đang ưu tiên quản trị rủi ro như thế nào.
Thứ chín: Yêu cầu các báo cáo vá lỗi của nhà cung cấp
Việc nhà cung cấp có các báo cáo vá lỗi phần nào chứng tỏ cam kết của họ đối trong việc đảm bảo bảo mật và quản lý các lỗ hổng. Nếu có thể, các doanh nghiệp hãy yêu cầu báo cáo do một tổ chức độc lập thực hiện.
Thứ mười: Thực hiện định kỳ
Các khuyến nghị từ 1 đến 9 nên được lặp lại hàng năm, tùy thuộc vào rủi ro và tác động đến doanh nghiệp. Đối với một nhà cung cấp có tác động thấp, điều này có thể được thực hiện ít thường xuyên hơn. Đối với một nhà cung cấp có nhiệm vụ quan trọng đối với sự thành công của doanh nghiệp và có rủi ro cao, doanh nghiệp có thể phát triển một quy trình đánh giá vĩnh viễn. Tuy nhiên, các nhà cung cấp SaaS và IaaS lớn có thể không sẵn sàng tham gia vào các cuộc đánh giá liên tục.
Bằng các thực tiễn tốt nhất được khuyến nghị này, doanh nghiệp có thể xác định các rủi ro liên quan đến một nhà cung cấp cụ thể, hiểu cách nhà cung cấp quản lý những rủi ro đó và thu thập bằng chứng về cách nhà cung cấp đang giảm thiểu những rủi ro đó.
Dựa trên bằng chứng này và khẩu vị rủi ro, một doanh nghiệp có thể đưa ra quyết định sáng suốt để làm việc với nhà cung cấp hay không. Cuối cùng, khi doanh nghiệp thực hiện những đánh giá này, hãy hướng tới sự nhất quán và tìm kiếm rủi ro thay đổi theo thời gian.
Hãy nhớ rằng không có gì đảm bảo rằng bất kỳ ai cũng có thể ngăn chặn một cuộc tấn công vào chuỗi cung ứng nhưng bằng cách bảo vệ môi trường của chính doanh nghiệp, tiến hành đào tạo liên tục về an ninh mạng với người dùng và tuân thủ theo 10 khuyến nghị này, doanh nghiệp có thể giảm thiểu rủi ro cho tổ chức của bạn.