(Nguồn ảnh: TheDigitalArtist / Pixabay) (Nguồn ảnh: Pixabay)
Bất chấp những cảnh báo trong nhiều năm qua, rủi ro chuỗi cung ứng vẫn là một trong những khía cạnh dễ bị tổn thương và đánh giá thấp nhất của an ninh mạng .
Nhiều vụ tấn công mạng gây thiệt hại nghiêm trọng và thu hút sự chú ý nhất trong năm nay đều có chung một yếu tố quan trọng: kẻ tấn công xâm nhập vào công ty mục tiêu thông qua một nhà cung cấp bên thứ ba.
Một sự thật cơ bản của an ninh mạng là bạn không thể kiểm soát những gì bạn không thể nhìn thấy, và rủi ro sẽ tăng lên gấp bội khi nó bắt nguồn từ nhà cung cấp, đối tác hoặc bên thứ ba bên ngoài trong chuỗi cung ứng của bạn thay vì từ bên trong mạng lưới .
Tuy nhiên, nhiều tổ chức vẫn dựa vào các bảng câu hỏi tự đánh giá và các chứng chỉ tuân thủ lỗi thời để chứng minh sự an toàn.
Cho đến khi các tổ chức có thể xác minh tính bảo mật của mọi đối tác trong thời gian thực, họ sẽ tiếp tục dựa vào các giả định thay vì sự đảm bảo, và đó là một tình thế nguy hiểm khi mà những kẻ tấn công đã hiểu rõ các điểm yếu trong chuỗi cung ứng của bạn hơn chính bạn.
Tại sao các vụ tấn công chuỗi cung ứng vẫn tiếp diễn?
Một trong những lý do chính là những kẻ tấn công muốn thu được lợi ích tối đa từ nỗ lực của mình, và chúng đã nhận ra rằng một trong những cách dễ nhất để xâm nhập vào một doanh nghiệp được bảo vệ nghiêm ngặt là thông qua một đối tác. Không tên trộm nào dám phá cửa trước của một tòa nhà được bảo vệ tốt nếu chúng có thể đánh cắp chìa khóa và lẻn vào từ phía sau.
Ngoài ra còn có lợi thế về quy mô: một công ty cung cấp dịch vụ CNTT, nhân sự , kế toán hoặc bán hàng cho nhiều khách hàng có thể có ít nguồn lực hơn để tự bảo vệ mình, đó là điểm yếu dễ bị tấn công nhất.
Các nhà cung cấp, nhà cung cấp dịch vụ và nhà thầu nhỏ hơn thường thiếu ngân sách và nguồn lực để triển khai mức độ bảo mật tương đương với các tổ chức lớn hơn mà họ hỗ trợ, nhưng họ lại thường có quyền truy cập đặc quyền vào nhiều môi trường khác nhau.
Đây là một vấn đề phổ biến cần nỗ lực phối hợp để giải quyết, nhưng phản ứng cho đến nay vẫn chưa đủ. Hầu hết các hoạt động kiểm tra nhà cung cấp vẫn xoay quanh bảng tính , khảo sát và chứng chỉ tự xác nhận và mang tính tĩnh.
Các chương trình như Cyber Essentials, ISO 27001 hoặc SOC 2 mang lại cấu trúc, nhưng chúng chỉ xác nhận rằng những ý định tốt đẹp đã từng tồn tại, chứ không cho bạn biết điều gì là đúng ở hiện tại.
Các phương án này có giá trị, nhưng chúng chỉ cung cấp một bức ảnh chụp nhanh tại một thời điểm nhất định. Trên thực tế, tình trạng bảo mật thay đổi hàng ngày. Chứng chỉ trên một trang web không cho bạn biết gì về việc xác thực đa yếu tố có được thực thi hay không, thiết bị có được mã hóa hay không, hoặc các điểm cuối có được vá lỗi hay không.
Khi bản chất của các rủi ro mạng thay đổi quá nhanh, việc kiểm toán nhà cung cấp hàng năm không thể cung cấp bằng chứng chính xác nhất về tình trạng bảo mật của họ. Kết quả là một hệ sinh thái được xây dựng dựa trên sự tin tưởng, nơi việc tuân thủ thường trở thành một hình thức an tâm hơn là một quy trình.
Trong khi đó, tin tặc đang lợi dụng khoảng thời gian chậm trễ giữa các chu kỳ kiểm toán, hoạt động nhanh hơn nhiều so với các quy trình xác minh được thiết kế để ngăn chặn chúng.
Nếu việc xác minh không phát triển thành một quy trình liên tục, chúng ta sẽ tiếp tục tin tưởng vào giấy tờ trong khi các vụ vi phạm an ninh mạng tiếp tục lan rộng trong chuỗi cung ứng. Khi đó, mọi mối quan hệ với nhà cung cấp đều trở thành điểm mù chờ bị khai thác. Nếu bạn không liên tục đo lường mức độ an ninh của các kết nối đó, bạn sẽ không thể cải thiện chúng.
Bạn không thể bảo vệ những gì bạn không thể nhìn thấy.
Ngay cả trong cùng một tổ chức, hầu hết các nhóm bảo mật vẫn gặp khó khăn trong việc nhìn nhận toàn cảnh. Trong vô số môi trường mà tôi đã xem xét, luôn có những thiết bị, tài khoản hoặc ứng dụng bị bỏ sót.
Trong một số trường hợp, chúng tôi nhận thấy các tổ chức phát hiện ra số lượng thiết bị nhiều hơn tới 30% so với dự kiến. Nếu chúng ta không thể duy trì khả năng giám sát toàn diện bên trong phạm vi hoạt động của chính mình, thì việc hiểu được tình trạng bảo mật của hàng trăm đối tác bên ngoài là điều không thực tế.
Vậy, các tổ chức có thể bắt đầu thu hẹp khoảng cách về tính minh bạch này như thế nào?
Quy trình xác minh liên tục trông như thế nào?
Mọi công ty – dù là nhà cung cấp hay khách hàng – đều cần phải chứng minh được mức độ chủ động phòng vệ của mình trong thời gian thực. Điều đó có nghĩa là việc xác minh phải liên tục, dựa trên dữ liệu và không thể tranh cãi.
Hãy tưởng tượng một chứng chỉ tự động cập nhật bằng dữ liệu trực tiếp để hiển thị trạng thái hiện tại của bạn – một chứng chỉ không thể làm giả, bởi vì nó được liên kết trực tiếp với các hệ thống bạn đang vận hành và các biện pháp phòng vệ bạn đang áp dụng.
Tự động hóa giúp điều này trở nên khả thi. Giám sát liên tục có thể xác nhận liệu các biện pháp kiểm soát như bảo vệ điểm cuối , xác thực đa yếu tố (MFA) hoặc vá lỗi có đang hoạt động hay không. Bảng điều khiển được chia sẻ giữa khách hàng và nhà cung cấp có thể cung cấp cái nhìn minh bạch về tình trạng bảo mật trên toàn chuỗi.
Trong thế giới đó, các nhà cung cấp không chỉ tuyên bố họ an toàn mà còn chứng minh điều đó. Bằng chứng, chứ không phải lời hứa, mới là yếu tố cuối cùng xây dựng khả năng phục hồi cho chuỗi cung ứng.
Thay đổi văn hóa đảm bảo của bên thứ ba
Công nghệ thôi chưa đủ để giải quyết vấn đề chuỗi cung ứng, và cần có sự thay đổi về tư duy. Quá nhiều hội đồng quản trị vẫn bị phân tâm bởi xu hướng bảo mật lớn tiếp theo, mà bỏ qua những yếu tố cơ bản thực sự giúp giảm thiểu các vụ xâm phạm.
Việc phòng ngừa vi phạm an ninh mạng cần được đo lường, báo cáo và ưu tiên giống như bất kỳ chỉ số KPI nào khác của doanh nghiệp . Nếu nhà cung cấp không thể chứng minh rằng hệ thống phòng thủ của họ đã được thiết lập và hoạt động hiệu quả, điều đó nên được coi là một thất bại về hiệu suất, chứ không phải là một vấn đề kỹ thuật.
Trong nhiều năm, an ninh mạng được coi là một nhiệm vụ tuân thủ – điều gì đó cần vượt qua một lần và xem xét lại sau. Văn hóa đó phải chấm dứt. Tương lai của sự đảm bảo nằm ở trách nhiệm giải trình liên tục, nơi mọi tổ chức trong chuỗi đều có thể chứng minh rằng mình an toàn.
Chứng minh lòng tin, chứ không phải mặc nhiên tin tưởng.
Mức độ bảo mật của mỗi tổ chức được xác định bởi sức mạnh của mắt xích yếu nhất, và trong nhiều trường hợp, đó sẽ là kết nối với bên thứ ba. Kẻ tấn công đã hiểu điều đó, ngay cả khi nhiều doanh nghiệp chưa nhận ra.
Các cuộc kiểm toán tự chứng thực và chứng chỉ tĩnh không còn phản ánh thực tế về tốc độ phát triển của các mối đe dọa. Cách duy nhất để xây dựng khả năng phục hồi thực sự là chuyển từ giả định sang bằng chứng — từ niềm tin sang bằng chứng xác thực. Việc xác minh liên tục, dựa trên dữ liệu phải trở thành tiêu chuẩn mới cho an ninh chuỗi cung ứng.
Cho đến khi chúng ta có thể chứng minh, trong thời gian thực, rằng các đối tác của chúng ta an toàn như chúng ta tin tưởng, chuỗi cung ứng vẫn sẽ là con đường dễ dàng nhất để kẻ tấn công xâm nhập trực tiếp.
