Bảo mật & An ninh mạng

Supply Chain Attack là gì? Nguyên nhân, Cách thức & Cách phòng

Đăng vào bởi Mỹ Y

Ngày nay các doanh nghiệp phụ thuộc vào hệ sinh thái phần mềm rộng lớn, một mối đe dọa mới đã nổi lên và gây ra những thiệt hại khôn lường: tấn công chuỗi cung ứng (Supply Chain Attack). Nhưng Supply Chain Attack là gì, nguyên nhân nào dẫn đến tấn công Supply Chain và nó nguy hiểm như thế nào? Có cách nào phòng chống không? InterData sẽ giúp bạn giải đáp qua bài viết này.

Supply Chain Attack là gì?

Supply Chain Attack (Tấn công chuỗi cung ứng) là hành vi mà kẻ xấu nhắm vào một mắt xích yếu trong quá trình sản xuất và phân phối phần mềm hoặc phần cứng. Mục tiêu của chúng không phải là công ty đích cuối cùng, mà là một nhà cung cấp, đối tác, hoặc một dịch vụ bên thứ ba mà công ty đó tin tưởng sử dụng.

Khi kẻ tấn công chèn mã độc vào sản phẩm của nhà cung cấp, mã độc sẽ tự động lây lan đến tất cả các khách hàng khi họ cập nhật hoặc cài đặt sản phẩm đó. Điều này tạo ra một cuộc tấn công trên diện rộng, gây ra hậu quả nghiêm trọng hơn rất nhiều so với các cuộc tấn công mạng thông thường.

Supply Chain Attack là gì
Supply Chain Attack là gì?

Đối tượng nào dễ bị tấn công supply chain?

Mặc dù các vụ tấn công lớn thường nhắm vào các tập đoàn công nghệ khổng lồ, nhưng không có bất kỳ tổ chức nào hoàn toàn miễn nhiễm.

  • Các công ty công nghệ: Nhóm này là mục tiêu chính vì họ sản xuất và phân phối các phần mềm, dịch vụ mà hàng triệu người dùng tin tưởng.
  • Tổ chức tài chính: Các ngân hàng, công ty bảo hiểm và các tổ chức tài chính khác cũng là mục tiêu béo bở do nắm giữ lượng lớn dữ liệu nhạy cảm của khách hàng.
  • Cơ quan chính phủ: Các cơ quan chính phủ thường sử dụng các phần mềm chuyên dụng và là mục tiêu của các cuộc tấn công có mục đích chính trị.
  • Doanh nghiệp vừa và nhỏ: Nhóm này cũng có nguy cơ cao, đặc biệt khi họ sử dụng nhiều phần mềm bên ngoài mà không có một đội ngũ an ninh mạng chuyên trách.

Nguyên nhân dễ bị tấn công Supply Chain

Vậy đâu là những nguyên nhân chính khiến cho tấn công chuỗi cung ứng trở thành một mối đe dọa lớn?

1. Lỗ hổng bảo mật từ các nhà cung cấp

Nhiều công ty, đặc biệt là các doanh nghiệp nhỏ, có thể thiếu nguồn lực hoặc chuyên môn để duy trì một hệ thống an ninh mạng vững chắc. Điều này tạo cơ hội cho kẻ tấn công chèn mã độc vào phần mềm hoặc dịch vụ của họ.

2. Quản lý vendor kém

Các doanh nghiệp thường không kiểm tra kỹ lưỡng các nhà cung cấp bên thứ ba của họ, việc tin tưởng mù quáng vào phần mềm thương mại hoặc mã nguồn mở mà không có quy trình đánh giá rủi ro rõ ràng là một trong những lý do chính.

Nguyên nhân dẫn đến Supply Chain Attack
Nguyên nhân dẫn đến Supply Chain Attack

3. Thiếu giám sát bảo mật liên tục

Các công ty thường tập trung vào việc bảo vệ hệ thống nội bộ của mình mà bỏ qua việc giám sát các thành phần bên ngoài, bao gồm các thư viện, framework, và phần mềm mã nguồn mở. Điều này tạo ra điểm mù trong hệ thống an ninh, khiến họ không thể phát hiện các mã độc được chèn vào từ bên ngoài.

4. Cập nhật vá lỗi chậm

Khi các lỗ hổng mới được phát hiện, các nhà cung cấp cần phải nhanh chóng phát hành bản vá. Tuy nhiên, nếu người dùng cuối không cập nhật kịp thời, hệ thống của họ vẫn sẽ dễ bị tổn thương. Đây là một mắt xích yếu khác trong chuỗi.

5. Con người & nhận thức bảo mật yếu

Nhân viên thiếu kiến thức an ninh mạng, dễ bị lừa phishing hoặc social engineering, lãnh đạo chưa đầu tư đúng mức cho hệ thống bảo mật chuỗi cung ứng.

Cách thức tấn công của supply chain 

Để hiểu rõ hơn về cách thức supply chain attack vận hành, hãy cùng InterData phân tích từng bước trong quy trình này.

Bước 1: Kẻ tấn công tìm kiếm điểm yếu trong một nhà cung cấp phần mềm hoặc thư viện.

Kẻ tấn công không trực tiếp nhắm vào công ty mục tiêu, mà tìm kiếm một nhà cung cấp uy tín, có số lượng khách hàng lớn và hệ thống bảo mật kém hơn. Ví dụ, chúng có thể nhắm vào các công ty sản xuất phần mềm phổ biến, các nền tảng mã nguồn mở, hoặc thậm chí là các dịch vụ lưu trữ mã nguồn.

Bước 2: Chèn mã độc, backdoor hoặc phần mềm độc hại vào sản phẩm hợp pháp.

Sau khi đã thâm nhập, kẻ tấn công sẽ chèn mã độc vào code gốc của sản phẩm một cách khéo léo. Mã độc này có thể là một backdoor (cửa hậu) cho phép chúng truy cập từ xa, một phần mềm gián điệp để thu thập dữ liệu, hoặc một ransomware (mã độc tống tiền) để mã hóa dữ liệu sau này.

Bước 3: Phần mềm bị nhiễm độc được phân phối đến các khách hàng.

Đây là bước nguy hiểm nhất của cơ chế hoạt động tấn công chuỗi cung ứng. Khi nhà cung cấp phát hành bản cập nhật hoặc phiên bản mới, tất cả các khách hàng sử dụng sản phẩm đó sẽ tự động tải về và cài đặt mã độc vào hệ thống của mình. Do phần mềm đến từ một nguồn đáng tin cậy, các hệ thống bảo mật nội bộ thường bỏ qua hoặc không phát hiện được mã độc.

Bước 4: Mã độc được kích hoạt, gây ra hậu quả trên diện rộng.

Khi mã độc đã nằm trong hệ thống của hàng loạt khách hàng, kẻ tấn công có thể tùy ý kích hoạt nó để thực hiện các hành vi như: đánh cắp dữ liệu, tống tiền, hoặc sử dụng tài nguyên của hệ thống cho các mục đích bất hợp pháp.

Các dạng Supply Chain Attack phổ biến hiện nay

Tấn công chuỗi cung ứng không chỉ giới hạn ở phần mềm. Dựa trên bản chất và mục tiêu, các chuyên gia an ninh mạng thường phân loại các dạng tấn công chuỗi cung ứng thành ba loại chính.

1. Tấn công vào phần mềm/phần cứng

Đây là loại phổ biến nhất. Kẻ tấn công chèn mã độc vào mã nguồn của phần mềm, firmware của phần cứng, hoặc các thư viện mã nguồn mở. Ví dụ, một cuộc tấn công gần đây vào một công ty phần mềm quản lý mã nguồn đã khiến mã độc lây lan đến hơn 1000 dự án phát triển phần mềm khác.

Các loại Supply Chain Attack phổ biến
Các loại Supply Chain Attack phổ biến

2. Tấn công vào quy trình (process)

Kẻ tấn công nhắm vào các giai đoạn trong quá trình sản xuất hoặc phân phối. Chúng có thể thao túng các máy chủ lưu trữ bản cập nhật, chiếm quyền kiểm soát tài khoản của nhà phát triển để phát hành bản cập nhật độc hại, hoặc thay đổi các file cài đặt trước khi đến tay người dùng.

3. Tấn công vào con người

Loại tấn công Supply Chain sử dụng kỹ thuật lừa đảo xã hội (social engineering), chẳng hạn như phishing (tấn công lừa đảo), để chiếm đoạt tài khoản của một nhân viên trong chuỗi cung ứng. Một khi có quyền truy cập, chúng có thể sử dụng tài khoản này để chèn mã độc hoặc thực hiện các hành vi phá hoại khác.

Ví dụ về các cuộc tấn công chuỗi cung ứng Supply Chain

Trong thời gian gần đây, các cuộc tấn công chuỗi cung ứng của tin tặc đã dẫn đến nhiều sự cố nghiêm trọng, thu hút sự chú ý lớn. Trong mỗi ví dụ dưới đây, hệ thống hoặc phần mềm của những nhà cung cấp đáng tin cậy đã bị xâm phạm.

Dependency confusion, 2021

Năm 2021, một nhà nghiên cứu bảo mật đã xâm nhập được vào hệ thống của Microsoft, Uber, Apple và Tesla. Nhà nghiên cứu này, Alex Birsan, đã lợi dụng các dependency (thành phần phụ thuộc) mà ứng dụng sử dụng để cung cấp dịch vụ cho người dùng cuối.

Thông qua các dependency này, Birsan đã truyền những gói dữ liệu giả mạo nhưng vô hại đến nhiều người dùng nổi tiếng.

Mimecast, 2021

Trong vụ tấn công Mimecast, tin tặc đã chiếm quyền kiểm soát một chứng chỉ bảo mật dùng để xác thực dịch vụ Mimecast trên Microsoft 365 Exchange Web Services. Mặc dù số lượng nạn nhân bị ảnh hưởng không nhiều, nhưng khoảng 10% khách hàng của Mimecast đã sử dụng các ứng dụng dựa trên chứng chỉ bị xâm phạm này.

SolarWinds, 2020

Cuộc tấn công SolarWinds được thực hiện bằng cách chèn một backdoor, có tên SUNBURST, vào công cụ cập nhật Orion IT. Backdoor này đã bị tải xuống bởi khoảng 18.000 khách hàng.

ASUS, 2018

Theo các nhà nghiên cứu tại Symantec, cuộc tấn công vào ASUS đã khai thác tính năng cập nhật phần mềm và ảnh hưởng đến khoảng 500.000 hệ thống. Trong vụ việc này, tin tặc đã lợi dụng tính năng cập nhật tự động để cài đặt mã độc vào hệ thống của người dùng.

Event-stream, 2018

Trong vụ tấn công Event-stream, một kho lưu trữ trên GitHub đã bị cài mã độc. Dependency chứa mã độc trong kho lưu trữ này đã bị một số lượng ứng dụng không xác định khai thác.

Mặc dù GitHub không hoàn toàn là mã nguồn mở, nền tảng này hoạt động như một dịch vụ lưu trữ công khai, khuyến khích người dùng chia sẻ giải pháp của mình với cộng đồng.

Hậu quả khi bị tấn công supply chain

Hậu quả của một vụ tấn công chuỗi cung ứng thường rất nặng nề và kéo dài, điển hình như:

  • Rò rỉ thông tin quan trọng hoặc nhạy cảm.
  • Xáo trộn hoặc gián đoạn hoạt động kinh doanh, gây tổn thất sản xuất và dịch vụ.
  • Doanh thu giảm sút do ảnh hưởng trực tiếp đến hoạt động kinh doanh.
  • Ảnh hưởng xấu đến uy tín, thương hiệu của doanh nghiệp.
  • Mất cơ hội được đầu tư do giảm độ tin cậy.
  • Có thể dẫn đến các hậu quả pháp lý như phải ra tòa.
  • Khi một mắt xích trong chuỗi bị xâm phạm, toàn bộ hệ thống có thể bị đe dọa, vượt qua các cơ chế phòng thủ truyền thống, làm sụp đổ cả hệ thống.

Tấn công chuỗi cung ứng cũng khiến doanh nghiệp dễ bị khai thác sâu do tin tặc chiếm quyền kiểm soát phần mềm, phần cứng, hoặc cập nhật từ nhà cung cấp, dẫn đến xâm nhập mạng lưới rộng lớn của các khách hàng hoặc đối tác liên quan.

Hậu quả khi bị tấn công supply chain
Hậu quả khi bị tấn công supply chain

Nói chung, các doanh nghiệp có chuỗi cung ứng càng lớn, phức tạp thì nguy cơ và hậu quả khi bị tấn công càng nghiêm trọng, ảnh hưởng đến nhiều ngành nghề, lĩnh vực như công nghệ thông tin, chăm sóc sức khỏe, sản xuất, tài chính, và cả các tổ chức chính phủ.

Hướng dẫn cách phòng supply chain attack hiệu quả

Phòng chống tấn công chuỗi cung ứng đòi hỏi một chiến lược bảo mật toàn diện và chủ động. Dưới đây là các bước InterData đề xuất để giảm thiểu rủi ro.

1. Kiểm tra và đánh giá nhà cung cấp: Áp dụng các tiêu chuẩn an ninh mạng nghiêm ngặt cho tất cả các nhà cung cấp bên thứ ba. Yêu cầu họ cung cấp bằng chứng về việc tuân thủ các tiêu chuẩn như ISO 27001 hoặc SOC 2. Điều này giúp bạn đảm bảo rằng các đối tác có quy trình bảo mật đáng tin cậy.

2. Sử dụng công cụ bảo mật chuyên dụng: Để phát hiện các lỗ hổng trong mã nguồn, hãy sử dụng các công cụ như:

  • SAST (Static Application Security Testing): Phân tích mã nguồn khi tĩnh, giúp phát hiện các lỗ hổng bảo mật sớm trong quá trình phát triển.
  • SCA (Software Composition Analysis): Quét các thư viện mã nguồn mở và bên thứ ba để tìm kiếm các lỗ hổng đã biết.
  • DAST (Dynamic Application Security Testing): Mô phỏng các cuộc tấn công vào ứng dụng đang chạy để phát hiện các lỗ hổng.

3. Xây dựng quy trình nội bộ chặt chẽ: Tạo ra một quy trình kiểm tra và xác minh mọi thư viện, framework, hoặc phần mềm trước khi sử dụng. Hạn chế sử dụng các phần mềm không rõ nguồn gốc hoặc đã cũ.

Cách phòng supply chain attack hiệu quả
Cách phòng supply chain attack hiệu quả

4. Đào tạo và nâng cao nhận thức nhân viên: Con người là một mắt xích quan trọng. Cung cấp các buổi đào tạo định kỳ về an ninh mạng, đặc biệt là cách nhận biết các email lừa đảo (phishing) và các mối đe dọa khác.

Ngoài ra còn có các cách phòng chống tấn công chuỗi cung ứng hiệu quả khác bao gồm:

  • Tích hợp các giải pháp giám sát và phản ứng như SIEM, SOAR, và phân tích hành vi để phát hiện các dấu hiệu bất thường và nhanh chóng cách ly, phản ứng với các cuộc tấn công.
  • Giám sát liên tục và quản lý chặt chẽ quyền truy cập cũng như tài nguyên của bên thứ ba, đảm bảo chỉ cấp quyền cần thiết với các quy trình xác thực và ủy quyền nghiêm ngặt.
  • Lập kế hoạch dự phòng, đa dạng hóa nhà cung cấp để tránh phụ thuộc một nguồn, và xây dựng kế hoạch ứng phó khẩn cấp toàn diện cho các tình huống tấn công.
  • Thực hiện kiểm tra chặt chẽ mạng lưới chuỗi cung ứng để phát hiện sớm các lỗ hổng bảo mật tiềm ẩn và xử lý kịp thời.

Phòng chống hiệu quả tấn công chuỗi cung ứng đòi hỏi chiến lược toàn diện, từ đánh giá, kiểm soát kỹ thuật đến nâng cao nhận thức và xây dựng kế hoạch ứng phó trong toàn bộ hệ thống và các bên liên quan.

Các công cụ quét lỗ hổng supply chain

Để hỗ trợ các doanh nghiệp trong việc phòng chống tấn công chuỗi cung ứng, nhiều công cụ chuyên dụng đã được phát triển.

  • Snyk: Nổi tiếng với khả năng phân tích các thư viện mã nguồn mở và tự động phát hiện lỗ hổng. Snyk tích hợp trực tiếp vào quy trình phát triển (CI/CD) để cung cấp cảnh báo theo thời gian thực.
  • Black Duck (Synopsys): Một trong những công cụ SCA hàng đầu, cung cấp khả năng hiển thị toàn diện về các thành phần mã nguồn mở trong ứng dụng và các lỗ hổng liên quan.
  • SonarQube: Phân tích mã nguồn tĩnh, giúp tìm ra các lỗ hổng bảo mật và lỗi code ngay từ giai đoạn phát triển.

Việc kết hợp các công cụ này vào quy trình bảo mật giúp doanh nghiệp xây dựng một “hàng rào” vững chắc, giảm thiểu rủi ro từ tấn công chuỗi cung ứng.

Câu hỏi thường gặp về supply chain attack (FAQs)

1. Tại sao supply chain attack lại nguy hiểm hơn các cuộc tấn công khác?

Tấn công chuỗi cung ứng nguy hiểm hơn vì nó lây lan qua một kênh đáng tin cậy. Người dùng và hệ thống bảo mật thường không nghi ngờ một bản cập nhật từ nhà cung cấp uy tín, do đó, mã độc có thể lẩn tránh các cơ chế phòng thủ truyền thống và lây lan trên diện rộng. Hơn nữa, kẻ tấn công chỉ cần tìm một điểm yếu duy nhất để gây ra thiệt hại cho hàng loạt mục tiêu.

2. Làm thế nào để biết hệ thống của tôi có bị tấn công không?

Các dấu hiệu của một vụ tấn công chuỗi cung ứng có thể rất khó nhận biết. Tuy nhiên, một số dấu hiệu bất thường có thể bao gồm:

  • Phát hiện các kết nối mạng không mong muốn đến các máy chủ lạ.
  • Các file hệ thống bị thay đổi không rõ lý do.
  • Hiệu suất hệ thống giảm đột ngột.
  • Các báo cáo từ hệ thống bảo mật (ví dụ: SIEM) cho thấy những hoạt động đáng ngờ.

3. Một doanh nghiệp nhỏ cần làm gì để bảo vệ mình?

Ngay cả khi không có ngân sách lớn, một doanh nghiệp nhỏ vẫn có thể giảm thiểu rủi ro:

  • Lập danh sách tất cả các phần mềm, dịch vụ của bên thứ ba đang sử dụng: Việc này giúp bạn hiểu rõ “chuỗi cung ứng” của mình.
  • Đánh giá rủi ro từ các nhà cung cấp: Tìm hiểu về chính sách bảo mật của họ.
  • Cập nhật thường xuyên: Luôn cài đặt các bản vá lỗi và cập nhật phần mềm ngay khi chúng được phát hành.
  • Sử dụng các công cụ miễn phí/giá phải chăng: Có nhiều công cụ quản lý lỗ hổng mã nguồn mở (ví dụ: Dependency-Track) có thể giúp bạn kiểm tra các thành phần bên ngoài.
  • Đào tạo nhân viên: Nâng cao nhận thức về các mối đe dọa trực tuyến là một lớp bảo vệ quan trọng.

Dựa trên những phân tích trên, tấn công chuỗi cung ứng đã không còn là một mối đe dọa trừu tượng mà là một rủi ro thực tế, hiện hữu với mọi doanh nghiệp, từ lớn đến nhỏ. Nó đòi hỏi một cách tiếp cận bảo mật mới, không chỉ giới hạn trong bốn bức tường của công ty mà còn mở rộng ra toàn bộ hệ sinh thái các nhà cung cấp và đối tác.

Thay vì chỉ tập trung vào việc bảo vệ các tài sản nội bộ, các doanh nghiệp phải bắt đầu quản lý rủi ro từ bên ngoài bằng cách áp dụng các biện pháp kiểm soát chặt chẽ, sử dụng công cụ chuyên dụng và nâng cao nhận thức của đội ngũ.

Mỹ Y

Nguyễn Thị Mỹ Y tốt nghiệp chuyên ngành Marketing Thương mại với hơn 4 năm kinh nghiệm trong lĩnh vực Content về Công nghệ và Phần mềm. Hiện tôi đang đảm nhiệm vị trí Digital Marketing tại InterData – đơn vị cung cấp giải pháp công nghệ lưu trữ hàng đầu tại Việt Nam, nơi tôi có cơ hội làm việc cùng các chuyên gia trong ngành. Trong công việc, tôi tham gia phát triển nội dung về phần mềm mã nguồn mở, ứng dụng và các giải pháp công nghệ hữu ích. Đồng thời, tôi luôn chủ động tham gia workshop, khóa đào tạo và cập nhật xu hướng mới nhằm nâng cao chuyên môn, với mong muốn góp phần chia sẻ kiến thức và thúc đẩy sự phát triển của cộng đồng công nghệ tại Việt Nam. Các bài viết được đăng trên blog của InterData đã được các chuyên viên kỹ thuật kiểm duyệt trước khi đăng.