Kể từ cuộc , các doanh nghiệp đã tập trung nhiều hơn vào cách bảo đảm bảo mật cho các nhà cung cấp. Các doanh nghiệp dù lớn hay nhỏ thì đều có thể trở thành nạn nhân của loại hình tấn công này. Ngay cả với các nguồn lực và tài trợ của chính phủ như Bộ Tài chính và Bộ An ninh nội địa Hoa kỳ cũng bị ảnh hưởng trong vụ SolarWinds.
Mặc dù không có gì có thể đảm bảo rằng một doanh nghiệp có thể phát hiện một cuộc tấn công vào chuỗi cung ứng trước khi nó xảy ra, nhưng dưới đây là 10 khuyến nghị được helpnetsecurity đưa ra cho doanh nghiệp, để giúp giảm thiểu rủi ro và xác nhận tính bảo mật của chuỗi cung ứng.
Thứ nhất: Đánh giá tác động mà mỗi nhà cung cấp có thể có đối với doanh nghiệp nếu cơ sở hạ tầng công nghệ thông tin (CNTT) của nhà cung cấp bị xâm phạm.
Mặc dù việc đánh giá toàn bộ rủi ro được ưu tiên hơn, nhưng các tổ chức nhỏ có thể không đủ nguồn lực để tiến hành đánh giá. Tuy nhiên, ở mức tối thiểu, các doanh nghiệp nên phân tích các tình huống xấu nhất và đặt các câu hỏi như:
Thứ hai: Đánh giá nguồn lực và năng lực CNTT nội bộ của từng nhà cung cấp.
Cần xem xét các nhà cung cấp có một nhóm chuyên trách về an ninh mạng do người quản lý bảo mật hoặc CISO lãnh đạo không? Điều quan trọng là phải xác định lãnh đạo an ninh của nhà cung cấp, vì đó là người có thể trả lời các câu hỏi của doanh nghiệp. Nếu không tồn tại hoặc nhân sự chuyên trách về an ninh mạng yếu kém mà không có lãnh đạo thực sự, các doanh nghiệp cần xem xét lại việc hợp tác với nhà cung cấp này.
Thứ ba: Gặp gỡ người quản lý bảo mật của nhà cung cấp hoặc CISO để khám phá cách họ bảo vệ hệ thống và dữ liệu của họ.
Đây có thể là một cuộc họp ngắn, cuộc gọi điện thoại hoặc thậm chí là một cuộc trò chuyện qua email, tùy thuộc vào những rủi ro được xác định trong nội dung thứ nhất.
Thứ tư: Yêu cầu bằng chứng để xác minh những gì nhà cung cấp đang tuyên bố.
Báo cáo thâm nhập là một cách hữu ích để kiểm tra điều này. Đảm bảo phạm vi thử nghiệm là phù hợp và bất cứ khi nào có thể, yêu cầu báo cáo về hai lần thử nghiệm liên tiếp để xác minh rằng nhà cung cấp đang thực hiện theo các phát hiện của mình.
Thứ năm: Nếu là nhà cung cấp phần mềm, hãy yêu cầu báo cáo đánh giá mã nguồn độc lập.
Trong một số trường hợp, nhà cung cấp có thể yêu cầu NDA chia sẻ toàn bộ báo cáo hoặc có thể chọn không chia sẻ. Khi điều này xảy ra, doanh nghiệp hãy yêu cầu ít nhất một bản tóm tắt. Các báo cáo đánh giá mã nguồn sẽ cho thấy phần mềm tồn tại những lỗ hổng bảo mật nào và việc khắc phục chúng được thực hiện ra sao.
Thứ sáu: Nếu là nhà nhà cung cấp dịch vụ đám mây, hãy tiến hành rà quét
Doanh nghiệp cần thực hiện độc lập việc rà quét mạng của nhà cung cấp, thực hiện tìm kiếm trên Shodan hoặc yêu cầu nhà cung cấp cung cấp báo cáo về các lần quét của riêng họ.
Nếu doanh nghiệp tự thực hiện, hãy xin giấy phép từ nhà cung cấp và yêu cầu họ tách riêng địa chỉ khách hàng khỏi địa chỉ của họ để tránh rà quét hệ thống mạng không liên quan.
Thứ bảy: Kiểm tra các chương trình tiền thưởng lỗi
Nếu nhà cung cấp là nhà cung cấp phần mềm hoặc đám mây, hãy tìm hiểu xem nhà cung cấp có đang chạy hay không. Các chương trình này giúp một tổ chức tìm và sửa chữa các lỗ hổng trước khi những kẻ tấn công có cơ hội khai thác chúng.
Thứ tám: Tìm hiểu về cách nhà cung cấp đang ưu tiên rủi ro như thế nào
Hệ thống chấm điểm lỗ hổng phổ biến (Common Vulnerability Scoring System - CVSS) là một tiêu chuẩn công nghiệp mở và miễn phí dành cho nhà cung cấp về mức độ nghiêm trọng của các lỗ hổng bảo mật hệ thống máy tính và ấn định điểm số mức độ nghiêm trọng so với có thể ưu tiên các phản ứng rủi ro.
Căn cứ vào CVSS các doanh nghệp có thể tìm hiểu về cách các nhà cung cấp đang ưu tiên quản trị rủi ro như thế nào.
Thứ chín: Yêu cầu các báo cáo vá lỗi của nhà cung cấp
Việc nhà cung cấp có các báo cáo vá lỗi phần nào chứng tỏ cam kết của họ đối trong việc đảm bảo bảo mật và quản lý các lỗ hổng. Nếu có thể, các doanh nghiệp hãy yêu cầu báo cáo do một tổ chức độc lập thực hiện.
Thứ mười: Thực hiện định kỳ
Các khuyến nghị từ 1 đến 9 nên được lặp lại hàng năm, tùy thuộc vào rủi ro và tác động đến doanh nghiệp. Đối với một nhà cung cấp có tác động thấp, điều này có thể được thực hiện ít thường xuyên hơn. Đối với một nhà cung cấp có nhiệm vụ quan trọng đối với sự thành công của doanh nghiệp và có rủi ro cao, doanh nghiệp có thể phát triển một quy trình đánh giá vĩnh viễn. Tuy nhiên, các nhà cung cấp SaaS và IaaS lớn có thể không sẵn sàng tham gia vào các cuộc đánh giá liên tục.
Bằng các thực tiễn tốt nhất được khuyến nghị này, doanh nghiệp có thể xác định các rủi ro liên quan đến một nhà cung cấp cụ thể, hiểu cách nhà cung cấp quản lý những rủi ro đó và thu thập bằng chứng về cách nhà cung cấp đang giảm thiểu những rủi ro đó.
Dựa trên bằng chứng này và khẩu vị rủi ro, một doanh nghiệp có thể đưa ra quyết định sáng suốt để làm việc với nhà cung cấp hay không. Cuối cùng, khi doanh nghiệp thực hiện những đánh giá này, hãy hướng tới sự nhất quán và tìm kiếm rủi ro thay đổi theo thời gian.
Hãy nhớ rằng không có gì đảm bảo rằng bất kỳ ai cũng có thể ngăn chặn một cuộc tấn công vào chuỗi cung ứng nhưng bằng cách bảo vệ môi trường của chính doanh nghiệp, tiến hành đào tạo liên tục về an ninh mạng với người dùng và tuân thủ theo 10 khuyến nghị này, doanh nghiệp có thể giảm thiểu rủi ro cho tổ chức của bạn.
Trí Công
18:00 | 22/07/2021
15:00 | 19/01/2022
08:00 | 18/04/2022
19:00 | 30/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
10:00 | 02/01/2024
Trong hệ mật RSA, mô hình hệ mật, cấu trúc thuật toán của các nguyên thủy mật mã là công khai. Tuy nhiên, việc lựa chọn và sử dụng các tham số cho hệ mật này sao cho an toàn và hiệu quả là một vấn đề đã và đang được nhiều tổ chức quan tâm nghiên cứu. Trong bài viết này, nhóm tác giả đã tổng hợp một số khuyến nghị cho mức an toàn đối với độ dài khóa RSA được Lenstra, Verheul và ECRYPT đề xuất.
10:00 | 22/09/2023
Internet robot hay bot là các ứng dụng phần mềm thực hiện các tác vụ lặp đi lặp lại một cách tự động qua mạng. Chúng có thể hữu ích để cung cấp các dịch vụ như công cụ tìm kiếm, trợ lý kỹ thuật số và chatbot. Tuy nhiên, không phải tất cả các bot đều hữu ích. Một số bot độc hại và có thể gây ra rủi ro về bảo mật và quyền riêng tư bằng cách tấn công các trang web, ứng dụng dành cho thiết bị di động và API. Bài báo này sẽ đưa ra một số thống kê đáng báo động về sự gia tăng của bot độc hại trên môi trường Internet, từ đó đưa ra một số kỹ thuật ngăn chặn mà các tổ chức/doanh nghiệp (TC/DN) có thể tham khảo để đối phó với lưu lượng bot độc hại.
14:00 | 17/05/2023
Một trong những lý do khiến các tổ chức e ngại khi sử dụng các dịch vụ điện toán đám mây là vấn đề về an toàn thông tin. Tuy nhiên, dù nhìn nhận từ góc độ nào thì hầu hết chúng ta đều phải công nhận là các nhà cung cấp dịch vụ điện toán đám mây lớn như Amazon, Microsoft hay Google đều có nhiều nguồn lực và nhân sự giỏi về an ninh bảo mật hơn hầu hết các doanh nghiệp khác. Vậy tại sao chúng ta liên tục nhận được tin tức về các sự cố bảo mật của các doanh nghiệp khi sử dụng điện toán đám mây?
Với sự phát triển mạnh mẽ của công nghệ số, số lượng các phần mềm chương trình được công bố ngày càng lớn. Song hành với đó là việc tin tặc luôn tìm cách phân tích, dịch ngược các chương trình nhằm lấy cắp ý tưởng, bẻ khóa phần mềm thương mại gây tổn hại tới các tổ chức, cá nhân phát triển phần mềm. Đặc biệt, trong ngành Cơ yếu có những chương trình có tích hợp các thuật toán mật mã ở mức mật và tối mật thì việc chống phân tích, dịch ngược có vai trò hết sức quan trọng. Do đó, việc phát triển một giải pháp bảo vệ các chương trình phần mềm chống lại nguy cơ phân tích, dịch ngược là rất cấp thiết.
16:00 | 04/08/2024
Có rất nhiều khái niệm về Zero Trust nhưng bạn đã thực sự hiểu về nó? Bài báo này sẽ đưa ra khái niệm dễ hiểu sự hình thành của thuật ngữ Zero Trust, các tác nhân, khu vực cần triển khai Zero Trust...
13:00 | 13/08/2024