British Airways, BBC và Boots đều đã nhận được tối hậu thư sau khi họ bị tấn công chuỗi cung ứng bởi nhóm ransomware Clop. Trong một bài đăng trên cổng web tối của họ, nhóm tội phạm mạng đã cảnh báo các tổ chức bị ảnh hưởng phải liên hệ trước ngày 14 tháng 6 hoặc có nguy cơ tiết lộ dữ liệu bị đánh cắp của họ cho miền công cộng. Dữ liệu được cho là chứa thông tin cá nhân, bao gồm tên, chi tiết ngân hàng, địa chỉ và số bảo hiểm quốc gia.
Cũng bị ảnh hưởng bởi sự cố bảo mật này là nhà cung cấp dịch vụ trả lương Zellis của Vương quốc Anh, Aer Lingus có trụ sở tại Dublin, Đại học Rochester và chính quyền Nova Scotia.
Xác nhận cuộc tấn công này, Zellis, có khách hàng bao gồm Jaguar Land Rover, Harrods và Dyson, đã trấn an khách hàng của họ rằng vi phạm không ảnh hưởng đến các thành phần quan trọng khác trong hệ sinh thái CNTT của họ.
“Chúng tôi có thể xác nhận rằng một số lượng nhỏ khách hàng của chúng tôi đã bị ảnh hưởng bởi sự cố toàn cầu này và chúng tôi đang tích cực làm việc để hỗ trợ họ. Tất cả phần mềm do Zellis sở hữu đều không bị ảnh hưởng và không có sự cố hoặc thỏa hiệp nào liên quan đến bất kỳ phần nào khác trong tài sản CNTT của chúng tôi,” Zellis lưu ý trong một tuyên bố.
“Chúng tôi đã được thông báo rằng chúng tôi là một trong những công ty bị ảnh hưởng bởi sự cố an ninh mạng của Zellis xảy ra thông qua một trong những nhà cung cấp bên thứ ba của họ có tên là MOVEit,” British Airways nói với Sky News.
Chuyển đến:
Làm thế nào mà cuộc tấn công chuỗi cung ứng này xảy ra?
Clop đã khai thác lỗ hổng SQL injection (CVE-2023-34362) trong phần mềm kinh doanh phổ biến MOVEit và truy cập vào các máy chủ của nó. Phần mềm MOVEit được thiết kế để di chuyển các tệp nhạy cảm một cách an toàn và phổ biến trên toàn thế giới, với hầu hết khách hàng của công ty ở Hoa Kỳ và Châu Âu.
Tuần trước, Cơ quan An ninh Cơ sở hạ tầng & An ninh mạng Hoa Kỳ đã cảnh báo rằng tin tặc đã tìm thấy lỗ hổng trong công cụ MOVEit Transfer và kêu gọi người dùng trên toàn thế giới tìm cách bảo vệ thông tin nhạy cảm của họ trước một cuộc tấn công chuỗi cung ứng có thể xảy ra.
Nhóm ransomware Clop là ai và nhu cầu của chúng là gì?
Clop là một nhóm ransomware có trụ sở tại Nga đã dính líu đến nhiều vụ vi phạm dữ liệu nhắm vào các tổ chức kinh doanh hàng đầu trên toàn thế giới. Vào tháng 2 năm 2023, Clop đã nhận trách nhiệm về một cuộc tấn công chuỗi cung ứng đã ảnh hưởng đến hơn 130 tổ chức, bao gồm dữ liệu của các bệnh nhân CHS Healthcare. Nhóm này cũng nhúng tay vào vụ vi phạm dữ liệu của Công cụ truyền tệp Accellion vào năm 2020, vụ việc đã ảnh hưởng đến khoảng 100 tổ chức, bao gồm Shell, Kroger và Ủy ban Đầu tư và Chứng khoán Úc. Trong một cuộc tấn công lớn khác được The Daily Mail đưa tin, nhóm này chịu trách nhiệm về việc bán các hồ sơ y tế nhạy cảm của bệnh nhân NHS trên dark web sau khi NHS từ chối yêu cầu khoản tiền chuộc 3 triệu bảng Anh của họ.
Sau cuộc tấn công gần đây này, nhóm đã truy cập cổng web tối của họ để kêu gọi các công ty sử dụng MOVEit để chuyển tệp kinh doanh: “Kính gửi các công ty sử dụng MOVEit, rất có thể chúng tôi đã tải xuống rất nhiều dữ liệu của bạn như một phần của hoạt động khai thác đặc biệt.” Tuyên bố tiếp tục bằng cách yêu cầu người dùng phần mềm MOVEit liên hệ với nhóm bằng địa chỉ email được cung cấp. Bằng cách liên hệ với họ, người dùng sẽ nhận được một URL trò chuyện có thể được sử dụng trên mạng trình duyệt ẩn danh để bắt đầu đàm phán. Clop nhấn mạnh việc này phải hoàn thành trước ngày 14 tháng 6; nếu không, nhóm ransomware sẽ công bố tên của những người không tuân thủ.
Làn sóng tấn công chuỗi cung ứng đang gia tăng
Trong những năm gần đây, các cuộc tấn công chuỗi cung ứng đã trở thành mối lo ngại ngày càng tăng trong bối cảnh an ninh mạng. Các cuộc tấn công vào SolarWinds, Log4j và Codecov là những cuộc tấn công đáng chú ý. Các cuộc tấn công chuỗi cung ứng đặc biệt hấp dẫn đối với tội phạm mạng vì chúng mang lại nhiều phần thưởng cho một lần vi phạm.
Trong một báo cáo về các cuộc tấn công chuỗi cung ứng phần mềm gần đây, Statista đã lưu ý rằng tỷ lệ các gói phần mềm bị ảnh hưởng bởi các cuộc tấn công chuỗi cung ứng trên toàn cầu đã tăng đáng kể từ năm 2019 đến 2022, leo thang từ 702 lên 185.572 (Hình A). Ngoài ra, từ tháng 1 đến tháng 3 năm 2023, các cuộc tấn công mạng vào chuỗi cung ứng đã ảnh hưởng đến khoảng 17.150 gói phần mềm.
Hình A
Các tổ chức có thể làm gì để giảm thiểu các cuộc tấn công mạng
Với tỷ lệ ngày càng tăng của các cuộc tấn công chuỗi cung ứng, các tổ chức nên áp dụng các phương pháp hay nhất để giúp họ an toàn. Dưới đây là bảng phân tích một số phương pháp hay nhất mà tổ chức của bạn có thể áp dụng.
Triển khai kiến trúc không tin cậy
Kiến trúc không tin cậy được thiết kế để hoạt động theo giả định rằng tất cả các hoạt động mạng đều có khả năng gây hại. Nó áp dụng một cách tiếp cận nghiêm ngặt trong đó mọi yêu cầu kết nối phải đáp ứng một tập hợp các chính sách nghiêm ngặt trước khi được cấp quyền truy cập vào tài nguyên của tổ chức.
Về cốt lõi, ZTA dựa trên ba thành phần chính — Công cụ chính sách, Quản trị viên chính sách và Điểm thực thi chính sách — hoạt động cùng nhau để đóng vai trò là hệ thống ra quyết định, đánh giá lưu lượng mạng dựa trên các quy tắc do Thuật toán tin cậy xác định. Bằng cách triển khai ZTA, các tổ chức có thể thiết lập một khung bảo mật mạnh mẽ, giả định không có sự tin cậy vốn có và xác minh từng hoạt động mạng dựa trên một tập hợp các chính sách được xác định trước trước khi cấp quyền truy cập vào các tài nguyên có giá trị.
Triển khai mật mã
Honeytoken đóng vai trò là cơ chế phát hiện thông báo cho các tổ chức về các hành động đáng ngờ trong mạng của họ. Những tài nguyên lừa đảo này bắt chước dữ liệu có giá trị, lừa những kẻ tấn công tin rằng họ đã truy cập vào tài sản có giá trị. Honeytokens có thể ở dạng dữ liệu cơ sở dữ liệu giả, địa chỉ email và tệp thực thi. Khi những kẻ tấn công tương tác với các tài nguyên mồi nhử này, một cảnh báo sẽ được kích hoạt, thông báo cho tổ chức được nhắm mục tiêu về hành vi vi phạm đã cố gắng.
Bằng cách sử dụng mã thông báo mật ong, các tổ chức có được những dấu hiệu sớm về các vi phạm dữ liệu tiềm ẩn và hiểu rõ hơn về các phương pháp cụ thể mà những kẻ tấn công sử dụng. Với thông tin có giá trị này, các tổ chức có thể xác định các tài nguyên được nhắm mục tiêu và triển khai các chiến lược ứng phó sự cố phù hợp để chống lại từng kỹ thuật tấn công mạng một cách hiệu quả.
NHÌN THẤY: Tải xuống chính sách phản hồi sự cố bảo mật này từ TechRepublic Premium
Tiến hành đánh giá rủi ro của bên thứ ba thường xuyên
Đôi khi các nhà cung cấp phần mềm bên thứ ba không coi trọng vấn đề an ninh mạng như các tổ chức mà họ phục vụ. Điều này có thể phản tác dụng đối với các tổ chức đặt bảo mật lên trên tất cả mọi thứ. Do đó, các tổ chức nên đảm bảo các nhà cung cấp phần mềm bên thứ ba của họ cũng đang tự loại bỏ mọi lỗ hổng bảo mật có thể khai thác. Họ cũng nên đánh giá các báo cáo đánh giá rủi ro của nhà cung cấp do một tổ chức Quản trị, Rủi ro và Tuân thủ có uy tín thực hiện. Điều này giúp tiết lộ tư thế bảo mật của mỗi nhà cung cấp, cung cấp thêm thông tin về các lỗ hổng cần được khắc phục.
NHÌN THẤY: Tải xuống danh sách kiểm tra đánh giá rủi ro bảo mật này từ TechRepublic Premium
Tự động giám sát bề mặt tấn công của bên thứ ba
Bề mặt tấn công của một tổ chức bao gồm các lỗ hổng, lộ trình và phương pháp mà tin tặc có thể khai thác để giành quyền truy cập mạng trái phép, xâm phạm dữ liệu nhạy cảm hoặc thực hiện các cuộc tấn công mạng. Bề mặt tấn công này làm cho bối cảnh mối đe dọa của bên thứ ba trở nên phức tạp hơn. Nhưng với giải pháp giám sát bề mặt tấn công tự động, những sự phức tạp này có thể giảm bớt, do đó giúp dễ dàng phát hiện các lỗ hổng ẩn hơn. Các giải pháp quản lý rủi ro có thể giúp tự động hóa giám sát bề mặt tấn công của bên thứ ba bao gồm OneTrust, Venminder, BitSight và UpGuard.
Áp dụng thẩm định khi chọn nhà cung cấp bên thứ ba và có các thỏa thuận hợp đồng mạnh mẽ
Triển khai quy trình thẩm định chặt chẽ khi lựa chọn nhà cung cấp hoặc đối tác bên thứ ba. Điều này bao gồm đánh giá các biện pháp kiểm soát, chính sách và thực tiễn bảo mật của nhà cung cấp. Tùy thuộc vào ngành, các tổ chức nên kiểm tra xem nhà cung cấp có đáp ứng các yêu cầu bảo mật nhất định không, chẳng hạn như ISO 27001, NIST SP 800-171 và PCI DSS. Điều này sẽ tiết lộ cam kết của họ đối với các tiêu chuẩn bảo mật thông tin.
Ngoài việc áp dụng thẩm định khi lựa chọn nhà cung cấp phần mềm, các tổ chức nên thiết lập các thỏa thuận hợp đồng vững chắc với các nhà cung cấp hoặc đối tác bên thứ ba của họ. Phác thảo rõ ràng các yêu cầu bảo mật, nghĩa vụ bảo vệ dữ liệu và hậu quả của việc không tuân thủ. Bao gồm các điều khoản cho kiểm toán và đánh giá thường xuyên để đảm bảo tuân thủ liên tục.