Quản lý lỗ hổng và bảo mật chuỗi cung ứng

　　Chuỗi cung cứng đã trờ thành một phần không thể thiếu trong hoạt động kinh doanh, tuy nhiên các doanh nghiệp dù có mức độ liêt kết cao mặc dù có thể nâng cao hiệu quả nhưng đi kèm đó là những tiềm ẩn rủi ro bảo mật ngày càng phức tạp, đặc biệt là các cuộc tấn công vào chuỗi cung ứng nối tiếp nhau xuất hiện, các công ty nhận thức được sâu sắc về các mối đe dọa an ninh thông tin, làm thế nào để thiết lập một cơ chế quản lý an ninh chuỗi cung ứng hoàn chỉnh và cơ chế bảo vệ lỗ hổng là một vấn đề quan trọng đối với hoạt động kinh doanh

　　Tầm quan trọng của an ninh chuỗi cung ứng là hiển nhiên, một lỗ hổng trong một mắt xích có thể đe dọa đến an ninh của toàn bộ chuỗi cung ứng. Vào năm 2021, việc lộ nhật ký hoạt động của Apache Log4j là một trường hợp nghiêm trọng. Là một phần mềm mã nguồn cho ứng dụng Java, Log4j được nhiều trang web và ứng dụng sử dụng rộng rãi nhưng lại tiềm ẩn những lỗ hổng bảo mật nghiêm trọng, thậm chí chính phủ Mỹ còn mô tả nó như một “ bệnh dịch cục bộ” trong ngành bảo mật, có thể ảnh hưởng đến hệ thồng của doanh nghiệp trong vài năm thậm chí lâu hơn. Nguyên nhân dẫn đến tác động sâu rộng này là do mọi ứng dụng mạng đều cần sử dụng hệ thống khung ghi nhật ký để ghi lại, một khi có lỗ hổng, tin tặc có thể nhân cơ hội đột nhập vào doanh nghiệp và đánh cắp tiền, dữ liệu nhạy cảm, quyền truy cập, v.v.. Thật trùng hợp, vào tháng 8 năm 2023, một lỗ hổng lớn cũng bùng phát trong phần mềm nổi tiếng WinRAR. Vì WinRAR được sử dụng rộng rãi trong Windows và mức độ lây lan của nó rất phổ biến nên không thể bỏ qua những rủi ro bảo mật mà nó mang lại.

　　Bất kể lỗ hổng Log4j hay WinRAR là gì, chúng có thể ảnh hưởng trực tiếp đến các công ty sử dụng phần mềm này, từ đó gây ra phản ứng dây chuyền trên toàn bộ chuỗi cung ứng. Để ứng phó hiệu quả với các cuộc tấn công bất ngờ, doanh nghiệp nên áp dụng kế hoạch quản lý phòng ngừa lỗ hổng toàn diện, bao gồm:

1. Tiếp tục chú ý đến cơ sở dữ liệu công khai về lỗ hổng: tích cực theo dõi các cơ sở dữ liệu công khai về lỗ hổng như CVE và NVD để có được thông tin mới nhất.
2. Cảnh báo phân loại lỗ hổng và ưu tiên vá lỗi: Dựa trên điểm CVSS của lỗ hổng, ưu tiên vá các lỗ hổng có rủi ro cao hơn hoặc các mối đe dọa nghiêm trọng.
3. Sử dụng các công cụ quét lỗ hổng: Sử dụng các công cụ quét lỗ hổng tự động để thường xuyên phát hiện các mạng và hệ thống của công ty nhằm phát hiện các lỗ hổng tiềm ẩn. Ví dụ: việc sử dụng các công cụ như SecurityScorecard có thể cung cấp dịch vụ quét và phân tích lỗ hổng bảo mật tài sản tự động, đồng thời tạo báo cáo đánh giá rủi ro bảo mật thông tin để giúp doanh nghiệp hiểu được điểm yếu và trạng thái rủi ro về bảo mật thông tin.
4. Chia sẻ thông tin tình báo về mối đe dọa: tham khảo các cảnh báo về lỗ hổng bảo mật được công bố bởi các nền tảng của chính phủ như TWCERT/CC, Viện An toàn Thông tin Quốc gia NICS, v.v., đồng thời cập nhật đồng thời các lỗ hổng bảo mật nội bộ để cải thiện khả năng bảo vệ an ninh thông tin của doanh nghiệp.
5. Đánh giá rủi ro của nhà cung cấp: Doanh nghiệp nên thường xuyên đánh giá rủi ro tiềm ẩn của các sản phẩm và dịch vụ của nhà cung cấp, bao gồm đánh giá mã nguồn, thiết bị phần cứng và dịch vụ của bên thứ ba cung cấp (như dịch vụ đám mây và dịch vụ lưu trữ dữ liệu). Ngoài ra, ITRI còn cung cấp dịch vụ đánh giá mức độ an toàn thông tin doanh nghiệp, giúp doanh nghiệp hiểu rõ các rủi ro an toàn thông tin của chính mình và chuẩn bị chiến lược ứng phó.

　　Tóm lại, tất cả các công ty trong chuỗi cung ứng nên tăng cường liên lạc, phối hợp và hợp tác, thiết lập hệ thống giám sát an ninh và bảo vệ lỗ hổng chung, đồng thời tiếp tục cải thiện cơ chế quản lý an ninh thông tin để giảm thiểu rủi ro tổng thể và đạt được sự cân bằng tốt nhất giữa an ninh và phát triển.

*Photo credit: freepik

#