Thật trớ trêu khi một công ty chuyên bảo vệ dữ liệu cho hàng triệu khách hàng lại không thể bảo vệ chính mã nguồn của mình. Trellix, tập đoàn an ninh mạng được thành lập từ việc sáp nhập McAfee Enterprise và FireEye, vừa xác nhận source code repository (kho lưu trữ mã nguồn) của họ đã bị xâm phạm. Vụ việc này đặt ra câu hỏi lớn về khả năng tự bảo vệ của chính những công ty được giao phó nhiệm vụ canh gác an ninh mạng toàn cầu. Chúng tôi cho rằng đây không chỉ là một sự cố đơn lẻ mà còn phản ánh xu hướng gia tăng các cuộc tấn công nhắm vào chính ngành công nghiệp bảo mật.

Khi 'thầy bói' không tự đoán được số phận mình

Trellix đã tiến hành điều tra toàn diện và khẳng định rằng vụ xâm nhập không ảnh hưởng đến quy trình phát hành hoặc phân phối mã nguồn của họ. Điều này có nghĩa là các sản phẩm bảo mật đang được khách hàng sử dụng vẫn an toàn và không bị nhiễm malware (mã độc). Tuy nhiên, việc tin tặc có thể tiếp cận được source code repository - trái tim của bất kỳ công ty công nghệ nào - vẫn là một thất bại nghiêm trọng. Đây giống như việc kẻ trộm đã lẻn vào két sắt nhưng chưa kịp lấy tiền.

Source code repository chứa toàn bộ mã nguồn của các phần mềm, bao gồm cả những thuật toán bảo mật nhạy cảm và cách thức hoạt động của các công cụ chống malware. Nếu tin tặc có được thông tin này, họ có thể phân tích để tìm ra các lỗ hổng zero-day (lỗ hổng chưa được vá) hoặc thiết kế malware có khả năng né tránh các giải pháp bảo mật của Trellix. Chúng tôi đánh giá đây là nguy cơ tiềm ẩn lớn dù công ty khẳng định chưa phát hiện tác động tiêu cực.

Mảnh ghép trong cuộc chiến không gian mạng

Vụ việc Trellix không phải trường hợp đầu tiên các công ty bảo mật trở thành nạn nhân của chính những mối đe dọa mà họ chống lại. Năm 2022, Okta - gã khổng lồ xác thực danh tính - cũng bị nhóm hacker Lapsus$ tấn công thành công. Trước đó, FireEye (nay là Trellix) từng bị nhóm APT29 của Nga xâm nhập và đánh cắp các công cụ Red Team (công cụ kiểm tra xâm nhập). Những sự kiện này cho thấy tin tặc đang chủ động nhắm vào các nhà cung cấp bảo mật để có được 'chìa khóa vạn năng' cho những cuộc tấn công tương lai.

Từ góc nhìn kỹ thuật, việc tấn công vào infrastructure (hạ tầng) của các công ty bảo mật mang lại hiệu quả cao hơn nhiều so với tấn công trực tiếp vào từng mục tiêu. Một khi kiểm soát được công ty bảo mật, tin tặc có thể tiếp cận hàng nghìn khách hàng thông qua supply chain attack (tấn công chuỗi cung ứng) hoặc ít nhất cũng thu thập được intelligence (thông tin tình báo) về cách thức hoạt động của các hệ thống phòng thủ hiện đại. Đây chính là lý do tại sao các threat actor (kẻ tấn công) ngày càng quan tâm đến sector (lĩnh vực) này.

Tác động lan tỏa đến hệ sinh thái bảo mật

Mặc dù Trellix khẳng định không có impact (tác động) đến khách hàng, nhưng vụ việc này có thể tạo ra hiệu ứng domino trong ngành. Các doanh nghiệp Việt Nam đang sử dụng giải pháp của Trellix - từ các ngân hàng lớn như Vietcombank, BIDV đến các tập đoàn viễn thông như Viettel, FPT - có thể sẽ phải tăng cường monitoring (giám sát) và đánh giá lại threat model (mô hình đe dọa) của họ. Theo báo cáo của Cục An toàn thông tin, Việt Nam ghi nhận trung bình 8.000-10.000 cuộc tấn công mạng mỗi ngày, và việc các công cụ bảo vệ có thể bị compromised (xâm phạm) chỉ làm tăng thêm áp lực cho các CISO (Giám đốc An ninh thông tin) trong nước.

Incident (sự cố) này cũng nhấn mạnh tầm quan trọng của zero-trust architecture (kiến trúc không tin tưởng) và defense in depth (phòng thủ nhiều lớp). Chúng tôi cho rằng các tổ chức không nên phụ thuộc hoàn toàn vào một nhà cung cấp bảo mật duy nhất, dù có uy tín đến đâu. Thay vào đó, cần xây dựng hệ thống phòng thủ đa lớp với các giải pháp từ nhiều vendor khác nhau để tránh single point of failure (điểm lỗi đơn).

Khuyến nghị bảo vệ trước tình huống tương tự

Các doanh nghiệp Việt Nam cần ngay lập tức rà soát lại security posture (tư thế bảo mật) của mình. Bước đầu tiên là kiểm tra tất cả các endpoint detection and response (EDR) và network security appliance đang sử dụng, đặc biệt là các sản phẩm của Trellix. Tiếp theo, cần enabling (kích hoạt) enhanced logging và tăng cường SIEM (Quản lý sự kiện và thông tin bảo mật) để phát hiện sớm các anomaly (bất thường). Đặc biệt quan trọng là phải backup (sao lưu) các critical data (dữ liệu quan trọng) và đảm bảo khả năng incident response (ứng phó sự cố) trong trường hợp xấu nhất.

Chúng tôi khuyến nghị các CISO nên xem xét triển khai threat hunting (săn lùng đe dọa) chủ động thay vì chỉ dựa vào automated detection (phát hiện tự động). Việc thiết lập red team exercises (diễn tập đội đỏ) định kỳ cũng giúp đánh giá hiệu quả thực tế của hệ thống bảo vệ. Cuối cùng, cần có kế hoạch business continuity (liên tục kinh doanh) chi tiết cho trường hợp các công cụ bảo mật chính bị compromised, bao gồm cả việc chuyển đổi sang backup security solutions (giải pháp bảo mật dự phòng) trong thời gian ngắn nhất.