Liệu bạn có tin tưởng trao toàn bộ chìa khóa số của doanh nghiệp cho một công ty vừa để lộ mã nguồn quan trọng? SailPoint Technologies, nhà cung cấp giải pháp quản lý danh tính và truy cập hàng đầu thế giới, vừa công bố việc kho lưu trữ GitHub của họ bị tấn công vào ngày 20/4 vừa qua. Dù công ty khẳng định không có dữ liệu khách hàng nào trong môi trường sản xuất (production) và thử nghiệm (staging) bị ảnh hưởng, sự việc này đặt ra nhiều câu hỏi về an ninh thông tin tại những công ty đang nắm giữ chìa khóa bảo mật cho hàng triệu tổ chức trên toàn cầu.

Khi người bảo vệ cũng bị tấn công

SailPoint không phải cái tên xa lạ trong ngành công nghệ. Với hơn 2.000 khách hàng doanh nghiệp lớn, công ty này đang quản lý danh tính và quyền truy cập cho hàng chục triệu người dùng trên toàn thế giới. Các giải pháp IAM (Identity Access Management - quản lý danh tính và truy cập) của SailPoint giống như hệ thống khóa thông minh cho các tòa nhà văn phòng, quyết định ai được vào phòng nào, lúc nào và làm gì.

Việc một công ty chuyên về bảo mật bị tấn công không phải chuyện hiếm. Chúng tôi đã chứng kiến hàng loạt sự cố tương tự trong những năm gần đây: Okta bị hack năm 2022 và 2023, LastPass để lộ kho mật khẩu năm 2022, hay SolarWinds bị cấy backdoor năm 2020. Điểm chung của những vụ việc này là tất cả đều nhắm vào các công ty công nghệ có vị trí then chốt trong chuỗi cung ứng an ninh mạng.

Mã nguồn bị lộ - nguy cơ tiềm ẩn khôn lường

GitHub repository (kho lưu trữ mã nguồn) giống như bản thiết kế chi tiết của một tòa nhà. Khi kẻ tấn công có được mã nguồn, họ có thể tìm ra các lỗ hổng zero-day chưa được vá, hiểu rõ logic hoạt động của hệ thống và chuẩn bị cho những cuộc tấn công tinh vi hơn. Điều đáng lo ngại là các lỗ hổng này có thể được khai thác trong tương lai mà không ai biết.

Mặc dù SailPoint khẳng định môi trường sản xuất và staging không bị ảnh hưởng, chúng tôi cho rằng đây chỉ là thông tin sơ bộ. Kinh nghiệm từ các vụ việc trước đây cho thấy, tác động thực sự của việc lộ mã nguồn thường chỉ rõ ràng sau nhiều tuần hoặc tháng điều tra. Kẻ tấn công có thể đã tải về toàn bộ mã nguồn và đang âm thầm phân tích để tìm ra những điểm yếu chưa được phát hiện.

Làn sóng tấn công nhắm vào nhà cung cấp IAM

Trong năm 2024, chúng ta đã chứng kiến sự gia tăng đáng báo động các cuộc tấn công nhắm vào các nhà cung cấp IAM. Theo báo cáo của Cybersecurity and Infrastructure Security Agency (CISA), hơn 60% các vụ tấn công APT (Advanced Persistent Threat) đều bắt đầu bằng việc xâm phạm hệ thống quản lý danh tính. Lý do rất đơn giản: một khi kiểm soát được hệ thống IAM, kẻ tấn công có thể tự do di chuyển trong toàn bộ mạng nội bộ của nạn nhân.

Tại Việt Nam, nhiều doanh nghiệp lớn đang sử dụng các giải pháp IAM của các nhà cung cấp quốc tế như SailPoint. Theo khảo sát của Hiệp hội An ninh mạng Việt Nam, có tới 78% doanh nghiệp FDI và 45% doanh nghiệp trong nước đang sử dụng các giải pháp quản lý danh tính từ bên thứ ba. Con số này cho thấy mức độ phụ thuộc nghiêm trọng vào các nhà cung cấp nước ngoài.

Khuyến cáo khẩn cấp cho doanh nghiệp Việt

Chúng tôi khuyến nghị các doanh nghiệp đang sử dụng SailPoint hoặc các giải pháp IAM khác cần thực hiện ngay các bước sau: Đầu tiên, liên hệ nhà cung cấp để xác nhận phiên bản sản phẩm đang sử dụng có bị ảnh hưởng hay không. Thứ hai, kích hoạt tính năng giám sát bất thường (anomaly detection) để phát hiện các hoạt động đáng ngờ. Thứ ba, xem xét triển khai giải pháp Multi-Factor Authentication (MFA) cho tất cả tài khoản quản trị.

Quan trọng hơn, đây là lúc các doanh nghiệp Việt Nam nên nghiêm túc xem xét chiến lược đa nhà cung cấp (multi-vendor strategy) thay vì đặt tất cả trứng vào một giỏ. Việc phụ thuộc hoàn toàn vào một nhà cung cấp IAM duy nhất có thể tạo ra điểm thất bại duy nhất (single point of failure) nguy hiểm cho toàn bộ hệ thống an ninh mạng của tổ chức.