Software Bill of Materials (SBOM) từng được ca ngợi như 'giải pháp vàng' để bảo vệ chuỗi cung ứng phần mềm. Nhưng thực tế đang khiến các chuyên gia đặt câu hỏi: liệu SBOM có đang thất bại? Các cuộc tấn công chuỗi cung ứng không chỉ không giảm mà còn tăng vọt, bất chấp việc triển khai rộng rãi công nghệ này. Nghiên cứu mới nhất từ SecurityWeek cho thấy vấn đề nằm ở việc các đội bảo mật đang 'chết đuối' trong biển dữ liệu SBOM mà không biết cách xử lý hiệu quả.

Khi SBOM trở thành 'vũ khí vô dụng'

SBOM (Software Bill of Materials) là danh sách chi tiết các thành phần phần mềm, giống như 'thành phần dinh dưỡng' trên bao bì thực phẩm. Công nghệ này cho phép các tổ chức biết chính xác phần mềm của họ chứa những thư viện, dependencies nào. Lý thuyết nghe rất hoàn hảo, nhưng thực tế lại khác.

Chúng tôi quan sát thấy một nghịch lý đáng báo động: càng nhiều tổ chức triển khai SBOM, các đội bảo mật càng cảm thấy quá tải. Họ nhận được hàng ngàn cảnh báo mỗi ngày từ dữ liệu SBOM và VEX (Vulnerability Exploitability eXchange), nhưng không biết cái nào thực sự nguy hiểm. Kết quả là tấn công chuỗi cung ứng vẫn thành công bởi các lỗ hổng 'chìm' trong đống dữ liệu khổng lồ.

Khúc cua sinh tử của supply chain security

Nghiên cứu từ các chuyên gia bảo mật chỉ ra rằng vấn đề cốt lõi không nằm ở SBOM hay VEX, mà ở việc thiếu một lớp intelligence có khả năng quản trị (governance-driven intelligence layer). Đây là 'bộ não' có thể biến đống dữ liệu thô thành các quyết định bảo mật có thể giải thích được và hành động cụ thể.

Tình trạng này giống như việc có một bản đồ chi tiết nhưng không có la bàn để định hướng. Các đội bảo mật biết chính xác phần mềm của họ có gì, nhưng không biết nên ưu tiên bảo vệ cái gì trước. Theo đánh giá của chúng tôi, đây chính là lý do tại sao các cuộc tấn công như SolarWinds, Log4j hay gần đây nhất là cuộc tấn công 3CX vẫn gây thiệt hại nặng nề dù nhiều tổ chức đã triển khai SBOM.

Con số báo động từ thực địa

Thống kê từ các báo cáo bảo mật quốc tế cho thấy 62% doanh nghiệp đã triển khai SBOM trong năm 2023, tăng 340% so với 2021. Tuy nhiên, các cuộc tấn công chuỗi cung ứng lại tăng 300% trong cùng kỳ. Con số nghịch lý này cho thấy việc chỉ đơn thuần triển khai SBOM không đủ để bảo vệ tổ chức.

Tại Việt Nam, theo báo cáo từ Cục An toàn thông tin, 45% doanh nghiệp công nghệ đã bắt đầu quan tâm đến SBOM sau các sự cố bảo mật lớn. Nhưng chỉ 12% trong số này có khả năng phân tích và hành động dựa trên dữ liệu SBOM một cách hiệu quả. Khoảng cách này đang tạo ra một 'lỗ hổng nhận thức' nguy hiểm trong hệ sinh thái an ninh mạng Việt Nam.

Bước đột phá: từ dữ liệu đến intelligence

Giải pháp không phải là từ bỏ SBOM, mà là xây dựng lớp intelligence thông minh phía trên. Các doanh nghiệp Việt Nam cần triển khai ngay các bước sau: đầu tiên, tích hợp SBOM với các công cụ threat intelligence để ưu tiên hóa rủi ro theo ngữ cảnh thực tế. Thứ hai, xây dựng quy trình tự động hóa phân tích và phản ứng với dữ liệu SBOM thay vì xử lý thủ công.

Chúng tôi khuyến nghị các tổ chức cần đầu tư vào đào tạo đội ngũ không chỉ biết đọc SBOM mà còn biết 'dịch' nó thành hành động bảo mật cụ thể. Bước cuối cùng là xây dựng governance framework để đảm bảo mọi quyết định bảo mật đều có thể truy xuất và giải thích được. Chỉ khi đó, SBOM mới thực sự trở thành lá chắn bảo vệ chuỗi cung ứng thay vì chỉ là một công cụ tạo dữ liệu vô nghĩa.