Khi những người canh giữ bản thân cũng không thể tự bảo vệ mình thì ai sẽ bảo vệ chúng ta? Trellix - một trong những tên tuổi lớn trong lĩnh vực an ninh mạng toàn cầu - vừa phải thừa nhận một sự thật cay đắng: hacker đã xâm nhập thành công vào kho lưu trữ mã nguồn của họ. Công ty này 'gần đây đã phát hiện' việc xâm phạm vào repository (kho lưu trữ mã nguồn) và ngay lập tức hợp tác với các chuyên gia điều tra hình sự hàng đầu để giải quyết vấn đề. Thông báo chính thức cũng xác nhận họ đã báo cáo sự việc lên cơ quan thực thi pháp luật.

Vụ đột nhập im lặng vào 'két sắt' công nghệ

Source code (mã nguồn) có thể được ví như 'công thức bí mật' của một sản phẩm phần mềm - chứa đựng toàn bộ logic, thuật toán và cả những lỗ hổng tiềm ẩn mà công ty chưa kịp vá. Đối với một công ty bảo mật như Trellix, việc mã nguồn bị rò rỉ không khác nào việc kẻ trộm lấy được chìa khóa vạn năng. Chúng tôi cho rằng đây là một trong những loại tấn công nguy hiểm nhất mà bất kỳ công ty công nghệ nào cũng phải e ngại.

Trellix chỉ thừa nhận 'một phần' mã nguồn bị xâm phạm, nhưng không tiết lộ cụ thể phần nào, bao nhiêu dữ liệu, hay thời gian diễn ra vụ việc. Sự mơ hồ này khiến cộng đồng an ninh mạng đặt ra nhiều câu hỏi. Việc công ty chỉ 'gần đây mới phát hiện' cho thấy cuộc tấn công có thể đã diễn ra trong thời gian dài mà không bị phát hiện - một dấu hiệu đáng lo ngại về khả năng giám sát của chính công ty bảo mật này.

Khi 'thầy bói xem bói cho người' nhưng quên nhìn gương

Trellix được thành lập từ việc sáp nhập giữa McAfee Enterprise và FireEye - hai tên tuổi lớn trong ngành an ninh mạng với hàng chục năm kinh nghiệm. Công ty này cung cấp các giải pháp bảo mật cho hàng nghìn doanh nghiệp lớn trên toàn thế giới, từ phát hiện mối đe dọa đến ứng phó sự cố. Tuy nhiên, vụ việc này một lần nữa chứng minh rằng không có ai là bất khả xâm phạm trong thế giới số.

Repository breach (xâm phạm kho mã nguồn) đang trở thành xu hướng tấn công ưa thích của các hacker nhóm APT (Advanced Persistent Threat - mối đe dọa dai dẳng nâng cao). Năm 2020, SolarWinds bị tấn công thông qua việc hacker cấy mã độc vào mã nguồn, ảnh hưởng đến hàng nghìn tổ chức bao gồm cả chính phủ Mỹ. Chúng tôi lo ngại rằng vụ việc Trellix có thể là tiền đề cho một cuộc tấn công supply chain (chuỗi cung ứng) quy mô lớn tương tự.

Cái giá phải trả cho sự tin tưởng bị lung lay

Hậu quả của việc mã nguồn bị rò rỉ không chỉ dừng lại ở Trellix. Hacker có thể phân tích mã nguồn để tìm ra zero-day vulnerabilities (lỗ hổng bảo mật chưa được biết đến), sau đó khai thác chúng để tấn công các khách hàng đang sử dụng sản phẩm của Trellix. Điều này có nghĩa hàng nghìn doanh nghiệp trên toàn thế giới có thể đang đối mặt với nguy cơ bị tấn công mà họ chưa hề hay biết.

Tại Việt Nam, nhiều ngân hàng, tập đoàn lớn và cơ quan nhà nước đang sử dụng các giải pháp bảo mật từ các nhà cung cấp quốc tế. Theo thống kê của Cục An toàn thông tin (Bộ TT&TT), năm 2023 có hơn 3.000 sự cố an ninh mạng được ghi nhận tại Việt Nam, trong đó nhiều vụ xuất phát từ lỗ hổng trong các sản phẩm bảo mật của bên thứ ba.

Hành động ngay để không thành 'con mồi' tiếp theo

Các doanh nghiệp Việt Nam đang sử dụng sản phẩm Trellix cần thực hiện ngay các biện pháp sau: Thứ nhất, liên hệ trực tiếp với Trellix để được thông báo cập nhật bảo mật khẩn cấp. Thứ hai, tăng cường giám sát log hệ thống và network traffic để phát hiện sớm các hoạt động bất thường. Thứ ba, xem xét việc bổ sung thêm lớp bảo mật từ nhà cung cấp khác để tạo redundancy (dự phòng).

Chúng tôi khuyến nghị các CISO (Chief Information Security Officer) tại Việt Nam cần rút ra bài học quan trọng: đừng bao giờ đặt toàn bộ niềm tin vào một nhà cung cấp duy nhất, dù họ có danh tiếng lớn đến đâu. Triển khai mô hình defense in depth (phòng thủ nhiều lớp) và thường xuyên đánh giá, kiểm tra tính hiệu quả của các giải pháp bảo mật hiện tại. Cuối cùng, xây dựng incident response plan (kế hoạch ứng phó sự cố) chi tiết để sẵn sàng đối phó khi 'nhà cung cấp tin cậy' trở thành điểm yếu.