Một nền tảng chia sẻ video với hàng trăm triệu người dùng vừa trở thành nạn nhân của cuộc tấn công 'gián tiếp' - không ai ngờ rằng con đường xâm nhập lại đến từ một đối tác phân tích dữ liệu. Vimeo đã chính thức xác nhận bị ảnh hưởng bởi sự cố bảo mật tại Anodot, một công ty chuyên cung cấp dịch vụ giám sát và phân tích dữ liệu theo thời gian thực. Sự kiện này một lần nữa làm nổi bật mối nguy hiểm từ các cuộc tấn công supply chain (chuỗi cung ứng) - xu hướng ngày càng phổ biến trong thế giới an ninh mạng hiện đại.

Vimeo 'dính đạn lạc' từ cuộc tấn công Anodot

Theo thông báo chính thức từ Vimeo, hacker đã không thể truy cập vào nội dung video, thông tin đăng nhập của người dùng hay dữ liệu thẻ thanh toán. Các dịch vụ của nền tảng này cũng không bị gián đoạn trong suốt quá trình xử lý sự cố. Tuy nhiên, điều đáng quan ngại là cách thức tấn công - thay vì nhắm trực tiếp vào Vimeo, tin tặc đã chọn con đường 'vòng vo' qua Anodot để có thể tiếp cận một phần dữ liệu của nền tảng video này.

Chúng tôi cho rằng đây là một ví dụ điển hình cho thấy cách các tổ chức tội phạm mạng đang thay đổi chiến thuật. Thay vì tấn công trực diện vào các 'pháo đài' có hệ thống bảo mật vững chắc như Vimeo, họ tìm cách xâm nhập thông qua những 'cánh cửa hậu' - các đối tác, nhà cung cấp dịch vụ thứ ba có thể có lớp bảo vệ yếu hơn.

Supply Chain Attack - Mũi tên độc giấu trong 'ngựa Trojan' thời hiện đại

Supply chain attack (tấn công chuỗi cung ứng) là phương thức tấn công gián tiếp, trong đó hacker xâm nhập vào một tổ chức thông qua việc tấn công các nhà cung cấp, đối tác hoặc dịch vụ bên thứ ba mà tổ chức đó đang sử dụng. Phương thức này đã trở thành 'cơn ác mông' của nhiều doanh nghiệp công nghệ lớn trong những năm gần đây.

Vụ việc SolarWinds năm 2020 là minh chứng rõ ràng nhất cho sức tàn phá của loại tấn công này, khi hacker đã xâm nhập vào hàng nghìn tổ chức - bao gồm cả các cơ quan chính phủ Mỹ - thông qua việc 'đầu độc' phần mềm cập nhật của SolarWinds. Theo thống kê từ các chuyên gia bảo mật, loại hình tấn công supply chain đã tăng hơn 300% trong 3 năm qua, khiến ngay cả những 'ông lớn' công nghệ cũng phải dè chừng.

Tác động thực tế và bài học cho doanh nghiệp Việt Nam

May mắn trong trường hợp của Vimeo, thiệt hại có vẻ được kiểm soát ở mức tối thiểu nhờ vào kiến trúc bảo mật phân tầng (defense in depth) mà nền tảng này đã triển khai. Tuy nhiên, sự kiện này là hồi chuông cảnh báo cho hàng triệu doanh nghiệp trên toàn thế giới - bao gồm cả Việt Nam - về việc đánh giá lại chiến lược bảo mật trong thời đại interconnected (kết nối chéo).

Theo báo cáo từ Trung tâm Giám sát An toàn không gian mạng quốc gia Việt Nam, số vụ tấn công nhắm vào các doanh nghiệp thông qua đối tác thứ ba đã tăng 150% trong năm 2023. Chúng tôi nhận thấy nhiều doanh nghiệp Việt Nam vẫn chưa có quy trình đánh giá bảo mật nghiêm ngặt đối với các nhà cung cấp dịch vụ, tạo ra những 'lỗ hổng vô hình' trong hệ thống phòng thủ.

Hướng dẫn bảo vệ khẩn cấp cho doanh nghiệp

Doanh nghiệp Việt Nam cần thực hiện ngay các bước sau để tăng cường bảo mật supply chain. Đầu tiên, tiến hành rà soát toàn bộ danh sách nhà cung cấp dịch vụ thứ ba và yêu cầu họ cung cấp báo cáo đánh giá bảo mật (security assessment report) cập nhật. Thứ hai, thiết lập cơ chế giám sát liên tục các kết nối API và luồng dữ liệu giữa hệ thống nội bộ và các dịch vụ bên ngoài.

Bên cạnh đó, các tổ chức cần áp dụng nguyên tắc Zero Trust (không tin tưởng mặc định) - nghĩa là mọi kết nối, kể cả từ đối tác đáng tin cậy, đều phải được xác thực và kiểm soát chặt chẽ. Cuối cùng, xây dựng kế hoạch ứng phó sự cố bao gồm cả scenario (kịch bản) bị tấn công qua đối tác thứ ba, đồng thời thiết lập cơ chế thông báo nhanh để có thể cô lập thiệt hại trong thời gian sớm nhất.