“Vi phạm dữ liệu 3CX: Cảnh báo cho các tổ chức về nguy cơ tấn công chuỗi cung ứng phần mềm không thể bỏ qua”

#ViPhamDuLieu3CX #ChuoiCungUngPhanMemTanCong #ChuyenDoi2023 #NguyCoTanCongChuoiCungUngPhanMem #GiamThieuRuiRoNguocDong

Tháng trước, nhà cung cấp VoIP 3CX đã bị vi phạm dữ liệu sau khi một nhân viên tải xuống phiên bản bị trojan hóa của phần mềm X_Trader. Bọn tấn công chuỗi cung ứng đã sử dụng lỗ hổng này để gửi phiên bản độc hại của ứng dụng máy tính để bàn 3CX tới các khách hàng cuối cùng của nhà cung cấp. Sự vi phạm này cảnh báo cho các tổ chức về mối đe dọa của các cuộc tấn công chuỗi cung ứng phần mềm, đặc biệt là với việc tăng lên đến 633% trong năm qua.

Vụ việc đã khiến cho hai tổ chức cơ sở hạ tầng quan trọng và hai thực thể thương mại tài chính tới thỏa hiệp. Điều này đặc biệt nhấn mạnh sự tàn phá mà sự thỏa hiệp của bên thứ ba có thể gây ra cho một tổ chức. Vì vậy, các tổ chức cần tập trung vào việc giảm thiểu rủi ro ngược dòng nếu muốn tránh các sự cố tương tự trong tương lai.

Các cuộc tấn công chuỗi cung ứng càng trở nên phổ biến và được biết đến. Trong sự kiện Chuyển đổi 2023 tại San Francisco vào ngày 11-12 tháng 7, các giám đốc điều hành hàng đầu sẽ chia sẻ cách họ đã tích hợp và tối ưu hóa các khoản đầu tư vào AI để đạt được thành công và tránh những cạm bẫy phổ biến.

Vụ việc của 3CX cũng cảnh báo về nguy cơ tấn công chuỗi cung ứng phần mềm. Các cuộc tấn công như thế này là lựa chọn phù hợp với các tổ chức tấn công một nhà cung cấp phần mềm duy nhất và tiếp cận nhiều tổ chức hạ nguồn để tối đa hóa phạm vi tiếp cận của chúng. Do đó, các tổ chức cần phải tăng cường kiểm soát mạng nội bộ của họ để ngăn chặn những tác nhân như vậy di chuyển từ hệ thống này sang hệ thống khác, như một phần của phương pháp “giả sử thỏa hiệp”.

Tuy nhiên, các biện pháp kiểm soát nội bộ như phân đoạn mạng và kiểm soát truy cập không tin cậy có tác dụng giảm thiểu nguy cơ di chuyển ngang khi kẻ tấn công đã xâm nhập vào môi trường của tổ chức, nhưng chúng lại không giải quyết được rủi ro của việc nhà cung cấp phần mềm ngược dòng bị xâm phạm ngay từ đầu. Vì vậy, các tổ chức cần phải tìm cách giảm thiểu rủi ro của bên thứ ba trong quá trình chuỗi cung ứng phần mềm.

Nguồn: https://venturebeat.com/security/3cx-data-breach-shows-organizations-cant-afford-to-overlook-software-supply-chain-attacks/

Tham gia cùng các giám đốc điều hành hàng đầu tại San Francisco vào ngày 11-12 tháng 7, để nghe cách các nhà lãnh đạo đang tích hợp và tối ưu hóa các khoản đầu tư AI để thành công. Tìm hiểu thêm


Tháng trước, nhà cung cấp VoIP 3CX bị vi phạm dữ liệu sau khi một nhân viên tải xuống phiên bản bị trojan hóa của Công nghệ giao dịch‘ Phần mềm X_Trader. Sau khi xâm nhập vào môi trường của nhà cung cấp, những kẻ đe dọa Triều Tiên sau đó đã sử dụng một lỗ hổng để gửi các phiên bản độc hại của ứng dụng máy tính để bàn 3CX tới các khách hàng cuối cùng như một phần của kế hoạch tấn công. chuỗi cung ứng phần mềm tấn công.

Vụ việc đã khiến thỏa hiệp của hai tổ chức cơ sở hạ tầng quan trọng và hai thực thể thương mại tài chính. Đây là một trong những trường hợp đầu tiên được biết đến khi một tác nhân đe dọa kết hợp hai cuộc tấn công chuỗi cung ứng vào một.

Quan trọng hơn, vi phạm nổi tiếng này làm nổi bật sự tàn phá mà sự thỏa hiệp của bên thứ ba có thể gây ra cho một tổ chức và cho thấy rằng các tổ chức cần tập trung vào việc giảm thiểu rủi ro ngược dòng nếu họ muốn tránh các sự cố tương tự trong tương lai.

Rốt cuộc, khi xem xét rằng các cuộc tấn công chuỗi cung ứng tăng tăng 633% trong năm qua, với 88.000 trường hợp đã biết, các nhà lãnh đạo bảo mật không thể cho rằng các cuộc tấn công này là hiếm hoặc không thường xuyên.

Sự kiện

Chuyển đổi 2023

Hãy tham gia cùng chúng tôi tại San Francisco vào ngày 11-12 tháng 7, nơi các giám đốc điều hành hàng đầu sẽ chia sẻ cách họ đã tích hợp và tối ưu hóa các khoản đầu tư vào AI để đạt được thành công và tránh những cạm bẫy phổ biến.

Đăng ký ngay

Hiểu về nguy cơ tấn công chuỗi cung ứng phần mềm

Kể từ khi một băng nhóm mạng của Nga dàn dựng vụ vi phạm chuỗi cung ứng vào tháng 12 năm 2020 để giành quyền truy cập vào năng lượng mặt trời hệ thống nội bộ và gửi các bản cập nhật độc hại cho khách hàng, cũng như mở ra quyền truy cập cho 18.000 khách hàng của SolarWinds, những kiểu tấn công này vẫn là mối đe dọa dai dẳng đối với các tổ chức.

Một trong những lý do chính cho điều này là chúng có hiệu quả về chi phí. Đối với tội phạm mạng có động cơ tài chính và hoạt động gián điệp, các cuộc tấn công vào chuỗi cung ứng là lựa chọn phù hợp vì một tổ chức có thể tấn công một nhà cung cấp phần mềm duy nhất và có quyền truy cập vào nhiều tổ chức hạ nguồn để tối đa hóa phạm vi tiếp cận của họ.

Đồng thời, khả năng kẻ xâm nhập đặt mình ở giữa mối quan hệ của nhà cung cấp và khách hàng, đặt chúng vào vị trí di chuyển ngang giữa nhiều tổ chức cùng một lúc để có quyền truy cập vào càng nhiều dữ liệu càng tốt.

“Các cuộc tấn công vào chuỗi cung ứng rất khó thực hiện, nhưng hiệu quả về chi phí rất cao nếu chúng thành công, vì chúng mở ra một bề mặt tấn công rất rộng, thường được biết đến và dành riêng cho kẻ tấn công. Amitai Cohen, trưởng nhóm tấn công vector-intel tại cho biết: pháp sưtrong một email gửi tới VentureBeat.

Cohen cho biết: “Đối với phần mềm người dùng cuối, tác nhân đe dọa có thể có quyền truy cập ban đầu vào mọi máy trạm hoặc máy chủ trong mạng của tổ chức mục tiêu nơi ứng dụng được cài đặt.

Điều gì làm cho vi phạm 3CX trở nên nổi bật

Dựa theo bắt buộc Consulting, nhóm đã phát hiện ra véc tơ thỏa hiệp ban đầu của vi phạm, vụ việc đáng chú ý không chỉ vì các cuộc tấn công chuỗi cung ứng phần mềm được liên kết, mà còn vì nó nhấn mạnh rằng tác nhân đe dọa Bắc Triều Tiên, được gọi là UNC4736, đã phát triển khả năng khởi động các cuộc tấn công này.

“Những hình thức vi phạm này đã xảy ra trong một thời gian dài. Ben Read, giám đốc phân tích gián điệp mạng của Mandiant, cho biết trong một cuộc phỏng vấn với VentureBeat. Ông nói thêm vụ tấn công cũng cảnh báo các chuyên gia an ninh rằng “Triều Tiên có khả năng kỹ thuật để thực hiện những thứ này”.

Một yếu tố liên quan khác của sự cố này là vi phạm vẫn chưa được phát hiện trong một khoảng thời gian đáng kể, dẫn đến lo ngại rằng có thể có các tổ chức không xác định khác bị ảnh hưởng.

“Và một phần khác là Công nghệ giao dịch (vi phạm) đã xảy ra vào mùa xuân năm 2022 và theo như chúng tôi biết, các chi tiết cụ thể của nó vẫn chưa được đưa ra ánh sáng trước đây. Vì vậy, có khả năng điều này đã xảy ra ở những nơi khác và chưa ai tìm thấy nó”, Read nói.

Nhiều hơn nữa đến từ UNC4736

Ở giai đoạn này, còn quá sớm để nói liệu sự thành công của vi phạm này có truyền cảm hứng cho các tác nhân đe dọa khác thực hiện các cuộc tấn công tương tự hay không. Tuy nhiên, nhà phân tích tình báo chính của Symantec, Dick O’Brien, người đã theo dõi sát sao vụ việc, tin rằng nhóm UNC4736 đứng sau vụ tấn công có khả năng sẽ tiến hành các cuộc tấn công tương tự trong tương lai.

“Chúng tôi đang chứng kiến ​​một diễn viên được Bắc Triều Tiên tài trợ có được chỗ đứng trong nhiều tổ chức ở nhiều khu vực địa lý. Và trong khi động lực ngay bây giờ dường như là tài chính; với Triều Tiên, bạn không bao giờ có thể thực sự loại trừ bất cứ điều gì khác xảy ra,” O’Brien nói.

“Tôi sẽ không ngạc nhiên chút nào nếu chúng ta chứng kiến ​​một cuộc tấn công chuỗi cung ứng khác từ nhóm này,” O’Brien nói. “Tôi nghĩ rằng phạm vi tiếp cận mà nhóm này đạt được thông qua các cuộc tấn công vào chuỗi cung ứng là một nguyên nhân gây lo ngại.”

Do đó, các tổ chức cần phải tăng cường kiểm soát mạng nội bộ của họ để ngăn chặn những tác nhân như vậy di chuyển từ hệ thống này sang hệ thống khác, như một phần của cái mà Read gọi là phương pháp “giả sử thỏa hiệp”.

Trong thực tế, điều này có nghĩa là kết hợp phân đoạn mạngđó là chia mạng thành các phần nhỏ hơn và triển khai không tin tưởng kiểm soát truy cập để hạn chế quyền truy cập đặc quyền vào tài nguyên. Theo cách đó, nếu kẻ tấn công giành được quyền truy cập vào môi trường, khả năng di chuyển của chúng sẽ bị hạn chế, khiến sự cố dễ dàng được ngăn chặn hơn.

Làm thế nào các tổ chức có thể giảm thiểu rủi ro của bên thứ ba

Mặc dù các biện pháp kiểm soát nội bộ như phân đoạn mạng và kiểm soát truy cập không tin cậy có tác dụng giảm thiểu nguy cơ di chuyển ngang khi kẻ tấn công đã xâm nhập vào môi trường của tổ chức, nhưng chúng lại không giải quyết được rủi ro của việc nhà cung cấp phần mềm ngược dòng bị xâm phạm ngay từ đầu.

Cho rằng các tổ chức không thể kiểm soát các quy trình và quy trình bảo mật nội bộ của các nhà cung cấp bên thứ ba, Cohen lập luận rằng khách hàng cần “chọn các nhà cung cấp có hồ sơ theo dõi bảo mật đã được chứng minh”.

Gartner gợi ý rằng các tổ chức có thể kiểm tra trạng thái bảo mật của nhà cung cấp bằng cách tiến hành thẩm định dưới hình thức đánh giá rủi ro, không chỉ trước khi ký hợp đồng với bên thứ ba mà còn trong toàn bộ mối quan hệ thương mại.

Là một phần của đánh giá rủi ro, một tổ chức nên yêu cầu kiểm toán nội bộ và báo cáo rủi ro, đưa ra bảng câu hỏi và phân tích dữ liệu ngành rộng hơn (ví dụ: tổ chức có thuộc ngành có rủi ro tấn công mạng cao hơn không) để định lượng mức độ rủi ro do một quan hệ đối tác thương mại.

Cũng rất hữu ích khi xem lại những quy định mà tổ chức tuân thủ và xác minh bằng chứng về bất kỳ chứng nhận nào do các tổ chức đánh giá tiêu chuẩn bên thứ ba cấp, chẳng hạn như isođể hiểu rõ hơn về mức độ kiểm soát được triển khai trong môi trường.

Mặc dù chỉ riêng việc thẩm định sẽ không giảm thiểu hoàn toàn rủi ro của bên thứ ba, nhưng nó có thể giúp doanh nghiệp sàng lọc các nhà cung cấp bằng các quy trình bảo mật ít được xác định hoặc hiệu quả.

Sứ mệnh của VentureBeat là trở thành một quảng trường thành phố kỹ thuật số để những người ra quyết định kỹ thuật có được kiến ​​thức về công nghệ doanh nghiệp chuyển đổi và giao dịch. Khám phá Briefings của chúng tôi.


Leave a Reply

Your email address will not be published. Required fields are marked *