Sau cuộc tấn công vào chuỗi cung ứng phần mềm vào SolarWinds làm ảnh hưởng đến nhiều cơ quan chính phủ và các công ty tư nhân năm 2020, vào năm 2021, Tổng thống Mỹ Biden đã ban hành một sắc lệnh yêu cầu xem xét lại toàn bộ tất cả các chuỗi cung ứng của chính phủ.
Theo đó, Tổng thống Biden kêu gọi Bộ trưởng Thương mại và Bộ trưởng An ninh Nội địa phối hợp với người đứng đầu các cơ quan tương ứng để báo cáo về tính bảo mật và tính toàn vẹn của các chuỗi cung ứng phần mềm công nghệ thông tin và truyền thông quan trọng. Cụ thể, ông yêu cầu:
“Bộ trưởng Thương mại và Bộ trưởng An ninh Nội địa, cùng với sự tham vấn của người đứng đầu các cơ quan thích hợp, sẽ đệ trình một báo cáo về chuỗi cung ứng cho các lĩnh vực và phân ngành quan trọng của ngành công nghiệp công nghệ thông tin và truyền thông (Information and Communications Technology – ICT, như đã được định nghĩa bởi Bộ trưởng Thương mại và Bộ trưởng An ninh Nội địa), bao gồm ngành công nghiệp phát triển phần mềm, dữ liệu ICT và các dịch vụ liên quan.”
Sự gia tăng các cuộc tấn công vào chuỗi cung ứng phần mềm
Báo cáo trạng thái chuỗi cung ứng phần mềm hàng năm lần thứ 6 của Sonatype đã ghi nhận sự gia tăng 430% các cuộc tấn công liên quan đến chuỗi cung ứng phần mềm. Mặc dù báo cáo này được phát hành trước khi cuộc tấn công nhằm vào SolarWinds, nhưng dữ liệu của Sonatype đã cho thấy lý do tại sao chính quyền của ông Biden lại lo ngại về các cuộc tấn công vào cơ sở hạ tầng quan trọng của nước Mỹ, bao gồm cả phần mềm.
Trong một mô hình vi phạm bình thường, thời gian kể từ khi một công bố lỗ hổng (vulnerability disclosure) đến một vi phạm (breach) là 3 ngày đối với các gói phần mềm mã nguồn mở (open source software package). Điều đó có nghĩa là khi một lỗ hổng bị phát hiện, chủ sở hữu dự án sẽ thực hiện các quy trình thích hợp để khắc phục sự cố và lỗ hổng, sau đó chia sẻ nó công khai cùng với một phiên bản mã nguồn đã được sửa lỗi.
Trong trường hợp đối thủ đang tiêm nhiễm mã độc vào vùng chứa (container) hoặc gói phần mềm (package) mã nguồn mở, những vi phạm đó có thể xảy ra ngay khi mã nguồn được triển khai vào môi trường sản xuất và môi trường của khách hàng. Kẻ thù biết rõ mã độc (malicious code) hoặc cửa hậu (backdoor) là gì, có thể phát hiện ra mã độc đó đang khi nó được phát tán và có thể bắt đầu tấn công vào đó.
Có thể ngăn chặn được những cuộc tấn công vào chuỗi cung ứng phần mềm
Theo nghiên cứu, các nhóm có hiệu suất cao thường thực hiện:
- Triển khai thường xuyên hơn 15 lần
- Phát hiện và khắc phục nhanh hơn 26 lần các thành phần OSS (Operations Support Systems – hệ thống hỗ trợ hoạt động) dễ bị tấn công
- Khả năng giữ tất cả các thành phần OSS và phần mềm của bên thứ ba cao hơn 51%
- Khả năng tự động hóa phân tích và phê duyệt các phần phụ thuộc (dependencies) OSS
Các nhóm phát triển phần mềm hiệu suất cao đã ánh xạ chuỗi cung ứng phần mềm của họ, duy trì các kiểm tra tự động về chất lượng của các thành phần và gói phần mềm, đồng thời cập nhật các thành phần vào các bản phát hành mới một các thường xuyên. Càng cập nhật mã nguồn thường xuyên thì sản phẩm sẽ càng được giữ an toàn hơn. Hơn nữa, các nhóm phát triển hiệu suất cao cũng có các nhà phát triển hạnh phúc hơn với mức độ hài lòng cao hơn trong công việc.
Ý nghĩa của điều này trong thực tế là gì? Chính là nhận thức về chuỗi cung ứng phần mềm, cơ sở hạ tầng hỗ trợ chúng và các thành phần được sử dụng, nhờ đó giúp cho việc quản lý chúng trở nên tốt hơn. Chuỗi cung ứng phần mềm được quản lý tốt hơn sẽ gặp ít rủi ro hơn, mang lại hiệu suất tốt hơn và khiến các nhà phát triển hạnh phúc hơn.
Phân tích sâu hơn về chuỗi cung ứng phần mềm
Đây chỉ là bước khởi đầu, nhưng bằng cách hiểu rõ các thực hành tốt nhất (best practices) căn bản như đã nêu trên, bạn có thể bảo vệ tổ chức của mình khỏi các cuộc tấn công chuỗi cung ứng phần mềm.
Trên đây là bài viết của Derek Weeks – Phó chủ tịch và người hỗ trợ DevOps tại Sonatype, đồng sáng lập của All Day DevOps – một cộng đồng trực tuyến gồm 65.000 chuyên gia CNTT. Để hiểu thêm về nghiên cứu của ông đối với chuỗi cung ứng phần mềm và cách các nhóm phát triển phần mềm giỏi nhất đang nỗ lực để hiểu rõ hơn và giảm thiểu rủi ro trong chuỗi cung ứng của họ, bạn có thể tải Báo cáo trạng thái chuỗi cung ứng phần mềm hàng năm lần thứ 6 của Sonatype tại đây. Báo cáo nêu cụ thể chi tiết về việc sử dụng các vùng chứa mã nguồn mở, các cuộc tấn công của đối thủ, các chính sách và quy định của chính phủ về chuỗi cugn ứng phần mềm – và quan trọng nhất, các best practices mà nhóm phát triển của họ đang thực hiện để giảm thiểu rủi ro bị tấn công.
Nguồn: Sonatype Blog