The Solarwinds Cyberattack: API and Data Risks with a hacker hacking through a laptop in the background.

API và Dữ liệu: các rủi ro bảo mật mà doanh nghiệp hay gặp phải

26/04/21

Vụ tấn công mạng chấn động gần đây vào công ty SolarWinds đã dấy lên lo ngại rất lớn về nguy cơ dữ liệu bị truy cập trái phép trên toàn cầu.

Cuộc tấn công gần đây nhất đã không bị phát hiện trong nhiều tháng và  ảnh hưởng đến hàng nghìn khách hàng.

Tin tặc đã đột nhập các công ty trong danh sách Fortune 500 như Microsoft, Intel, Cisco và Deloitte và cũng tấn công đến các cơ quan chính phủ Hoa Kỳ, bao gồm Bộ An ninh Nội địa, Kho bạc và Cơ quan Quản lý An ninh Hạt nhân Quốc gia.

Tin tặc đã chèn mã độc vào bản cập nhật phần mềm SolarWinds Orion Platform là một phần mềm dùng để quản lý môi trường CNTT. Khi các bản cập nhật thường xuyên được gởi đi, nó đã vô tình chứa mã độc.
Hệ thống CNTT của mỗi khách hàng được theo dõi từ xa và phần mềm độc hại bổ sung đã được cài đặt để tạo điều kiện cho gián điệp.

Có một đội ngũ công nghệ nội bộ luôn là lợi thế

Quy mô và mức độ nghiêm trọng của vụ tấn công mạng này là chưa từng có; và rất có thể, nó sẽ dẫn đến một sự thay đổi hoàn toàn đối với việc quản lý an ninh mạng trong tương lai. 

Theo IBM: Một vi phạm dữ liệu có thể gây ra hậu quả nặng nề, gây ra tổn thất tài chính và ảnh hưởng đến hoạt động và sự tuân thủ của tổ chức trong ngắn hạn.

Điểm chính từ Báo cáo Chi phí vi phạm dữ liệu từ IBM (2020)

Ước tính vi phạm dữ liệu từ IBM

Khi tìm kiếm các đối tác để bảo mật dữ liệu của bạn, hãy xem xét các yếu tố rủi ro liên quan một cách cẩn trọng.

Bạn nên tìm kiếm một đối tác có đội ngũ công nghệ nội bộ mạnh và cam kết tuân thủ các tiêu chuẩn ngành.

Tại Velotrade, chúng tôi có một đội ngũ các chuyên gia CNTT để hỗ trợ và phát triển cơ sở hạ tầng công nghệ. Chúng tôi liên tục quản lý các bản cập nhật phần mềm để khách hàng được bảo vệ hoàn toàn trước các nguy cơ bị xâm nhập dữ liệu.

Velotrade sử dụng các công nghệ tiên tiến hàng đầu để đảm bảo tính hoàn thiện của nền tảng.

  • Chúng tôi sử dụng ngôn ngữ JavaScript và nền tảng Angular
  • Kubernetes được sử dụng để tự động hoá và triển khai ứng dụng
  • Amazon Web Services (AWS)đóng vai trò là nền tảng lưu trữ chính

Lợi và hại khi sử dụng API của bên thứ ba

API on a CPU chip with a tech background.

Các công ty thuộc tất cả các ngành hiện có thể triển khai các ứng dụng từ các nhà cung cấp dịch vụ bên thứ ba. Các nhà cung cấp dịch vụ bán lẻ, ngân hàng, tài chính và B2B đều có thể tăng tốc độ phát triển một loạt các dịch vụ toàn diện.

APIs (Giao diện lập trình ứng dụng) tạo ra cơ hội và cũng mang lại nhiều rủi ro cho kết nối trực tuyến toàn cầu.

  • Kết nối API giúp kết nối trực tuyến toàn cầu phát triển hơn bao giờ hết
  • Tăng nguy cơ rủi ro liên quan đến quá trình tự động hoá
  • API giúp tin tặc dễ dàng tìm thấy điểm truy cập vào bất kỳ hệ thống máy tính nào

Vụ tấn công vào SolarWinds mang tính bước ngoặt đã cho thấy một vấn đề thường gặp mà các tổ chức thuộc mọi lĩnh vực phải đối mặt.

Hơn nữa, nếu phần lớn tương tác với khách hàng của bạn diễn ra trực tuyến – những rủi ro có thể tác động đến sự tồn tại của doanh nghiệp bạn.

Sử dụng quản lý API của bên thứ ba

Các doanh nghiệp phụ thuộc vào Nhà cung cấp dịch vụ bên thứ ba khi họ áp dụng các công nghệ mới.

Vì lý do này, các API của bên thứ ba phải được quản lý chặt chẽ để tránh những rủi ro đáng kể. Những rủi ro có thể kể đến như:

  • mất hoặc bị đánh cắp dữ liệu cá nhân
  • vi phạm bảo mật dữ liệu
  • các vấn đề về rửa tiền và tài trợ khủng bố, đặc biệt là đối với các ngân hàng

Những rủi ro này càng lớn bởi sự gia tăng gần đây về làm việc từ xa khi nhân viên có thể kết nối với mạng công ty từ những địa điểm không an toàn.

Các rủi ro khác bao gồm:

  •  các cuộc tấn công lừa đảo lan rộng
  • chỉ cần một cú nhấp chuột vào tệp đính kèm bị nhiễm độc là có thể làm tổn hại đến toàn bộ hệ thống mạng công ty.

Làm thế nào để giảm thiểu rủi ro dữ liệu?

A lock on a CPU chip resembling a secured data network.

Để giảm thiểu những rủi ro trên, có một Chương trình Quản lý Rủi ro của Bên thứ ba hiệu quả là điều thật sự cần thiết. Mọi tổ chức nên bắt đầu với việc tìm hiểu vè công nghệ của từng nhà cung cấp và đánh giá rủi ro của họ.

Bước tiếp theo sẽ phức tạp hơn: đưa từng nhà cung cấp vào dây chuyền. Đối với các tổ chức tài chính, việc tuân thủ đầy đủ các quy định về GDPR hoặc PSD2 có thể cần thiết.

Tuy nhiên, vẫn cần phải kiểm tra kỹ lưỡng để đảm bảo rằng tất cả các API đều đáp ứng các yêu cầu nghiêm ngặt.

Ở mức tối thiểu, bạn nên:

  • Chặn đưa dữ liệu không đáng tin cậy qua các API.
  • Tránh để lộ dữ liệu nhạy cảm. Các dữ liệu đám mây và các ứng dụng giúp bảo vệ tất cả dữ liệu của khách hàng (danh tính khách hàng, thẻ tín dụng, v.v.).
  • Cập nhật cơ sở dữ liệu truy cập được ủy quyền.
  • Thường xuyên cập nhật hệ thống của bạn để bảo vệ khỏi những rủi ro có thể làm suy yếu khả năng bảo vệ của ứng dụng.
  • Loại bỏ bất kỳ cơ hội nào để thực hiện các lệnh không mong muốn hoặc truy cập dữ liệu mà không có sự cho phép thích hợp.

Hơn nữa:

  • Đảm bảo sự  chính xác về xác thực và quản lý phiên.
  • Tránh cấu hình sai bảo mật. Tất cả các hệ điều hành và ứng dụng phải được định cấu hình an toàn và cập nhật kịp thời.
  • Đảm bảo có nhật ký và giám sát toàn diện cũng như theo dõi báo cáo sự cố.
    • Tránh mật khẩu bị lấy cấp
    • Kiểm tra tất cả các hệ thống để tìm các lỗ hổng đã biết.
    • Sửa lại quyền truy cập bị hỏng. Nó ngăn chặn tin tặc truy cập vào tài khoản người dùng và sửa đổi dữ liệu hoặc quyền quản trị.

Tương lai: Doanh nghiệp và API

Mặc dù để thực hiện tất cả các bước trên không hề dễ dàng nhưng không có giải pháp nào thay thế được việc bảo mật hệ thống được kiểm soát và cẩn thận – đặc biệt là khi API của bên thứ ba làm tăng mức độ phức tạp của việc đảm bảo an toàn dữ liệu trong tổ chức của bạn.

Ngày nay, các doanh nghiệp trực tuyến hướng đến mục tiêu trở thành những FinTech. Họ tự quản lý các giao dịch trực tuyến và xử lý tiền của khách hàng. Tuy nhiên hầu hết các lĩnh vực đều gặp phải rủi ro khi thực hiện mục tiêu này. Các doanh nghiệp trực tuyến này có thể nhanh chóng trở thành đối tượng cho những kẻ xấu tấn công.

API ngày càng được sử dụng rộng rãi. Phần mềm này ngày càng phức tạp, có thêm nhiều nguồn dữ liệu không đảm bảo. Mức độ không an toàn ngày càng tăng với các lỗ hổng tiềm ẩn trong các hệ thống chưa được quản lý có thể hủy hoại một tổ chức ở bất kỳ quy mô nào.

Với ví dụ điển hình của SolarWinds cho thấy nguy cơ bị tấn công mạng ngày càng đáng lo ngại như thế nào, việc lựa chọn một đối tác công nghệ phù hợp là quan trọng hơn bao giờ hết.

Chia sẻ bởi Velotrade, nền tảng tài trợ vốn cho doanh nghiệp.

Thấy thông tin này hữu ích? Hãy theo dõi Velotrade trên mạng xã hội

Tài trợ vốn với Velotrade
Hoàn toàn online
Không cần thế chấp
Linh động
Minh bạch

Velotrade tài trợ vốn cho các hoạt động của công ty một cách nhanh chóng và không yêu cầu tài sản thế chấp.