Những bài học từ vụ tấn công nội bộ của Shopify

Sự cố bảo mật của Shopify - Hồi chuông cảnh báo về các mối đe dọa từ nội bộ

Ngày 22/9, Shopify, một trong những nền tảng TMĐT trực tuyến lớn nhất thế giới, đã tiết lộ một sự cố bảo mật làm rò rỉ dữ liệu của gần 200 người bán. Theo điều tra của công ty, hai thành viên trong nhóm hỗ trợ của họ đã tham gia vào một kế hoạch để lấy hồ sơ giao dịch của những người bán được chọn.

Shopify là nền tảng TMĐT cho phép bạn tạo website bán hàng online dựa trên mô hình Cloud SaaS (Software-as-a-service). Tại đây, bạn có thể tạo cho mình một website bán hàng online với tất cả những tính năng như đăng sản phẩm, giỏ hàng, thanh toán, quản lý hàng hóa hay kết nối mạng xã hội…

Theo một bài đăng trên blog của công ty, việc truy cập bất hợp pháp có thể đã bị lộ dữ liệu khách hàng của những người bán, bao gồm dữ liệu liên hệ cơ bản, như tên, email và địa chỉ thực cũng như chi tiết đơn đặt hàng như sản phẩm và dịch vụ đã mua. Tuy nhiên, Shopify khẳng định dữ liệu thẻ thanh toán của khách hàng và các hồ sơ tài chính khác không bị ảnh hưởng bởi sự cố.

Khi biết được sự tham gia của các nhân viên trong kế hoạch này, Shopify đã chấm dứt quyền truy cập của họ vào mạng của mình và chuyển vụ việc đến cơ quan thực thi pháp luật. Công ty cho biết không có dấu hiệu cho thấy dữ liệu bị đánh cắp đã được sử dụng; tuy nhiên, cuộc điều tra về vụ vi phạm vẫn đang ở giai đoạn đầu và do đó, toàn bộ dữ liệu bị lộ vẫn chưa được xác định.

Sự cố lần này một lần nữa gióng lên hồi chuông cảnh báo về các mối đe dọa từ nội bộ, một vấn đề phổ biến và nguy hiểm đối với các tổ chức hiện nay. Không phải tất cả các mối đe dọa từ nội bộ đều là cố ý - nhiều nhân viên vô tình đặt dữ liệu của công ty vào nguy cơ không biết - nhưng chúng ngày càng trở nên thường xuyên hơn khi nhân viên sử dụng các ứng dụng đám mây không được kiểm soát và truy cập dữ liệu của công ty từ nhiều mạng khác nhau.

Theo Giám đốc điều hành Code43, ông Joe Payne, nguyên nhân dẫn đến thực tế này là sự phụ thuộc vào các công cụ cộng tác như Slack, Teams, OneDrive và Dropbox.

Dữ liệu Code42 cho thấy các công cụ phổ biến nhất để chia sẻ tệp và cộng tác là email (34%), Microsoft SharePoint (26%), OneDrive (23%) và Google Drive (19%). Các nền tảng không được xác thực được sử dụng phổ biến nhất để chia sẻ tệp với đồng nghiệp bao gồm WhatsApp (34%), Google Drive (30%), Facebook (29%) và email cá nhân (29%). Gần 40% nhân viên sử dụng các ứng dụng không được xác thực hàng ngày và 26% sử dụng chúng hàng tuần - để chia sẻ tệp tin với đồng nghiệp của họ.

Một yếu tố khác là sự gia tăng của lực lượng làm việc từ xa. COVID-19 đã buộc nhiều tổ chức, doanh nghiệp cho phép nhân viên làm việc từ xa hay tại nhà, như Payne lưu ý, họ thậm chí còn làm việc từ các quán cà phê, nhà hàng và không gian ngoài trời. Trong khi, hệ thống phòng thủ mạng của doanh nghiệp không đủ khả năng để bảo vệ được dữ liệu nhạy cảm từ bên ngoài mạng.

Thêm vào đó, một xu hướng hiện nay, đặc biệt là những người trẻ hơn, thường làm việc tại một tổ chức, doanh nghiệp trong thời gian ngắn hơn. Những người lao động không có kế hoạch gắn bó lâu dài với một công ty sẽ không trung thành bằng và có thể không thận trọng cũng như thiếu kinh nghiệm về việc lưu trữ và dữ liệu của doanh nghiệp.

Các cuộc tấn công nội bộ ngày càng gia tăng

Có thể thấy, những người trong cuộc thực hiện các cuộc tấn công có một lợi thế khác biệt so với những kẻ tấn công bên ngoài vì họ có quyền truy cập hệ thống được ủy quyền và cũng có thể quen thuộc với các chính sách /quy trình hệ thống và kiến trúc mạng. Ngoài ra, có thể có ít bảo mật hơn trước các cuộc tấn công nội bộ vì nhiều tổ chức tập trung vào bảo vệ khỏi các cuộc tấn công bên ngoài.

Theo Báo cáo toàn cầu về chi phí từ mối đe dọa nội bộ năm 2020 của viện Ponemon, trong hai năm qua, các sự cố liên quan đến tấn công nội bộ đã tăng 47%, từ 3.200 năm 2018 lên 4.716 năm 2020. Đồng thời, chi phí trung bình toàn cầu của các mối đe dọa từ nội bộ cũng tăng 31%, từ 8,76 triệu USD năm 2018 lên 11,45 triệu USD năm 2020.

Những con số này khá đáng lo ngại, bởi trong thời điểm hiện tại khi dịch Covid-19 bùng phát, việc cắt giảm lương, cắt giảm nhân viên đang diễn ra ở hầu khắp các tổ chức, những khó khăn về tài chính sẽ dẫn tới nguy cơ nhân viên công ty bỏ đi với dữ liệu nhạy cảm hoặc bán thông tin xác thực truy cập của họ.

Mối đe dọa từ nội bộ có thể là một trường hợp do lỗi vô ý, hay một nhân viên bất mãn hoặc một đối tác kinh doanh (bên thứ ba) xâm phạm bảo mật do sơ suất, lạm dụng hoặc truy cập độc hại.

Bài học rút ra từ sự cố của Shopify

Trong vụ việc của Shopify, thay vì sự xâm nhập từ bên ngoài, mối đe dọa đến từ hai nhân viên nội bộ của Shopify. Vậy các tổ chức, doanh nghiệp có thể thực hiện những biện pháp nào để giảm thiểu các mối đe dọa từ nội bộ nội bộ? 

Đầu tiên là cần phân quyền quyền truy cập và đặc quyền hạn chế cho những người cần thiết bởi các biện pháp bảo mật truyền thống sẽ không bảo vệ chống lại những người trong cuộc có đặc quyền muốn truy cập dữ liệu quan trọng.

Nhiều tổ chức hiện cấp quá nhiều đặc quyền cho nhân viên, nhà thầu và đối tác của họ. Do đó cần thiết lập đặc quyền ít nhất, chỉ định người dùng có đặc quyền quyền truy cập vừa đủ và kịp thời vào các tài nguyên mà họ yêu cầu để thực hiện công việc. Không để lại đặc quyền thường trực để được khai thác. 

Ngoài ra cần phân tích hành vi của người dùng và tổ chức dựa trên công nghệ máy học để theo dõi các hành vi của người dùng có đặc quyền. Điều này sẽ giúp xác định hoạt động bất thường và có nguy cơ cao, có thể được sử dụng để kích hoạt cảnh báo thời gian thực hoặc loại bỏ các đặc quyền để ngăn chặn các tác nhân đe dọa, cho dù họ là nội bộ hay bên ngoài tổ chức.

Đồng thời, các doanh nghiệp cần điều chỉnh các chiến lược bảo mật của mình để phù hợp với các mối đe dọa hiện đại, chuyển trọng tâm sang thực thi các biện pháp kiểm soát truy cập quản trị dựa trên cách tiếp cận ít đặc quyền nhất.

Việc triển khai các hệ thống phát hiện xâm nhập nội bộ (IDS) cũng rất cần thiết, nhằm bảo vệ các tổ chức chống lại các cuộc tấn công nội bộ. Tuy nhiên, việc triển khai các hệ thống đó là không dễ dàng, các quy tắc phải được thiết lập để đảm bảo rằng các cảnh báo tấn công ngoài ý muốn không được kích hoạt bởi nhân viên.