Chưa đầy một tháng trước, Twitter đã gián tiếp thừa nhận rằng một số mã nguồn của nó đã bị rò rỉ trên nền tảng chia sẻ mã GitHub bằng cách gửi thông báo vi phạm bản quyền để gỡ bỏ kho lưu trữ bị buộc tội. Cái sau hiện không thể truy cập được, nhưng theo các phương tiện truyền thông, nó đã được công chúng truy cập trong vài tháng. Một người dùng có tên FreeSpeechEnthousiast đã cam kết hàng nghìn tài liệu thuộc nền tảng truyền thông xã hội trong vài tháng.
Mặc dù không có bằng chứng cụ thể nào chứng minh cho giả thuyết này, nhưng thời điểm rò rỉ và tên người dùng mỉa mai mà thủ phạm sử dụng cho thấy vụ rò rỉ là một hành động cố ý nhằm gây hại cho công ty.
Mặc dù vẫn còn quá sớm để đo lường tác động của vụ rò rỉ này đối với sức khỏe của Twitter, nhưng sự cố này sẽ là cơ hội để tất cả các nhà cung cấp phần mềm đặt một câu hỏi đơn giản: Nếu điều này xảy ra với chúng ta thì sao?
Việc bảo vệ thông tin nhạy cảm trong ngành công nghiệp phần mềm ngày càng trở nên quan trọng khi tần suất và tác động của các vụ vi phạm và rò rỉ dữ liệu tiếp tục gia tăng. Với sự phụ thuộc ngày càng tăng vào phần mềm, lượng thông tin nhạy cảm được lưu trữ ở dạng kỹ thuật số không ngừng mở rộng.
Khoảng một năm trước, băng nhóm hack Lapsus$ đã gây chú ý khi công khai rò rỉ mã nguồn của một số tên tuổi lớn nhất trong ngành công nghệ. Phần thưởng của nhóm bao gồm gần 200GB mã nguồn của Samsung, mã nguồn công nghệ DLSS của Nvidia và 250 dự án nội bộ của Microsoft. Một số công ty phần mềm khác cũng đã bị nhắm mục tiêu, với cơ sở mã của họ rơi vào tay kẻ xấu: LastPass, Dropbox, Okta và Slack đều tiết lộ rằng một số mã của họ đã bị xâm phạm.
Một kho tàng thông tin nhạy cảm
Mã nguồn chứa nhiều thông tin nhạy cảm và hầu hết bao gồm các bí mật được mã hóa cứng như mật khẩu, khóa API và khóa riêng của chứng chỉ. Thông tin này thường được lưu trữ ở dạng văn bản thuần túy trong mã nguồn, khiến nó trở thành mục tiêu hấp dẫn đối với những kẻ tấn công.
Có nhiều rủi ro tiềm ẩn liên quan đến mã nguồn riêng tư bị rò rỉ, nhưng các bí mật bị lộ có lẽ là vấn đề đáng lo ngại nhất: trong State of Secrets Sprawl năm 2023, phân tích lớn nhất về hoạt động GitHub công khai, GitGuardian đã báo cáo 10 triệu bí mật mới bị lộ chỉ riêng trong năm 2022, một con số đáng kinh ngạc đã tăng 67% so với năm trước. Hiện tượng này phần lớn được giải thích bởi thực tế là rất dễ dàng khi sử dụng kiểm soát phiên bản như Git để xuất bản nhầm các bí mật được mã hóa cứng bị chôn vùi trong lịch sử cam kết. Nhưng mục đích xấu cũng có thể là nguyên nhân của việc tiết lộ thông tin bí mật.
Khi xảy ra rò rỉ mã nguồn, những bí mật này có thể bị lộ, cung cấp cho kẻ tấn công quyền truy cập vào hệ thống và dữ liệu. Secrets-in-code là một vấn đề đặc biệt quan trọng. Chúng cho phép kẻ tấn công di chuyển nhanh để khai thác một số hệ thống, khiến các tổ chức gặp khó khăn hơn trong việc ngăn chặn thiệt hại. Thật không may, mã nguồn nội bộ là một tài sản rất dễ bị rò rỉ. Nó có thể được các nhà phát triển trong toàn công ty truy cập rộng rãi, được sao lưu trên các máy chủ khác nhau và thậm chí được lưu trữ trên các máy cục bộ của nhà phát triển. Đó là một lý do tại sao việc đảm bảo không có bí mật nào bị lộ ngay từ đầu lại quan trọng đến vậy.
Ngoài rủi ro về hoạt động độc hại, sai lầm của các nhà phát triển cũng có thể khiến các công ty gặp rủi ro. Ví dụ: việc vô tình rò rỉ mã có thể xảy ra do cách GitHub thiết kế kiến trúc cung cấp cho doanh nghiệp/tổ chức của mình. Điều này làm cho các tổ chức trở nên cồng kềnh trong việc ngăn chặn rò rỉ ngẫu nhiên và ngược lại, các nhà phát triển quá dễ phạm sai lầm.
Lỗ hổng logic tiếp xúc cũng là một mối quan tâm. Có thể có các lỗ hổng trong cách các ứng dụng phần mềm xử lý các chức năng và dữ liệu có thể có trong mã nguồn. Khi mã nguồn bị lộ, kẻ tấn công có thể phân tích nó để tìm các lỗ hổng này và khai thác chúng để giành quyền truy cập trái phép. Điều tương tự cũng xảy ra với kiến trúc ứng dụng. Thông thường, các tổ chức muốn kiến trúc của các ứng dụng của họ được ẩn đi, một khái niệm được gọi là bảo mật bằng cách che khuất. Khi mã nguồn bị lộ, nó có thể dẫn kẻ tấn công đến bản đồ về cách thức hoạt động của các ứng dụng, tạo cơ hội cho chúng tìm thấy các tài sản ẩn.
Đã đến lúc hành động: Bảo vệ mã nguồn của bạn
Vấn đề không phải là mới và nhiều người trong ngành bảo mật đã gióng lên hồi chuông cảnh báo trong một thời gian. Tuy nhiên, các sáng kiến gần đây của chính quyền Biden nhằm tăng cường khả năng phục hồi không gian mạng của cơ sở hạ tầng và doanh nghiệp vừa và nhỏ đã làm tăng sự tập trung vào trách nhiệm giải trình của các nhà cung cấp phần mềm. Khi an ninh mạng trở thành ưu tiên quốc gia, sẽ có nhiều áp lực hơn trong việc thúc đẩy các hoạt động phát triển an toàn và định hình các lực lượng thị trường để ưu tiên bảo vệ thông tin nhạy cảm.
Vậy các nhà cung cấp phần mềm có thể làm gì để bảo vệ mã nguồn và thông tin nhạy cảm của họ? Trước hết, họ phải nhận ra những rủi ro tiềm ẩn và thực hiện các bước thích hợp để giảm thiểu chúng. Điều này bao gồm việc triển khai các biện pháp bảo mật để bảo vệ chống lại hoạt động độc hại và đảm bảo rằng các bí mật được mã hóa cứng không được lưu trữ ở dạng văn bản thuần túy trong mã nguồn.
Tuy nhiên, cần có nhiều cách tiếp cận đơn lẻ để bảo vệ thông tin nhạy cảm trong ngành công nghiệp phần mềm. Sử dụng kết hợp các giải pháp quản lý bí mật, thực hành mã hóa an toàn và phát hiện bí mật tự động có thể mang lại một chiến lược bảo mật toàn diện.
Phát hiện bí mật liên quan đến việc quét mã nguồn và các tài sản kỹ thuật số khác để tìm các bí mật được mã hóa cứng, cảnh báo các nhà phát triển về các lỗ hổng tiềm ẩn mà kẻ tấn công có thể khai thác. Với cách tiếp cận chủ động này, các tổ chức có thể bảo vệ thông tin nhạy cảm của họ tốt hơn và xác định các rủi ro bảo mật tiềm ẩn sớm hơn trong vòng đời phát triển phần mềm.
Việc kết hợp giải pháp phát hiện bí mật cùng với quản lý bí mật và thực hành mã hóa an toàn mang đến phương pháp bảo mật theo lớp có thể giúp giảm thiểu rủi ro liên quan đến mã nguồn bị rò rỉ và các lỗ hổng tiềm ẩn khác.
Ngoài các biện pháp kỹ thuật này, điều quan trọng là đảm bảo rằng nhân viên được đào tạo và giáo dục về các phương pháp hay nhất về an ninh mạng. Điều này bao gồm các chương trình nâng cao nhận thức và đào tạo thường xuyên để đảm bảo rằng nhân viên nhận thức được các rủi ro và biết cách bảo vệ thông tin nhạy cảm.
Bảo mật liên tục
Nhìn chung, bảo vệ mã nguồn và thông tin nhạy cảm là một vấn đề quan trọng đối với các nhà cung cấp phần mềm. Khi tần suất của hoạt động độc hại và rò rỉ tình cờ tiếp tục gia tăng, điều cần thiết là các nhà cung cấp phải thực hiện các bước để giảm thiểu rủi ro và bảo vệ dữ liệu của khách hàng. Bằng cách triển khai các phương pháp mã hóa an toàn, sử dụng các giải pháp quản lý bí mật và cung cấp các chương trình nâng cao nhận thức và đào tạo nhân viên, các nhà cung cấp có thể giúp thúc đẩy cải tiến liên tục các phương pháp phát triển phần mềm trong thời gian dài.
Điều quan trọng cần lưu ý là việc bảo vệ mã nguồn và thông tin nhạy cảm không phải là sự kiện chỉ xảy ra một lần. Đó là một quá trình liên tục đòi hỏi sự chú ý và cảnh giác liên tục. Các nhà cung cấp phần mềm phải liên tục giám sát hệ thống của họ để tìm các lỗ hổng tiềm ẩn và đảm bảo rằng các biện pháp bảo mật của họ được cập nhật.
Nếu bạn quan tâm đến việc cải thiện các phương pháp quản lý bí mật của tổ chức mình, chúng tôi khuyên bạn nên trả lời bảng câu hỏi quản lý bí mật (ẩn danh) của chúng tôi để đánh giá tình huống cụ thể của bạn. Chỉ mất năm phút để có được cái nhìn tổng quan nhanh về điểm mạnh và điểm yếu của tổ chức bạn cũng như bắt đầu con đường hướng tới bảo mật tốt hơn.
Đảm bảo thông tin nhạy cảm của bạn được bảo vệ và niềm tin của khách hàng được duy trì.
