KUNGFU TECH

0
0
Lập trình
Flame Kris
Flame Krisbacodekiller

Nguy cơ từ lỗ hổng bên thứ ba: Tác động và Giải pháp

Đăng vào 5 tháng trước

• 5 phút đọc

Chủ đề:

KungFuTech

Giới thiệu

Trong bối cảnh kỹ thuật số hiện nay, rất ít tổ chức xây dựng tất cả hệ thống của mình hoàn toàn nội bộ. Để tăng tốc độ phát triển, giảm chi phí và cung cấp dịch vụ đáng tin cậy, các công ty phụ thuộc rất nhiều vào dịch vụ bên thứ ba như nhà cung cấp email và SMS, nền tảng đám mây, thư viện mã nguồn mở và API bên ngoài.

Mặc dù những phụ thuộc này mang lại sự thuận tiện, nhưng chúng cũng tạo ra những rủi ro nghiêm trọng. Nếu một dịch vụ bên thứ ba gặp phải lỗ hổng, hậu quả không chỉ dừng lại ở nhà cung cấp mà còn có thể ảnh hưởng trực tiếp đến tổ chức phụ thuộc vào nó. Một trong những hậu quả nghiêm trọng nhất là chi phí tài chính mà tổ chức chính phải gánh chịu.

Lỗ hổng bên thứ ba là gì?

Lỗ hổng bên thứ ba đề cập đến bất kỳ điểm yếu bảo mật nào được tìm thấy trong các dịch vụ hoặc công cụ mà một tổ chức sử dụng nhưng không kiểm soát trực tiếp. Các ví dụ bao gồm:

  • Dịch vụ gửi email và SMS
  • Cổng thanh toán
  • Thư viện mã nguồn mở
  • API bên ngoài
  • Dịch vụ lưu trữ hoặc tính toán đám mây

Mặc dù những dịch vụ này hoạt động bên ngoài hạ tầng của tổ chức, nhưng các lỗi bảo mật của chúng có thể gây hại trực tiếp cho tổ chức.

Ví dụ thực tế: Lỗ hổng trong dịch vụ gửi email

Trong một chương trình thưởng lỗi, một trang web đã phụ thuộc vào dịch vụ email bên thứ ba để gửi liên kết đặt lại mật khẩu và mã xác thực một lần (OTP) cho người dùng.

Trong quá trình kiểm tra, tôi phát hiện ra một lỗi: dịch vụ cho phép kẻ tấn công gửi một số lượng email không giới hạn đến bất kỳ địa chỉ nào.

Với một đoạn mã đơn giản, kẻ tấn công có thể tạo ra hàng nghìn - thậm chí hàng triệu - yêu cầu email.

Hậu quả

  • Thiệt hại tài chính trực tiếp

Dịch vụ email tính phí công ty theo số tin nhắn đã gửi. Điều này có nghĩa là trang web chính phải chịu chi phí cho tất cả các email do kẻ tấn công tạo ra. Trên thực tế, kẻ tấn công có thể tạo ra một hóa đơn khổng lồ cho công ty với nỗ lực tối thiểu.

  • Từ chối dịch vụ tài chính (DoS)

Bằng cách tiêu tốn ngân sách tin nhắn của tổ chức, người dùng hợp pháp không thể nhận được các email quan trọng như OTP hoặc liên kết đặt lại mật khẩu. Điều này thực sự chặn người dùng thực không thể truy cập tài khoản của họ.

  • Thiệt hại về danh tiếng

Từ góc nhìn của người dùng, lỗi thuộc về công ty chính, chứ không phải nhà cung cấp bên ngoài. Người dùng có thể mất niềm tin vào công ty, phàn nàn công khai hoặc ngừng sử dụng dịch vụ hoàn toàn.

Mâu thuẫn trong chương trình thưởng lỗi

Thú vị thay, chương trình thưởng lỗi đã liệt kê vấn đề này là Ngoài phạm vi, vì lỗ hổng tồn tại trong một nhà cung cấp bên thứ ba chứ không phải trong hạ tầng của công ty.

Tuy nhiên, trên thực tế:

  • Công ty đã phải chi trả cho mỗi email gian lận.
  • Người dùng cuối bị ảnh hưởng trực tiếp.
  • Kẻ tấn công có thể khai thác gián tiếp công ty qua việc lạm dụng lỗi của nhà cung cấp.

Mâu thuẫn này làm nổi bật một khoảng trống trong nhiều phạm vi chương trình thưởng lỗi: việc loại trừ lỗ hổng bên thứ ba có thể khiến các tổ chức không nhận thức được những rủi ro thực sự ảnh hưởng trực tiếp đến họ.

Tại sao lỗ hổng bên thứ ba quan trọng

1. Chuyển giao chi phí trực tiếp

Nhiều dịch vụ bên thứ ba hoạt động theo mô hình trả tiền theo mức sử dụng. Bất kỳ sự lạm dụng hoặc khai thác nào sẽ dẫn đến chi phí được chuyển ngay lập tức đến tổ chức chính.

2. Tấn công tài chính với độ phức tạp thấp

Khác với các cuộc tấn công phức tạp yêu cầu kỹ năng kỹ thuật, việc khai thác các điểm yếu trong dịch vụ bên ngoài có thể chỉ cần kịch bản cơ bản. Tuy nhiên, tác động tài chính đối với tổ chức nạn nhân có thể rất lớn.

3. Rủi ro hoạt động

Khi quỹ hoặc tín dụng dịch vụ bị tiêu tốn, người dùng thực sẽ không thể truy cập các tính năng quan trọng như khôi phục mật khẩu hoặc xác minh đăng nhập. Điều này tạo ra thời gian chết mà không có sự xâm phạm trực tiếp nào đến các hệ thống nội bộ.

4. Thiệt hại đến niềm tin và thương hiệu

Người dùng không phân biệt giữa lỗ hổng ở nhà cung cấp và công ty chính. Họ sẽ chịu trách nhiệm về tổ chức, dẫn đến thiệt hại về danh tiếng, khách hàng bỏ đi và phản ứng tiêu cực từ truyền thông.

Các hành động khuyến nghị cho các tổ chức

Để giảm thiểu rủi ro tài chính từ các lỗ hổng bên thứ ba, các tổ chức nên:

  • Đánh giá mô hình chi phí của các dịch vụ bên thứ ba và thực thi giới hạn chi tiêu hoặc ngưỡng ngân sách.
  • Bao gồm nghĩa vụ bảo mật trong hợp đồng nhà cung cấp, đảm bảo trách nhiệm cho các lỗi ảnh hưởng đến khách hàng.
  • Tiếp tục giám sát việc sử dụng dịch vụ để phát hiện các đột biến bất thường có thể chỉ ra sự lạm dụng.
  • Thừa nhận tác động của các lỗi bên thứ ba trong chương trình thưởng lỗi, ngay cả khi chúng bắt nguồn từ bên ngoài hạ tầng trực tiếp.

Kết luận

Trường hợp này cho thấy rằng lỗ hổng bên thứ ba không chỉ là những lỗi kỹ thuật - chúng có thể phát triển thành những mối đe dọa tài chính trực tiếp. Kẻ tấn công không cần phải xâm nhập vào máy chủ của công ty; họ chỉ cần khai thác các điểm yếu trong các nhà cung cấp bên ngoài để tiêu hao tài nguyên, làm gián đoạn hoạt động và làm tổn hại đến niềm tin của khách hàng.

Khi sự phụ thuộc vào các dịch vụ bên thứ ba tiếp tục gia tăng, các tổ chức cần phải chủ động trong việc quản lý và bảo vệ bản thân khỏi những rủi ro này.

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào