Qualys gần đây đã xác nhận rằng họ là nạn nhân của một chiến dịch tấn công mạng nhắm vào Salesloft và Drift, hai nền tảng SaaS của bên thứ ba tích hợp với Salesforce. Mặc dù sự cố này nằm trong một cuộc tấn công chuỗi cung ứng rộng lớn hơn, công ty đã nhấn mạnh rằng dữ liệu khách hàng và các môi trường sản xuất của họ trên Nền tảng Đám mây Qualys vẫn hoàn toàn an toàn, không có sự gián đoạn hoạt động hoặc dịch vụ nào.

Bối Cảnh Cuộc Tấn Công và Cơ Chế Khai Thác

Cuộc tấn công được mô tả là một phần của chiến dịch nhắm vào nhiều khách hàng của Salesloft, trong đó có Qualys. Những kẻ tấn công đã lợi dụng các OAuth token bị đánh cắp liên quan đến Drift, một công cụ tự động hóa bán hàng và tiếp thị, để giành quyền truy cập hạn chế vào thông tin của Salesforce.

Cơ Chế Khai Thác: OAuth Tokens Bị Đánh Cắp

OAuth tokens là một cơ chế xác thực phổ biến được các nền tảng đám mây sử dụng để kết nối và quản lý quy trình làm việc giữa các dịch vụ. Trong vụ việc này, các chứng chỉ bị đánh cắp đã cho phép những bên trái phép có quyền truy cập hạn chế vào các bản ghi của Salesforce được liên kết thông qua tích hợp Drift. Để hiểu rõ hơn về cách các hacker lạm dụng OAuth tokens, bạn có thể tham khảo thêm tại GBHackers.

Qualys đã làm rõ rằng mặc dù một số dữ liệu Salesforce của họ đã bị ảnh hưởng, nhưng cơ sở hạ tầng đám mây, các tác nhân (agents), các máy quét (scanners) và mã nguồn cốt lõi của họ không bị xâm phạm. Điều này cho thấy kẻ tấn công đã cố gắng khai thác một điểm yếu trong chuỗi cung ứng bên thứ ba, chứ không phải trực tiếp vào các hệ thống cốt lõi của Qualys.

Mục Tiêu Giá Trị: Salesloft và Drift

Drift và Salesloft thường được triển khai cùng nhau để nâng cao quản lý quy trình bán hàng, khiến chúng trở thành những mục tiêu rất có giá trị trong các hệ sinh thái doanh nghiệp. Việc nhắm mục tiêu vào các nền tảng tích hợp này cho phép kẻ tấn công gián tiếp tiếp cận dữ liệu của nhiều công ty lớn, làm tăng thêm mức độ nghiêm trọng của rủi ro bảo mật từ các yếu tố bên thứ ba.

Phạm Vi Rò Rỉ Dữ Liệu và Tác Động

Qualys đã giải thích rằng trong khi dữ liệu Salesforce bị phơi nhiễm, phạm vi thông tin chỉ giới hạn trong một lượng nhỏ và không làm tổn hại đến bất kỳ môi trường sản xuất nào của họ. Điều này là cực kỳ quan trọng, vì nó đảm bảo rằng các hoạt động chính và dịch vụ cung cấp cho hàng ngàn tổ chức trên toàn thế giới vẫn không bị ảnh hưởng xuyên suốt sự cố.

Sự cố này làm nổi bật một thách thức ngày càng tăng trong ngành: sự phức tạp của việc bảo mật các ứng dụng SaaS và tích hợp của bên thứ ba, vốn thường đóng vai trò là cửa hậu ẩn vào các hệ thống doanh nghiệp. Mặc dù Qualys đã tránh được sự gián đoạn hoạt động, chiến dịch nhắm mục tiêu vào Salesforce thông qua Salesloft và Drift minh họa lý do tại sao những kẻ tấn công đang tập trung vào các hệ sinh thái nhà cung cấp đáng tin cậy thay vì xâm nhập trực tiếp vào các nền tảng chính.

Phản Ứng và Các Biện Pháp Khắc Phục của Qualys

Ngay sau khi phát hiện vụ tấn công, Qualys đã kích hoạt các quy trình phản ứng sự cố của mình. Công ty đã ngay lập tức vô hiệu hóa tất cả các tích hợp của Drift với môi trường Salesforce để ngăn chặn khả năng truy cập trái phép tiếp theo. Điều này là một bước thiết yếu để cô lập mối đe dọa và giảm thiểu thiệt hại tiềm tàng.

Hợp Tác Điều Tra và Giám Sát Liên Tục

Qualys cũng đã khởi động một cuộc điều tra toàn diện với sự hợp tác của Salesforce và mời các chuyên gia pháp y bên ngoài từ Mandiant để hỗ trợ. Việc đưa vào các chuyên gia bảo mật bên ngoài giúp đảm bảo một phân tích khách quan và chuyên sâu về nguồn gốc và phạm vi của cuộc tấn công.

Là một biện pháp bổ sung, Qualys đã cam kết giám sát liên tục và sẽ tăng cường các kiểm soát bảo mật của mình đối với các tích hợp của bên thứ ba. Công ty nhấn mạnh rằng sự minh bạch vẫn là trọng tâm trong hoạt động của họ và khách hàng sẽ được thông báo kịp thời nếu có bất kỳ diễn biến liên quan nào khác phát sinh. Để biết thêm chi tiết về phản ứng của Qualys, bạn có thể đọc thông báo chính thức của họ tại Blog Qualys.

Bài Học Về An Ninh Mạng và Rủi Ro Chuỗi Cung Ứng

Sự cố này một lần nữa khẳng định mối đe dọa mạng ngày càng gia tăng trong các giải pháp đám mây được kết nối. Mặc dù nền tảng Qualys không bị rủi ro hoạt động, sự kiện này là một lời nhắc nhở rõ ràng về tầm quan trọng của việc quản lý bảo mật các nhà cung cấp bên thứ ba. Các tổ chức cần nhận thức sâu sắc về các rủi ro liên quan đến việc tích hợp các dịch vụ bên ngoài vào hệ sinh thái của mình.

Tăng Cường Phòng Thủ Chống Lại Tấn Công Chuỗi Cung Ứng

Qualys tuyên bố: “Mặc dù sự cố này làm nổi bật mối đe dọa ngày càng tăng trong các giải pháp đám mây được kết nối, các nền tảng Qualys chưa bao giờ gặp rủi ro. Chúng tôi cam kết cung cấp các biện pháp bảo vệ mạnh mẽ nhất và sẽ tiếp tục xây dựng khả năng phục hồi chống lại các cuộc tấn công đang phát triển.” Bài học rút ra từ vụ tấn công mạng này là không chỉ tập trung vào bảo mật nội bộ, mà còn phải mở rộng phạm vi đánh giá rủi ro sang toàn bộ chuỗi cung ứng kỹ thuật số, đặc biệt là các nhà cung cấp dịch vụ SaaS bên thứ ba.