Việc các tin tặc nước ngoài gần đây xâm nhập một cơ sở vũ khí hạt nhân của Mỹ thông qua các lỗ hổng bảo mật trên Microsoft SharePoint đã châm ngòi cho một cuộc thảo luận sôi nổi trong cộng đồng công nghệ. Trong khi bản thân sự cố bảo mật này làm dấy lên những lo ngại nghiêm trọng về việc bảo vệ hạ tầng trọng yếu, thì cuộc thảo luận rộng hơn đã phát triển thành một cuộc tranh luận cơ bản về sự thống trị của Microsoft trong lĩnh vực CNTT doanh nghiệp và liệu sự phụ thuộc vào hệ sinh thái của họ có tạo ra những rủi ro bảo mật có tính hệ thống hay không.
 |
|---|
| Màn trưng bày các tên lửa và hỏa tiễn này tượng trưng cho cơ sở hạ tầng quan trọng đang gặp rủi ro do các lỗ hổng trong hệ sinh thái doanh nghiệp như của Microsoft |
Hệ thống Microsoft như một Cờ đỏ về Văn hóa
Nhiều chuyên gia công nghệ xem việc một tổ chức lựa chọn các sản phẩm của Microsoft không chỉ đơn thuần là một quyết định kỹ thuật - họ coi đó là một chỉ báo về văn hóa. Một bình luận viên đã nắm bắt hoàn hảo quan điểm này, thứ đang tạo được tiếng vang trong suốt cuộc thảo luận:
Một trong những việc đầu tiên tôi làm sau khi nhận được yêu cầu từ một nhà tuyển dụng hoặc giới thiệu của bạn bè là tra cứu bản ghi MX cho miền email của công ty. Nếu họ sử dụng hệ thống của Microsoft, đó là một lá cờ đỏ cá nhân cực kỳ lớn. MSFT rất phổ biến nên tôi chỉ nói về kinh nghiệm cá nhân của mình, nhưng tôi đã học được trong suốt 20 năm qua rằng việc sử dụng ngăn xếp CNTT của MSFT có tương quan cao với việc tôi ghét văn hóa kỹ thuật của một tổ chức.
Quan điểm này cho thấy cuộc tranh luận giữa Microsoft so với các chuỗi công cụ thay thế ăn sâu đến mức nào trong giới công nghệ. Cuộc thảo luận mở rộng ra ngoài phạm vi bảo mật để bao trùm những lo ngại rộng hơn về đổi mới, tính linh hoạt và triết lý kỹ thuật. Nhiều nhà phát triển liên kết các môi trường Microsoft với các tổ chức quan liêu, kém linh hoạt hơn, trong khi xem các công ty sử dụng Mac, Linux hoặc Google Workspace có nhiều khả năng sở hữu văn hóa kỹ thuật tiến bộ hơn.
Sở thích về Toolchain của Cộng đồng:
- Dấu hiệu đỏ: Laptop Windows, hệ sinh thái Microsoft, SharePoint/Teams cho tài liệu
- Dấu hiệu xanh: Laptop Mac, hệ thống Linux, Google Workspace, wiki cho tài liệu
- Thiết lập lý tưởng: Nhiều hệ thống (laptop Mac + máy tính để bàn Linux) được cung cấp cho các kỹ sư
SharePoint: Cơn ác mộng Bảo mật Doanh nghiệp
Lỗ hổng cụ thể cho phép xâm nhập vào cơ sở hạt nhân - SharePoint - đã hứng chịu nhiều chỉ trích đặc biệt từ các chuyên gia CNTT thường xuyên làm việc với nền tảng này. Các bình luận mô tả SharePoint là một trong những phần mềm tệ nhất, nhiều lỗi nhất mà tôi từng làm việc và liệt kê nhiều vấn đề về độ tin cậy đã tồn tại trong nhiều năm.
Người dùng báo cáo các hành vi kỳ lạ như SharePoint thỉnh thoảng thay đổi siêu dữ liệu tệp, khiến các tệp thiết kế SolidWorks hoàn toàn không thể mở được cho đến khi có sự can thiệp thủ công. Những người khác mô tả hệ sinh thái lưu trữ đám mây của Microsoft như một mớ rối điên rồ nơi bạn không bao giờ biết mình sẽ tìm thấy thứ mình đang tìm kiếm ở đâu hoặc liệu nó có hoạt động hay không. Tính không nhất quán của nền tảng này trên các trình duyệt và hệ điều hành khác nhau càng làm trầm trọng thêm những lo ngại về độ tin cậy, với một người dùng lưu ý rằng Microsoft Word trực tuyến đã xóa văn bản trong Firefox trên Linux ít nhất hai năm mà không được khắc phục.
Các lỗ hổng bảo mật chính của Microsoft SharePoint bị khai thác:
- CVE-2023-53770: Lỗ hổng giả mạo ảnh hưởng đến các máy chủ on-premises
- CVE-2023-49704: Lỗi thực thi mã từ xa (RCE) ảnh hưởng đến các máy chủ on-premises
- Bản vá được phát hành: 19 tháng 7 năm 2024
- Lần khai thác đầu tiên được phát hiện: 18 tháng 7 năm 2024
Thực tế Kiểm chứng trong Doanh nghiệp
Bất chấp những chỉ trích rộng rãi, một số nhà bình luận đưa ra bối cảnh quan trọng về lý do tại sao Microsoft thống trị các môi trường doanh nghiệp. Như một quản trị viên hệ thống có kinh nghiệm lưu ý, các sản phẩm của Microsoft cung cấp khả năng mở rộng vô song - hỗ trợ các tổ chức từ 15 đến 150.000 người dùng với cùng một ngăn xếp phần mềm. Khả năng tương thích ngược rộng rãi cho phép tài liệu Excel với Macro từ năm 1997 vẫn hoạt động thể hiện một lợi thế kinh doanh khổng lồ mà các giải pháp mã nguồn mở khó có thể sánh kịp.
Thực tế là hầu hết các doanh nghiệp vận hành các hệ thống kế thừa phức tạp mà Microsoft rất giỏi trong việc hỗ trợ. Trong khi các giải pháp mã nguồn mở như Postfix và Dovecot có thể xử lý email cho hàng triệu người dùng, chúng thiếu các khả năng groupware tích hợp mà các doanh nghiệp yêu cầu. Điều này tạo ra một tình huống mà các công ty chọn Microsoft không nhất thiết vì đó là giải pháp tốt nhất, mà vì nó là giải pháp thực tế nhất để hỗ trợ nhiều thập kỷ tích lũy các quy trình kinh doanh và nợ kỹ thuật.
Bảo mật vượt ra ngoài Khoảng cách không khí
Cuộc thảo luận xung quanh vụ xâm nhập cơ sở hạt nhân tiết lộ những lo ngại sâu sắc hơn về thực hành bảo mật trong hạ tầng trọng yếu. Trong khi các chuyên gia cho rằng các hệ thống sản xuất tại các cơ sở như Kansas City National Security Campus có khả năng được ngăn cách không khí (air-gapped), các nhà bình luận cảnh báo chống lại sự phụ thuộc quá mức vào phương pháp bảo vệ này. Cuộc tấn công Stuxnet vào chương trình hạt nhân của Iran đã chứng minh rằng ngay cả các hệ thống được ngăn cách không khí cũng có thể bị xâm phạm thông qua các phương pháp tinh vi.
Cuộc thảo luận nêu bật thách thức trong việc cân bằng giữa bảo mật và tính thực tiễn trong các tổ chức lớn. Như một nhà bình luận lưu ý, các cơ sở hạt nhân không chỉ là môi trường sản xuất - họ có các trạm gác, lễ tân và nhân viên bảo trì những người cần các dịch vụ CNTT cơ bản. Việc cách ly hoàn toàn mọi hệ thống khỏi internet tạo ra sự kém hiệu quả trong vận hành có thể ảnh hưởng đến tuyển dụng và giữ chân nhân tài. Giải pháp dường như nằm ở việc phân đoạn mạng tinh vi và các diode dữ liệu hơn là sự cô lập hoàn toàn.
Phân tích về nguồn gốc tấn công:
- Microsoft cho rằng các cuộc tấn công đến từ các nhóm liên kết với Trung Quốc: Linen Typhoon, Violet Typhoon, Storm-2503
- Một số nguồn tin cho rằng có sự tham gia của các tác nhân đe dọa từ Nga
- Các nhà nghiên cứu của Resecurity ghi nhận hoạt động quét mạng từ Đài Loan, Việt Nam, Hàn Quốc và Hồng Kông
- Khả năng bị khai thác thông qua việc lạm dụng Microsoft Active Protections Program (MAPP)
Yêu cầu bắt buộc về Mô hình Zero-Trust
Vụ vi phạm đã làm gia tăng các lời kêu gọi về kiến trúc zero-trust toàn diện mở rộng ra ngoài các hệ thống CNTT truyền thống vào công nghệ vận hành. Như một chuyên gia an ninh mạng nhấn mạnh, Chúng ta không thể chỉ nghĩ về zero trust như một khái niệm CNTT nữa. Nó phải mở rộng sang các hệ thống vật lý làm nền tảng cho quốc phòng. Sự cố này chứng minh rằng các lỗ hổng trong hệ thống kinh doanh như SharePoint có khả năng đóng vai trò là điểm xâm nhập vào các mạng vận hành quan trọng hơn thông qua di chuyển ngang.
Phản ứng của cộng đồng công nghệ trước vụ vi phạm này cho thấy một sự căng thẳng cơ bản trong điện toán doanh nghiệp hiện đại. Trong khi hệ sinh thái của Microsoft mang lại những lợi thế thực tế không thể phủ nhận cho các tổ chức lớn, những lo ngại về bảo mật và độ tin cậy được nêu ra bởi các chuyên gia cho thấy rằng sự phụ thuộc quá mức vào bất kỳ nhà cung cấp đơn lẻ nào cũng tạo ra rủi ro mang tính hệ thống. Khi hạ tầng trọng yếu ngày càng được kết nối, cuộc thảo luận gợi ý rằng các tổ chức cần cân bằng giữa sự tiện lợi của các hệ sinh thái tích hợp với lợi ích bảo mật của sự đa dạng và chiều sâu phòng thủ.
Cuộc thảo luận cuối cùng hướng tới một tương lai nơi kiến trúc zero-trust phải trải dài trên cả CNTT và công nghệ vận hành, nơi sự đa dạng nhà cung cấp trở thành một tính năng bảo mật thay vì một sự bất tiện, và nơi các hàm ý văn hóa của lựa chọn công nghệ nhận được sự cân nhắc nhiều như thông số kỹ thuật của chúng.
Tham khảo: Foreign hackers breached a US nuclear weapons plant via SharePoint flaws