5 cách tiếp cận để thay đổi thực hành bảo mật

Thùy Linh, Trương Khánh Hợp| 12/11/2018 19:23
Theo dõi ICTVietnam trên

Điều gì tạo nên sự khác biệt của các tổ chức kỹ thuật phần mềm lớn nhất và sáng tạo nhất? Năm cách tiếp cận dưới đây này là một khởi đầu tốt cho bạn và chúng sẽ không tốn quá nhiều chi phí của bạn.

Kết quả hình ảnh cho 5 Things the Most Secure Software Companies Do (and How You Can Be Like Them)

Những gã khổng lồ công nghệ như Google, Microsoft và Apple đều biết làm thế nào để bảo mật đúng cách. Họ đầu tư vào công nghệ, quy trình và con người tốt nhất để đảm bảo rằng nhóm kỹ thuật của họ tạo ra phần mềm bảo mật.

Giờ đây, họ đang chia sẻ các phương pháp kỹ thuật bảo mật sản phẩm của mình. Ví dụ, Michal Zalewski, trước đây là giám đốc bảo mật sản phẩm tại Google và hiện là Phó giám đốc bảo mật tại Snap, có một bài đăng hấp dẫn trên blog với những suy nghĩ về cách quản lý các nhóm bảo mật sản phẩm. Trung tâm phản hồi bảo mật của Microsoft có một blog nơi các thành viên trong nhóm thường xuyên chia sẻ ý tưởng về cách cải thiện bảo mật.

Điều gì tạo nên sự khác biệt của các tổ chức kỹ thuật phần mềm lớn nhất và sáng tạo nhất ? Dưới đây là năm cách tiếp cận để thay đổi thực hành bảo mật của bạn và cải thiện tư duy cũng như cách nhìn của bạn về bảo mật. Những điều này không đòi hỏi bạn phải đầu tư giống như các đại gia công nghệ thường làm.

API an toàn hơn để ngăn chặn các lỗ hổng

Phòng bệnh tốt hơn chữa bệnh và lý tưởng nhất là bạn không được để mình mắc phải một số sai lầm phổ biến. Ví dụ, lỗ hổng cross-site scripting (chèn mã độc thông qua các đoạn script) phổ biến có thể tránh được bằng cách sử dụng hiệu quả tính năng tự động loại bỏ theo nhận biết ngữ cảnh. Tương tự như vậy, tiêm mã SQL (SQL Injection) có thể tránh được nếu bạn từ bỏ khả năng chạy dữ liệu chuỗi tùy ý như truy vấn trên một cơ sở dữ liệu; thay vào đó, bạn nên sử dụng một API bị hạn chế để xây dựng các truy vấn một cách có cấu trúc - ví dụ như các câu lệnh đã được chuẩn bị sẵn.

Phát hiện các lỗ hổng tại Time Zero

Sai lầm vẫn có thể xảy ra ngay cả với các API an toàn được thiết kế hoàn hảo. Do đó, điều quan trọng là phải liên tục chạy các phân tích để phát hiện ra những sai lầm này trước khi nó trở thành vấn đề. Thời điểm hoàn hảo để làm điều đó là tại thời điểm xem xét và đánh giá mã: gần với thời gian bằng 0 để nhà phát triển có thể tập trung vào các thay đổi mã liên quan và họ vẫn có đủ thời gian để chạy phân tích sâu. Trong bài viết giải thích các điều kiện tiên quyết để thành công của nhóm phân tích mã Google, nhóm đã chỉ ra điều quan trọng nhất là tạo ra các phân tích mới được đóng góp từ cộng đồng, mọi người sẽ cùng tham gia xây dựng những tiêu chuẩn mã hóa tốt và an toàn, cập nhật các phân tích khi các lớp lỗ hổng mới được phát hiện.

Xác định các điểm mù mới bằng việc sử dụng Red Team và tấn công giả

Để xác định các điểm mù, hãy sử dụng đội đỏ Red Team nội bộ (nhóm hacker mũ trắng đảm nhận công việc tấn công để tìm kiếm những lỗ hổng bảo mật và giúp công ty vá lỗi trước khi chúng trở thành mục tiêu của kẻ gian thật sự) để thực hiện các các cuộc tấn công “giả” hoặc thuê một công ty bên ngoài để tấn công các hệ thống của bạn. Đó là một sự đầu tư, và nó có thể “bắt” được những vấn đề khó có thể phát hiện một cách bình thường. Các chương trình trao thưởng cho các tổ chức/cá nhân phát hiện ra lỗi bảo mật, chẳng hạn như các chương trình do BugCrowd và HackerOne quản lý, có thể có hiệu quả trong việc tìm ra các điểm mù của bạn. Tuy nhiên, đó là một sự lãng phí tiền bạc nếu bạn không thực hiện các phương pháp tự động và rẻ hơn để vá vào các lỗ hổng xuất hiện một cách rõ ràng trước đó. Trên thực tế, những tiến bộ trong trí thông minh nhân tạo giúp nó có thể áp dụng một số kỹ thuật mà những người thử nghiệm hàng rào bảo mật chuyên nghiệp sử dụng một cách tự động - dịch vụ Phát hiện Rủi ro An ninh của Microsoft là một ví dụ, nó tự động tìm thấy điểm mù, hãy loại bỏ chúng bằng cách tạo phân tích mã mới.

Làm cho việc khai thác lỗ hổng trở nên cực kỳ khó khăn

Bạn không thể ngăn chặn tất cả các lỗ hổng bảo mật vì vậy bạn phải chuẩn bị cho điều tồi tệ nhất, đảm bảo rằng ngay cả khi các lỗ hổng ở đó, chúng vẫn rất khó khai thác. Một khu vực được phát triển mạnh mẽ là một khu vực di chuyển mục tiêu phòng thủ: bố trí mã ngẫu nhiên để kẻ tấn công khó có thể tìm ra cách khai thác các điểm yếu trong mã. Ví dụ, ngẫu nhiên hóa sơ đồ không gian địa chỉ (Address space layout randomization - ASLR) được sử dụng làm bảo vệ bổ sung trong Windows và Android.

Cấu trúc tổ chức: Nhóm bảo mật sản phẩm

Cho đến nay, chúng ta đã xem xét các biện pháp kỹ thuật, nhưng cơ cấu tổ chức cũng rất quan trọng. Một chủ đề phổ biến ở các công ty phần mềm tốt nhất là không có sự tách biệt tuyệt đối giữa bảo mật và kỹ thuật: Cả hai đang làm việc cùng nhau, luôn tìm kiếm cơ hội để tự động hóa chuyên môn bảo mật và tích hợp nó vào luồng công việc của nhà phát triển. Ví dụ, khi giám đốc an ninh của Facebook, Alex Stamos, từ chức, tờ New York Times đã trích dẫn một bản ghi nhớ nội bộ rằng nhóm bảo mật không còn hoạt động độc lập nữa mà sẽ làm việc chặt chẽ hơn với các nhóm kỹ thuật và sản phẩm.

Xu hướng này có tên: nhóm bảo mật sản phẩm. Thông thường, nhóm này tồn tại trong tổ chức kỹ thuật, báo cáo trực tiếp cho giám đốc bảo mật thông tin (CISO- Chief Information Security Officer), nếu chức vụ đó tồn tại. CISO bao quát toàn bộ bảo mật CNTT còn nhóm bảo mật sản phẩm chỉ chịu trách nhiệm về các sản phẩm đang được phát triển nội bộ.

Hậu quả của việc không di chuyển nhóm bảo mật sản phẩm vào nhóm kỹ thuật có thể rất xấu: Đội bảo mật chỉ đơn giản là báo cáo về các vấn đề và nhóm phát triển bị thúc ép để cung cấp các tính năng mới thay vì bảo mật và bỏ qua các báo cáo của nhóm bảo mật. Các nhóm bảo mật được khuyến khích báo cáo nhiều vấn đề nhất có thể (tránh phải chịu trách nhiệm trong trường hợp vi phạm xuất hiện), nhưng các nhà phát triển không có thời gian để xem xét tất cả các báo cáo này bởi vì nhiều báo cáo không phải là lỗi thực sự. Sự tách biệt này là hướng đi cũ và không còn ai đánh giá cao nó nữa.

Bảo mật sản phẩm thực sự chỉ có thể đạt được khi tất cả các nhà phát triển chịu trách nhiệm về tính bảo mật của mã mà họ viết. Nhiệm vụ của nhóm bảo mật sản phẩm là cung cấp cho các nhà phát triển kiến ​​thức và công cụ để thực hiện điều đó.

Không có sách hướng dẫn tiêu chuẩn nào về cách các công ty công nghệ lớn xử lý bảo mật, nhưng họ đang chia sẻ các phương pháp mà họ đã thử và thành công với cộng đồng - điều mà mọi công ty thành công về bảo mật đều nên làm. Là một ngành công nghiệp, chúng ta cần phải suy nghĩ về bảo mật như một hệ sinh thái và chia sẻ những thực hành tốt nhất là cách tốt nhất để cải thiện từng cá nhân cũng như tất cả mọi người.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Vượt qua hơn 1.000 doanh nghiệp, Bưu điện Việt Nam đạt giải Thương hiệu Quốc gia 2024
    Đây là lần thứ 2 liên tiếp Bưu điện Việt Nam vinh dự nhận giải thưởng danh giá này bởi những thành tựu lớn trong lĩnh vực logistics, bưu chính chuyển phát tại Việt Nam và Quốc tế.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
  • Zalo giữ vững ngôi đầu nền tảng nhắn tin được yêu thích nhất
    Ngày 5/11, theo báo cáo “The Connected Consumer Q.III/2024” mới nhất do Decision Lab công bố, Zalo tiếp tục dẫn đầu các nền tảng nhắn tin tại Việt Nam về tỷ lệ sử dụng (renetration rate) và mức độ yêu thích (preference rate).
  • Triển vọng thị trường chữ ký số toàn cầu
    Thị trường chữ ký số toàn cầu đang có ​​sự tăng trưởng chưa từng có khi các doanh nghiệp và cá nhân ngày càng áp dụng các giải pháp số để xác thực tài liệu và giao dịch an toàn.
  • ĐMST mở xã hội mang lại cho 90% doanh nghiệp cơ hội tạo giá trị kinh doanh bền vững
    Theo bà Nguyễn Phương Linh, Viện trưởng Viện MSD, hơn 90% các doanh nghiệp cho rằng đổi mới sáng tạo (ĐMST) mở xã hội mang lại cho doanh nghiệp cơ hội tạo ra giá trị kinh doanh bền vững, tác động tích cực đến xã hội và môi trường.
  • ‏FPT đẩy mạnh phát triển giải pháp low-code tại thị trường Hàn Quốc‏
    ‏Mới đây, FPT vừa ký kết thỏa thuận hợp tác ba năm với OutSystems, chính thức trở thành đối tác phân phối và triển khai tại thị trường Hàn Quốc, đảm bảo thời gian ra mắt phần mềm của khách hàng được rút ngắn và tối ưu chi phí.
5 cách tiếp cận để thay đổi thực hành bảo mật
POWERED BY ONECMS - A PRODUCT OF NEKO