Đảm bảo ATTT tránh tư duy, văn hoá đổ lỗi
An toàn thông tin - Ngày đăng : 22:12, 01/08/2022
Hướng đến đạt hiệu quả các mục tiêu quan trọng trên, là đơn vị có thế mạnh năng lực công nghệ số, Viettel thời gian qua luôn đi đầu cho ra đời các sản phẩm, giải pháp công nghệ số để nâng cao an toàn, bảo mật cho các thiết bị mạng.
Để hiểu rõ hơn về những việc làm có ý nghĩa trên, theo 02 chuyên gia đại diện Trung tâm an ninh hệ thống ứng dụng công ty an ninh mạng Viettel (VCS), ông Mai Xuân Cường và bà Vũ Thị Mai Anh đã có những phân tích chuyên môn, chia sẻ quan điểm sâu sắc về vấn đề này.
Đảm bảo ATTT cần dựa trên báo cáo phản hồi
Trước khi nói đến vai trò, tầm quan trọng của việc đảm bảo ATTT đối với hệ thống IoT, ông Cường viện dẫn các nội dung báo cáo đánh giá về xu hướng của IoT hiện nay đang được sử dụng rất mạnh mẽ tại các doanh nghiệp (DN). Theo đó, IoT hiện nay có khả năng giúp nâng cao hiệu quả, hoạt động của DN tăng trưởng gần 54% và chủ yếu được ứng dụng phổ biến diện rộng trong lĩnh vực giám sát tài nguyên từ xa (remote asset monitoring) đạt đến 34%.
Không chỉ mạnh mẽ trong trong lĩnh vực remote asset monitoring, IoT còn được sử dụng nhiều đối với các nhóm lĩnh vực cơ bản như: Tự động hóa quy trình dựa trên IoT; theo dõi vị trí (GPS); tối ưu hóa hiệu suất nhà máy; quản lý và kiểm soát chất lượng; giám sát tình trạng tự động hóa quá trình vận chuyển; bảo trì dự đoán; theo dõi hành trình…
Cũng chính vì IoT có vai trò quan trọng và được sử dụng rộng rãi, nên các khả năng, nguy cơ bị tấn công, mất ATTT cũng khá cao, tập trung chủ yếu ở các khía cạnh: Lỗ hổng bảo mật trong các thiết bị; nguồn gốc thiết bị không rõ ràng; leo thang tấn công vào mạng CNTT; lộ lọt dữ liệu nhạy cảm.
Nhận thấy các rủi ro, nguy cơ về mất ATTT đối với IoT hiện nay, do đó, VCS đã phát triển, cung cấp ra thị trường sản phẩm giải pháp: Đánh giá An toàn hệ thống IoT (IoT assessment) và bảo mật ứng dụng toàn diện (application security).
Theo đó, 02 sản phẩm giải pháp này hướng đến đối tượng khách hàng dùng là các DN, tổ chức sử dụng IoT trong sản xuất, kinh doanh (thực hiện kiểm tra các tiêu chí ATTT của thiết bị bằng việc thống kê xác định các thông tin của thiết bị xác định cổng dịch vụ, mật khẩu, điểm yếu, lỗ hổng firmware; rà soát cửa hậu (backdoor); thực hiện đánh giá các hệ thống liên quan có tham gia kết nối di động (mobile), trang web, điện toán đám mây (cloud) và giao thức nhằm phát hiện các lỗ hổng mức hệ thống); nhà sản xuất thiết bị (tư vấn nâng cao tính bảo mật cho hệ thống, biện pháp bảo vệ quá trình khởi động và ngoại vi; thực hiện đánh giá thiết bị và tổng quan giải pháp từ kết nối mobile, web, cloud, giao thức).
"Đặc biệt, các sản phẩm, giải pháp trên còn hướng đến đảm bảo ATTT cho đối tượng khách hàng thuộc các lĩnh vực phát triển đô thị thông minh, thành phố thông minh, tòa nhà, ngân hàng, chăm sóc sức khoẻ…", ông Cường nhấn mạnh.
Cũng theo ông Cường, quan điểm tiếp cận của VCS đối với khách hàng dựa trên các mô hình cơ bản như: Phòng Lab thử nghiệm đa dạng thiết bị; tiếp cận theo tiêu chuẩn trên thế giới; đánh giá tổng thể từ phần cứng đến ứng dụng, giao thức và hệ thống CNTT liên kết.
Để phát huy sức mạnh đảm bảo ATTT cho các hệ thống IoT bền vững, VCS thống nhất áp dụng theo 06 bước, quy trình cơ bản: (1) Thu thập thông tin hệ thống thiết bị và chuẩn bị các thiết bị đánh giá vật lý; (2) trích xuất firmware thông qua các kỹ thuật chuyển đổi giao thức phần cứng (hardware protocol), khởi động hệ thống, kết nối máy tính (network); (3) phân tích firmware và các cấu hình; (4) kiểm tra các chức năng, đầu vào theo checklist, đánh giá hạ tầng; (5) dựng demo khai thác; (6) lập báo cáo phản hồi và lên kế hoạch khắc phụ với khách hàng.
Đảm bảo ATTT cần loại bỏ tư duy, văn hóa đổ lỗi
Cũng với quan điểm giúp nâng cao, bảo vệ ATTT đối với khách hàng đối với lĩnh vực IoT, bà Mai Anh cho rằng, như các ngành công nghiệp khác, ngành công nghiệp phần mềm luôn phải cạnh tranh khốc liệt. "Việc ra mắt một sản phẩm, tính năng mới của các công ty công nghệ có vai trò quan trọng, to lớn nhằm bảo vệ các lợi ích của khách hàng, người dùng", bà Mai Anh nhấn mạnh.
Theo bà Mai Anh, muốn đảm bảo về ATTT đối với hệ thống mạng, các đơn vị, tổ chức, DN, người cần hiểu rõ hơn về các khái nhiệm: Phát triển, bảo mật và vận hành (DevSecOps). Đặc biệt, phải đảm bảo cả phát triển, vận hành (DevSec) và bảo mật (security) được thực hiện hiện cùng một lúc, biến việc bảo mật được đồng bộ hóa với quy trình, vòng đời sản phẩm khép kín, không tách rời.
DevSec và Security không chỉ đơn thuần là việc tích hợp công cụ, mà nó phải được xem là một mục tiêu phát triển của bảo mật, đồng thời trở thành nhân tố văn hóa cần thiết, hình thành trong mỗi tổ chức, DN.
Cũng theo bà Mai Anh, khi chúng ta áp dụng DevSecOps, không được phân chia tổ chức theo các nhóm làm việc độc lập mà cần một nhóm thống nhất để thực hiện. Tại sao phải làm tốt việc này? Bà Mai Anh cho rằng, vì tình hình thực tế khi sử dụng một vòng đời phát triển, triển khai một phần mềm bảo vệ luôn ngắn, vả lại gắn với tốc độ di chuyển nhanh chóng, do đó luôn khiến cho công tác bảo mật, an toàn truyền thống dần không bắt kịp với xu hướng, tốc độ của hiện tại.
Vì điều này, các tổ chức, DN, người dùng cần áp dụng DevSecOps theo hướng tích hợp công cụ để tối ưu khả năng tự động hóa việc kiểm duyệt ATTT vào quy trình vận hành, phát triển phần mềm.
"Đặc biệt, các DN, tổ chức phải chú trọng việc đào tạo, nâng cao kỹ năng, văn hóa bảo mật cho nhân viên, người dùng trong chính tổ chức, DN của mình", bà Mai Anh lưu ý.
Cũng theo Bà Mai Anh, mỗi công cụ, phần mền bảo vệ ATTT nào cũng cần thực hiện theo từng bước: Kiểm tra các dữ liệu nhạy cảm được lưu trữ trong mã nguồn, tệp (file) cấu hình; cài thêm các công cụ chỉ dẫn trong mã nguồn; tăng các công cụ quản lý bí mật; các công cụ phân tích phần mềm…
Trong mỗi công cụ sử dụng để đảm bảo ATTT, vai trò con người luôn đóng vai trò quan trọng. Do đó, các tổ chức, DN cần khuyến khích tư duy an toàn bảo mật, đặc biệt đối với các nhóm không phụ trách ATTT bằng cách tăng cường các khóa học về ATTT để nâng cao thêm kỹ năng, nhận thức chuyên sâu cho cán bộ, thành viên nội bộ…
Cùng với đó cần đặt ra các mục tiêu cụ thể để tăng mức độ ATTT và tăng cường sự gắn kết giữa các nhóm phòng, ban làm việc khác nhau trong công ty. Hơn nữa, cần loại bỏ tư duy, văn hóa đổ lỗi giữa các nhóm trong công ty khi hệ thống ATTT gặp sự cố, vấn đề phát sinh. Thay bằng đổ lỗi, các nhóm hãy ngồi lại cùng nhau để đánh giá hệ thống, quy trình thực hiện và tìm ra nguyên nhân chính để khắc phục hậu quả.
VCS hiện nay đã thực hiện chuyển giao phần mềm của mình thông qua việc dùng, trải nghiệm thực tế, nhận ra rằng có những mảng việc đánh giá là khó khăn khi áp dụng DevSecOps, do vậy, với vai trò là công ty chuyên ung cấp các dịch vụ về ATTT, an ninh mạng, VCS đã cho ra đời các dịch vụ: Tư vấn DevSecOps; kiểm thử ATTT sản phẩm; dịch vụ nâng cao nhận thức về ATTT; đánh giá nguy cơ ATTT; tư vấn ATTT.
Bà Mai Anh còn nhấn mạnh rằng, không có quy trình hay mô hình nào có thể áp dụng chung cho mọi tổ chức để thực hiện việc đảm bảo, bảo mật ATTT, tuy nhiên, để sử dụng một quy trình nhằm tạo hiệu quả, hiệu suất chất lượng cao, VCS tự tin cung cấp cho các khách hàng các sản phẩm DevSecOps chất lượng nhằm: Đánh giá các biện pháp an toàn bảo mật tại các tổ chức, DN; điều chỉnh DevSecOps phù hợp với mục tiêu kinh doanh của các tổ chức; tư vấn, đánh giá việc tuân thủ các quy trình đảm bảo ATTT; tư vấn lựa chọn công cụ sử dụng…/.