Bảo mật nên là vấn đề tiên quyết ngay trong giai đoạn đầu xây dựng, phát triển phần mềm. Khi các công nghệ tiến bộ liên tục được áp dụng, các công cụ bảo mật được sử dụng phổ biến cũng cần thay đổi theo thời gian. Điều này đòi hỏi các tổ chức phải có chiến lược mới để chống lại các cuộc tấn công vào phần mềm.
DevOps là một phương pháp giúp thu hẹp khoảng cách giữa các nhóm phát triển và vận hành trong chu trình phát triển vòng đời của phần mềm. Nó phá vỡ các rào cản và tăng khả năng phát hành các ứng dụng và dịch vụ của một tổ chức nhanh hơn so với các mô hình phát triển phần mềm truyền thống. Trước đây, phương pháp thác nước truyền thống đòi hỏi phải trải qua các chu trình nghiêm ngặt và không hề có sự quay lui hay nhảy vượt pha, điều này khiến cho ứng dụng chậm được phát hành và đôi khi không còn phù hợp với thị trường.
Ngày nay, các nhóm phát triển phần mềm theo phương pháp Agile có chu kỳ phát hành phần mềm hàng ngày, hoặc nhanh hơn là hàng giờ, điều này làm tăng nguy cơ mắc lỗi và tạo ra các lỗ hổng. Vậy làm thế nào các tổ chức có thể tạo ra phần mềm và ứng dụng an toàn hơn khi làm việc với tốc độ cao và ngăn chặn các cuộc tấn công mạng tiềm ẩn? Để tăng cường bảo mật cho các sản phẩm và đối tác, bắt buộc các công ty phải chuyển từ phương pháp DevOps sang DevSecOps.
DevSecOps đặt vấn đề bảo mật lên hàng đầu trong toàn bộ quá trình phát triển, đảm bảo rằng bảo mật tốt vẫn là ưu tiên hàng đầu của các nhà phát triển và nhà khai thác trong toàn bộ quá trình. Sự thay đổi trong tư duy này khuyến khích các tổ chức tìm ra các cách tiếp cận tốt nhất có thể để phát triển mã nguồn, ứng dụng an toàn và có nhiều nguồn lực với chiến lược khác nhau để giúp các nhóm phát triển thực hiện chính xác điều đó.
Dưới đây là một số điều quan trọng nhất:
• Khung bảo mật (Security Framework): Bắt đầu lộ trình bằng cách tìm đến các nguồn lực của bên thứ ba để tìm ra các phương pháp tốt nhất, các tổ chức có thể đảm bảo phần mềm của họ được chuẩn bị sẵn sàng cho mọi tình huống. Ví dụ: Mô hình bảo mật trong giai đoạn trưởng thành (The Building Security In Maturity Model – BSIMM) là một tài liệu liệt kê hơn 120 phương pháp bảo mật tốt nhất để giúp các nhóm phát triển lưu ý các biện pháp này khi thiết kế các giải pháp của họ.
• Đào tạo về lập trình an toàn: Các tổ chức cần phải đào tạo cho các nhà phát triển về các mối đe dọa và các phương pháp tốt nhất để ngăn chặn chúng. Bằng cách triển khai các khóa đào tạo nâng cao nhận thức về bảo mật liên tục, các tổ chức có thể yên tâm rằng nhóm phát triển của họ được chuẩn bị đầy đủ để phát hiện và sửa chữa bất kỳ lỗ hổng nào trong mã nguồn và sản phẩm.
• Cơ chế cổng bảo mật: Trong quy trình xây dựng DevOps, cổng bảo mật có thể dừng một bản phát hành phần mềm, cho phép các đội kỹ thuật và bảo mật có đủ thời gian để xác định mức độ nghiêm trọng của những lỗ hổng sẽ phá vỡ cấu trúc tổng thể. Việc triển khai các cổng bảo mật sẽ giúp các nhóm xác định chính xác những gì cần được khắc phục trước khi phát hành phần mềm.
• Thực hiện chiến lược bảo mật nhiều lớp: Để đảm bảo bảo mật toàn diện, các tổ chức phải nêu cao trách nhiệm cho mọi người về bảo mật. Điều này có thể bắt đầu bằng cách cung cấp các công cụ để phát hiện các lỗ hổng cho các nhà phát triển khi họ xây dựng mã nguồn và sau đó sử dụng một nhóm bảo mật nội bộ để kiểm tra dựa trên các công cụ bảo mật ứng dụng. Để an toàn hơn, các tổ chức có thể thuê các chuyên gia kiểm thử bảo mật bên ngoài hoặc thiết lập một chương trình bug bounty để trả tiền cho các nhà nghiên cứu bảo mật nhằm phát hiện các lỗ hổng bảo mật tiềm ẩn.
Các thư viện của bên thứ ba như Apache Struts, Telerik UK (thư viện .NET của bên thứ ba) và những thư viện khác được coi là cứu cánh cho các tổ chức. Một mặt, các tổ chức có thể tận dụng những tính năng do những người khác xây dựng, điều chỉnh nó và tạo ra nhiều trải nghiệm phong phú hơn, cho phép họ phát huy kiến thức chuyên môn của mình mà không cần phải làm mọi thứ từ đầu. Nhưng các thư viện này cũng có thể có chứa các lỗ hổng tiềm tàng và làm cho phần mềm hay ứng dụng bị phá vỡ.
Các nhà phát triển cần cập nhật các bộ công cụ để đảm bảo các thư viện của bên thứ ba có các lỗ hổng bảo mật được vá thường xuyên và theo thời gian thực, bởi vì ngay cả những sơ suất nhỏ nhất của nhóm phát triển ứng dụng cũng có thể dẫn đến những vụ tấn công nghiêm trọng. Trên thực tế, Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) của Mỹ gần đây đã công bố danh sách các lỗ hổng phần mềm bị khai thác nhiều nhất và Apache Struts là công nghệ bị tấn công nhiều thứ hai trong danh sách này.
Các mối đe dọa và hình thức tấn công không tồn tại ngày hôm nay, nhưng có thể sẽ hiện hữu trong tương lai. Bằng cách đặt bảo mật lên hàng đầu và triển khai văn hóa DevSecOps, các tổ chức sẽ chuẩn bị tốt hơn để giảm thiểu các mối đe dọa khi chúng xuất hiện và trước khi chúng gây ra bất kỳ sự cố hoặc gián đoạn nào.
Đăng Thứ (tổng hợp)
15:00 | 23/07/2021
10:00 | 03/08/2021
09:00 | 26/07/2021
09:00 | 01/04/2024
Trong thời đại số ngày nay, việc quản lý truy cập và chia sẻ thông tin cá nhân trên các thiết bị di động thông minh đã trở thành vấn đề đáng quan tâm đối với mọi người dùng. Việc không kiểm soát quyền truy cập và sự phổ biến của dữ liệu cá nhân có thể gây ra các rủi ro về quyền riêng tư và lạm dụng thông tin. Bài viết này sẽ giới thiệu đến độc giả về Safety Check - một tính năng mới trên iOS 16 cho phép người dùng quản lý, kiểm tra và cập nhật các quyền và thông tin được chia sẻ với người và ứng dụng khác ngay trên điện thoại của chính mình, giúp đảm bảo an toàn và bảo mật khi sử dụng ứng dụng và truy cập dữ liệu cá nhân.
08:00 | 15/03/2024
Bảo mật công nghệ trí tuệ nhân tạo (AI) đặt ra nhiều thách thức và luôn thay đổi trong bối cảnh chuyển đổi số hiện nay. Khi công nghệ AI phát triển, rủi ro và bề mặt tấn công cùng các mối đe dọa mới ngày càng tăng cao. Điều này đặt ra yêu cầu đối với các nhà phát triển, tổ chức và doanh nghiệp phải có cách tiếp cận chủ động, thường xuyên đánh giá và cập nhật các biện pháp bảo mật.
14:00 | 23/02/2024
SSH (Secure Socket Shell) là giao thức mạng để đăng nhập vào một máy tính từ xa trên một kênh truyền an toàn. Trong đó, OpenSSH là một chuẩn SSH được sử dụng ở hầu hết các bản phân phối của Linux/BSD như Ubuntu, Debian, Centos, FreeBSD, mã hóa tất cả các thông tin trên đường truyền để chống lại các mối đe dọa như nghe lén, dò mật khẩu và các hình thức tấn công mạng khác. Trong bài viết này sẽ hướng dẫn độc giả cách thức tăng cường bảo mật cho OpenSSH với một số thiết lập bảo mật và cấu hình tùy chọn cần thiết nhằm đảm bảo truy cập từ xa vào máy chủ Linux được an toàn.
09:00 | 13/02/2024
Trong bối cảnh an ninh mạng ngày càng phát triển, các tổ chức liên tục phải đấu tranh với một loạt mối đe dọa trên môi trường mạng ngày càng phức tạp. Các phương pháp an toàn, an ninh mạng truyền thống thường sử dụng các biện pháp bảo vệ thống nhất trên các hệ thống đang tỏ ra kém hiệu quả trước các hình thái tấn công ngày càng đa dạng. Điều này đặt ra một bài toán cần có sự thay đổi mô hình bảo vệ theo hướng chiến lược, phù hợp và hiệu quả hơn thông qua việc Quản lý rủi ro bề mặt tấn công (Attack Surface Risk Management - ASRM).
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024