Bảo mật nên là vấn đề tiên quyết ngay trong giai đoạn đầu xây dựng, phát triển phần mềm. Khi các công nghệ tiến bộ liên tục được áp dụng, các công cụ bảo mật được sử dụng phổ biến cũng cần thay đổi theo thời gian. Điều này đòi hỏi các tổ chức phải có chiến lược mới để chống lại các cuộc tấn công vào phần mềm.
DevOps là một phương pháp giúp thu hẹp khoảng cách giữa các nhóm phát triển và vận hành trong chu trình phát triển vòng đời của phần mềm. Nó phá vỡ các rào cản và tăng khả năng phát hành các ứng dụng và dịch vụ của một tổ chức nhanh hơn so với các mô hình phát triển phần mềm truyền thống. Trước đây, phương pháp thác nước truyền thống đòi hỏi phải trải qua các chu trình nghiêm ngặt và không hề có sự quay lui hay nhảy vượt pha, điều này khiến cho ứng dụng chậm được phát hành và đôi khi không còn phù hợp với thị trường.
Ngày nay, các nhóm phát triển phần mềm theo phương pháp Agile có chu kỳ phát hành phần mềm hàng ngày, hoặc nhanh hơn là hàng giờ, điều này làm tăng nguy cơ mắc lỗi và tạo ra các lỗ hổng. Vậy làm thế nào các tổ chức có thể tạo ra phần mềm và ứng dụng an toàn hơn khi làm việc với tốc độ cao và ngăn chặn các cuộc tấn công mạng tiềm ẩn? Để tăng cường bảo mật cho các sản phẩm và đối tác, bắt buộc các công ty phải chuyển từ phương pháp DevOps sang DevSecOps.
DevSecOps đặt vấn đề bảo mật lên hàng đầu trong toàn bộ quá trình phát triển, đảm bảo rằng bảo mật tốt vẫn là ưu tiên hàng đầu của các nhà phát triển và nhà khai thác trong toàn bộ quá trình. Sự thay đổi trong tư duy này khuyến khích các tổ chức tìm ra các cách tiếp cận tốt nhất có thể để phát triển mã nguồn, ứng dụng an toàn và có nhiều nguồn lực với chiến lược khác nhau để giúp các nhóm phát triển thực hiện chính xác điều đó.
Dưới đây là một số điều quan trọng nhất:
• Khung bảo mật (Security Framework): Bắt đầu lộ trình bằng cách tìm đến các nguồn lực của bên thứ ba để tìm ra các phương pháp tốt nhất, các tổ chức có thể đảm bảo phần mềm của họ được chuẩn bị sẵn sàng cho mọi tình huống. Ví dụ: Mô hình bảo mật trong giai đoạn trưởng thành (The Building Security In Maturity Model – BSIMM) là một tài liệu liệt kê hơn 120 phương pháp bảo mật tốt nhất để giúp các nhóm phát triển lưu ý các biện pháp này khi thiết kế các giải pháp của họ.
• Đào tạo về lập trình an toàn: Các tổ chức cần phải đào tạo cho các nhà phát triển về các mối đe dọa và các phương pháp tốt nhất để ngăn chặn chúng. Bằng cách triển khai các khóa đào tạo nâng cao nhận thức về bảo mật liên tục, các tổ chức có thể yên tâm rằng nhóm phát triển của họ được chuẩn bị đầy đủ để phát hiện và sửa chữa bất kỳ lỗ hổng nào trong mã nguồn và sản phẩm.
• Cơ chế cổng bảo mật: Trong quy trình xây dựng DevOps, cổng bảo mật có thể dừng một bản phát hành phần mềm, cho phép các đội kỹ thuật và bảo mật có đủ thời gian để xác định mức độ nghiêm trọng của những lỗ hổng sẽ phá vỡ cấu trúc tổng thể. Việc triển khai các cổng bảo mật sẽ giúp các nhóm xác định chính xác những gì cần được khắc phục trước khi phát hành phần mềm.
• Thực hiện chiến lược bảo mật nhiều lớp: Để đảm bảo bảo mật toàn diện, các tổ chức phải nêu cao trách nhiệm cho mọi người về bảo mật. Điều này có thể bắt đầu bằng cách cung cấp các công cụ để phát hiện các lỗ hổng cho các nhà phát triển khi họ xây dựng mã nguồn và sau đó sử dụng một nhóm bảo mật nội bộ để kiểm tra dựa trên các công cụ bảo mật ứng dụng. Để an toàn hơn, các tổ chức có thể thuê các chuyên gia kiểm thử bảo mật bên ngoài hoặc thiết lập một chương trình bug bounty để trả tiền cho các nhà nghiên cứu bảo mật nhằm phát hiện các lỗ hổng bảo mật tiềm ẩn.
Các thư viện của bên thứ ba như Apache Struts, Telerik UK (thư viện .NET của bên thứ ba) và những thư viện khác được coi là cứu cánh cho các tổ chức. Một mặt, các tổ chức có thể tận dụng những tính năng do những người khác xây dựng, điều chỉnh nó và tạo ra nhiều trải nghiệm phong phú hơn, cho phép họ phát huy kiến thức chuyên môn của mình mà không cần phải làm mọi thứ từ đầu. Nhưng các thư viện này cũng có thể có chứa các lỗ hổng tiềm tàng và làm cho phần mềm hay ứng dụng bị phá vỡ.
Các nhà phát triển cần cập nhật các bộ công cụ để đảm bảo các thư viện của bên thứ ba có các lỗ hổng bảo mật được vá thường xuyên và theo thời gian thực, bởi vì ngay cả những sơ suất nhỏ nhất của nhóm phát triển ứng dụng cũng có thể dẫn đến những vụ tấn công nghiêm trọng. Trên thực tế, Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) của Mỹ gần đây đã công bố danh sách các lỗ hổng phần mềm bị khai thác nhiều nhất và Apache Struts là công nghệ bị tấn công nhiều thứ hai trong danh sách này.
Các mối đe dọa và hình thức tấn công không tồn tại ngày hôm nay, nhưng có thể sẽ hiện hữu trong tương lai. Bằng cách đặt bảo mật lên hàng đầu và triển khai văn hóa DevSecOps, các tổ chức sẽ chuẩn bị tốt hơn để giảm thiểu các mối đe dọa khi chúng xuất hiện và trước khi chúng gây ra bất kỳ sự cố hoặc gián đoạn nào.
Đăng Thứ (tổng hợp)
15:00 | 23/07/2021
10:00 | 03/08/2021
09:00 | 26/07/2021
10:00 | 28/03/2024
Google Drive là một trong những nền tảng lưu trữ đám mây được sử dụng nhiều nhất hiện nay, cùng với một số dịch vụ khác như Microsoft OneDrive và Dropbox. Tuy nhiên, chính sự phổ biến này là mục tiêu để những kẻ tấn công tìm cách khai thác bởi mục tiêu ảnh hưởng lớn đến nhiều đối tượng. Bài báo này sẽ cung cấp những giải pháp cần thiết nhằm tăng cường bảo mật khi lưu trữ tệp trên Google Drive để bảo vệ an toàn dữ liệu của người dùng trước các mối đe dọa truy cập trái phép và những rủi ro tiềm ẩn khác.
15:00 | 19/02/2024
SoftEther là phần mềm xây dựng mạng riêng ảo (Virtual Private Network - VPN ) cho phép hoạt động ở lớp 2 trong mô hình OSI (lớp liên kết dữ liệu). SoftEther tích hợp nhiều giao thức VPN mà có thể hoạt động ở các lớp khác nhau, trong đó có giao thức SE-VPN hoạt động ở lớp 2. Bài viết này giới thiệu về giải pháp máy chủ VPN tích hợp SoftEther, cũng như trình bày về cách xử lý, đóng gói gói tin của giao thức SE-VPN được sử dụng trong máy chủ SoftEther.
14:00 | 02/08/2023
Ngày nay, nhiều tổ chức/doanh nghiệp (TC/DN) đã nhận thức được việc chuyển khối lượng công việc lên đám mây sẽ an toàn hơn là tại cơ sở. Phần lớn cho rằng nhà cung cấp dịch vụ đám mây (CSP) sẽ chịu trách nhiệm về bảo mật. Tuy nhiên, để có được điều này thì cần phải có các bước quan trọng để đảm bảo tính bảo mật của nó.
14:00 | 17/05/2023
Một trong những lý do khiến các tổ chức e ngại khi sử dụng các dịch vụ điện toán đám mây là vấn đề về an toàn thông tin. Tuy nhiên, dù nhìn nhận từ góc độ nào thì hầu hết chúng ta đều phải công nhận là các nhà cung cấp dịch vụ điện toán đám mây lớn như Amazon, Microsoft hay Google đều có nhiều nguồn lực và nhân sự giỏi về an ninh bảo mật hơn hầu hết các doanh nghiệp khác. Vậy tại sao chúng ta liên tục nhận được tin tức về các sự cố bảo mật của các doanh nghiệp khi sử dụng điện toán đám mây?
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024