Từ danh mục các phần mềm tối quan trọng

Là một trong những sản phẩm đầu tiên thực hiện mệnh lệnh của tổng thống Mỹ, Viện Tiêu chuẩn và Kĩ thuật Quốc gia Hoa Kỳ (NIST) được yêu cầu phát triển định nghĩa về phần mềm tối quan trọng trong vòng 45 ngày kể từ ngày mệnh lệnh được ban hành. Kể từ thời điểm này, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) sẽ sử dụng định nghĩa này để ban hành danh sách các sản phẩm phần mềm thuộc định nghĩa mới, sau đó sẽ cho phép CISA tạo ra các quy tắc bảo mật mới về cách các cơ quan chính phủ mua và triển khai phần mềm trong các mạng liên bang.

Trước tiên, bằng cách tập trung vào ý nghĩa của phần mềm tối quan trọng đối với các cơ quan chính phủ liên bang, lệnh hành pháp đang tìm cách hạn chế loại mối đe dọa chuỗi cung ứng mà các tổ chức phải đối mặt, chẳng hạn như cuộc tấn công nhắm vào SolarWinds và người dùng công cụ giám sát mạng Orion của công ty.

"Tính bảo mật và tính toàn vẹn của phần mềm tối quan trọng (phần mềm thực hiện các chức năng tối quan trọng để tin cậy, chẳng hạn như cung cấp hoặc yêu cầu các đặc quyền hệ thống nâng cao hoặc truy cập trực tiếp vào mạng và tài nguyên máy tính) là một mối quan tâm đặc biệt", theo lệnh của tổng thống Biden. "Theo đó, chính phủ liên bang phải hành động để cải thiện nhanh chóng tính bảo mật và tính toàn vẹn của chuỗi cung ứng phần mềm, trong đó ưu tiên giải quyết phần mềm tối quan trọng".

NIST đã thu thập ý kiến từ khu vực tư nhân và công chúng cũng như một số cơ quan chính phủ, bao gồm CISA, Văn phòng Quản lý và Ngân sách, Văn phòng Giám đốc Tình báo Quốc gia và Cơ quan An ninh Quốc gia (NSA) để giúp xác định ý nghĩa của phần mềm quan trọng.

Ngày 25/6/2021, NIST đã công bố một định nghĩa về phần mềm tối quan trọng là phần mềm hoặc phần mềm phụ thuộc, chứa ít nhất một trong các thuộc tính sau:

- Phần mềm được thiết kế để chạy với đặc quyền nâng cao hoặc quản lý các đặc quyền;
- Phần mềm có quyền truy cập trực tiếp hoặc đặc quyền vào mạng hoặc tài nguyên máy tính;
- Phần mềm được thiết kế để kiểm soát quyền truy cập vào dữ liệu hoặc công nghệ hoạt động;
- Phần mềm thực hiện một chức năng quan trọng để tin cậy;
- Hoặc phần mềm hoạt động bên ngoài ranh giới tin cậy thông thường với quyền truy cập đặc quyền.

Theo NIST, định nghĩa này bao gồm hệ điều hành, trình duyệt web, siêu giám sát, công cụ bảo mật điểm cuối, ứng dụng quản lý danh tính và truy cập, công cụ giám sát mạng và các sản phẩm khác. "Định nghĩa áp dụng cho phần mềm thuộc mọi dạng (ví dụ: phần mềm độc lập, phần mềm tích hợp cho các thiết bị hoặc thành phần phần cứng cụ thể, phần mềm dựa trên đám mây) được mua hoặc triển khai trong hệ thống sản xuất và được sử dụng cho các mục đích hoạt động. Các trường hợp sử dụng khác, chẳng hạn như phần mềm chỉ được sử dụng cho nghiên cứu hoặc thử nghiệm không được triển khai trong hệ thống sản xuất sẽ nằm ngoài phạm vi của định nghĩa này".

NIST lưu ý rằng, định nghĩa về phần mềm tối quan trọng này có thể được áp dụng cho cả phần mềm do các công ty tư nhân tạo ra và bán cho các cơ quan liên bang hoặc phần mềm do các cơ quan chính phủ phát triển và được sử dụng trong các mạng liên bang, chẳng hạn như phần mềm bán sẵn của chính phủ.

John Dickson, Phó Chủ tịch của Công ty tư vấn bảo mật Coalfire chia sẻ rằng, mặc dù định nghĩa của NIST là một điểm khởi đầu tốt, nhưng quan điểm của cơ quan này về phần mềm quan trọng có thể quá rộng. "Tôi hiểu rằng phần mềm thực hiện giám sát, kiểm soát và bảo vệ mạng nằm trong danh sách tối quan trọng, nhưng khi bạn kéo các trình duyệt và hệ điều hành vào, bạn bắt đầu có một danh sách có khả năng lớn và phức tạp đến mức không thể quản lý được", Dickson nói. "Tuy nhiên, tôi không thấy bất kỳ đề cập nào về phần mềm quan trọng được xây dựng trong nội bộ. Tôi biết lệnh điều hành tập trung vào bảo mật chuỗi cung ứng phần mềm với trọng tâm là phần mềm thương mại bán sẵn, nhưng đây là một sự thiếu sót tiềm ẩn. Các tổ chức mua phần mềm tùy chỉnh được phát triển để sử dụng nội bộ cũng có thể tạo ra các lỗ hổng nghiêm trọng".

Trong khi định nghĩa NIST được tạo ra để xác định phần mềm quan trọng cho các cơ quan chính phủ Hoa Kỳ, Tim Wade, cựu Giám đốc kỹ thuật mạng và an ninh của Không quân Hoa Kỳ, hiện là Giám đốc kỹ thuật tại công ty bảo mật Vectra AI cho rằng hầu hết mọi tổ chức đều có thể sử dụng nó như một điểm khởi đầu để cải thiện tính bảo mật.

Wade nói: “Các tổ chức có thể sử dụng hướng dẫn này để xếp thứ tự ưu tiên các nguồn lực và hoạt động bảo mật. Tất nhiên, chỉ dựa vào một danh sách như vậy là rủi ro, vì thực tế là mỗi tổ chức có một số yếu tố môi trường sẽ làm cho một mục trong danh sách này có tác động lớn hơn một mục khác".

Padraic O'Reilly, đồng sáng lập và là Giám đốc sản phẩm của CyberSaint Security cho biết cách NIST đã xác định phần mềm tối quan trọng là nhằm giải quyết các lỗ hổng mà những kẻ tấn công sử dụng làm điểm xâm nhập vào mạng.

O'Reilly nói: "Đây là một bước quan trọng trong quá trình thu thập các hệ thống và yêu cầu đối với các nhà cung cấp phần mềm". "Phần mềm quản lý danh tính và quyền truy cập là một phần quan trọng của các cuộc tấn công điển hình trong năm ngoái. Việc nâng cao các yêu cầu của nhà cung cấp đối với việc mua sắm sẽ khuyến khích các cải tiến cho các sản phẩm phần mềm như vậy".

Trong khi định nghĩa về phần mềm tối quan trọng sẽ giúp hướng dẫn cách tiếp cận của các cơ quan liên bang đối với việc mua phần mềm và bảo mật chuỗi cung ứng, NIST khuyến nghị rằng chính phủ Hoa Kỳ nên bắt đầu một cách  để thực hiện lệnh hành pháp.

Ví dụ: NIST khuyến nghị các cơ quan trước tiên nên áp dụng lệnh điều hành cho phần mềm tại chỗ trong mạng và cơ sở hạ tầng của họ nên có các chức năng quan trọng về bảo mật hoặc có khả năng gây hại đáng kể tương tự nếu bị xâm phạm". Sau đó, các cơ quan chính phủ có thể xem xét phần mềm dựa trên đám mây, phần mềm được sử dụng trong các hệ thống công nghệ vận hành và cả các công cụ phát triển như kho mã.

Khi NIST đã công bố định nghĩa về phần mềm tối quan trọng, CISA và Bộ An ninh Nội địa sẽ có 30 ngày để công bố danh sách các sản phẩm phần mềm đáp ứng định nghĩa này và được sử dụng trong các mạng của chính phủ liên bang. Sau đó, NIST, CISA và OMB sẽ xuất bản các hướng dẫn để bảo mật các sản phẩm phần mềm tối quan trọng này theo lệnh điều hành.

Áp dụng SBOM để bảo vệ chuỗi cung ứng phần mềm

Lệnh hành pháp của Tổng thống Biden còn thúc đẩy việc áp dụng bắt buộc “hóa đơn nguyên liệu phần mềm” (SBOM) để cung cấp tính minh bạch của phần mềm khi đối mặt với các cuộc tấn công chuỗi cung ứng và điều đó đã khiến cả người mua lẫn người bán trên thị trường an ninh mạng phải tìm hiểu các phân nhánh và chuẩn bị cho các tác dụng phụ của nó.

Đã có vô số hội thảo trực tuyến và thảo luận trực tiếp của các tổ chức bên ngoài tập trung phân tích những điều cơ bản về SBOM và cách chúng sẽ giúp giải quyết các cuộc tấn công chuỗi cung ứng phần mềm.

Về cốt lõi, SBOM có nghĩa là một bản ghi rõ ràng về các mối quan hệ trong chuỗi cung ứng giữa các thành phần được sử dụng khi xây dựng một sản phẩm phần mềm. Đây là một tài liệu có thể đọc được bằng máy liệt kê tất cả các thành phần trong một sản phẩm, bao gồm tất cả phần mềm mã nguồn mở, giống như danh sách thành phần bắt buộc nhìn thấy trên bao bì thực phẩm.

Cơ quan Quản lý thông tin và Viễn thông Quốc gia (NTIA) đã bận rộn phát hành tài liệu kỹ thuật, thu thập phản hồi của ngành và đề xuất sử dụng các định dạng hiện có để tạo, phân phối và thực thi các SBOM.

Sự bùng nổ của hoạt động này đã khiến người mua và người bán an ninh mạng tranh nhau tìm hiểu các phân nhánh ở hạ nguồn, nhưng đối với Sounil Yu, một chuyên gia bảo mật kỳ cựu với các vị trí lãnh đạo tại Bank of America, YL Ventures và hiện tại là JupiterOne, vấn đề xung quanh các SBOM đã nóng từ rất lâu.

“Tôi đã từng là người ủng hộ các SBOM trong một thời gian dài. Khi tôi còn ở Bank of America, tôi đã tham gia nhiều dịch vụ tài chính ủng hộ các SBOM để cung cấp sự minh bạch về phần mềm mà chúng tôi đang mua và sử dụng, Yu chia sẻ trong một cuộc phỏng vấn gần đây.

Yu đã đẩy mạnh phong trào tại công ty mới của mình - JupiterOne, một công ty khởi nghiệp giai đoạn đầu chuyên bán các sản phẩm an ninh mạng. Một nhiệm vụ đầu tiên của ông với tư cách là JupiterOne CISO là công khai về SBOM như một phần của tài liệu về sự tin cậy và minh bạch của công ty.

Đó thực sự là câu hỏi đầu tiên tôi hỏi nhóm. Chúng ta có SBOM không? Vào thời điểm đó, tôi biết rằng yêu cầu SBOM sẽ được đưa ra theo lệnh điều hành nên tôi muốn chuẩn bị một chút để biết liệu chúng tôi có thể đưa ra danh sách thành phần của mọi thứ trong sản phẩm của mình hay không, Yu giải thích.

Yu xem khả năng tạo SBOM của công ty là một dấu hiệu của sự trưởng thành và ông muốn sử dụng tài liệu này để cung cấp mức độ minh bạch cơ bản cho người mua và quan trọng hơn là khắc phục rủi ro cấp phép và lỗ hổng bảo mật trong quá trình phát triển.

Mặc dù SBOM là một từ viết tắt mới trong danh sách chương trình nghị sự cho các cuộc họp CISO hiện đại, Yu hy vọng hoạt động xung quanh danh sách thành phần phần mềm sẽ chiếm vị trí trung tâm như một phần quan trọng của quy trình quản trị mã nguồn mở.

Ông coi SBOM không phải là thứ gì đó tương lai, mà giống như một việc đã hoàn thành, nơi mà việc thu thập và duy trì một kho tài sản phần mềm đột nhiên trở thành hiện thực.

“Thật không may, ngày nay, chúng tôi không thực sự có điều đó, ít nhất là không ở mức độ chi tiết giúp chúng tôi hiểu liệu chúng tôi có bị ảnh hưởng bởi một lỗ hổng cụ thể trong thành phần của bên thứ ba hay không. Một lần nữa, khi chúng tôi phát hiện ra rằng OpenSS hoặc một số gói mã nguồn mở có thể dễ bị tấn công, chúng tôi thực sự không biết mức độ chịu ảnh hưởng của mình vì chúng tôi không có danh mục theo dõi”.

Ông nói: “SBOM có thể giúp mang lại mức độ hoàn thiện cho quy trình kiểm kê”, đồng thời lập luận rằng các nhà cung cấp bảo mật sẽ tìm thấy nhiều lợi ích phụ xung quanh giấy phép phần mềm, vá các thành phần và phụ thuộc nguồn mở cũng như duy trì một công nghệ hiện đại.

Giám đốc an ninh của JupiterOne kêu gọi các CISO và doanh nhân tích cực tham gia vào cuộc đối thoại trong ngành về các vấn đề an ninh chuỗi cung ứng và cập nhật các tiêu chuẩn và định dạng mới sẽ xuất hiện từ các cuộc tham vấn đang diễn ra.

Robert M. Lee, đồng sáng lập và là Giám đốc điều hành của nhà cung cấp an ninh mạng công nghiệp Dragos đồng ý rằng các SBOM có thể mang lại lợi ích lớn cho cả người mua và người bán nhưng cảnh báo rằng sẽ cực kỳ khó hoạt động khi các SBOM xác định được những điểm yếu nằm sâu trong chuỗi.

Trong cuộc trò chuyện bên lề gần đây tại Hội nghị An ninh mạng APAC ICS của SecurityWeek, Lee cho biết ông hy vọng các SBOM sẽ giúp cung cấp khả năng xem xét toàn diện rủi ro bảo mật từ phần mềm nhưng do bản chất của các mối đe dọa trong môi trường ICS, ông không mong đợi nó có thể thay đổi đáng kể các chương trình quản lý lỗ hổng.

Lee cũng nhận thấy giá trị của các SBOM trong quá trình mua sắm, nơi thư viện hoặc thành phần phần mềm lỗi thời sẽ được xác định sớm trong quá trình mua. Ông cũng hy vọng việc bắt buộc triển khai SBOM sẽ giúp làm sạch các quy trình cấp phép phần mềm cho cả người mua và người bán.

Cơ quan quản lý Viễn thông và Thông tin Quốc gia (NTIA) thuộc Bộ Thương mại Hoa Kỳ đã đi trước ủng hộ các SBOM với một loạt các tài liệu mới, bao gồm:

- Tài liệu sơ lược về SBOM (https://www.ntia.doc.gov/files/ntia/publications/sbom_at_a_glance_apr2021.pdf) giới thiệu về thực tiễn và vai trò quan trọng của SBOM trong việc cung cấp sự minh bạch rất cần thiết cho chuỗi cung ứng phần mềm.

- Tài liệu chi tiết các câu hỏi thường gặp (https://www.ntia.doc.gov/files/ntia/publications/sbom_faq_-_20201116.pdf) nêu rõ thông tin, lợi ích và các câu hỏi thường gặp.

- Tài liệu tổng quan (https://www.ntia.doc.gov/files/ntia/publications/sbom_overview_20200818.pdf) cung cấp thông tin sâu về cơ sở và giải pháp toàn diện sinh thái của SBOM, quy trình NTIA và ví dụ về SBOM.

- Các video về SBOM trên YouTube.

Một cách độc lập, Quỹ nguồn mở Linux cũng đã phát hành một loạt các nghiên cứu, đào tạo và công cụ mới trong ngành nhằm mục đích đẩy nhanh việc sử dụng Quy định Vật liệu Phần mềm trong phát triển phần mềm an toàn. Chúng bao gồm tài liệu về SPDX, một tiêu chuẩn cho các yêu cầu SBOM và chia sẻ dữ liệu.

Quỹ Linux cũng công bố một cuộc khảo sát SBOM mới nêu bật tình trạng hiện tại của các hoạt động trong ngành để thiết lập các điểm chuẩn và các phương pháp tốt nhất; một khóa đào tạo SBOM mới về Tạo hóa đơn Phần mềm nguyên liệu để đẩy nhanh việc áp dụng các công cụ SBOM, cho phép các nhóm phát triển phần mềm tạo SBOM cho các ứng dụng của họ.

Khóa học hứa hẹn đem lại kiến thức nền tảng về các tùy chọn và các công cụ có sẵn để tạo SBOM cũng như cách sử dụng chúng để cải thiện khả năng đáp ứng các nhu cầu về an ninh mạng.

Nhóm nguồn mở cũng phát hành trình tạo SPDX SBOM (https://github.com/spdx/spdx-sbom-generator), một công cụ dòng lệnh được sử dụng để tạo thông tin SBOM, bao gồm các thành phần, giấy phép, bản quyền và các tham chiếu bảo mật của các ứng dụng. Công cụ này sử dụng đặc tả SPDX v2.2 và phù hợp với các yếu tố tối thiểu theo quy chuẩn hiện tại của NTIA.