.png)
Bảo mật nên là vấn đề tiên quyết ngay trong giai đoạn đầu xây dựng, phát triển phần mềm. Khi các công nghệ tiến bộ liên tục được áp dụng, các công cụ bảo mật được sử dụng phổ biến cũng cần thay đổi theo thời gian. Điều này đòi hỏi các tổ chức phải có chiến lược mới để chống lại các cuộc tấn công vào phần mềm.
DevOps là một phương pháp giúp thu hẹp khoảng cách giữa các nhóm phát triển và vận hành trong chu trình phát triển vòng đời của phần mềm. Nó phá vỡ các rào cản và tăng khả năng phát hành các ứng dụng và dịch vụ của một tổ chức nhanh hơn so với các mô hình phát triển phần mềm truyền thống. Trước đây, phương pháp thác nước truyền thống đòi hỏi phải trải qua các chu trình nghiêm ngặt và không hề có sự quay lui hay nhảy vượt pha, điều này khiến cho ứng dụng chậm được phát hành và đôi khi không còn phù hợp với thị trường.
Ngày nay, các nhóm phát triển phần mềm theo phương pháp Agile có chu kỳ phát hành phần mềm hàng ngày, hoặc nhanh hơn là hàng giờ, điều này làm tăng nguy cơ mắc lỗi và tạo ra các lỗ hổng. Vậy làm thế nào các tổ chức có thể tạo ra phần mềm và ứng dụng an toàn hơn khi làm việc với tốc độ cao và ngăn chặn các cuộc tấn công mạng tiềm ẩn? Để tăng cường bảo mật cho các sản phẩm và đối tác, bắt buộc các công ty phải chuyển từ phương pháp DevOps sang DevSecOps.
DevSecOps đặt vấn đề bảo mật lên hàng đầu trong toàn bộ quá trình phát triển, đảm bảo rằng bảo mật tốt vẫn là ưu tiên hàng đầu của các nhà phát triển và nhà khai thác trong toàn bộ quá trình. Sự thay đổi trong tư duy này khuyến khích các tổ chức tìm ra các cách tiếp cận tốt nhất có thể để phát triển mã nguồn, ứng dụng an toàn và có nhiều nguồn lực với chiến lược khác nhau để giúp các nhóm phát triển thực hiện chính xác điều đó.
Dưới đây là một số điều quan trọng nhất:
• Khung bảo mật (Security Framework): Bắt đầu lộ trình bằng cách tìm đến các nguồn lực của bên thứ ba để tìm ra các phương pháp tốt nhất, các tổ chức có thể đảm bảo phần mềm của họ được chuẩn bị sẵn sàng cho mọi tình huống. Ví dụ: Mô hình bảo mật trong giai đoạn trưởng thành (The Building Security In Maturity Model – BSIMM) là một tài liệu liệt kê hơn 120 phương pháp bảo mật tốt nhất để giúp các nhóm phát triển lưu ý các biện pháp này khi thiết kế các giải pháp của họ.
• Đào tạo về lập trình an toàn: Các tổ chức cần phải đào tạo cho các nhà phát triển về các mối đe dọa và các phương pháp tốt nhất để ngăn chặn chúng. Bằng cách triển khai các khóa đào tạo nâng cao nhận thức về bảo mật liên tục, các tổ chức có thể yên tâm rằng nhóm phát triển của họ được chuẩn bị đầy đủ để phát hiện và sửa chữa bất kỳ lỗ hổng nào trong mã nguồn và sản phẩm.
• Cơ chế cổng bảo mật: Trong quy trình xây dựng DevOps, cổng bảo mật có thể dừng một bản phát hành phần mềm, cho phép các đội kỹ thuật và bảo mật có đủ thời gian để xác định mức độ nghiêm trọng của những lỗ hổng sẽ phá vỡ cấu trúc tổng thể. Việc triển khai các cổng bảo mật sẽ giúp các nhóm xác định chính xác những gì cần được khắc phục trước khi phát hành phần mềm.
• Thực hiện chiến lược bảo mật nhiều lớp: Để đảm bảo bảo mật toàn diện, các tổ chức phải nêu cao trách nhiệm cho mọi người về bảo mật. Điều này có thể bắt đầu bằng cách cung cấp các công cụ để phát hiện các lỗ hổng cho các nhà phát triển khi họ xây dựng mã nguồn và sau đó sử dụng một nhóm bảo mật nội bộ để kiểm tra dựa trên các công cụ bảo mật ứng dụng. Để an toàn hơn, các tổ chức có thể thuê các chuyên gia kiểm thử bảo mật bên ngoài hoặc thiết lập một chương trình bug bounty để trả tiền cho các nhà nghiên cứu bảo mật nhằm phát hiện các lỗ hổng bảo mật tiềm ẩn.
Các thư viện của bên thứ ba như Apache Struts, Telerik UK (thư viện .NET của bên thứ ba) và những thư viện khác được coi là cứu cánh cho các tổ chức. Một mặt, các tổ chức có thể tận dụng những tính năng do những người khác xây dựng, điều chỉnh nó và tạo ra nhiều trải nghiệm phong phú hơn, cho phép họ phát huy kiến thức chuyên môn của mình mà không cần phải làm mọi thứ từ đầu. Nhưng các thư viện này cũng có thể có chứa các lỗ hổng tiềm tàng và làm cho phần mềm hay ứng dụng bị phá vỡ.
Các nhà phát triển cần cập nhật các bộ công cụ để đảm bảo các thư viện của bên thứ ba có các lỗ hổng bảo mật được vá thường xuyên và theo thời gian thực, bởi vì ngay cả những sơ suất nhỏ nhất của nhóm phát triển ứng dụng cũng có thể dẫn đến những vụ tấn công nghiêm trọng. Trên thực tế, Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) của Mỹ gần đây đã công bố danh sách các lỗ hổng phần mềm bị khai thác nhiều nhất và Apache Struts là công nghệ bị tấn công nhiều thứ hai trong danh sách này.
Các mối đe dọa và hình thức tấn công không tồn tại ngày hôm nay, nhưng có thể sẽ hiện hữu trong tương lai. Bằng cách đặt bảo mật lên hàng đầu và triển khai văn hóa DevSecOps, các tổ chức sẽ chuẩn bị tốt hơn để giảm thiểu các mối đe dọa khi chúng xuất hiện và trước khi chúng gây ra bất kỳ sự cố hoặc gián đoạn nào.
Đăng Thứ (tổng hợp)
15:00 | 23/07/2021
10:00 | 03/08/2021
09:00 | 26/07/2021
10:00 | 10/04/2024
Hiện nay, số lượng các cuộc tấn công mạng nhắm đến hệ điều hành Linux đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, đặc biệt là các sự cố liên quan đến việc lộ lọt mật khẩu. Thông thường, khi tạo tài khoản mới trên Linux, người dùng có thể sử dụng những mật khẩu tùy ý, kể cả những mật khẩu yếu, điều này có thể gây ra nhiều rủi ro bảo mật tiềm ẩn trong hệ thống mạng, các tác nhân đe dọa sẽ dễ dàng tấn công và xâm phạm tài khoản hơn. Do đó, cần phải thực thi các chính sách sử dụng mật khẩu đủ mạnh để bảo vệ tài khoản người dùng tránh bị tấn công. Trong bài viết này sẽ gửi đến độc giả hướng dẫn thiết lập cấu hình mật khẩu an toàn trên Linux với nền tảng Centos 7.
15:00 | 24/10/2023
Google cho biết đang thử nghiệm tính năng “IP Protection” mới cho trình duyệt Chrome để nâng cao quyền riêng tư của người dùng bằng cách che giấu địa chỉ IP của họ bằng máy chủ proxy.
10:00 | 15/12/2022
Mark Russinovich, Giám đốc công nghệ của Microsoft Azure, cho biết rằng các nhà phát triển nên tránh sử dụng ngôn ngữ lập trình C hoặc C++ trong các dự án mới vì lo ngại về bảo mật và độ tin cậy và khuyến nghị nên sử dụng ngôn ngữ Rust.
13:00 | 06/12/2022
Cùng với sự gia tăng không ngừng của các mối đe dọa an ninh mạng, các tin tặc thay đổi, phát triển các chiến thuật và phương thức tấn công mới tinh vi hơn dường như xuất hiện liên tục. Trong khi đó, các chiến dịch tấn công nhắm vào cơ sở hạ tầng công nghệ thông tin của các tổ chức/doanh nghiệp (TC/DN) được các nhóm tin tặc thực hiện với tần suất nhiều hơn. Chính vì thế, việc xây dựng một chiến lược phòng thủ dựa trên bằng chứng được thực thi tốt là điều mà các TC/DN nên thực hiện để chủ động hơn trước các mối đe dọa trong bối cảnh các cuộc tấn công mạng đang trở nên khó lường và phức tạp.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát hành phiên bản mới của hệ thống Malware Next-Gen có khả năng tự động phân tích các tệp độc hại tiềm ẩn, địa chỉ URL đáng ngờ và truy tìm mối đe dọa an ninh mạng. Phiên bản mới này cho phép người dùng gửi các mẫu phần mềm độc hại để CISA phân tích.
13:00 | 17/04/2024
