.jpg)
Hướng dẫn của CISA và FBI về bảo mật theo yêu cầu
Để giúp các tổ chức sử dụng phần mềm hiểu được cách tiếp cận của nhà sản xuất đối với an ninh mạng, ngày 06/8/2024 Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) và Cục Điều tra Liên bang Mỹ (FBI) đã công bố Hướng dẫn Bảo mật theo yêu cầu. Hướng dẫn nhằm thúc đẩy hệ sinh thái công nghệ bảo mật, giúp các tổ chức mua phần mềm hiểu rõ hơn về cách tiếp cận của nhà sản xuất phần mềm đối với an ninh mạng và đảm bảo rằng bảo mật theo thiết kế là một trong những yêu cầu cốt lõi của họ.
Hướng dẫn này là đối trọng với hướng dẫn Bảo mật theo thiết kế của CISA dành cho các nhà sản xuất công nghệ, trong đó ba nguyên tắc bảo mật theo thiết kế được nêu là:
- Chịu trách nhiệm về kết quả bảo mật của khách hàng.
- Chấp nhận sự minh bạch và trách nhiệm giải trình triệt để.
- Xây dựng cơ cấu tổ chức và lãnh đạo để đạt được các mục tiêu trên.
Ngày nay, khi các tổ chức thực hiện thẩm định đối với các nhà sản xuất phần mềm của mình, họ thường tập trung vào các biện pháp bảo mật doanh nghiệp của nhà sản xuất, chẳng hạn như đảm bảo nhà sản xuất đáp ứng các tiêu chuẩn tuân thủ về bảo mật và an toàn thông tin. Mặc dù bảo mật doanh nghiệp rất quan trọng nhưng khách hàng cũng cần tập trung vào cách nhà sản xuất tiếp cận đối với bảo mật sản phẩm. Bảo mật doanh nghiệp đề cập đến các hoạt động bảo vệ cơ sở hạ tầng và hoạt động của chính tổ chức, trong khi bảo mật sản phẩm đề cập đến các hành động mà nhà sản xuất phần mềm thực hiện để đảm bảo sản phẩm họ cung cấp an toàn trước những nguy cơ tấn công. Có nhiều tiêu chuẩn tuân thủ được các tổ chức, cá nhân áp dụng trong quá trình mua sắm tập trung vào bảo mật doanh nghiệp, ngược lại, có khá ít tiêu chuẩn tập trung vào bảo mật sản phẩm. Hướng dẫn của CISA thu hẹp khoảng cách trên bằng cách cung cấp các nguồn lực mà các tổ chức có thể tận dụng để đánh giá mức độ trưởng thành của bảo mật sản phẩm và liệu nhà sản xuất có tuân thủ các nguyên tắc bảo mật theo thiết kế hay không.
Áp dụng bảo mật sản phẩm vào các giai đoạn của vòng đời mua sắm
Các tổ chức có thể áp dụng các hướng dẫn về bảo mật sản phẩm vào nhiều giai đoạn khác nhau trong quy trình mua sắm:
- Trước khi mua sắm, đặt câu hỏi để hiểu cách tiếp cận của từng nhà sản xuất phần mềm đối với vấn đề bảo mật sản phẩm.
- Trong quá trình mua sắm, tích hợp các yêu cầu về bảo mật sản phẩm vào soạn thảo hợp đồng khi cảm thấy cần thiết.
- Sau khi mua sắm, thường xuyên đánh giá bảo mật sản phẩm và kết quả bảo mật của nhà sản xuất phần mềm.
Khách hàng nên đặt ra những câu hỏi đối với nhà sản xuất phần mềm để đánh giá được mức độ bảo mật của sản phẩm và để đảm bảo chất lượng cũng như kết quả bảo mật tích cực cho khách hàng. Dưới đây là những nội dung mà khách hàng cần nắm được từ nhà sản xuất.
Cam kết bảo mật
- Nhà sản xuất đã thực hiện Cam kết Bảo mật theo Thiết kế của CISA hay chưa?
- Nhà sản xuất làm thế nào để khách hàng có thể dễ dàng cài đặt bản vá bảo mật? Nhà sản xuất có cung cấp hỗ trợ cho các bản vá bảo mật trên diện rộng và cho phép chức năng cập nhật tự động không?
- Yêu cầu nhà sản xuất đưa ra Cam kết đã công khai, cam kết thực hiện và chứng minh việc sản xuất phần mềm được thiết kế an toàn. Ngoài việc giúp bảo mật các sản phẩm được sử dụng, những cam kết này sẽ giúp bảo vệ tổ chức bằng cách bảo mật công nghệ mà cơ sở hạ tầng quan trọng của tổ chức dựa vào.
Xác thực an toàn
- Sản phẩm có được hỗ trợ xác thực an toàn hay không?
- Nhà sản xuất có hỗ trợ tích hợp đăng nhập một lần (SSO) cho khách hàng không?
- Nếu nhà sản xuất phần mềm quản lý xác thực, liệu họ có bật xác thực đa yếu tố (MFA) hoặc các hình thức xác thực chống lừa đảo khác không?
- Nhà sản xuất phần mềm đã loại bỏ mật khẩu mặc định trong sản phẩm của mình chưa? Nếu chưa, liệu họ có nỗ lực giảm việc sử dụng mật khẩu mặc định trên các dòng sản phẩm của mình không? Mật khẩu mặc định, được CISA định nghĩa là mật khẩu được chia sẻ chung có sẵn theo mặc định trên toàn bộ sản phẩm. Mật khẩu mặc định nên được thay thế bằng các cơ chế xác thực an toàn hơn, chẳng hạn như mật khẩu ngẫu nhiên, duy nhất cho từng sản phẩm. Ngoài ra, MFA là biện pháp phòng thủ tốt nhất chống lại các cuộc tấn công dựa trên mật khẩu.
Loại bỏ các lỗ hổng dễ bị khai thác
Nhà sản xuất phải xử lý có hệ thống toàn bộ các loại lỗi phần mềm trên các sản phẩm của mình. Các câu hỏi nên được đặt ra là:
- Nhà sản xuất phần mềm đã xử lý có hệ thống những loại lỗ hổng nào trong sản phẩm của họ?
- Đối với những vấn đề mà nhà sản xuất phần mềm chưa giải quyết, liệu họ có lộ trình để giải quyết lỗ hổng đó không? Phần lớn các lỗ hổng bị khai thác hiện nay (hoặc lỗi sản phẩm) có thể ngăn ngừa ở quy mô lớn. Các nhà sản xuất phần mềm có thể giảm rủi ro cho khách hàng bằng cách loại bỏ các loại lỗ hổng trên toàn bộ sản phẩm của họ.
Nhật ký bảo mật
Các nhà sản xuất phần mềm nên cung cấp nhật ký bảo mật sản phẩm cho khách hàng. Đối với các nhà cung cấp dịch vụ đám mây và nhà cung cấp phần mềm dưới dạng dịch vụ (SaaS), nhà sản xuất phần mềm nên lưu giữ và cung cấp cho khách hàng nhật ký bảo mật trong ít nhất sáu tháng mà không tính thêm phí. Nhật ký nên bao gồm các nội dung như:
- Thay đổi cấu hình hoặc đọc cài đặt cấu hình;
- Nhận dạng (ví dụ: đăng nhập và tạo mã thông báo) và luồng mạng nếu có;
- Truy cập dữ liệu hoặc tạo dữ liệu liên quan đến tổ chức.
Các tổ chức phải có khả năng phát hiện các sự cố an ninh mạng đã xảy ra và hiểu được những gì đã xảy ra. Các nhà sản xuất phần mềm có thể cho phép khách hàng của họ làm như vậy bằng cách cung cấp các hiện trạng và khả năng để thu thập bằng chứng về các cuộc xâm nhập, chẳng hạn như nhật ký kiểm toán của khách hàng. Khi làm như vậy, các nhà sản xuất phần mềm theo nguyên tắc Bảo mật thiết kế nắm quyền sở hữu kết quả bảo mật của khách hàng.
Bảo mật chuỗi cung ứng phần mềm
Nhà sản xuất phần mềm phải duy trì và chia sẻ dữ liệu nguồn gốc của các phần mềm phụ thuộc của bên thứ ba và có quy trình để quản lý việc sử dụng và phát triển phần mềm mã nguồn mở.
Nhà sản xuất cần có danh mục vật tư phần mềm (SBOM) theo định dạng chuẩn, có thể đọc được bằng máy và cung cấp cho khách hàng. Tổ chức cần xem xét SBOM có liệt kê tất cả các phụ thuộc của bên thứ ba, bao gồm các thành phần phần của mềm mã nguồn mở không?
Nhà sản xuất kiểm tra tính bảo mật của các thành phần phần mềm mã nguồn mở đó như thế nào? Nhà sản xuất phần mềm có quy trình đã thiết lập để thực hiện việc này không? Các nhà sản xuất nên coi bảo mật phần mềm phụ thuộc của bên thứ ba là phần mở rộng bảo mật của riêng họ. Để đạt được mục đích đó, các nhà sản xuất nên liên tục duy trì dữ liệu về nguồn gốc của các phụ thuộc, chia sẻ dữ liệu này với khách hàng và thiết lập các quy trình để quản lý việc sử dụng và đóng góp của họ vào các thành phần phần mềm nguồn mở.
Tiết lộ và báo cáo lỗ hổng
Nhà sản xuất phần mềm phải chứng minh tính minh bạch và kịp thời trong việc báo cáo lỗ hổng cho cả sản phẩm tại chỗ và trên đám mây.
Khách hàng nên xem xét việc nhà sản xuất có bao gồm chính xác các trường "Liệt kê điểm yếu phổ biến" (Common Weakness Enumeration - CWE) và "Liệt kê nền tảng phổ biến" (Common Platform Enumeration - CPE) trong mọi bản ghi "Liệt kê lỗ hổng phổ biến" (Common Vulnerabilities and Exposures - CVE) cho các sản phẩm phần mềm hay không. Điều này giúp xác định rõ ràng các lỗ hổng bảo mật và nền tảng liên quan, đảm bảo hiệu quả trong việc quản lý và khắc phục các vấn đề bảo mật. Nhà sản xuất phần mềm có công bố chính sách tiết lộ lỗ hổng bảo mật cho phép công chúng thử nghiệm các sản phẩm do nhà sản xuất cung cấp không?
Các bản ghi CVE kịp thời, chính xác và đầy đủ cho phép công khai minh bạch về các xu hướng lỗ hổng theo thời gian, giúp truyền đạt các hành động mà khách hàng nên thực hiện để bảo vệ chống lại các lỗ hổng. Điều này có lợi cho các tổ chức và cá nhân, cũng như ngành công nghiệp phần mềm nói chung, cho phép các nhà phát triển phần mềm hiểu rõ hơn về các lỗ hổng nguy hiểm. Việc phát hành CVE có giá trị ngay cả đối với các sản phẩm SaaS. Việc tiết lộ thông tin về lỗ hổng đã trở thành chuẩn mực có lợi cho cả hai bên để hợp tác với các nhà nghiên cứu bảo mật. Các nhà sản xuất phần mềm thiết lập chính sách tiết lộ lỗ hổng được hưởng lợi từ việc nhận được sự trợ giúp từ cộng đồng nghiên cứu bảo mật, cho phép họ bảo mật sản phẩm của mình tốt hơn. Các nhà nghiên cứu bảo mật nhận được sự cho phép để thử nghiệm theo chính sách, ngoài ra còn có một kênh rõ ràng để báo cáo sự xuất hiện của lỗ hổng.
Bảo mật theo yêu cầu đóng vai trò quan trọng trong việc đảm bảo an toàn thông tin trong môi trường số hóa ngày càng phức tạp. Khả năng đáp ứng các yêu cầu bảo mật đặc thù của từng tổ chức và cá nhân giúp nâng cao hiệu quả bảo vệ dữ liệu, ngăn chặn các mối đe dọa và rủi ro. Việc tùy chỉnh các giải pháp bảo mật theo yêu cầu cũng tạo điều kiện cho việc tối ưu hóa nguồn lực và nâng cao hiệu suất hệ thống. Do đó, việc phát triển và triển khai các chiến lược bảo mật theo yêu cầu không chỉ là một xu hướng, mà còn là một nhu cầu cấp thiết để duy trì sự an toàn và bền vững trong kỷ nguyên công nghệ số hiện nay.
|
TÀI LIỆU THAM KHẢO [1]. https://www.cisa.gov/resources-tools/resources/securedemand-guide. [2]. https://www.cisa.gov/news-events/news/cisa-releasessecure-demand-guide. |
Quốc Trung
09:00 | 05/11/2024
17:00 | 22/11/2024
15:00 | 26/12/2024
10:00 | 06/02/2025
Honeypot, một công cụ bảo mật mạng quan trọng, được thiết kế để thu hút các cuộc tấn công và từ đó theo dõi, phân tích hành vi của kẻ tấn công. Bằng cách mô phỏng các lỗ hổng và hệ thống dễ bị xâm nhập, honeypot giúp phát hiện, đánh lạc hướng kẻ tấn công khỏi những tài nguyên thực sự quan trọng và cung cấp thông tin quý giá để cải thiện các biện pháp bảo mật. Tuy nhiên, việc triển khai honeypot cũng tiềm ẩn nhiều rủi ro như có thể bị phát hiện, tốn kém tài nguyên và có thể trở thành điểm yếu nếu không được cấu hình đúng cách. Mục đích của bài báo này là giới thiệu phương thức hoạt động, phân loại và những rủi ro gặp phải khi triển khai Honyepot.
22:00 | 25/01/2025
Một trong những rủi ro an toàn thông tin (ATTT) nghiêm trọng trong quá trình chuyển đổi số đó là lộ, lọt bí mật trong nội bộ tổ chức, đơn vị thông qua hạ tầng chuyển đổi số. Việc rò rỉ dữ liệu có thể xảy ra ở nhiều mức độ khác nhau như từ hệ thống mạng, thiết bị đầu cuối, in ấn đến lưu trữ tập trung… Mỗi một mức độ đều có những rủi ro riêng cần được quản lý và phòng ngừa chặt chẽ. Đã có nhiều nghiên cứu, sản phẩm quan tâm tới vấn đề phòng chống rò rỉ dữ liệu nhạy cảm nhưng mới tập trung ở một vài mức độ. Trong bài viết này, nhóm tác giả đề xuất một giải pháp mã nguồn mở phòng chống rò rỉ dữ liệu nhạy cảm ở nhiều mức độ khác nhau nhằm bảo vệ hiệu quả ATTT mạng nội bộ tổ chức, đơn vị triển khai chuyển đổi số.
10:00 | 25/10/2024
Triết lý an ninh mạng Zero Trust đặt ra nguyên tắc không có bất kỳ người dùng nào trong hoặc ngoài hệ thống mạng đủ tin tưởng mà không cần thông qua sự kiểm tra chặt chẽ về danh tính. Để triển khai Zero Trust hiệu quả, cần áp dụng các giải pháp công nghệ mạnh mẽ. Bài báo này sẽ trình bày những vấn đề cơ bản về Zero Trust.
07:00 | 17/10/2024
Vào tháng 3/2024, các nhà nghiên cứu tại hãng bảo mật Kaspersky đã phát hiện ra một chiến dịch tấn công mạng tinh vi nhắm vào những cá nhân ở Nga bằng phần mềm gián điệp Android có tên gọi là LianSpy, phần mềm này có khả năng ghi lại các bản ghi màn hình, trích xuất tệp của người dùng, thu thập nhật ký cuộc gọi và danh sách ứng dụng. Các tin tặc đã sử dụng nhiều chiến thuật trốn tránh, chẳng hạn như tận dụng dịch vụ đám mây của Nga là Yandex Disk, để liên lạc với máy chủ điều khiển và ra lệnh (C2). Một số tính năng này cho thấy LianSpy rất có thể được triển khai thông qua lỗ hổng bảo mật chưa được vá hoặc truy cập vật lý trực tiếp vào điện thoại mục tiêu. Bài viết này sẽ cùng khám phá và phân tích phần mềm gián điệp LianSpy dựa trên báo cáo của Kaspersky.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Báo cáo của Lineaje AI Labs đã đặt ra một câu hỏi quan trọng về tính minh bạch trong chuỗi cung ứng phần mềm quan trọng trên toàn cầu, đặc biệt trong bối cảnh phần mềm nguồn mở đang ngày càng được ứng dụng rộng rãi dẫn đến những nguy cơ tiềm ẩn về bảo mật, nhất là khi các đóng góp vào các dự án mã nguồn mở từ những nguồn không xác định.
08:00 | 27/02/2025
