Tuy nhiên, bất chấp những đổi mới này, nhiều tổ chức bỏ qua một thành phần quan trọng của DRM đó là tuân thủ dưới dạng mã. DRM được đặt ra bởi các chuyên gia tại đơn vị sản xuất phần mềm uy tín trên thế giới, tuân thủ dưới dạng mã đề cập đến việc bao gồm và sự tuân thủ trong toàn bộ chu trình phát triển phần mềm (SDLC). Hiện tại, DRM thường được thêm theo cách hồi tố vào SDLC mặc dù nó không nhất thiết, lý do là các doanh nghiệp coi rủi ro là điều có thể xem xét sau, nhưng chủ yếu vì đây chỉ là quy trình kỹ thuật tiêu chuẩn chứ không bắt buộc. Tuy nhiên, bằng cách sử dụng phương pháp tuân thủ dưới dạng mã và thực hiện DRM ngay từ đầu và trong suốt các pha phát triển phần mềm, các công ty có thể giảm chi phí và tiết kiệm thời gian hơn nữa, cùng với các lợi ích khác. Điều quan trọng cần nhớ là trong quá trình , dấu vết rủi ro cũng sẽ luôn thay đổi và khó theo vết được.
Khi một tổ chức chuyển sang DRM sẽ làm thay đổi hoàn toàn định hướng và trọng tâm chiến lược của tổ chức đó từ khả năng ra quyết định và tự động hóa tiên tiến, để tăng hiệu quả và nâng cao khả năng cạnh tranh. DRM là sự phát triển tiếp theo của GRC, cho phép các công ty bắt đầu quá trình ảo hóa và số hóa. Với số hóa, người ta có thể để lại một dấu vết dễ dàng theo dõi cho các nhà phân tích rủi ro để giải quyết các vấn đề nhỏ một cách nhanh chóng hoặc liên tục báo cáo những vấn đề quan trọng. Điều tra rủi ro tập trung vào dữ liệu cho phép các chuyên gia và nhà cung cấp dịch vụ cộng tác hiệu quả hơn.
Hơn nữa, việc bao gồm DRM cho phép các doanh nghiệp triển khai thông minh hơn, điều này cần thiết đối với an ninh mạng hiện đại vì nó có thể xác định những rủi ro mà doanh nghiệp có thể không biết. Nếu không có tự động hóa, các công ty sẽ cần phải thuê một đơn vị chuyên nghiệp. Ngoài ra, với các quy định mới từ một số cơ quan như Ủy ban Thương mại Liên bang Mỹ (FTC) và Đạo luật về khả năng phục hồi hoạt động kỹ thuật số (DORA) ở Châu Âu, các yêu cầu bao gồm bảo mật mạng sẽ như một phần của chu trình phát triển phần mềm.
Tuy nhiên, bất chấp những lợi ích to lớn này, DRM cũng đi kèm với những thách thức và lo ngại, đặc biệt là trong các giai đoạn sau của chu trình phát triển phần mềm. Các tổ chức phải cẩn thận vì khi tiếp tục bổ sung công nghệ mới vào danh mục đầu tư và tiếp tục tự động hóa nhiều quy trình sẽ có thể vô tình tạo ra các lỗ hổng bảo mật mới. Trong khi việc áp dụng các phương pháp DRM có thể thúc đẩy quá trình trưởng thành và tăng trưởng nhanh chóng, các doanh nghiệp cũng phải chuẩn bị để tạo ra các vị trí mới, thuê nhân viên mới và đào tạo nhân lực. Tương tự như vậy, việc chuyển đổi từ GRC sang DRM đòi hỏi nỗ lực và chi phí đáng kể (tuy nhiên, nếu tránh chi phí DRM thì trong tương lai cuối cùng vẫn phải trả cho nó).
Thông thường, tốt nhất là các công ty nên hợp tác với một nhà cung cấp DRM có kinh nghiệm, một người hiểu rõ những thay đổi nhỏ có thể có tác động như thế nào. Thông thường, đối tác này có thể giúp một tổ chức xây dựng chiến lược DRM và một lộ trình phù hợp để giải quyết các rủi ro, nhu cầu kinh doanh cụ thể. Hơn nữa, điều quan trọng là các doanh nghiệp dù có chọn đối tác hay không đều phải thiết lập chiến lược DRM của mình sao cho chiến lược này không đến vào pha cuối mà xuyên suốt cả quá trình phát triển phần mềm.
SDLC mô tả các bước thiết kế cơ bản mà doanh nghiệp tuân theo khi phát triển phần mềm mới. Điều quan trọng là phải hiểu các giai đoạn khác nhau và tại sao cần phải bổ sung quản lý rủi ro, sự tuân thủ và quản trị vào toàn bộ quy trình. Trong giai đoạn đầu hoặc giai đoạn lập kế hoạch, các công ty phải xác định các rủi ro tiềm ẩn để giảm thiểu sự gián đoạn hoạt động. Sau đó đến giai đoạn phân tích yêu cầu, nơi các doanh nghiệp thu thập và phân tích các yêu cầu thiết kế khác nhau cho từng tính năng phần mềm. Giai đoạn tiếp theo là giai đoạn thiết kế và tạo mẫu, trong đó, các kế hoạch mà các kiến trúc sư phần mềm tạo ra cho phép doanh nghiệp xác định các công nghệ và bộ công cụ chính cần thiết cho sự phát triển cuối cùng của sản phẩm. Sau đó, quá trình phát triển phần mềm sẽ thực sự bắt đầu.
Giai đoạn thứ hai đến giai đoạn cuối cùng là giai đoạn kiểm thử phần mềm, qua đó việc đảm bảo chất lượng sẽ cố gắng phát hiện bất kỳ khiếm khuyết hoặc lỗi nào trong phần mềm với sự tuân thủ dưới dạng mã, việc kiểm thử quan trọng này không chỉ giới hạn ở một giai đoạn mà là toàn bộ SDLC. Cuối cùng, ở giai đoạn triển khai và bảo trì, doanh nghiệp tung sản phẩm ra thị trường. Nhìn chung, đây là một giai đoạn khác mà các lỗi phần mềm được khắc phục. Tuy nhiên, bằng cách tận dụng sự tuân thủ dưới dạng mã, các tổ chức có thể loại bỏ vấn đề thêm DRM về các giai đoạn trước sẽ làm kéo dài và trì hoãn các bước phát triển phần mềm.
Việc xây dựng các quy trình giảm thiểu và sự cố DRM thành các sáng kiến mới ngay từ đầu SDLC cho phép các công ty giảm chi phí quản lý rủi ro, điều này cũng rút ngắn thời gian khắc phục sự cố. Hơn nữa, việc tích hợp các hạng mục GRC vào SDLC ngay từ đầu cho phép các tổ chức tránh đưa các hạng mục đó vào sau khi quá trình phát triển phần mềm đã hoàn tất, điều này thường rất khó khăn và tốn thời gian.
Đánh giá rủi ro trở thành bản chất thứ hai khi các công ty đưa DRM vào toàn bộ quy trình SDLC thay vì chỉ một vài giai đoạn được chọn. Có thể hoàn toàn yên tâm về khả năng dự đoán rủi ro mạnh mẽ với các thủ tục giảm thiểu trong khi phát triển phần mềm. Các kỹ sư và kiến trúc sư phần mềm sẽ không liên tục xem xét vai trò tượng trưng của họ, tự hỏi liệu họ có nhầm lẫn sớm hơn trong SDLC hay không? Khi xem xét bối cảnh rủi ro ngày càng phát triển và ngày càng gia tăng, các tổ chức phải có một chiến lược DRM được xây dựng tốt bao gồm tất cả các lĩnh vực rủi ro, tuân thủ và quản trị trong toàn bộ SDLC.
Trong khi việc triển khai DRM thường gắn liền với các quy trình và công nghệ, trách nhiệm chung của những người tham gia vào việc lập kế hoạch và phát triển sản phẩm được coi là quan trọng nhất. Những nhân viên sau này sẽ bị ảnh hưởng nhiều nhất bởi số hóa cần phải sẵn sàng cho quá trình phát triển của công ty từ GRC sang DRM, nếu không, họ sẽ bị bỏ lại phía sau.
Tương tự, các doanh nghiệp cần đảm bảo quản lý rủi ro không xâm phạm đến mức sẽ ngăn cản sự đổi mới và làm xói mòn lòng tin. Khách hàng cũng là bên liên quan có tầm quan trọng nhất định. Cuối cùng, vì khách hàng của doanh nghiệp sử dụng sản phẩm và phần mềm của họ, rủi ro sẽ là yếu tố chính trong hành trình và trải nghiệm của khách hàng.
Ngô Hải Anh (Viện Công nghệ thông tin, Viện Hàn lâm Khoa học và Công nghệ Việt Nam)
14:00 | 16/06/2022
15:00 | 23/06/2021
12:25 | 31/07/2013
19:00 | 30/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
09:00 | 28/04/2024
Thời gian gần đây, lĩnh vực an toàn thông tin ghi nhận hình thức bảo mật Bug Bounty đang ngày càng nở rộ. Tuy nhiên, bên cạnh những số liệu khủng về giải thưởng, lỗ hổng được phát hiện, vẫn có những ý kiến trái chiều về hiệu quả thực sự mà Bug Bounty đem lại cho các tổ chức, doanh nghiệp.
10:00 | 22/03/2024
Với sự tương tác kinh tế, xã hội và văn hóa ngày càng diễn ra phổ biến trên Internet, nhu cầu ngày càng tăng trong vài thập kỷ qua nhằm bắt chước sự ngẫu nhiên của thế giới tự nhiên và tạo ra các hệ thống kỹ thuật số để tạo ra các kết quả không thể đoán trước. Các trường hợp sử dụng cho tính không thể đoán trước này bao gồm đưa vào sự khan hiếm nhân tạo, xây dựng các cơ chế bảo mật mạnh mẽ hơn và tạo điều kiện cho các quy trình ra quyết định trung lập đáng tin cậy. Trong bài viết này, tác giả sẽ phân tích tính ngẫu nhiên, tìm hiểu về các loại ngẫu nhiên và vai trò quan trọng của sự ngẫu nhiên đối với Blockchain và hệ sinh thái Web3.
09:00 | 09/01/2023
Trojan phần cứng (Hardware Trojan - HT) là một biến thể của thiết kế IC nguyên bản (sạch, tin cậy) bị cổ ý chèn thêm các linh kiện vào IC để cho phép truy cập hoặc làm thay đổi thông tin lưu trữ (xử lý) ở bên trong chip. Các HT không chỉ là đe dọa lý thuyết an toàn mà còn trở thành phương tiện tấn công tiềm ẩn, đặc biệt đối với các mạch tạo số ngẫu nhiên, giữ vai trò quan trọng trong các hoạt động xử lý bảo mật và an toàn thông tin. Bộ tạo số ngẫu nhiên (True Random Number Generator - TRNG) được dùng làm điểm khởi đầu để sinh ra các khóa mật mã nhằm bảo đảm tính tin cậy cho các phép toán trong hệ mật. Vì vậy, TRNG là mục tiêu hấp dẫn đối với tấn công cố ý bằng HT. Bài báo áp dụng phương pháp tạo số ngẫu nhiên thực TRNG, thiết kế T4RNG (Trojan for Random Number Generators) làm suy giảm chất lượng các số ngẫu nhiên ở đầu ra của bộ tạo, mô tả các đặc tính của Trojan T4RNG và đưa ra kết quả thống kê phát hiện ra Trojan này dựa vào công cụ đánh giá AIS-31[2] và NIST SP-22 [3].
Trong lĩnh vực chữ ký số, lược đồ ký số dựa trên đường cong Elliptic (ECDSA) được đánh giá là một trong những lược đồ chữ ký số có độ an toàn cao, dù ra đời sau nhưng ECDSA đang dần được thay thế cho lược đồ ký số RSA. Bài báo này tập trung giới thiệu lược đồ ECDSA, ứng dụng của ECDSA trong thực tế và các tham số an toàn được khuyến nghị dùng cho ECDSA.
11:00 | 13/05/2024
Mã độc không sử dụng tệp (fileless malware hay mã độc fileless) còn có tên gọi khác là “non-malware”, “memory-based malware”. Đây là mối đe dọa không xuất hiện ở một tệp cụ thể, mà thường nằm ở các đoạn mã được lưu trữ trên RAM, do vậy các phần mềm anti-virus hầu như không thể phát hiện được. Thay vào đó, kẻ tấn công sử dụng các kỹ thuật như tiêm lỗi vào bộ nhớ, lợi dụng các công cụ hệ thống tích hợp và sử dụng các ngôn ngữ kịch bản để thực hiện các hoạt động độc hại trực tiếp trong bộ nhớ của hệ thống. Bài báo tìm hiểu về hình thức tấn công bằng mã độc fileless và đề xuất một số giải pháp phòng chống mối đe dọa tinh vi này.
10:00 | 17/05/2024