.png)
Bảo mật nên là vấn đề tiên quyết ngay trong giai đoạn đầu xây dựng, phát triển phần mềm. Khi các công nghệ tiến bộ liên tục được áp dụng, các công cụ bảo mật được sử dụng phổ biến cũng cần thay đổi theo thời gian. Điều này đòi hỏi các tổ chức phải có chiến lược mới để chống lại các cuộc tấn công vào phần mềm.
DevOps là một phương pháp giúp thu hẹp khoảng cách giữa các nhóm phát triển và vận hành trong chu trình phát triển vòng đời của phần mềm. Nó phá vỡ các rào cản và tăng khả năng phát hành các ứng dụng và dịch vụ của một tổ chức nhanh hơn so với các mô hình phát triển phần mềm truyền thống. Trước đây, phương pháp thác nước truyền thống đòi hỏi phải trải qua các chu trình nghiêm ngặt và không hề có sự quay lui hay nhảy vượt pha, điều này khiến cho ứng dụng chậm được phát hành và đôi khi không còn phù hợp với thị trường.
Ngày nay, các nhóm phát triển phần mềm theo phương pháp Agile có chu kỳ phát hành phần mềm hàng ngày, hoặc nhanh hơn là hàng giờ, điều này làm tăng nguy cơ mắc lỗi và tạo ra các. Vậy làm thế nào các tổ chức có thể tạo ra phần mềm và ứng dụng an toàn hơn khi làm việc với tốc độ cao và ngăn chặn các cuộc tấn công mạng tiềm ẩn? Để tăng cường bảo mật cho các sản phẩm và đối tác, bắt buộc các công ty phải chuyển từ phương pháp DevOps sang DevSecOps.
DevSecOps đặt vấn đề bảo mật lên hàng đầu trong toàn bộ quá trình phát triển, đảm bảo rằng bảo mật tốt vẫn là ưu tiên hàng đầu của các nhà phát triển và nhà khai thác trong toàn bộ quá trình. Sự thay đổi trong tư duy này khuyến khích các tổ chức tìm ra các cách tiếp cận tốt nhất có thể để phát triển mã nguồn, ứng dụng an toàn và có nhiều nguồn lực với chiến lược khác nhau để giúp các nhóm phát triển thực hiện chính xác điều đó.
Dưới đây là một số điều quan trọng nhất:
• Khung bảo mật (Security Framework): Bắt đầu lộ trình bằng cách tìm đến các nguồn lực của bên thứ ba để tìm ra các phương pháp tốt nhất, các tổ chức có thể đảm bảo phần mềm của họ được chuẩn bị sẵn sàng cho mọi tình huống. Ví dụ: Mô hình bảo mật trong giai đoạn trưởng thành (The Building Security In Maturity Model – BSIMM) là một tài liệu liệt kê hơn 120 phương pháp bảo mật tốt nhất để giúp các nhóm phát triển lưu ý các biện pháp này khi thiết kế các giải pháp của họ.
• Đào tạo về lập trình an toàn: Các tổ chức cần phải đào tạo cho các nhà phát triển về các mối đe dọa và các phương pháp tốt nhất để ngăn chặn chúng. Bằng cách triển khai các khóa đào tạo nâng cao nhận thức về bảo mật liên tục, các tổ chức có thể yên tâm rằng nhóm phát triển của họ được chuẩn bị đầy đủ để phát hiện và sửa chữa bất kỳ lỗ hổng nào trong mã nguồn và sản phẩm.
• Cơ chế cổng bảo mật: Trong quy trình xây dựng DevOps, cổng bảo mật có thể dừng một bản phát hành phần mềm, cho phép các đội kỹ thuật và bảo mật có đủ thời gian để xác định mức độ nghiêm trọng của những lỗ hổng sẽ phá vỡ cấu trúc tổng thể. Việc triển khai các cổng bảo mật sẽ giúp các nhóm xác định chính xác những gì cần được khắc phục trước khi phát hành phần mềm.
• Thực hiện chiến lược bảo mật nhiều lớp: Để đảm bảo bảo mật toàn diện, các tổ chức phải nêu cao trách nhiệm cho mọi người về bảo mật. Điều này có thể bắt đầu bằng cách cung cấp các công cụ để phát hiện các lỗ hổng cho các nhà phát triển khi họ xây dựng mã nguồn và sau đó sử dụng một nhóm bảo mật nội bộ để kiểm tra dựa trên các công cụ bảo mật ứng dụng. Để an toàn hơn, các tổ chức có thể thuê các chuyên gia kiểm thử bảo mật bên ngoài hoặc thiết lập một để trả tiền cho các nhà nghiên cứu bảo mật nhằm phát hiện các lỗ hổng bảo mật tiềm ẩn.
Các thư viện của bên thứ ba như Apache Struts, Telerik UK (thư viện .NET của bên thứ ba) và những thư viện khác được coi là cứu cánh cho các tổ chức. Một mặt, các tổ chức có thể tận dụng những tính năng do những người khác xây dựng, điều chỉnh nó và tạo ra nhiều trải nghiệm phong phú hơn, cho phép họ phát huy kiến thức chuyên môn của mình mà không cần phải làm mọi thứ từ đầu. Nhưng các thư viện này cũng có thể có chứa các lỗ hổng tiềm tàng và làm cho phần mềm hay ứng dụng bị phá vỡ.
Các nhà phát triển cần cập nhật các bộ công cụ để đảm bảo các thư viện của bên thứ ba có các được vá thường xuyên và theo thời gian thực, bởi vì ngay cả những sơ suất nhỏ nhất của nhóm phát triển ứng dụng cũng có thể dẫn đến những vụ tấn công nghiêm trọng. Trên thực tế, Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) của Mỹ gần đây đã công bố danh sách các lỗ hổng phần mềm bị khai thác nhiều nhất và Apache Struts là công nghệ bị tấn công nhiều thứ hai trong danh sách này.
Các mối đe dọa và hình thức tấn công không tồn tại ngày hôm nay, nhưng có thể sẽ hiện hữu trong tương lai. Bằng cách đặt bảo mật lên hàng đầu và triển khai văn hóa DevSecOps, các tổ chức sẽ chuẩn bị tốt hơn để giảm thiểu các mối đe dọa khi chúng xuất hiện và trước khi chúng gây ra bất kỳ sự cố hoặc gián đoạn nào.
Đăng Thứ (tổng hợp)
15:00 | 23/07/2021
10:00 | 03/08/2021
09:00 | 26/07/2021
10:00 | 25/10/2024
Triết lý an ninh mạng Zero Trust đặt ra nguyên tắc không có bất kỳ người dùng nào trong hoặc ngoài hệ thống mạng đủ tin tưởng mà không cần thông qua sự kiểm tra chặt chẽ về danh tính. Để triển khai Zero Trust hiệu quả, cần áp dụng các giải pháp công nghệ mạnh mẽ. Bài báo này sẽ trình bày những vấn đề cơ bản về Zero Trust.
14:00 | 09/09/2024
TikTok - thế giới giải trí đầy màu sắc nhưng cũng ẩn chứa những cạm bẫy rình rập thông tin cá nhân của người dùng. Đừng để niềm vui trở thành nỗi lo, hãy cùng khám phá những mẹo nhỏ mà hữu ích để bảo vệ dữ liệu trên TikTok, thỏa sức sáng tạo mà không lo sợ bị xâm phạm quyền riêng tư.
13:00 | 13/08/2024
Có rất nhiều khái niệm về Zero Trust nhưng bạn đã thực sự hiểu về nó? Bài báo này sẽ đưa ra khái niệm dễ hiểu sự hình thành của thuật ngữ Zero Trust, các tác nhân, khu vực cần triển khai Zero Trust...
10:00 | 31/01/2024
Các nhà nghiên cứu tại hãng bảo mật Kaspersky đã phát triển một kỹ thuật mới có tên là iShutdown để có thể phát hiện và xác định các dấu hiệu của một số phần mềm gián điệp trên thiết bị iOS, bao gồm các mối đe dọa tinh vi như Pegasus, Reign và Predator. Bài viết sẽ cùng khám phát kỹ thuật iShutdown dựa trên báo cáo của Kaspersky.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Đứng trước thách thức về các mối đe dọa nâng cao, khái niệm về “chuỗi tiêu diệt” được sử dụng để phòng, chống các mối đe dọa này. Phần 2 của bài báo tập trung trình bày về các biện pháp phát hiện, bảo vệ hệ thống khỏi tấn công APT, khai thác lỗ hổng Zero-day và tấn công chuỗi cung ứng.
13:00 | 18/11/2024
