Hàng loạt nhà cung cấp công nghệ đã ký cam kết Secure by Design do chính phủ Hoa Kỳ hậu thuẫn. Nhưng liệu cam kết này có đánh dấu sự chấm dứt với quá khứ và chu kỳ dường như không bao giờ kết thúc của các cuộc tấn công mạng không? Các chuyên gia độc lập, trong khi ca ngợi sáng kiến này là xứng đáng, vẫn không chắc chắn về tác động có thể xảy ra của nó.
Nội dung là gì?
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đang cố gắng để các nhà cung cấp phần mềm ký cam kết như một phần của chiến lược rộng hơn nhằm cải thiện khả năng phục hồi an ninh mạng quốc gia. Cam kết này là tự nguyện và không ràng buộc về mặt pháp lý, nhưng nhằm mục đích thúc đẩy các nhà cung cấp phần mềm đưa bảo mật trở thành một phần nền tảng trong vòng đời phát triển sản phẩm của họ.
Mục tiêu của lời cam kết được chia thành bảy loại:
⦁ Tăng cường sử dụng xác thực đa yếu tố trên nhiều sản phẩm
⦁ Giảm sự phổ biến của mật khẩu mặc định trên các sản phẩm
⦁ Chứng minh sự giảm đáng kể có thể đo lường được về mức độ phổ biến của một hoặc nhiều lớp lỗ hổng trên các sản phẩm
⦁ Tăng cường việc cài đặt các bản vá bảo mật của khách hàng
⦁ Công bố chính sách tiết lộ lỗ hổng cho phép thử nghiệm công khai
⦁ Thể hiện tính minh bạch trong báo cáo lỗ hổng bằng cách đưa dữ liệu Common Weakness Enumeration (CWE) và Common Platform Enumeration (CPE) chính xác vào báo cáo lỗ hổng. Phát hành hồ sơ Common Vulnerabilities and Exposures (CVE) cho các sản phẩm một cách kịp thời
⦁ Tăng khả năng cho khách hàng thu thập bằng chứng về các cuộc xâm nhập an ninh mạng ảnh hưởng đến công nghệ của nhà sản xuất
Các nhà phát triển phần mềm, dịch vụ đám mây và công nghệ SaaS đều nằm trong phạm vi cam kết, nhưng các sản phẩm vật lý như thiết bị IoT và hàng tiêu dùng thì không. Một nhóm gồm 68 công ty công nghệ hàng đầu – bao gồm Amazon Web Services, Cisco, Google và Microsoft – đã ký cam kết khi cam kết được đưa ra vào đầu tháng 5 và con số này kể từ đó đã tăng lên hơn 140 nhà cung cấp.
CISA hy vọng các cam kết công khai từ danh sách ngày càng tăng của các công ty sẽ khuyến khích tính minh bạch và cho phép khách hàng đánh giá tiến độ của các nhà cung cấp về các mục tiêu bảo mật. Các nhà sản xuất được yêu cầu ghi lại tiến độ đạt được mục tiêu của họ trong vòng một năm kể từ khi ký cam kết, một phần để ngành công nghiệp rộng lớn hơn có thể học hỏi từ hành trình bảo mật của họ.
Sao lưu lời cam kết
Các nhà cung cấp thường hứa sẽ cải thiện bảo mật sau các cuộc tấn công hoặc vi phạm mạng, do đó, có lý khi đặt câu hỏi về tác động mà một lời cam kết tự nguyện có thể mang lại.
Phó chủ tịch phụ trách bảo mật và tuân thủ của Keeper Security, Patrick Tiquet, chia sẻ với ISOA.vn rằng: “Bản cam kết này, mặc dù rất quan trọng trong việc nâng cao nhận thức và thiết lập chuẩn mực cần thiết cho các hoạt động bảo mật, nhưng không thực thi hoặc khuyến khích các nhà cung cấp vượt quá trách nhiệm đạo đức để tích hợp đầy đủ các nguyên tắc này vào quy trình phát triển của họ”.
“Tuy nhiên, nếu khách hàng phần mềm yêu cầu các nhà phát triển đưa ra lời cam kết này và xác nhận rằng họ sẽ thực hiện theo, thì lời cam kết sẽ không còn mang tính tự nguyện nữa và trở thành một kỳ vọng cơ bản.”
Taimur Ijlal, chuyên gia công nghệ và là người đứng đầu bộ phận an ninh thông tin tại Netify, cũng đưa ra lưu ý thận trọng.
“Các công ty hàng đầu như Microsoft và Google phải nêu gương và khuyến khích những công ty khác noi theo nếu họ muốn lời hứa mang lại sự thay đổi đáng kể”, ông nói với ISOA.vn. “Tuy nhiên, nếu không có lực lượng thị trường hoặc yêu cầu pháp lý, nhiều nhà cung cấp phần mềm vẫn có thể miễn cưỡng tham gia, ngay cả khi có sự hậu thuẫn của họ”.
Theo Ijlal, điều này phụ thuộc nhiều vào tiêu chuẩn đạo đức của những người ký kết và ngay cả cam kết cải thiện toàn diện cũng không đảm bảo thành công.
“Các lỗ hổng vẫn có thể lọt qua ngay cả trong phần mềm do các nhà cung cấp có uy tín sản xuất”, ông lập luận. “Mặc dù lời cam kết khuyến khích tiến bộ, nhưng nó thiếu cơ chế thực thi để đảm bảo các công ty thực hiện đầy đủ các cam kết của mình”.
Maria Opre, chuyên gia an ninh mạng và là nhà phân tích cao cấp tại EarthWeb, lập luận rằng các nhà cung cấp có thể thu được lợi ích kinh tế từ việc cải thiện tính bảo mật của sản phẩm.
“Đối với các doanh nghiệp, vi phạm bảo mật có thể gây ra những tác động tàn phá – tiền phạt theo quy định, tổn hại danh tiếng, thời gian ngừng hoạt động tốn kém, chỉ kể đến một vài ví dụ,” bà nói với ISOA.vn. “Thực hiện các biện pháp mã hóa an toàn ngay từ đầu sẽ giúp giảm nợ kỹ thuật và việc vá lỗi tốn kém sau đó. Đó là một khoản đầu tư khôn ngoan.”
Mèo và Chuột
Ngoài ra còn có nguy cơ rằng bất kỳ tiến triển nào đạt được thông qua lời cam kết này đều có thể bị phá hoại do những thay đổi trong chiến thuật của các tác nhân đe dọa.
John Allison, giám đốc kinh doanh khu vực công tại Checkmarx, cho biết các mối đe dọa sẽ thay đổi, do đó mục tiêu phải là liên tục cải thiện an ninh và đánh thuế vào những kẻ tấn công.
“Kẻ thù luôn thay đổi, nhưng mục tiêu ở đây là buộc chúng phải thích nghi và đầu tư thời gian và công sức để tìm ra lỗ hổng trong kiến trúc bảo mật cơ bản vững chắc”, ông nói với ISOA.vn. “Tôi mong đợi các mục tiêu bảo mật theo thiết kế sẽ thay đổi theo thời gian khi các mối đe dọa cũng thay đổi”.
Ijlal của Netify cho rằng Secure by Design phải trở thành một “hoạt động liên tục” thay vì chỉ là phương pháp đánh dấu một lần.
“Các nhà phát triển phải liên tục đánh giá các rủi ro mới và phát triển các hoạt động của họ cho phù hợp. Bảo mật tĩnh cuối cùng sẽ luôn bị bỏ qua”, ông nói thêm. “Thật tốt khi dạy các nhà phát triển cách thiết kế mã bảo mật, thực hiện đánh giá rủi ro và sử dụng mô hình mối đe dọa. Khi chúng ta hợp lý hóa các quy trình, chúng ta cũng cần đầu tư vào con người”.
Chuyển sang trái
Việc thúc đẩy các hoạt động DevSecOps, khuyến khích các nhà phát triển phần mềm “chuyển sang hướng trái” bằng cách tham gia vào các hoạt động mã hóa an toàn ngay từ đầu, phù hợp với mục tiêu của cam kết Bảo mật theo Thiết kế của CISA.
Nó cho phép các nhà phát triển giảm thiểu rủi ro trước khi chúng trở thành lỗ hổng có thể khai thác. Tuy nhiên, để đạt được điều này đòi hỏi nhiều hơn là chỉ cam kết; nó đòi hỏi sự tích hợp toàn diện các biện pháp bảo mật tốt nhất trong suốt vòng đời phát triển phần mềm.
Theo Allison của Checkmarx, “Xây dựng một kiến trúc bảo mật được cân nhắc kỹ lưỡng và hiệu quả đòi hỏi một bộ kỹ năng rất khác so với hầu hết các nhà phát triển phần mềm”. “Trong quá trình vội vã đưa sản phẩm mới ra thị trường, bảo mật thường bị bỏ qua hoàn toàn hoặc được thực hiện tối thiểu, chỉ đủ để vượt qua chứng nhận”.
Tiêu chuẩn ổ đĩa
Chứng nhận có thể giúp thúc đẩy bảo mật theo thiết kế bằng cách nâng cao tiêu chuẩn về các biện pháp kiểm soát phải được áp dụng và cách các kiểm toán viên phải đánh giá công ty để cấp chứng nhận. Và các chuyên gia khẳng định rằng các tiêu chuẩn bảo mật như ISO 27001 cũng có thể giúp thúc đẩy văn hóa bảo mật theo thiết kế. Ví dụ, ISO 27001 cung cấp một khuôn khổ để quản lý bảo mật thông tin giúp các tổ chức giải quyết rủi ro bảo mật một cách có hệ thống.
“Các tiêu chuẩn như ISO 27001 đóng vai trò quan trọng trong việc thúc đẩy văn hóa bảo mật theo thiết kế. Bằng cách tuân thủ các tiêu chuẩn như vậy, các công ty có thể đảm bảo rằng bảo mật không phải là một suy nghĩ sau cùng mà là một thành phần cơ bản trong hoạt động của họ”, Tiquet của Keeper Security kết luận.
“Chuẩn hóa này có thể thúc đẩy việc áp dụng các biện pháp phát triển an toàn và tạo ra môi trường phần mềm linh hoạt hơn.”
