Buzz
Lỗ hổng phần mềm thường là điểm bị tấn công phổ biến nhất của tội phạm mạng, từ vụ tấn công SolarWinds ảnh hưởng tới hơn 18.000 tổ chức, cho đến lỗ hổng Log4j tác động đến 48.3% tổ chức trên toàn thế giới.
Quản lý rủi ro bảo mật của các nhà cung cấp đang trở nên phức tạp hơn chưa từng có. Khi nói đến quản lý rủi ro bảo mật, thường thì phản ứng sau sự cố là điều mà ta nghĩ đến trước tiên. Mặc dù việc có kế hoạch ứng phó sau sự cố để giải quyết hậu quả của hành vi xâm phạm là cần thiết, nhưng việc đặt sự bảo mật cho phần mềm từ giai đoạn phát triển để ngăn chặn việc xảy ra các sự cố tương tự từ đầu cũng không kém phần quan trọng.
Được hướng dẫn bởi Khung công cụ Phát triển Phần mềm Bảo mật An toàn của NIST (SSDF), Vòng đời Phát triển Bảo mật (SDL) là một phương pháp ngày càng phổ biến, cung cấp cách tiếp cận hệ thống giúp giảm thiểu rủi ro bảo mật và đảm bảo tuân thủ các yêu cầu quản lý. Mặc dù các công ty có thể định nghĩa SDL theo cách khác nhau, nguyên tắc cơ bản vẫn không thay đổi, hỗ trợ các nhà phát triển tiêu chuẩn hóa và xây dựng một sản phẩm cực kỳ an toàn từ đầu đến cuối.
Vậy, Synology đã triển khai điều này như thế nào?
Với vai trò là nhà cung cấp dịch vụ lưu trữ, Synology hiểu rõ giá trị của dữ liệu mà khách hàng giao phó. Đó là lý do tại sao, về mặt ưu tiên, công ty này đặt bảo mật lên hàng đầu. Nhóm ứng phó sự cố bảo mật sản phẩm (PSIRT) của họ đã xây dựng một quy trình phát triển phần mềm có bốn giai đoạn (Thiết kế, Phát triển, Xác minh, Phát hành). Mục tiêu chính là đảm bảo tính an toàn cho sản phẩm và phản ứng nhanh chóng đối với các cuộc tấn công zero-day. Synology cam kết rằng họ sẽ khắc phục những lỗ hổng nghiêm trọng trong vòng 24 giờ.
Bài viết này sẽ khám phá cách mà các sản phẩm của Synology đã được phát triển một cách cẩn thận theo quy trình Phát triển An toàn Sản phẩm (SDL) riêng của họ, nhằm mục đích đảm bảo tính toàn vẹn dữ liệu cho khách hàng.
1. Quy trình thiết kế:
Khi một sản phẩm hoặc tính năng mới của Synology được ra mắt, chương trình Đảm bảo An ninh Sản phẩm (PSA) được kích hoạt. Trong giai đoạn này, nhóm PSIRT hợp tác với nhóm phát triển để đánh giá thiết kế và cơ sở hạ tầng bảo mật. Dựa trên đánh giá này, nhóm đưa ra đề xuất xây dựng để cải thiện. Cách tiếp cận tích cực này xây dựng nên một cơ sở bảo mật vững chắc ngay từ đầu, tránh gặp rắc rối liên quan đến bảo mật trong tương lai.
2. Quy trình phát triển: Tiêu chuẩn hóa và kiểm tra tự động
Sau khi xác định thông số kỹ thuật của sản phẩm, giai đoạn phát triển chính thức bắt đầu. Để đảm bảo chất lượng mã nguồn từ giai đoạn đầu, Synology áp dụng phương pháp Kiểm tra bảo mật ứng dụng tĩnh (SAST) thông qua các công cụ tự động để phát hiện các lỗ hổng và lỗi tiềm ẩn. Điều này đảm bảo mã nguồn không chứa các lỗ hổng bảo mật từ đầu.
Trong quá trình phát triển tiến triển và hoàn thiện, Synology sử dụng phương pháp Kiểm tra bảo mật phân tích động (DAST) để liên tục theo dõi sự thay đổi trong mã nguồn và đảm bảo tất cả các chức năng được kiểm tra kỹ lưỡng trên ứng dụng. Điều này giúp giảm thiểu các lỗ hổng bảo mật tiềm ẩn.
3. Giai đoạn xác minh: Tư duy từ góc độ kẻ tấn công
Synology nhận thức tầm quan trọng của việc kiểm tra và xác minh kỹ lưỡng trước khi phát hành sản phẩm cho người dùng. Điều này đã thúc đẩy sự ra đời của Synology Red Team vào đầu năm 2022. Với các chuyên gia tin tặc nội bộ giàu kinh nghiệm, Red Team tập trung vào việc kiểm tra sản phẩm từ góc độ của kẻ tấn công để phát hiện các lỗ hổng. Chỉ trong sáu tháng, Red Team đã tìm ra hơn 21% lỗi hệ thống - một thành tích đáng kể, tương đương với phần thưởng trị giá 100.000 đô la Mỹ từ chương trình tìm lỗi trước khi phát hành chính thức.
Nhắc đến chương trình tìm lỗi và nhận thưởng, công ty Đài Loan (Trung Quốc) này cũng tham gia vào các sự kiện quan trọng như Pwn2Own và TienFu Cup, cùng với chương trình phát hiện lỗi hàng năm từ năm 2017, tạo điều kiện tương tác tích cực với cộng đồng tin tặc. Điều này làm tăng tính an toàn thông qua sự hợp tác với các chuyên gia độc lập. Đến nay, hơn 200 nhà nghiên cứu đã tham gia, và hơn 270,000 đô la Mỹ đã được trao thưởng.
Bằng cách hiểu suy nghĩ của những kẻ tấn công, Synology có thể mô phỏng các cuộc tấn công thực tế và từ đó cải thiện khả năng sẵn sàng đối phó với tình huống khủng hoảng có thể xảy ra. Hướng tiếp cận tích cực này khiến họ nổi bật so với các đối thủ cạnh tranh và đảm bảo người dùng có thể tin tưởng vào tính bảo mật và độ tin cậy của sản phẩm.
4. Quy trình phát hành: Phản ứng nhanh hàng đầu trong ngành
Khi đội Red Team thực hiện tấn công, đội Blue Team sẽ tập trung vào phòng thủ. Red Team tận dụng mọi cơ hội để phát hiện lỗ hổng, trong khi Blue Team tập trung theo dõi các mối đe dọa bảo mật. Ngay sau khi lỗ hổng bảo mật được báo cáo, Blue Team bắt đầu đánh giá tác động ban đầu trong vòng tám giờ. Nếu xác định rằng lỗ hổng nghiêm trọng, đội ngũ Synology sẽ khắc phục nó trong vòng 24 giờ, thời gian nhanh hơn rất nhiều so với mức trung bình trong ngành là 60 ngày để xử lý sự cố (MTTR).
Sau khi bản vá được phát hành, PSIRT sẽ cung cấp Tư vấn bảo mật để thông báo cho người dùng và đồng thời, công bố cập nhật phần mềm một cách công khai. Mọi phản hồi từ người dùng cũng được tổng hợp và báo cáo cho nhóm liên quan. Quá trình phản hồi nhanh chóng và hiệu quả này đảm bảo rằng người dùng luôn có thể tin cậy vào tính an toàn của sản phẩm của Synology, vì với họ, bảo mật luôn là ưu tiên hàng đầu.
Nhằm hỗ trợ doanh nghiệp nâng cao bảo mật cho hệ thống dữ liệu, Synology sẽ tổ chức hội thảo trực tuyến với chủ đề 'Ba trụ cột quan trọng để bảo vệ dữ liệu doanh nghiệp an toàn' vào ngày 6 tháng 9, 2023. Những người quan tâm có thể đăng ký tham gia miễn phí tại đây.
