Ứng dụng mô hình SecDevOps – Giải pháp an toàn thông tin cho các tổ chức

Ngày 29/11/2024, đại diện MISA đã chia sẻ kinh nghiệm thực tế về việc xây dựng văn hóa SecDevOps nhằm nâng cao khả năng đảm bảo an toàn thông tin cho các tổ chức tại Workshop “Tìm hiểu về DevSecOps – Công nghệ và Giải pháp kiểm soát bảo mật” do Bảo hiểm BIDV – BIC tổ chức. 

Buổi Workshop có sự tham dự của các chuyên gia hàng đầu trong lĩnh vực công nghệ thông tin và an ninh thông tin. Về phía MISA, có sự tham dự của ông Nguyễn Quang Hoàng – Giám đốc An ninh thông tin, ông Bùi Đức Trường – Trưởng ban An ninh thông tin. 

Trong khuôn khổ hội thảo, ông Bùi Đức Trường – Trưởng ban An ninh thông tin MISA đã giới thiệu mô hình SecDevOps, từ đó chia sẻ kinh nghiệm ứng dụng SecDevOps vào sản phẩm nhằm hỗ trợ các tổ chức tăng cường nhận thức về bảo mật, an toàn thông tin.

Đại diện MISA chia sẻ tại buổi Workshop.

Theo Danh mục phân bổ lỗ hổng bảo mật cho các CVE (Common Vulnerabilities and Exposures) từ tháng 11/2022 đến tháng 1/2023 của Paloalto Network cho biết, các lỗ hổng thường xuất hiện ở ứng dụng do lập trình không an toàn. Do đó, các tổ chức cần tích hợp bảo mật vào toàn bộ quy trình phát triển sản phẩm phần mềm. Cụ thể là áp dụng mô hình SecDevOps vào phần mềm nhằm tăng tốc quá trình phát triển sản phẩm, giảm thiểu 40 – 50% các lỗ hổng trong mã nguồn, theo James Rutt – CIO Insight. 

Danh mục phân bổ lỗ hổng bảo mật cho các CVE từ tháng 11/2022 đến tháng 1/2023.

SecDevOps là mô hình phát triển kết hợp giữa bảo mật (Security), phát triển (Development) và vận hành (Operations), tương tự như DevSecOps. Tuy nhiên, điểm khác biệt quan trọng là SecDevOps đặt yếu tố bảo mật lên hàng đầu trong tư duy (mindset) của mỗi cá nhân và trong mọi bước của quy trình phát triển phần mềm. Bên cạnh đó, mô hình này đề cao quy trình và văn hóa làm việc “One Team” giúp các cá nhân hợp tác chặt nhằm đảm bảo bảo mật được ưu tiên xuyên suốt. 

Các tổ chức cần áp dụng SecDevOps chặt chẽ giữa 3 yếu tố: con người – quy trình – công nghệ.

Để ứng dụng hiệu quả mô hình SecDevOps, các tổ chức cần áp dụng chặt chẽ 3 yếu tố: con người, quy trình và công nghệ. Về con người, các tổ chức cần nâng cao kỹ năng đội ngũ an ninh thông tin, gắn kết đội Sec với đội DevOps, đào tạo lập trình và triển khai an toàn. Về quy trình, các tổ chức có thể áp dụng mô hình vòng đời sản phẩm phẩm Secure – Software Development Life Cycle (SSDLC) nhằm phát triển phần mềm đảm bảo an toàn. Về công nghệ, các tổ chức có thể các phương pháp và công cụ bảo mật sau nhằm phát hiện và xử lý lỗ hổng bảo mật: Phân tích tĩnh – Static Analysis (SAST); Phân tích động – Dynamic Analysis (DAST); Phân tích tương tác – Interactive Analysis (IAST); Phân tích thành phần phần mềm – Software Composition Analysis (SCA). 

Cũng theo ông Trường, những lập trình cần được đào tạo nhận thức về bảo mật, lập trình an toàn, mục tiêu hướng đến các lỗ hổng không có cơ hội xuất hiện ở các bước sau của quy trình phát triển phần mềm.

Là doanh nghiệp công nghệ cung cấp các phần mềm dưới dạng dịch vụ hàng đầu Việt Nam, đồng thời là đơn vị khởi xướng thành lập Liên minh CYSEEX, MISA cam kết sẽ đồng hành cùng các tổ chức trong việc triển khai các giải pháp bảo mật tiên tiến, bảo vệ dữ liệu và hệ thống thông tin khỏi các cuộc tấn công mạng.