Cyber Security là gì? Product Security là gì? Hướng dẫn cyber security của Hiếu PC


Bài viết dưới đây được viết lại theo những chia sẻ của Hiếu PC trong buổi Technical Event số thứ #05 về Cyber Security và Product Security được tổ chức vào ngày 19/02. Bạn có thể xem chi tiết các nội dung được chia sẻ thông qua video cuối bài viết.





Bảo mật (Cyber Security) trong quá trình phát triển dự án phần mềm là một trong những chủ đề nhận được khá là nhiều sự quan tâm, đặc biệt là các doanh nghiệp, đặc biệt là các bạn lập trình viên.





Sai lầm khi làm sản phẩm trước, làm bảo mật sau
Sai lầm khi làm sản phẩm trước, làm bảo mật sau




Thường nhiều người có tâm niệm là cứ phát triển sản phẩm trước, sau đó mới bàn tới chuyện bảo mật. Nhưng khi bị hack rồi thì mới biết hậu quả như thế nào, ảnh hưởng cực kỳ lớn từ việc bị lộ lọt thông tin của khách hàng, uy tín công ty và nguy cơ phá sản, thậm chí dính đến cả pháp luật.





Tất cả do sự thiếu quan tâm tới dữ liệu của khách hàng.





Việc này xảy ra ở rất nhiều nơi, đặc biệt là một số công ty ở VN, chỉ tập trung phát triển sản phẩm mà quên đi vấn đề bảo mật.





Cyber Security là gì?





Cyber Security là gì?
Cyber Security là gì?




Các tổ chức, doanh nghiệp khi phát triển sản phẩm luôn đứng ở vị thế phòng thủ, tức là vừa phát triển sản phẩm, vừa phải bảo vệ hình ảnh, thương hiệu, cho tới bảo mật dữ liệu cá nhân khách hàng.





Nhưng hacker họ chỉ cần 1 lỗ hổng duy nhất, có thể từ bên trong (những yếu tố về con người) hoặc bên ngoài (tấn công hệ thống máy chủ, hệ thống tên miền, những gì liên quan tới sản phẩm, công nghệ)





Vì vậy việc phòng thủ phải bao quát rất nhiều thứ.





Cho nên an toàn thông tin (cyber security) trở thành dịch vụ thiết yếu của bối cảnh hiện đại.





Cyber Security được hiểu là một hành động nhằm phòng ngựa, ngăn chặn hoặc ngăn cản sự truy cập, sử dụng, chia sẻ, tiết lộ, phát tán, phá hủy hoặc ghi lại những thông tin chưa được sự cho phép của người chủ sở hữu.





Product Security là gì?





Product Security là gì?
Product Security là gì?




Năm 2021, có hơn 5 tỷ dữ liệu cá nhân bị lộ, lọt, bị hack. 





Bảo mật sản phẩm (Product security) trong thời đại thông tin là rất quan trọng. Các cuộc tấn công của hacker ngày càng trở nên nguy hiểm. Đồng thời người dùng cũng đang tìm kiếm các sản phẩm có xếp hạng an toàn cao.





Vậy bảo mật sản phẩm là gì?





Bảo mật sản phẩm (product security) là một quá trình tiếp cận rộng rãi và nó có thể thay đổi tùy vào các yếu tố như công nghệ được sử dụng, loại thị trường hoặc khách hàng.





Product Security nên tập trung vào mọi khía cạnh trong vòng đời của sản phẩm để làm cho sản phẩm trở nên an toàn nhất có thể.





Từ khi sản phẩm ra đời cho đến khi sản phẩm rút khỏi thị trường, bạn nên hành động theo cách tiếp cận bảo mật theo từng thiết kế trong từng bước. Điều này liên quan tới việc tập trung vào các mối đe dọa, cách giảm thiểu chúng và phân tích rủi ro tổng thể.





Quy trình này bao gồm các khía cạnh kỹ thuật như:





  • Đánh giá mã nguồn
  • Kiểm tra cơ sở hạ tầng
  • Kiểm tra thâm nhập từ bên ngoài (Pen test)
  • Kiểm tra tính bảo mật thông tin từ bên trong




Việc giảm thiểu các mối đe dọa trên không gian mạng là rất quan trọng để ra mắt 1 sản phẩm thành công.





Tại sao digital product security lại quan trọng?





Tại sao Digital Product Security lại quan trọng?
Tại sao Digital Product Security lại quan trọng?




Khi hacker tấn công một ứng dụng phần mềm, thường họ sẽ nhắm vào layer 7, là những thông tin dữ liệu. Điều cuối cùng hacker muốn là lấy những trí tuệ, sản phẩm phần mềm, mã nguồn, dữ liệu khách hàng và thông tin mật của công ty có giá trị lớn trên thị trường.





Bảo mật sản phẩm không chỉ đảm bảo sản phẩm của bạn được bảo vệ khỏi bị khai thác bởi hacker. Hiện rất nhiều người dùng quan tâm đến an toàn thông tin và bảo mật dữ liệu cá nhân. Điều này nghĩa là nhu cầu của thị trường đối với các sản phẩm an toàn ngày càng lớn.





Các công ty cần cho khách hàng thấy rằng họ quan tâm sâu sắc vào việc bảo mật dữ liệu của khách hàng. Các sản phẩm an toàn không chỉ ngăn ngừa việc mất tiền do bị vi phạm hay đánh cắp dữ liệu mà còn tăng thị phần hay sự tin tưởng của công ty. 





Một khảo sát cho Cisco thực hiện, 32% người trả lời có tâm lý lo ngại vấn đề bảo mật liên quan tới sản phẩm.





Vì vậy, việc phát triển 1 sản phẩm về mặt bảo mật vừa bảo vệ sản phẩm, vừa bảo vệ, giữ chân khách hàng là rất quan trọng.





Security Guideline – Hướng dẫn bảo mật





Hướng dẫn bảo mật - Security Guideline
Hướng dẫn bảo mật – Security Guideline




Information





Phải luôn bảo vệ thông tin và cải thiện sự minh bạch về việc thu thập thông tin, lộ lọt thông tin thế nào và tại sao cần thông tin đó đều phải được chỉ rõ cho khách hàng.





Đó là lý do một công ty hay tập đoàn đưa ra sản phẩm thì đều có những guideline như security guideline, privacy guideline cho khách hàng.





Communication





Thường các công ty nếu chia sẻ việc phát triển sản phẩm với nhau thì phải hoàn toàn được bảo mật và mang tính minh bạch giữa các thành viên trong team phát triển sản phẩm. Để đảm bảo những thông tin này không ảnh hưởng tới quy trình phát triển của sản phẩm.





Có nhiều sản phẩm được phát triển nhưng vô tình để lộ mật khẩu nhạy cảm hoặc API key mà quên xóa đi hoặc vô tình chia sẻ. 





Hardware





Phần cứng cần phải được nâng cấp thường xuyên. 





Software





Không nên sử dụng phần mềm crack, lậu để phát triển sản phẩm, nhằm tránh các nguy cơ ảnh hưởng tính bảo mật sản phẩm





Phải đảm bảo phần mềm luôn được cập nhật phiên bản mới nhất





Physical security





Nói về độ an toàn trong bản thân tổ chức, như có bảo vệ hay không, có mã vạch, xác nhân Face ID, giới tính nhân viên trước khi vào công ty





Thường xuyên trò chuyện, tìm hiểu, quan sát hành vi nhân viên để tránh tình trạng nhân viên mua bán dữ liệu, sử dụng vào mục đích xấu.  





Personal security





Liên quan tới khách hàng như phải luôn educate quyền của user, chỉ rõ những gì họ nên làm, hoặc không nên làm.





Organization security





Theo chuẩn ISO.





Giải pháp thực hiện bảo mật 





Để đảm bảo sản phẩm an toàn và thu hút khách hàng quan tâm đến quyền riêng tư. Có một số giải pháp bạn có thể thực hiện theo





Bảo mật ngay từ đầu





Trước khi bắt tay phát triển sản phẩm, hãy tự hỏi và trả lời rằng ‘tôi có thể tạo ra một sản phẩm an toàn hay không?’ ‘làm cách phát triển các cấp độ của các giao thức bảo mật trong suốt vòng đời sản phẩm?’





Phải có một chiến lược bảo mật





Tích hợp các hệ thống bảo mật nhiều lớp với các quy trình xem xét nghiêm ngặt gồm xem xét mã nguồn, quét nội bộ, kiểm tra thâm nhập để tiếp cận toàn diện hệ thống sản phẩm.





Phải có kế hoạch B, C cho bất cứ rủi ro tiềm ẩn nào





Phải luôn phòng bệnh hơn chữa bệnh





Luôn kiểm tra lại bảo mật





Trong quá trình bảo mật và khi đưa sản phẩm ra thị trường. 





Thực hiện bảo mật trong mọi bộ phận của sản phẩm như hạ tầng, thiết kế sản phẩm và giao diện người dùng…





Nhân viên chịu trách nhiệm cho 60% các cuộc tấn công an ninh mạng. Yếu tố con người đóng góp rất quan trọng trong vấn đề này.





Nhận thức an toàn thông tin





Mọi người hay nghĩ một hệ thống an toàn thì mình đã an toàn rồi nhưng không phải vậy. Hệ thống an toàn khi mình có đủ nhận thức thì mới làm cho hệ thống an toàn thực sự, mới tận dụng hết các tính năng an toàn của nó.





Cho nên vấn đề ở đây là nhận thức, vừa phải nhận thức an toàn cho người sử dụng, vừa phải nhận thức an toàn thông tin cho khách hàng.





Đưa bảo mật vào nề nếp





Từ khi sản phẩm ra đời, hoàn thành, bảo mật phải được xem xét qua mọi giai đoạn vòng đời của sản phẩm. Điều đó phải ăn sâu vào văn hóa công ty để có kết quả tốt nhất như áp dụng các tiêu chuẩn sản phẩm.





  • ISO 27001, 27002: Các tiêu chuẩn này cung cấp cấu trúc để triển khai hệ thống, phải thực hiện theo để đảm bảo bảo mật ở cấp độ tổ chức).
  • ISO 15408: Tiêu chí chung – bộ hướng dẫn và thông số kỹ thuật quốc tế được phát triển để đánh giá sản phẩm, bảo mật thông tin cho mục đích sử dụng của CP. Có thể áp dụng cho các phần cứng, mềm, sủng hoặc liên quan tới thư viện sản phẩm.
  • Tiêu chuẩn an ninh mang NIST của Mỹ, cung cấp các hướng dẫn giúp tổ chức quản lý và hạn chế các rủi ro an ninh mạng.




Coding Security – Lập trình theo tâm thế bảo mật





Code review - Lập trình theo tâm thế bảo mật
Code review – Lập trình theo tâm thế bảo mật




Developer hiện nay không chỉ cần biết về vấn đề lập trình, mà còn phải biết về vấn đề bảo mật như OWASP. Chỉ cần 1 lỗ hổng nguy hiểm thì toàn bộ những gì được phát triển sẽ thất bại. Nên họ cần phải để tâm tới vấn đề lập trình mà còn là vấn đề bảo mật.





Security Officer thường quan tâm nhiều về bảo mật, biết những vấn đề như lỗ hổng bảo mật, khả năng bị tấn công. 





2 người này phải phối hợp với nhau chặt chẽ để đưa ra một định hướng cụ thể để đảm bảo vận hành sản phẩm trơn tru.





Coding review sẽ giúp đạt mục tiêu này nhanh hơn như OWASP Top 10.





Infrastructure Hardening 





Bảo mật hạ tầng của hệ thống.





Quá trình planning hệ theo chuẩn dưới hình từ Design tới Build, Test và Production.





Cách tiếp cận tổng quan đối với bảo mật
Cách tiếp cận tổng quan đối với bảo mật




  • Bảo mật cần phải làm gì, tiên đoán trước
  • Coding guideline, coding security
  • Pen test hệ thống, thuê 1 đội hoặc nhân viên an toàn thông tin
  • Sử dụng phần mềm để rà, quét những lỗ hổng bảo mật trên hệ thống hoặc sử dụng WAF để phòng thủ, bảo vệ khỏi các cuộc tấn công.




Quy trình bảo mật trên thực tế
Quy trình bảo mật trên thực tế




Penetration testing (Pen Test)





Penetration Test
Penetration Test




Sau khi sản phẩm hoàn thiện, đây là phần cuối cùng trước khi đưa sản phẩm ra ngoài. Nó bao gồm bảo mật kỹ lưỡng từ team dev tới team hệ thống quản trị, có thể nhờ tới Pen tester, có thể apply project trên các chương trình bug party (để hacker trên thế giới hack vào hệ thống).





Yếu tố con người chiếm tới 60% trong vấn đề bảo mật: không biết đặt mật khẩu sao cho an toàn, không sử dụng bảo mật 2 bước, quản trị hệ thống không cài firewall cho quản trị để ngăn chặn truy cập từ bên ngoài, dẫn tới lộ lọt thông tin.





Lưu ý đối với Pen test:





Pen test không phải cách hiệu quả nhất để tăng cường bảo mật sản phẩm. Bởi vì bản chất nó không phải là cải tiến về bảo mật mà chỉ là quy trình để xác định vấn đề bảo mật. Còn việc xác định những vấn đề bảo mật, lỗ hổng chưa được biết tới hoặc chưa từng tồn tại sẽ mất rất nhiều thời gian. 





Thường chi phí thực hiện Pen test sẽ rất cao, nên một giải pháp rẻ hơn là ngăn chặn lỗ hổng bảo mật ngay từ ban đầu.









Các phần mềm phụ thuộc





Nhiều lập trình viên chỉ cần biết mỗi Java, chỉ cần code, không quan tâm tới các yếu tố xung quanh như hệ điều hành, các dịch vụ đang chạy và thư viện bên thứ 3. Tư duy như vậy sai.





Họ cần phải nắm những vấn đề phụ thuộc để đưa ra các tính năng phù hợp và đưa ra các tiêu chuẩn bảo mật phù hợp.





Hacker chỉ cần 1 trong các layer bị lỗi là có thể vào được hệ thống





Một số Security Tips đơn giản bạn nên áp dụng 





1. Luôn cập nhật phần mềm





2. Tránh mở các email đáng ngờ





3. Luôn cập nhật phần cứng





4. Sử dụng các giải pháp chia sẻ tập tin, luôn đặt mật khẩu tập tin để tránh mất 





5. Sử dụng phần mềm diệt virus





6. Sử dụng VPN cá nhân hóa việc riêng tư, đảm bảo kết nối được an toàn





7. Đừng lười đặt mật khẩu, các mật khẩu theo nickname, tên người yêu, cá nhân, từ khóa từ điển





8. Tắt bluetooth khi không cần thiết





9. Bật xác thực 2 bước





10. Loại bỏ phần mềm quảng cáo, dẫn dụ vào các trang độc hại





11. Kiểm tra trang web đang truy cập có https 





12. Không lưu thông tin quan trọng ở những nơi không an toàn (Zalo, Facebook)





13. Quét virus các thiết bị bên ngoài, tránh sử dụng wifi nơi công cộng





14. Tránh tâm lý cho rằng đủ an toàn trên không gian mạng





15. Đầu tư nâng cấp bảo mật, sao lưu dữ liệu quan trọng vào hệ thống điện toán đám mây, luôn đặt mật khẩu, mã hóa ổ cứng





16. Đào tạo nhân viên, nâng cao tầm nhận thức về an toàn bảo mật





17. Sử dụng https cho trang web







Video buổi Technical Event #05 ngày 19/02/2022




Nguồn: Gambaru.io