Trong bối cảnh chuyển đổi số đang được diễn ra hàng ngày, hàng giờ, các doanh nghiệp cũng không ngừng áp dụng nhiều công nghệ mới để chuyển mình bứt phá theo tốc độ phát triển chóng mặt của thị trường. Hệ thống công nghệ thông tin (CNTT) càng mở rộng đồng nghĩa với hạ tầng CNTT càng trở nên phức tạp, trải dài từ các thiết bị IoT, OT đến những hệ thống triển khai trên nền tảng điện toán đám mây. Điều này vô tình làm gia tăng rủi ro về tấn công mạng theo cấp số nhân.
Thay vì phòng thủ bằng những biện pháp bảo mật thụ động, đã đến lúc doanh nghiệp Việt cần “đảo ngược thế cờ”, đưa ra những nước đi chủ động trong việc bảo vệ và đánh giá tính hiệu quả của hạ tầng bảo mật đã đầu tư. Những lỗ hổng bảo mật cần được nhanh chóng nhận diện để kịp thời đưa ra phương án bảo vệ trước khi doanh nghiệp trở thành nạn nhân của tấn công mạng, đảm bảo hệ thống luôn trong tình trạng tốt nhất. Nhiều doanh nghiệp đã tìm được lời giải cho bài toán này từ hội thảo trực tuyến “Đón đầu nguy cơ, giảm thiểu rủi ro từ các cuộc tấn công mạng cùng Viettel Cyber Security” do Công ty An ninh mạng Viettel (Viettel Cyber Security - VCS) tổ chức.
Nắm thế chủ động trước nguy cơ tấn công mạng
Tại Hội thảo, ông Mai Xuân Cường, Giám đốc An ninh Hệ thống ứng dụng - VCS đã có bài chia sẻ về Hệ sinh thái Pentest của VCS. Đây là hình thức kiểm tra đánh giá An toàn thông tin cho hệ thống của khách hàng có thể vấn đề, nguy cơ về ATTT hay không, bằng cách đóng vai tin tặc và giả lập các vụ tấn công thử nghiệm vào hệ thống của khách hàng.
Để tạo khác biệt và có những ưu điểm vượt trội so với khái niệm Pentest đã quen thuộc với thị trường, VCS đã thực hiện cuộc “Công nghiệp hoá” Pentest với sự chuẩn hóa, đồng bộ tại 3 khía cạnh: Quy trình - Công cụ - Con người, cho phép các tổ chức, doanh nghiệp triển khai dịch vụ ở quy mô số lượng lớn với chất lượng đồng đều, tính chuẩn hóa, kiểm soát nguồn nhân lực và đề cao tính chuyên nghiệp.
Về quy trình, VCS tiến hành chuẩn hóa danh mục công việc cũng như danh mục lỗ hổng, đảm bảo không bị bỏ sót bất kỳ lỗ hổng nào trên các lớp ứng dụng của khách hàng. Đồng thời, VCS đã áp dụng quy trình lên nền tảng xPentest có khả năng tùy biến cao, nhằm kiểm soát chất lượng đầu ra, tối ưu kết quả và cho phép người dùng quản lý vòng đời lỗ hổng chuyên nghiệp. Điểm khác biệt lớn nhất tại hệ sinh thái Pentest của VCS chính là đội ngũ nhân sự chuyên gia chất lượng cao được "chuẩn hóa" thông qua những chứng chỉ và kết quả nghiên cứu được cộng đồng quốc tế ghi nhận như: OSCP, OSWE, PortSwigger, CVE, BugBounty…
Tăng tốc phát triển và ra mắt phần mềm an toàn theo xu hướng mới
Cũng trong bối cảnh phải cạnh tranh về tốc độ ra mắt sản phẩm mới theo nhu cầu của thị trường, các doanh nghiệp Việt đang ứng dụng hai xu hướng mới: DevOps và CI/CD Cloud. Nếu xu hướng DevOps cho phép doanh nghiệp có thể thu hẹp khoảng cách giữa giai đoạn phát triển (Dev) và vận hành (Ops), đồng thời rút ngắn thời gian phát hành và giúp phần mềm thích ứng nhanh với nhu cầu thị trường, thì CI/CD Cloud giúp doanh nghiệp tuỳ chỉnh quy mô linh hoạt, tự động hoá và tiết kiệm chi phí.
Tuy nhiên hai hình thức này đều gây tác động không nhỏ tới cách thức triển khai Pentest của doanh nghiệp.
Nhằm giúp doanh nghiệp có thể yên tâm ứng dụng xu hướng mới, đồng thời đảm bảo yếu tố ATTT trong mỗi sản phẩm, phần mềm ra mắt thị trường, VCS xây dựng và phát triển hai giải pháp theo 2 xu hướng mới: Dịch vụ Bảo mật ứng dụng toàn diện (Devsec) và Dịch vụ Đánh giá ATTT hệ thống Cloud (Public Cloud Security Audit).
“DevSec là một quá trình đưa ATTT vào vòng đời phát triển phần mềm, biến việc phát triển, vận hành và bảo mật thành một chu trình khép kín, không tách rời”, ông Cường cho biết.
Đối với giải pháp Devsec, VCS hướng tới khả năng triển khai các “cổng bảo mật” (Security Gate) tự động, đồng thời thực hiện pentest định kỳ để tối ưu quy trình đánh giá và kiểm thử, không làm ảnh hưởng đến tiến độ dự án. Cùng với đó, giải pháp của VCS sẽ thực hiện đánh giá các biện pháp an toàn bảo mật được áp dụng tại tổ chức, xác định các vấn đề mà tổ chức đang gặp phải, từ đó tư vấn tích hợp và điều chỉnh chu trình Devsec phù hợp với mục tiêu kinh doanh của tổ chức.
Theo sát xu hướng chuyển đổi dữ liệu và hạ tầng lên cloud, dịch vụ đánh giá ATTT hệ thống Cloud sở hữu tính năng scan hệ thống ngay từ bên ngoài giúp phát hiện ra các lỗ hổng, đồng thời kiểm tra cấu hình, kiểm thử tự động theo các checklist chuẩn quốc tế và đưa ra tư vấn khắc phục thông qua báo cáo cuối cùng. Public Cloud Security Audit được xây dựng dựa trên các cách tiếp cận tiêu chuẩn trên thế giới, bao gồm cả việc “chuẩn hóa” nhân sự thực hiện. Giải pháp cho phép doanh nghiệp dù không thể thâm nhập sâu vào hệ thống cloud như sử dụng máy chủ truyền thống, vẫn có thể kiểm tra, đánh giá ATTT một cách hiệu quả.
Với hệ sinh thái giải pháp dịch vụ đánh giá ATTT trên hệ thống CNTT cũng như trên hạ tầng Cloud của Viettel Cyber Security, doanh nghiệp hiện nay có thể nhận diện và xử lý những nguy cơ tấn công mạng một cách chủ động, tự tin bứt phá mạnh mẽ trong kỷ nguyên siêu kết nối.
Đặng Nhung