Khi các dây chuyền phần mềm đang bị tấn công với quy mô lớn hơn, điều này cho thấy các tin tặc đang tìm những phương pháp “ranh ma” hơn để thay đổi hoặc để lại những phần mềm độc hại vào thiết bị điện tử – có khả năng cao làm rò rỉ danh tính đặc quyền của các nhà phát triển hoặc các cá nhân có quản lý đặc quyền. Một khi mật khẩu bị đánh cắp, rất dễ dàng để biến đổi bảo mật an ninh của phần mềm và để lại những malware độc hại khó có thể phát hiện.
Rất nhiều người dùng và đặc biệt các developer sở hữu rất nhiều đặc quyền trong một môi trường công nghệ thông tin. Điều này khiến họ trở thành mục tiêu “béo bở” bởi họ có nhiều hoạt động trong môi trường công nghệ này. Theo như ông Traffanstedt, quản lý cấp cao của công nghệ toàn cầu của CyberArk, các tin tặc nhận thấy các developer là những con mồi dễ dàng với những quyền truy cập có thể chỉnh sửa nhiều hệ thống an ninh khác nhau – “Các tội phạm không gian mạng biết rằng developers được trao quyền hành rất nhiều”, ông nói. “ Chúng ta cần phải đảm bảo an ninh về danh tính cũng như các truy cập của họ mà không làm gián đoạn tiến trình công việc của họ.”
Vấn đề an ninh mạng trong dây chuyền DevOps
Các tội phạm an ninh mạng chọn developers làm mục tiêu vì nhiều lý do. Ví dụ như khai thác các đặc quyền họ được cung cấp theo yêu cầu để truy cập các ứng dụng và nền tảng khắp tập đoàn. Một số tổ chức có một số lượng lớn người dùng có được truy cập đặc quyền theo ngẫu nhiên, điều này giúp họ có được quyền truy cập cho dù họ có cần hay không.
Khó khăn là tìm ra một giải pháp đảm bảo các ứng dụng được triển khai và bảo mật mà không làm gián đoạn quá trình phát triển sản phẩm. “An ninh cần phải là một phần trong sự đảm bảo về chất lượng để tạo ra một nền tảng nơi developers có thể làm việc dễ dàng hơn.”, ông Traffanstedt nói.
May mắn thay, developer đang có những bước tiến triển lớn. Khi các tổ chức đang ứng dụng những hành vi tích cực từ DevSecOps, chúng ta đang thấy có nhiều nhận thức rõ ràng hơn về những điểm yếu của các dây chuyền phần mềm. Nhưng hầu hết các tổ chức không có nhiều thời gian trong việc chờ đợi các developers thành thạo hết các kỹ năng trong an ninh mạng, hoặc bắt buộc tuân theo các quy tắc an ninh bảo mật. Thách thức luôn nằm trong việc đạt mục tiêu đảm bảo quyền truy cập cho từng cá nhân mà không gây ảnh hưởng tới việc phát triển sản phẩm.
Nguy cơ trong quản lý an ninh mạng
Mục tiêu an ninh mạng luôn luôn là giảm thiểu rủi ro đến mức tối đa. Về vấn đề đảm bảo an toàn hệ thống chuỗi cung ứng đòi hỏi phải phản ứng và giải quyết nhanh nhất có thể. Đây là các bước để củng cố an ninh DevOps trong khi vẫn duy trì tốc độ của nhà phát triển, tập trung vào giải quyết nhiều vấn đề một cách hiệu quả nhất.
Nhiệm vụ đầu tiên của hoạt động kinh doanh bảo mật là luôn đảm bảo an toàn cho các máy trạm và các công cụ mà các nhà phát triển sử dụng thường xuyên.
1. Công cụ giám sát developers.
Đôi khi, các developers cần sử dụng một số công cụ một cách triệt để để viết các thuật toán, nên nhiều tổ chức đã giải quyết vấn đề này bằng cho toàn quyền truy cập vào máy chủ. “Mục tiêu là giảm thiểu, nếu không là xoá bỏ hoàn toàn số lượng máy chủ mà chúng ta có trong khi chỉ đưa ra quyền truy cập nhất định dựa vào chính sách của tổ chức.”, ông Traffanstedt nói.
2. Bảo mật hệ thống tự động hoá
Các hệ thống tự động hoá được sử dụng bởi các developer luôn luôn phải được giám sát để giảm thiểu những lỗi do máy móc. Đây được coi là điều cực kì quan trọng để quản lý và chuyển đổi các dữ liệu tối mật, và chúng luôn được giám sát một các chặt chẽ để đảm bảo không bị rò rỉ và phát sinh lỗi dữ liệu.
Nhiều công cụ và dịch vụ được cung cấp bởi các nhà cung cấp đám mây và nền tảng vùng chứa có một số khả năng quản lý bí mật được tích hợp sẵn. Tuy nhiên, mỗi công cụ có cách thức khác nhau về an ninh cũng như sự khác biệt về kinh nghiệm sử dụng ở giao diện khác nhau.
3. Xác định ưu tiên những đối tượng truy cập.
Bước tiếp theo là xác định những cá nhân có thể truy cập mã nguồn trong quá trình DevOps. Không phải bất kì các thành viên trong DevOps phải có đầy đủ quyền truy cập cho tất cả máy chủ có thể tạo nên một đường ống dẫn.
Các quyền truy cập có giới hạn có thể cho các developers nhiều linh hoạt dựa vào nhu cầu và vai trò của mỗi cá nhân. Khi các quyền truy cập này được yêu cầu mở rộng, các phòng ban an ninh mạng sẽ giám sát các tài nguyên đang được sử dụng bởi các cá nhân cụ thể. Trong nhiều trường hợp, các developers chỉ cần quyền local admin để lập trình. “Các tổ chức cần phải chắc chắn họ đang sử dụng phương pháp ít đặc quyền nhất để quản lý truy cập trong đường dẫn DevOps”, ông Traffanstedt nói.
Kết
Tại Vina Aspire, chúng tôi cung cấp giải pháp quản lí tài khoản đặc quyền CyberArk. Với cấu trúc của hệ thống quản lý mật khẩu đặc quyền cung cấp một “vùng an toàn” bên trong doanh nghiệp, nơi mà tất cả những mật khẩu đặc quyền được bảo mật, tự động quản lý, và chia sẻ giữa những người dùng được phép như nhân viên IT, nhân viên quản trị dữ liệu, nhân viên quản trị hay những dịch vụ, ứng dụng trong kinh doanh, hệ thống quản trị thông tin…
Vina Aspire là nhà cung cấp các giải pháp và dịch vụ CNTT và An ninh mạng, bảo mật, an toàn thông tin tại Việt Nam.Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức, cá nhân có nhu cầu tư vấn, xây dựng giải pháp và mua các sản phẩm, dịch vụ của CyberArk chính hãng tại Việt Nam, vui lòng liên hệ Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 |
Vina Aspire | www.vina-aspire.com