TỔNG QUAN VỀ BẢO MẬT THEO YÊU CẦU

Hướng dẫn của CISA và FBI về bảo mật theo yêu cầu

Để giúp các tổ chức sử dụng phần mềm hiểu được cách tiếp cận của nhà sản xuất đối với an ninh mạng, ngày 06/8/2024 Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) và Cục Điều tra Liên bang Mỹ (FBI) đã công bố Hướng dẫn Bảo mật theo yêu cầu. Hướng dẫn nhằm thúc đẩy hệ sinh thái công nghệ bảo mật, giúp các tổ chức mua phần mềm hiểu rõ hơn về cách tiếp cận của nhà sản xuất phần mềm đối với an ninh mạng và đảm bảo rằng bảo mật theo thiết kế là một trong những yêu cầu cốt lõi của họ.

Hướng dẫn này là đối trọng với hướng dẫn Bảo mật theo thiết kế của CISA dành cho các nhà sản xuất công nghệ, trong đó ba nguyên tắc bảo mật theo thiết kế được nêu là:

- Chịu trách nhiệm về kết quả bảo mật của khách hàng.

- Chấp nhận sự minh bạch và trách nhiệm giải trình triệt để.

- Xây dựng cơ cấu tổ chức và lãnh đạo để đạt được các mục tiêu trên.

Ngày nay, khi các tổ chức thực hiện thẩm định đối với các nhà sản xuất phần mềm của mình, họ thường tập trung vào các biện pháp bảo mật doanh nghiệp của nhà sản xuất, chẳng hạn như đảm bảo nhà sản xuất đáp ứng các tiêu chuẩn tuân thủ về bảo mật và an toàn thông tin. Mặc dù bảo mật doanh nghiệp rất quan trọng nhưng khách hàng cũng cần tập trung vào cách nhà sản xuất tiếp cận đối với bảo mật sản phẩm. Bảo mật doanh nghiệp đề cập đến các hoạt động bảo vệ cơ sở hạ tầng và hoạt động của chính tổ chức, trong khi bảo mật sản phẩm đề cập đến các hành động mà nhà sản xuất phần mềm thực hiện để đảm bảo sản phẩm họ cung cấp an toàn trước những nguy cơ tấn công. Có nhiều tiêu chuẩn tuân thủ được các tổ chức, cá nhân áp dụng trong quá trình mua sắm tập trung vào bảo mật doanh nghiệp, ngược lại, có khá ít tiêu chuẩn tập trung vào bảo mật sản phẩm. Hướng dẫn của CISA thu hẹp khoảng cách trên bằng cách cung cấp các nguồn lực mà các tổ chức có thể tận dụng để đánh giá mức độ trưởng thành của bảo mật sản phẩm và liệu nhà sản xuất có tuân thủ các nguyên tắc bảo mật theo thiết kế hay không.

Áp dụng bảo mật sản phẩm vào các giai đoạn của vòng đời mua sắm

Các tổ chức có thể áp dụng các hướng dẫn về bảo mật sản phẩm vào nhiều giai đoạn khác nhau trong quy trình mua sắm:

- Trước khi mua sắm, đặt câu hỏi để hiểu cách tiếp cận của từng nhà sản xuất phần mềm đối với vấn đề bảo mật sản phẩm.

- Trong quá trình mua sắm, tích hợp các yêu cầu về bảo mật sản phẩm vào soạn thảo hợp đồng khi cảm thấy cần thiết.

- Sau khi mua sắm, thường xuyên đánh giá bảo mật sản phẩm và kết quả bảo mật của nhà sản xuất phần mềm.

NHỮNG CÂU HỎI ĐẶT RA ĐỐI VỚI NHÀ SẢN XUẤT PHẦN MỀM

Khách hàng nên đặt ra những câu hỏi đối với nhà sản xuất phần mềm để đánh giá được mức độ bảo mật của sản phẩm và để đảm bảo chất lượng cũng như kết quả bảo mật tích cực cho khách hàng. Dưới đây là những nội dung mà khách hàng cần nắm được từ nhà sản xuất.

Cam kết bảo mật

- Nhà sản xuất đã thực hiện Cam kết Bảo mật theo Thiết kế của CISA hay chưa?

- Nhà sản xuất làm thế nào để khách hàng có thể dễ dàng cài đặt bản vá bảo mật? Nhà sản xuất có cung cấp hỗ trợ cho các bản vá bảo mật trên diện rộng và cho phép chức năng cập nhật tự động không?

- Yêu cầu nhà sản xuất đưa ra Cam kết đã công khai, cam kết thực hiện và chứng minh việc sản xuất phần mềm được thiết kế an toàn. Ngoài việc giúp bảo mật các sản phẩm được sử dụng, những cam kết này sẽ giúp bảo vệ tổ chức bằng cách bảo mật công nghệ mà cơ sở hạ tầng quan trọng của tổ chức dựa vào.

Xác thực an toàn

- Sản phẩm có được hỗ trợ xác thực an toàn hay không?

- Nhà sản xuất có hỗ trợ tích hợp đăng nhập một lần (SSO) cho khách hàng không?

- Nếu nhà sản xuất phần mềm quản lý xác thực, liệu họ có bật xác thực đa yếu tố (MFA) hoặc các hình thức xác thực chống lừa đảo khác không?

- Nhà sản xuất phần mềm đã loại bỏ mật khẩu mặc định trong sản phẩm của mình chưa? Nếu chưa, liệu họ có nỗ lực giảm việc sử dụng mật khẩu mặc định trên các dòng sản phẩm của mình không? Mật khẩu mặc định, được CISA định nghĩa là mật khẩu được chia sẻ chung có sẵn theo mặc định trên toàn bộ sản phẩm. Mật khẩu mặc định nên được thay thế bằng các cơ chế xác thực an toàn hơn, chẳng hạn như mật khẩu ngẫu nhiên, duy nhất cho từng sản phẩm. Ngoài ra, MFA là biện pháp phòng thủ tốt nhất chống lại các cuộc tấn công dựa trên mật khẩu.

Loại bỏ các lỗ hổng dễ bị khai thác

Nhà sản xuất phải xử lý có hệ thống toàn bộ các loại lỗi phần mềm trên các sản phẩm của mình. Các câu hỏi nên được đặt ra là:

- Nhà sản xuất phần mềm đã xử lý có hệ thống những loại lỗ hổng nào trong sản phẩm của họ?

- Đối với những vấn đề mà nhà sản xuất phần mềm chưa giải quyết, liệu họ có lộ trình để giải quyết lỗ hổng đó không? Phần lớn các lỗ hổng bị khai thác hiện nay (hoặc lỗi sản phẩm) có thể ngăn ngừa ở quy mô lớn. Các nhà sản xuất phần mềm có thể giảm rủi ro cho khách hàng bằng cách loại bỏ các loại lỗ hổng trên toàn bộ sản phẩm của họ.

Nhật ký bảo mật

Các nhà sản xuất phần mềm nên cung cấp nhật ký bảo mật sản phẩm cho khách hàng. Đối với các nhà cung cấp dịch vụ đám mây và nhà cung cấp phần mềm dưới dạng dịch vụ (SaaS), nhà sản xuất phần mềm nên lưu giữ và cung cấp cho khách hàng nhật ký bảo mật trong ít nhất sáu tháng mà không tính thêm phí. Nhật ký nên bao gồm các nội dung như:

- Thay đổi cấu hình hoặc đọc cài đặt cấu hình;

- Nhận dạng (ví dụ: đăng nhập và tạo mã thông báo) và luồng mạng nếu có;

- Truy cập dữ liệu hoặc tạo dữ liệu liên quan đến tổ chức.

Các tổ chức phải có khả năng phát hiện các sự cố an ninh mạng đã xảy ra và hiểu được những gì đã xảy ra. Các nhà sản xuất phần mềm có thể cho phép khách hàng của họ làm như vậy bằng cách cung cấp các hiện trạng và khả năng để thu thập bằng chứng về các cuộc xâm nhập, chẳng hạn như nhật ký kiểm toán của khách hàng. Khi làm như vậy, các nhà sản xuất phần mềm theo nguyên tắc Bảo mật thiết kế nắm quyền sở hữu kết quả bảo mật của khách hàng.

Bảo mật chuỗi cung ứng phần mềm

Nhà sản xuất phần mềm phải duy trì và chia sẻ dữ liệu nguồn gốc của các phần mềm phụ thuộc của bên thứ ba và có quy trình để quản lý việc sử dụng và phát triển phần mềm mã nguồn mở.

Nhà sản xuất cần có danh mục vật tư phần mềm (SBOM) theo định dạng chuẩn, có thể đọc được bằng máy và cung cấp cho khách hàng. Tổ chức cần xem xét SBOM có liệt kê tất cả các phụ thuộc của bên thứ ba, bao gồm các thành phần phần của mềm mã nguồn mở không?

Nhà sản xuất kiểm tra tính bảo mật của các thành phần phần mềm mã nguồn mở đó như thế nào? Nhà sản xuất phần mềm có quy trình đã thiết lập để thực hiện việc này không? Các nhà sản xuất nên coi bảo mật phần mềm phụ thuộc của bên thứ ba là phần mở rộng bảo mật của riêng họ. Để đạt được mục đích đó, các nhà sản xuất nên liên tục duy trì dữ liệu về nguồn gốc của các phụ thuộc, chia sẻ dữ liệu này với khách hàng và thiết lập các quy trình để quản lý việc sử dụng và đóng góp của họ vào các thành phần phần mềm nguồn mở.

Tiết lộ và báo cáo lỗ hổng

Nhà sản xuất phần mềm phải chứng minh tính minh bạch và kịp thời trong việc báo cáo lỗ hổng cho cả sản phẩm tại chỗ và trên đám mây.

Khách hàng nên xem xét việc nhà sản xuất có bao gồm chính xác các trường "Liệt kê điểm yếu phổ biến" (Common Weakness Enumeration - CWE) và "Liệt kê nền tảng phổ biến" (Common Platform Enumeration - CPE) trong mọi bản ghi "Liệt kê lỗ hổng phổ biến" (Common Vulnerabilities and Exposures - CVE) cho các sản phẩm phần mềm hay không. Điều này giúp xác định rõ ràng các lỗ hổng bảo mật và nền tảng liên quan, đảm bảo hiệu quả trong việc quản lý và khắc phục các vấn đề bảo mật. Nhà sản xuất phần mềm có công bố chính sách tiết lộ lỗ hổng bảo mật cho phép công chúng thử nghiệm các sản phẩm do nhà sản xuất cung cấp không?

Các bản ghi CVE kịp thời, chính xác và đầy đủ cho phép công khai minh bạch về các xu hướng lỗ hổng theo thời gian, giúp truyền đạt các hành động mà khách hàng nên thực hiện để bảo vệ chống lại các lỗ hổng. Điều này có lợi cho các tổ chức và cá nhân, cũng như ngành công nghiệp phần mềm nói chung, cho phép các nhà phát triển phần mềm hiểu rõ hơn về các lỗ hổng nguy hiểm. Việc phát hành CVE có giá trị ngay cả đối với các sản phẩm SaaS. Việc tiết lộ thông tin về lỗ hổng đã trở thành chuẩn mực có lợi cho cả hai bên để hợp tác với các nhà nghiên cứu bảo mật. Các nhà sản xuất phần mềm thiết lập chính sách tiết lộ lỗ hổng được hưởng lợi từ việc nhận được sự trợ giúp từ cộng đồng nghiên cứu bảo mật, cho phép họ bảo mật sản phẩm của mình tốt hơn. Các nhà nghiên cứu bảo mật nhận được sự cho phép để thử nghiệm theo chính sách, ngoài ra còn có một kênh rõ ràng để báo cáo sự xuất hiện của lỗ hổng.

KẾT LUẬN

Bảo mật theo yêu cầu đóng vai trò quan trọng trong việc đảm bảo an toàn thông tin trong môi trường số hóa ngày càng phức tạp. Khả năng đáp ứng các yêu cầu bảo mật đặc thù của từng tổ chức và cá nhân giúp nâng cao hiệu quả bảo vệ dữ liệu, ngăn chặn các mối đe dọa và rủi ro. Việc tùy chỉnh các giải pháp bảo mật theo yêu cầu cũng tạo điều kiện cho việc tối ưu hóa nguồn lực và nâng cao hiệu suất hệ thống. Do đó, việc phát triển và triển khai các chiến lược bảo mật theo yêu cầu không chỉ là một xu hướng, mà còn là một nhu cầu cấp thiết để duy trì sự an toàn và bền vững trong kỷ nguyên công nghệ số hiện nay.