Đánh giá an toàn hệ thống IoT và bảo mật ứng dụng toàn diện

Trước nhu cầu cấp bách của thị trường, Công ty An ninh mạng Viettel (Viettel Cyber Security - VCS) đã tổ chức hội thảo trực tuyến "Đánh giá an toàn hệ thống IoT và bảo mật ứng dụng toàn diện cho doanh nghiệp", đưa tới các giải pháp, dịch vụ giúp doanh nghiệp có thể tăng tốc độ phát hành sản phẩm, mở rộng hệ thống IoT (Internet vạn vật) đồng thời đảm bảo yếu tố về an toàn thông tin ATTT.

Giải pháp toàn diện đảm bảo ATTT trong thời đại IoT

Theo Báo cáo khảo sát xu thế IoT tại các doanh nghiệp 2021 của IoT Analytics, khả năng áp dụng IoT vào hoạt động của doanh nghiệp tăng mạnh (gần 54%). Tại Việt Nam, các thiết bị IoT được ứng dụng trong việc giám sát và xử lý từ xa, tự động hóa, hoạt động chuyên chở, lưu giữ và cung cấp hàng hóa, sản xuất công nghiệp…

Ông Mai Xuân Cường, Giám đốc An ninh Hệ thống ứng dụng - VCS cho biết, việc ứng dụng IoT đem đến hiệu quả và nguồn lợi cho các doanh nghiệp, tuy nhiên, đồng thời cũng mang lại những nguy cơ về ATTT như: Lỗ hổng bảo mật trong các thiết bị, nguồn gốc thiết bị không rõ ràng, leo thang tấn công vào mạng IT, lộ lọt dữ liệu nhạy cảm,..

Nhận thấy nguy cơ và rủi ro về ATTT của hệ thống IoT cho các doanh nghiệp, VCS đã xây dựng và phát triển Dịch vụ đánh giá An toàn hệ thống IoT (IoT Assessment). Đây là hình thức kiểm tra phần cứng, firmware, các giao thức, các ứng dụng di động và hệ thống đám mây của khách hàng để đánh giá các rủi ro ATTT tiềm ẩn, từ đó đưa ra giải pháp xử lý kịp thời.

Theo ông Cường, quan điểm tiếp cận của VCS khi triển khai dịch vụ là thông qua lab thử nghiệm lỗ hổng trên đa dạng thiết bị; tiếp cận theo tiêu chuẩn thế giới; thực hiện đánh giá tổng thể từ phần cứng, fimware đến ứng dụng, giao thức và hệ thống IT liên kết.

Với doanh nghiệp, tổ chức sử dụng IoT trong sản xuất, kinh doanh, Dịch vụ đánh giá An toàn hệ thống IoT thực hiện kiểm tra các tiêu chí ATTT của thiết bị bằng việc thống kê xác định các thông tin của thiết bị, xác định cổng dịch vụ, mật khẩu, điểm yếu, lỗ hổng và rà soát cửa hậu (backdoor). Sau đó, thực hiện đánh giá các hệ thống liên quan có tham gia kết nối di động, web, đám mây và giao thức nhằm phát hiện các lỗ hổng.

Với nhà sản xuất thiết bị dịch vụ, VCS sẽ tư vấn về quá trình nâng cao tính bảo mật, triển khai biện pháp bảo vệ theo quá trình khởi động và ngoại vi, thực hiện đánh giá lỗ hổng trên các thiết bị, kiểm tra cấu hình thiết bị, rà soát thiết lập hạ tầng và đưa ra cách tư vấn khắc phục.

DevSecOps – Tương lai của an ninh bảo mật ứng dụng toàn diện

Hiện nay, việc ra mắt một sản phẩm hay tính năng mới sớm giúp các doanh nghiệp tạo ra lợi thế cạnh tranh và đáp ứng được yêu cầu đa dạng từ phía khách hàng. Tuy nhiên, việc tăng tốc phát hành sản phẩm không được kiểm soát chặt chẽ sẽ có nguy cơ làm gia tăng các lỗ hổng bảo mật trong cả ứng dụng và hệ thống, từ đó có thể gây ra thiệt hại lớn về tài chính, uy tín của doanh nghiệp. Khi đó, giải pháp Bảo mật ứng dụng toàn diện (DevSecOps) ra đời vừa đáp ứng mục tiêu rút ngắn tối đa thời gian phát triển và chuyển giao phần mềm tới người dùng mà vẫn đảm bảo ATTT cho sản phẩm.

Bà Vũ Thị Mai Anh, Chuyên viên An ninh Hệ thống ứng dụng - VCS cho biết, DevSecOps là một quá trình đưa ATTT vào vòng đời phát triển phần mềm, biến việc phát triển, vận hành và bảo mật thành một chu trình khép kín, không tách rời. DevSecOps không chỉ dừng lại ở việc tích hợp công cụ, mà còn là mục tiêu thúc đẩy bảo mật trở thành văn hóa của tổ chức, đề cao việc hoàn thiện kỹ năng lập trình an toàn cho đội ngũ lập trình viên nội bộ.

Giải pháp Bảo mật ứng dụng toàn diện bao gồm tích hợp công cụ, tối ưu khả năng tự động hóa kiểm duyệt ATTT vào quy trình phát triển và triển khai phần mềm; chú trọng đào tạo nâng cao thúc đẩy văn hóa bảo mật cho doanh nghiệp. Trong đó, các công cụ được tích hợp như: Kiểm tra các công cụ nhạy cảm, IDE Plugin, quản lý các giá trị bí mật, phân tích phần mềm (SCA), kiểm tra bảo mật ứng dụng tĩnh (SAST), thực hiện kiểm tra bảo mật (DAST), bảng điều khiển trung tâm để chuẩn hóa dữ liệu, giám sát và cảnh báo.

Để giúp các doanh nghiệp sử dụng DevSecOps một cách hiệu quả, giải pháp của VCS sẽ thực hiện đánh giá các biện pháp an toàn bảo mật được áp dụng tại tổ chức, xác định các vấn đề mà tổ chức đang gặp phải. Từ đó tư vấn tích hợp chu trình DevSecOps, điều chỉnh DevSecOps phù hợp với mục tiêu kinh doanh của tổ chức.

Các chuyên gia ATTT của VCS cũng lưu ý thêm, thực tế, không có một quy trình đảm bảo ATTT nào phù hợp cho mọi tổ chức, doanh nghiệp và việc đưa bảo mật vào một chu trình đã tồn tại là điều không đơn giản. Để đảm bảo hoạt động hiệu quả, doanh nghiệp nên triển khai đồng thời nhiều giải pháp công nghệ bảo mật toàn diện, giúp tăng tốc độ phát hành sản phẩm, mở rộng hệ thống IoT và đảm bảo yếu tố về ATTT.