Bối cảnh mối đe dọa ngày nay không ngừng phát triển và hơn bao giờ hết, các tổ chức và doanh nghiệp trong mọi lĩnh vực có nhu cầu cấp thiết là phải sản xuất và duy trì phần mềm an toàn một cách nhất quán. Mặc dù một số ngành dọc – chẳng hạn như ngành tài chính – đã phải tuân theo các yêu cầu tuân thủ và quy định trong một thời gian, chúng tôi đang nhận thấy sự chú ý ngày càng tăng về các phương pháp hay nhất về an ninh mạng ở các cấp chính phủ cao nhất, với Hoa Kỳ, Vương quốc Anh và Gần đây, tất cả nước Úc đều đưa ra ánh sáng về nhu cầu phát triển an toàn ở mọi giai đoạn của SDLC.
Mặc dù vậy, những kẻ tấn công vẫn liên tục tìm ra những cách mới để vượt qua ngay cả những biện pháp bảo vệ và phòng thủ tiên tiến nhất. Ví dụ: nhiều người đã chuyển trọng tâm của họ từ phân phối phần mềm độc hại sang thay vào đó là xâm phạm API hoặc khởi chạy các cuộc tấn công có chủ đích nhằm vào chuỗi cung ứng. Và trong khi những sự cố cấp cao đó đang xảy ra với tần suất lớn hơn nhiều, thì những cách khai thác đơn giản hơn như cross-site scripting và SQL injection cũng vậy, cả hai đều là tai họa đối với hệ thống phòng thủ an ninh mạng trong nhiều thập kỷ. Mới tháng trước, một lỗ hổng SQL injection nghiêm trọng đã được báo cáo trong plugin WooC Commerce WordPress, với xếp hạng mức độ nghiêm trọng 9,8/10.
Rõ ràng là trong khi các nền tảng và hệ thống phòng thủ an ninh mạng là những thành phần quan trọng để chống lại các cuộc tấn công hiện đại, thì điều thực sự cần thiết là mã bảo mật có thể được triển khai mà không có lỗ hổng. Và điều đó đòi hỏi một sự nâng cao có chủ ý và cam kết trong các tiêu chuẩn mã hóa an toàn, do các nhà phát triển nhận thức về bảo mật thực hiện.
Nhiều nhà phát triển cho biết họ sẵn sàng bảo vệ tính bảo mật và cam kết thực hiện các tiêu chuẩn cao hơn về chất lượng mã và đầu ra an toàn, nhưng họ không thể làm điều đó một mình. Chúng tôi không thể bỏ qua nhu cầu của nhà phát triển trong cuộc chiến chống lại các lỗ hổng phổ biến và họ cần sự hỗ trợ của các công cụ và đào tạo phù hợp, cũng như làm lại các chỉ số truyền thống mà chủ lao động và tổ chức của họ thường đánh giá họ.
Tại sao hầu hết các nhà phát triển chưa ưu tiên bảo mật
Các phương pháp mã hóa tốt nhất đã tiếp tục phát triển qua nhiều năm, để đáp ứng nhu cầu kinh doanh và xu hướng thị trường. Trước đây, hầu hết các ứng dụng được tạo bằng cách sử dụng cái gọi là mô hình phát triển thác nước, nơi các kỹ sư phần mềm làm việc để mã của họ sẵn sàng đáp ứng một loạt các cột mốc hoặc mục tiêu đang diễn ra trước khi chuyển sang giai đoạn phát triển tiếp theo. Thác nước có xu hướng hỗ trợ phát triển các chương trình đã đáp ứng tất cả các mốc quan trọng trước đó trong suốt quá trình, không có lỗi hoặc lỗi vận hành vào thời điểm chúng sẵn sàng cho môi trường sản xuất. Nhưng theo tiêu chuẩn ngày nay, nó diễn ra rất chậm, đôi khi kéo dài tới 18 tháng hoặc hơn từ khi bắt đầu một dự án cho đến khi đi đến đích. Và điều đó sẽ không xảy ra ở hầu hết các công ty ngày nay.
Phương pháp nhanh nhẹn có xu hướng thay thế Thác nước, chú trọng nhiều hơn vào tốc độ. Và điều này được theo sau bởi DevOps, được xây dựng để có tốc độ cao hơn nữa bằng cách kết hợp quá trình phát triển và hoạt động với nhau để đảm bảo rằng các chương trình đã sẵn sàng để sản xuất gần như ngay sau khi chúng hoàn thành các tinh chỉnh phát triển cuối cùng.
Đặt tốc độ lên trên bảo mật và gần như mọi thứ khác ngoài chức năng là một điều cần thiết khi môi trường kinh doanh phát triển. Trong một thế giới dựa trên đám mây, nơi mọi người luôn trực tuyến và hàng triệu giao dịch di động có thể diễn ra cứ sau vài giây, thì việc triển khai phần mềm và đưa vào đường ống tích hợp liên tục và phân phối liên tục (CI/CD) càng nhanh càng tốt là nhiệm vụ tối quan trọng cho doanh nghiệp.
Không phải là các tổ chức không quan tâm đến bảo mật. Chỉ là trong môi trường kinh doanh cạnh tranh tồn tại trong hầu hết các ngành công nghiệp, tốc độ được coi là quan trọng hơn. Và các nhà phát triển có thể phù hợp với tốc độ đó đã phát triển đến mức nó trở thành phương tiện chính để đánh giá hiệu suất công việc của họ.
Giờ đây, khi các cuộc tấn công nâng cao đang gia tăng mạnh mẽ, việc triển khai mã dễ bị tổn thương đang trở thành một trách nhiệm pháp lý. Sở thích một lần nữa đang thay đổi, với việc bảo mật ngày càng trở thành trọng tâm chính của quá trình phát triển phần mềm, với tốc độ gần bằng giây. Tăng cường bảo mật sau khi thực tế không chỉ nguy hiểm mà còn làm chậm quá trình triển khai phần mềm. Điều đó đã dẫn đến sự gia tăng của phương pháp DevSecOps cố gắng kết hợp tốc độ và bảo mật với nhau để giúp tạo mã bảo mật và coi bảo mật là trách nhiệm chung. Tuy nhiên, các nhà phát triển được đào tạo để đạt được tốc độ thuần túy không thể nhận thức được bảo mật về mặt chức năng nếu không có nhiều hỗ trợ từ tổ chức của họ.
Nhà phát triển cần gì để thực sự tạo ra tác động trong việc giảm lỗ hổng
Tin tốt là hầu hết các nhà phát triển đều muốn thấy sự thay đổi sang viết mã an toàn và sắp xếp lại ưu tiên cho bảo mật như một phần của quá trình phát triển. Trong một cuộc khảo sát toàn diện do Evans Data thực hiện với hơn 1.200 nhà phát triển chuyên nghiệp đang tích cực làm việc trên khắp thế giới vào đầu năm nay, đại đa số cho biết họ ủng hộ khái niệm tạo mã an toàn. Hầu hết cũng mong đợi nó sẽ trở thành một ưu tiên trong các tổ chức của họ. Tuy nhiên, chỉ 8% số người được hỏi nói rằng việc viết mã bảo mật là dễ thực hiện. Điều đó để lại rất nhiều cơ hội để cải thiện trong hầu hết các nhóm phát triển của tổ chức giữa những gì cần thiết và những gì cần thiết để đạt được điều đó.
Chỉ đơn giản bắt buộc mã bảo mật sẽ không hoàn thành công việc và nếu không nỗ lực xây dựng các kỹ năng và nhận thức phù hợp, điều đó sẽ gây gián đoạn lớn cho quy trình làm việc của họ. Các nhóm phát triển cần tồn tại trong một môi trường nuôi dưỡng tư duy bảo mật của họ và thúc đẩy văn hóa chia sẻ trách nhiệm.
Điều quan trọng nhất cần thiết là đào tạo tốt hơn cho họ, tiếp theo là các công cụ giúp mã hóa an toàn trở thành một phần liền mạch trong quy trình làm việc của họ. Và chương trình nên được tùy chỉnh để các nhà phát triển ít kinh nghiệm hơn có thể bắt đầu đào tạo bằng cách học cách nhận biết các loại lỗ hổng phổ biến thường len lỏi vào mã, với rất nhiều ví dụ và học tập thực hành. Trong khi đó, các nhà phát triển nâng cao hơn, những người thể hiện kỹ năng bảo mật của họ, thay vào đó có thể được giao nhiệm vụ xử lý các lỗi phức tạp hơn và thậm chí có thể là các khái niệm mô hình hóa mối đe dọa nâng cao.
Ngoài việc tài trợ và hỗ trợ các chương trình đào tạo, bao gồm cả việc cho các nhà phát triển đủ thời gian không viết mã để tham gia đúng vào các chương trình đó, các tổ chức cũng cần thay đổi cách đánh giá nhóm của họ. Số liệu chính để thưởng cho các nhà phát triển cần chuyển từ tốc độ thô. Thay vào đó, các đánh giá có thể thưởng cho những người có thể tạo mã an toàn không có lỗ hổng hoặc khai thác. Vâng, tốc độ cũng có thể là một yếu tố được đánh giá, nhưng trước hết, mã cần phải được bảo mật và sự phát triển hiện đại cần tạo ra một con đường mà bảo mật ở tốc độ không còn là chuyện hoang đường.
Vận chuyển mã không an toàn hoặc dễ bị tổn thương không phải là rủi ro kinh doanh có thể chấp nhận được và việc tăng cường bảo mật sau khi thực tế ngày càng trở nên kém hiệu quả. Rất may, vũ khí tốt nhất để chống lại xu hướng đáng lo ngại này là nhờ cộng đồng nhà phát triển sản xuất mã an toàn mà kẻ tấn công không thể khai thác. Hầu hết các nhà phát triển sẵn sàng vượt qua thử thách đó; cung cấp cho họ sự hỗ trợ để làm cho nó xảy ra.
Secure Code Warrior là một trong bốn công ty có tên trong báo cáo Gartner® Cool Vendors™ về Kỹ thuật phần mềm: Nâng cao năng suất của nhà phát triển. Chúng tôi sẵn sàng giúp các nhóm phát triển điều hướng sự phức tạp của việc phát triển phần mềm an toàn bằng các công cụ phù hợp với thế giới của họ. Tìm hiểu thêm.
Lưu ý — Bài viết này được viết và đóng góp bởi Matias Madou, CTO & Đồng sáng lập, Secure Code Warrior.
