thelonervn
Active member
Các lỗ hổng phần mềm, thường là điểm bị tấn công phổ biến nhất của các tội phạm mạng, từ vụ tấn công SolarWinds ảnh hưởng tới hơn 18,000 tổ chức, cho đến lỗ hổng Log4j tác động đến 48.3% tổ chức trên khắp thế giới. Việc quản lý rủi ro bảo mật của các nhà cung cấp đang ngày càng trở nên phức tạp hơn chưa từng có.
Khi bàn về việc quản lý rủi ro bảo mật, thường thì phản ứng sau sự cố là điều mà ta nghĩ đến trước tiên. Mặc dù việc có kế hoạch ứng phó sau sự cố để giải quyết hậu quả của hành vi xâm phạm là cần thiết, nhưng việc đặt sự bảo mật cho phần mềm ngay từ giai đoạn phát triển để ngăn chặn việc xảy ra các sự cố tương tự từ đầu cũng không kém phần quan trọng.
Được hướng dẫn bởi Khung công cụ Phát triển Phần mềm Bảo mật An toàn của NIST (SSDF), Vòng đời Phát triển Bảo mật (SDL) là một phương pháp ngày càng phổ biến, cung cấp cách tiếp cận hệ thống giúp giảm thiểu rủi ro bảo mật và đảm bảo tuân thủ các yêu cầu quản lý. Mặc dù các công ty có thể định nghĩa SDL theo cách khác nhau, nguyên tắc cơ bản vẫn không thay đổi, hỗ trợ các nhà phát triển tiêu chuẩn hóa và xây dựng một sản phẩm cực kỳ an toàn từ đầu đến cuối.
Vậy, Synology đã triển khai điều này bằng cách nào?
Với vai trò là nhà cung cấp dịch vụ lưu trữ, Synology hiểu rõ giá trị của dữ liệu mà khách hàng giao phó. Đó là lý do tại sao, về mặt ưu tiên, công ty này đặt bảo mật lên hàng đầu. Nhóm ứng phó sự cố bảo mật sản phẩm (PSIRT) của họ đã xây dựng một quy trình phát triển phần mềm có bốn giai đoạn (Thiết kế, Phát triển, Xác minh, Phát hành). Mục tiêu chính là đảm bảo tính an toàn cho sản phẩm và phản ứng nhanh chóng đối với các cuộc tấn công zero-day. Synology cam kết rằng họ sẽ khắc phục những lỗ hổng nghiêm trọng trong vòng 24 giờ, mức thời gian nhanh hơn đáng kể so với mức trung bình trong ngành là 60 ngày.
Bài viết này sẽ khám phá cách mà các sản phẩm của Synology đã được phát triển một cách cẩn thận theo quy trình Phát triển An toàn Sản phẩm (SDL) riêng của họ, nhằm mục đích đảm bảo tính toàn vẹn dữ liệu cho khách hàng.
1. Giai đoạn thiết kế: Bảo mật từ gốc rễ
Khi một sản phẩm hoặc tính năng mới của Synology ra mắt, chương trình Đảm bảo An ninh Sản phẩm (PSA) sẽ được khởi động. Trong giai đoạn này, nhóm PSIRT hợp tác cùng nhóm phát triển để đánh giá thiết kế và cơ sở hạ tầng bảo mật. Dựa vào đánh giá này, nhóm sẽ đưa ra những đề xuất xây dựng để cải thiện. Cách tiếp cận tích cực này xây dựng nên một cơ sở bảo mật vững chắc ngay từ đầu, tránh khả năng gặp rắc rối liên quan đến bảo mật trong tương lai.
2. Giai đoạn phát triển: Tiêu chuẩn hóa và tự động kiểm tra
Sau khi xác định thông số kỹ thuật của sản phẩm, giai đoạn phát triển chính thức bắt đầu. Để đảm bảo chất lượng mã nguồn ngay từ đầu, Synology áp dụng phương pháp Kiểm tra bảo mật ứng dụng tĩnh (SAST) thông qua các công cụ tự động để phát hiện các lỗ hổng và lỗi tiềm ẩn. Điều này đảm bảo mã nguồn không chứa các lỗ hổng bảo mật từ đầu.
Trong quá trình phát triển tiến triển và hoàn thiện, Synology sử dụng phương pháp Kiểm tra bảo mật phân tích động (DAST) để liên tục theo dõi sự thay đổi trong mã nguồn và đảm bảo tất cả các chức năng được kiểm tra kỹ lưỡng trên ứng dụng. Điều này giúp giảm thiểu các lỗ hổng bảo mật tiềm ẩn.
3. Giai đoạn xác minh: Tư duy từ góc độ kẻ tấn công
Synology nhận thức tầm quan trọng của việc kiểm tra và xác minh kỹ lưỡng trước khi phát hành sản phẩm cho người dùng. Điều này đã thúc đẩy sự ra đời của Synology Red Team vào đầu năm 2022. Với các chuyên gia tin tặc nội bộ giàu kinh nghiệm, Red Team tập trung vào việc kiểm tra sản phẩm từ góc độ của kẻ tấn công để phát hiện các lỗ hổng. Chỉ trong sáu tháng, Red Team đã tìm ra hơn 21% lỗi hệ thống - một thành tích đáng kể, tương đương với phần thưởng trị giá 100,000 đô la Mỹ từ chương trình tìm lỗi trước khi phát hành chính thức.
Nhắc tới chương trình săn lỗi nhận thưởng, công ty Đài Loan này còn tham gia vào các sự kiện quan trọng như Pwn2Own và TienFu Cup, cùng với chương trình phát hiện lỗi thường niên từ năm 2017, tạo điều kiện tương tác tích cực với cộng đồng tin tặc. Đây là cách họ đảm bảo tính an toàn bằng cách hợp tác với các chuyên gia độc lập. Đến nay, hơn 200 nhà nghiên cứu đã tham gia, và hơn 270,000 đô la Mỹ đã được trao thưởng.
Bằng cách nắm bắt suy nghĩ của những kẻ tấn công, Synology có thể mô phỏng các cuộc tấn công thực tế và từ đó cải thiện khả năng sẵn sàng đối mặt với tình huống khủng hoảng có thể xảy ra. Hướng tiếp cận chủ động này khiến họ trở nên khác biệt với các đối thủ cạnh tranh và đảm bảo người dùng có thể tin tưởng vào tính bảo mật và độ tin cậy của các sản phẩm.
4. Giai đoạn phát hành: Phản ứng nhanh hàng đầu trong ngành
Khi đội Red Team đảm nhận tác vụ tấn công, đội Blue Team sẽ nắm vững tư duy phòng thủ. Red Team tận dụng mọi cơ hội để phát hiện lỗ hổng, trong khi Blue Team tập trung theo dõi mối đe dọa bảo mật. Ngay sau khi lỗ hổng bảo mật được báo cáo, Blue Team bắt đầu việc đánh giá tác động ban đầu trong vòng tám giờ. Nếu xác định rằng lỗ hổng có mức độ nghiêm trọng, đội ngũ Synology sẽ khắc phục nó trong vòng 24 giờ, thời gian nhanh hơn rất nhiều so với mức trung bình trong ngành là 60 ngày để xử lý sự cố (MTTR).
Sau khi bản vá được phát hành, PSIRT sẽ đưa ra Tư vấn bảo mật để thông báo cho người dùng và cùng lúc, công bố cập nhật phần mềm một cách công khai. Mọi phản hồi từ người dùng cũng được tổng hợp và báo cáo cho nhóm liên quan. Quá trình phản hồi nhanh chóng và hiệu quả này đảm bảo rằng người dùng luôn có thể tin cậy vào tính an toàn của các sản phẩm của Synology, vì với họ, bảo mật luôn là ưu tiên hàng đầu.
Khi bàn về việc quản lý rủi ro bảo mật, thường thì phản ứng sau sự cố là điều mà ta nghĩ đến trước tiên. Mặc dù việc có kế hoạch ứng phó sau sự cố để giải quyết hậu quả của hành vi xâm phạm là cần thiết, nhưng việc đặt sự bảo mật cho phần mềm ngay từ giai đoạn phát triển để ngăn chặn việc xảy ra các sự cố tương tự từ đầu cũng không kém phần quan trọng.
Được hướng dẫn bởi Khung công cụ Phát triển Phần mềm Bảo mật An toàn của NIST (SSDF), Vòng đời Phát triển Bảo mật (SDL) là một phương pháp ngày càng phổ biến, cung cấp cách tiếp cận hệ thống giúp giảm thiểu rủi ro bảo mật và đảm bảo tuân thủ các yêu cầu quản lý. Mặc dù các công ty có thể định nghĩa SDL theo cách khác nhau, nguyên tắc cơ bản vẫn không thay đổi, hỗ trợ các nhà phát triển tiêu chuẩn hóa và xây dựng một sản phẩm cực kỳ an toàn từ đầu đến cuối.
Vậy, Synology đã triển khai điều này bằng cách nào?
Với vai trò là nhà cung cấp dịch vụ lưu trữ, Synology hiểu rõ giá trị của dữ liệu mà khách hàng giao phó. Đó là lý do tại sao, về mặt ưu tiên, công ty này đặt bảo mật lên hàng đầu. Nhóm ứng phó sự cố bảo mật sản phẩm (PSIRT) của họ đã xây dựng một quy trình phát triển phần mềm có bốn giai đoạn (Thiết kế, Phát triển, Xác minh, Phát hành). Mục tiêu chính là đảm bảo tính an toàn cho sản phẩm và phản ứng nhanh chóng đối với các cuộc tấn công zero-day. Synology cam kết rằng họ sẽ khắc phục những lỗ hổng nghiêm trọng trong vòng 24 giờ, mức thời gian nhanh hơn đáng kể so với mức trung bình trong ngành là 60 ngày.
Bài viết này sẽ khám phá cách mà các sản phẩm của Synology đã được phát triển một cách cẩn thận theo quy trình Phát triển An toàn Sản phẩm (SDL) riêng của họ, nhằm mục đích đảm bảo tính toàn vẹn dữ liệu cho khách hàng.
1. Giai đoạn thiết kế: Bảo mật từ gốc rễ
Khi một sản phẩm hoặc tính năng mới của Synology ra mắt, chương trình Đảm bảo An ninh Sản phẩm (PSA) sẽ được khởi động. Trong giai đoạn này, nhóm PSIRT hợp tác cùng nhóm phát triển để đánh giá thiết kế và cơ sở hạ tầng bảo mật. Dựa vào đánh giá này, nhóm sẽ đưa ra những đề xuất xây dựng để cải thiện. Cách tiếp cận tích cực này xây dựng nên một cơ sở bảo mật vững chắc ngay từ đầu, tránh khả năng gặp rắc rối liên quan đến bảo mật trong tương lai.
2. Giai đoạn phát triển: Tiêu chuẩn hóa và tự động kiểm tra
Sau khi xác định thông số kỹ thuật của sản phẩm, giai đoạn phát triển chính thức bắt đầu. Để đảm bảo chất lượng mã nguồn ngay từ đầu, Synology áp dụng phương pháp Kiểm tra bảo mật ứng dụng tĩnh (SAST) thông qua các công cụ tự động để phát hiện các lỗ hổng và lỗi tiềm ẩn. Điều này đảm bảo mã nguồn không chứa các lỗ hổng bảo mật từ đầu.
Trong quá trình phát triển tiến triển và hoàn thiện, Synology sử dụng phương pháp Kiểm tra bảo mật phân tích động (DAST) để liên tục theo dõi sự thay đổi trong mã nguồn và đảm bảo tất cả các chức năng được kiểm tra kỹ lưỡng trên ứng dụng. Điều này giúp giảm thiểu các lỗ hổng bảo mật tiềm ẩn.
3. Giai đoạn xác minh: Tư duy từ góc độ kẻ tấn công
Synology nhận thức tầm quan trọng của việc kiểm tra và xác minh kỹ lưỡng trước khi phát hành sản phẩm cho người dùng. Điều này đã thúc đẩy sự ra đời của Synology Red Team vào đầu năm 2022. Với các chuyên gia tin tặc nội bộ giàu kinh nghiệm, Red Team tập trung vào việc kiểm tra sản phẩm từ góc độ của kẻ tấn công để phát hiện các lỗ hổng. Chỉ trong sáu tháng, Red Team đã tìm ra hơn 21% lỗi hệ thống - một thành tích đáng kể, tương đương với phần thưởng trị giá 100,000 đô la Mỹ từ chương trình tìm lỗi trước khi phát hành chính thức.
Nhắc tới chương trình săn lỗi nhận thưởng, công ty Đài Loan này còn tham gia vào các sự kiện quan trọng như Pwn2Own và TienFu Cup, cùng với chương trình phát hiện lỗi thường niên từ năm 2017, tạo điều kiện tương tác tích cực với cộng đồng tin tặc. Đây là cách họ đảm bảo tính an toàn bằng cách hợp tác với các chuyên gia độc lập. Đến nay, hơn 200 nhà nghiên cứu đã tham gia, và hơn 270,000 đô la Mỹ đã được trao thưởng.
Bằng cách nắm bắt suy nghĩ của những kẻ tấn công, Synology có thể mô phỏng các cuộc tấn công thực tế và từ đó cải thiện khả năng sẵn sàng đối mặt với tình huống khủng hoảng có thể xảy ra. Hướng tiếp cận chủ động này khiến họ trở nên khác biệt với các đối thủ cạnh tranh và đảm bảo người dùng có thể tin tưởng vào tính bảo mật và độ tin cậy của các sản phẩm.
4. Giai đoạn phát hành: Phản ứng nhanh hàng đầu trong ngành
Khi đội Red Team đảm nhận tác vụ tấn công, đội Blue Team sẽ nắm vững tư duy phòng thủ. Red Team tận dụng mọi cơ hội để phát hiện lỗ hổng, trong khi Blue Team tập trung theo dõi mối đe dọa bảo mật. Ngay sau khi lỗ hổng bảo mật được báo cáo, Blue Team bắt đầu việc đánh giá tác động ban đầu trong vòng tám giờ. Nếu xác định rằng lỗ hổng có mức độ nghiêm trọng, đội ngũ Synology sẽ khắc phục nó trong vòng 24 giờ, thời gian nhanh hơn rất nhiều so với mức trung bình trong ngành là 60 ngày để xử lý sự cố (MTTR).
Sau khi bản vá được phát hành, PSIRT sẽ đưa ra Tư vấn bảo mật để thông báo cho người dùng và cùng lúc, công bố cập nhật phần mềm một cách công khai. Mọi phản hồi từ người dùng cũng được tổng hợp và báo cáo cho nhóm liên quan. Quá trình phản hồi nhanh chóng và hiệu quả này đảm bảo rằng người dùng luôn có thể tin cậy vào tính an toàn của các sản phẩm của Synology, vì với họ, bảo mật luôn là ưu tiên hàng đầu.