Εφαρμογή μοντέλου SecDevOps – Λύση ασφάλειας πληροφοριών για οργανισμούς

Στις 29 Νοεμβρίου 2024, εκπρόσωποι της MISA μοιράστηκαν πρακτικές εμπειρίες σχετικά με την οικοδόμηση μιας κουλτούρας SecDevOps για τη βελτίωση της ασφάλειας πληροφοριών για οργανισμούς στο Εργαστήριο "Μάθετε για το DevSecOps - Τεχνολογία και Λύσεις Ελέγχου Ασφάλειας" που διοργάνωσε η BIDV Insurance - BIC.

Στο Εργαστήριο συμμετείχαν κορυφαίοι εμπειρογνώμονες στον τομέα της τεχνολογίας πληροφοριών και της ασφάλειας πληροφοριών. Από την πλευρά του MISA , συμμετείχαν ο κ. Nguyen Quang Hoang - Διευθυντής Ασφάλειας Πληροφοριών, και ο κ. Bui Duc Truong - Επικεφαλής του Τμήματος Ασφάλειας Πληροφοριών.

Στο πλαίσιο του εργαστηρίου, ο κ. Bui Duc Truong - Επικεφαλής του Τμήματος Ασφάλειας Πληροφοριών της MISA, παρουσίασε το μοντέλο SecDevOps, μοιραζόμενος έτσι εμπειρίες από την εφαρμογή του SecDevOps σε προϊόντα για την υποστήριξη οργανισμών στην ευαισθητοποίηση σχετικά με την ασφάλεια και την προστασία των πληροφοριών.

Σύμφωνα με τον Κατάλογο Κατανομής Κοινών Ευπαθειών και Ανοιγμάτων (CVE) του Δικτύου Paloalto από τον Νοέμβριο του 2022 έως τον Ιανουάριο του 2023, τα τρωτά σημεία εμφανίζονται συχνά σε εφαρμογές λόγω μη ασφαλούς προγραμματισμού. Επομένως, οι οργανισμοί πρέπει να ενσωματώσουν την ασφάλεια σε ολόκληρη τη διαδικασία ανάπτυξης προϊόντων λογισμικού. Συγκεκριμένα, η εφαρμογή του μοντέλου SecDevOps στο λογισμικό για την επιτάχυνση της διαδικασίας ανάπτυξης προϊόντων, ελαχιστοποιώντας το 40-50% των τρωτών σημείων στον πηγαίο κώδικα, σύμφωνα με τον James Rutt - CIO Insight.

Το SecDevOps είναι ένα μοντέλο ανάπτυξης που συνδυάζει την Ασφάλεια, την Ανάπτυξη και τις Λειτουργίες, παρόμοιο με το DevSecOps. Ωστόσο, η βασική διαφορά είναι ότι το SecDevOps θέτει την ασφάλεια στην πρώτη γραμμή της νοοτροπίας κάθε ατόμου και σε κάθε βήμα της διαδικασίας ανάπτυξης λογισμικού. Επιπλέον, αυτό το μοντέλο δίνει έμφαση στη διαδικασία εργασίας και την κουλτούρα «Μίας Ομάδας» που βοηθά τα άτομα να συνεργάζονται στενά για να διασφαλίσουν ότι η ασφάλεια έχει προτεραιότητα σε όλη τη διαδικασία.

Για την αποτελεσματική εφαρμογή του μοντέλου SecDevOps, οι οργανισμοί πρέπει να εφαρμόζουν αυστηρά 3 παράγοντες: τους ανθρώπους, τις διαδικασίες και την τεχνολογία. Όσον αφορά τους ανθρώπους, οι οργανισμοί πρέπει να βελτιώσουν τις δεξιότητες της ομάδας ασφάλειας πληροφοριών, να συνδέσουν την ομάδα Sec με την ομάδα DevOps και να παρέχουν εκπαίδευση προγραμματισμού και ασφαλή ανάπτυξη. Όσον αφορά τη διαδικασία, οι οργανισμοί μπορούν να εφαρμόσουν το μοντέλο κύκλου ζωής προϊόντος Secure – Software Development Life Cycle (SSDLC) για την ανάπτυξη ασφαλούς λογισμικού. Όσον αφορά την τεχνολογία, οι οργανισμοί μπορούν να χρησιμοποιήσουν τις ακόλουθες μεθόδους και εργαλεία ασφαλείας για την ανίχνευση και τη διαχείριση τρωτών σημείων ασφαλείας: Στατική Ανάλυση (SAST)· Δυναμική Ανάλυση (DAST)· Διαδραστική Ανάλυση (IAST)· Ανάλυση Σύνθεσης Λογισμικού (SCA).

Σύμφωνα με τον κ. Truong, οι προγραμματιστές πρέπει να εκπαιδευτούν στην ευαισθητοποίηση σχετικά με την ασφάλεια και τον ασφαλή προγραμματισμό, με στόχο την αποτροπή εμφάνισης ευπαθειών σε μεταγενέστερα στάδια της διαδικασίας ανάπτυξης λογισμικού.

Ως κορυφαία επιχείρηση τεχνολογίας που παρέχει λογισμικό ως υπηρεσία στο Βιετνάμ και εμπνευστής της Συμμαχίας CYSEEX, η MISA έχει δεσμευτεί να υποστηρίζει οργανισμούς στην ανάπτυξη προηγμένων λύσεων ασφαλείας, προστατεύοντας δεδομένα και συστήματα πληροφοριών από κυβερνοεπιθέσεις.