Εφαρμογή του μοντέλου SecDevOps – Μια λύση ασφάλειας πληροφοριών για οργανισμούς.

Στις 29 Νοεμβρίου 2024, εκπρόσωποι της MISA μοιράστηκαν την πρακτική τους εμπειρία στην οικοδόμηση μιας κουλτούρας SecDevOps για την ενίσχυση της ασφάλειας πληροφοριών για οργανισμούς στο εργαστήριο "Κατανόηση του DevSecOps - Τεχνολογία και λύσεις για τον έλεγχο ασφαλείας" που διοργάνωσε η BIDV Insurance - BIC.

Στο εργαστήριο συμμετείχαν κορυφαίοι εμπειρογνώμονες στους τομείς της τεχνολογίας πληροφοριών και της ασφάλειας πληροφοριών. Εκπρόσωποι του MISA ήταν ο κ. Nguyen Quang Hoang – Διευθυντής Ασφάλειας Πληροφοριών, και ο κ. Bui Duc Truong – Επικεφαλής Ασφάλειας Πληροφοριών.

Στο πλαίσιο του εργαστηρίου, ο κ. Bui Duc Truong – Επικεφαλής Ασφάλειας Πληροφοριών στην MISA – παρουσίασε το μοντέλο SecDevOps και μοιράστηκε την εμπειρία του στην εφαρμογή του SecDevOps σε προϊόντα για την υποστήριξη οργανισμών στην ενίσχυση της ευαισθητοποίησής τους σχετικά με την ασφάλεια και την προστασία των πληροφοριών.

Σύμφωνα με τον δείκτη Κοινών Ευπαθειών και Εκθέσεων (CVE) του Paloalto Network από τον Νοέμβριο του 2022 έως τον Ιανουάριο του 2023, οι ευπάθειες εμφανίζονται συνήθως σε εφαρμογές λόγω μη ασφαλούς προγραμματισμού. Επομένως, οι οργανισμοί πρέπει να ενσωματώσουν την ασφάλεια σε ολόκληρη τη διαδικασία ανάπτυξης λογισμικού. Συγκεκριμένα, η εφαρμογή του μοντέλου SecDevOps στην ανάπτυξη λογισμικού μπορεί να επιταχύνει τη διαδικασία και να μειώσει τις ευπάθειες του πηγαίου κώδικα κατά 40-50%, σύμφωνα με τον James Rutt, CIO της Insight.

Το SecDevOps είναι ένα μοντέλο ανάπτυξης που συνδυάζει την ασφάλεια, την ανάπτυξη και τις λειτουργίες, παρόμοιο με το DevSecOps. Ωστόσο, η βασική διαφορά είναι ότι το SecDevOps δίνει προτεραιότητα στην ασφάλεια στη νοοτροπία κάθε ατόμου και σε κάθε βήμα της διαδικασίας ανάπτυξης λογισμικού. Επιπλέον, αυτό το μοντέλο δίνει έμφαση σε μια διαδικασία εργασίας και κουλτούρα "Μίας Ομάδας", ενθαρρύνοντας τη στενή συνεργασία για να διασφαλιστεί ότι η ασφάλεια παραμένει κορυφαία προτεραιότητα σε όλη τη διαδικασία.

Για την αποτελεσματική εφαρμογή του μοντέλου SecDevOps, οι οργανισμοί πρέπει να τηρούν στενά τρία βασικά στοιχεία: τους ανθρώπους, τις διαδικασίες και την τεχνολογία. Όσον αφορά τους ανθρώπους, οι οργανισμοί πρέπει να βελτιώσουν τις δεξιότητες των ομάδων ασφάλειας πληροφοριών τους, να ενσωματώσουν την ομάδα Sec με την ομάδα DevOps και να παρέχουν εκπαίδευση σε ασφαλή προγραμματισμό και ανάπτυξη. Όσον αφορά τις διαδικασίες, οι οργανισμοί μπορούν να εφαρμόσουν το μοντέλο Secure Software Development Life Cycle (SSDLC) για την ανάπτυξη ασφαλούς λογισμικού. Όσον αφορά την τεχνολογία, οι οργανισμοί μπορούν να χρησιμοποιήσουν τις ακόλουθες μεθόδους και εργαλεία ασφαλείας για την ανίχνευση και την αντιμετώπιση τρωτών σημείων: Στατική Ανάλυση (SAST), Δυναμική Ανάλυση (DAST), Διαδραστική Ανάλυση (IAST) και Ανάλυση Σύνθεσης Λογισμικού (SCA).

Σύμφωνα με τον κ. Truong, οι προγραμματιστές πρέπει να εκπαιδευτούν στην ευαισθητοποίηση σχετικά με την ασφάλεια και τον ασφαλή προγραμματισμό, με στόχο την αποτροπή εμφάνισης ευπαθειών σε μεταγενέστερα στάδια της διαδικασίας ανάπτυξης λογισμικού.

Ως κορυφαία εταιρεία τεχνολογίας λογισμικού ως υπηρεσία (SAS) στο Βιετνάμ και εμπνευστής της Συμμαχίας CYSEEX, η MISA έχει δεσμευτεί να συνεργάζεται με οργανισμούς για την ανάπτυξη προηγμένων λύσεων ασφαλείας για την προστασία των συστημάτων δεδομένων και πληροφοριών από κυβερνοεπιθέσεις.