Mã hóa an toàn - Thách thức trong bảo mật thông tin

• Lỗ hổng bảo mật trong mã
• Mã nguồn mở và tấn công chuỗi cung ứng
• Kiểm soát bảo mật thông tin 8.28 mã hóa an toàn
• Nguyên tắc mã hóa an toàn
• Kết luận 
• Bản sửa đổi ISO 27001: Bản cập nhật có ý nghĩa gì đối với chứng nhận của bạn?
• DQS - Chỉ cần tận dụng Bảo mật.

Lỗ hổng bảo mật trong mã

Phần mềm hệ điều hành, phần mềm ứng dụng hoặc phần lõi trong một hệ thống nhúng là các thành phần cơ bản của bất kỳ cơ sở hạ tầng kỹ thuật số nào. Tuy nhiên, việc tăng tốc độ và áp lực về thời hạn trong các dự án số hóa thường dẫn đến việc bỏ qua các khía cạnh bảo mật thông tin cấp thiết. Các yêu cầu phát triển đối với phần mềm thường tập trung vào chức năng và nhấn mạnh các khía cạnh mang tính xây dựng, do đó, quan điểm tiêu cực về các lỗ hổng bảo mật tiềm ẩn hầu như hoàn toàn trái ngược với các mục tiêu phát triển thực tế: nhiều lập trình viên đơn giản là thiếu quan điểm có cấu trúc và sắc bén về an ninh mạng.

Trong những điều kiện này, các nhóm phát triển gặp khó khăn trong việc xem xét liên tục và đảm bảo nhất quán mã hóa phần mềm của họ, bằng chứng là có nhiều lỗ hổng mà Tập đoàn MITER phi lợi nhuận xuất bản hàng năm trong danh sách CVE (Common Vulnerabilities and Exposures - Lỗ hổng và Phơi nhiễm Thông thường). Các bản vá bảo mật thường xuyên của các nhà sản xuất phần mềm nổi tiếng thậm chí là một chỉ số cho thấy nhiệm vụ của Sisyphean là đóng các lỗi liên quan đến bảo mật, chứ đừng nói đến việc xác định chúng trước khi chúng được tung ra thị trường.

Mã nguồn mở - một trường hợp đặc biệt

Khi mã hóa phần mềm tự phát triển, các lập trình viên thích sử dụng các thư viện và mô-đun mã nguồn mở. Những lợi thế thực tế là rõ ràng: Nếu bạn không phải phát minh lại bánh xe nhiều lần, bạn sẽ được hưởng lợi từ sự thúc đẩy công nghệ này, phát triển nhanh chóng, chi phí phát triển thấp hơn, minh bạch hơn thông qua mã nguồn mở và khả năng tương tác cao hơn thông qua các tiêu chuẩn và giao diện mở .

Người ta cũng thường nói rằng mã từ nguồn mở mang lại mức độ bảo mật cao vì mã đã được xác thực bởi nhiều người dùng và trí thông minh phong phú của cộng đồng mã nguồn mở cho phép sửa lỗi nhanh chóng và hiệu quả.

Trong thực tế, niềm tin này bây giờ phải được đánh giá theo cách khác biệt và quan trọng. Ví dụ nghiêm trọng nhất là lỗ hổng bảo mật zero-day Log4Shell trong thư viện ghi nhật ký được sử dụng rộng rãi Log4J cho các ứng dụng Java, được phát hiện vào tháng 11 năm 2021. Bạn có thể đã nghe nói về mức báo động đỏ do Văn phòng Bảo mật Thông tin Liên bang Đức (BSI) đưa ra cho Log4Shell. Thư viện Log4J, được phân phối dưới dạng gần như tiêu chuẩn hoạt động đáng tin cậy thông qua Quỹ Apache, đã tự thiết lập trong nhiều hệ thống kể từ năm 2013 - bao gồm các dịch vụ web nổi tiếng như Amazon AWS.

Sự phức tạp của các thư viện được phát triển và cũng được duy trì tốt này hoàn toàn cung cấp các chức năng mạnh mẽ mà nhà phát triển nhập khẩu thường không biết trong quá trình phát triển mới kết hợp của chính mình, nhưng có thể bị kẻ tấn công khai thác.

Một yếu tố không an toàn khác của các thành phần nguồn mở được gọi là các cuộc tấn công chuỗi cung ứng, tức là các lỗ hổng tích hợp có chủ đích của các tác nhân độc hại, những người đóng vai trò là một phần của cộng đồng nguồn mở và hỗ trợ phát triển mã. Một lỗ hổng như vậy là một cách cực kỳ hiệu quả để tin tặc tấn công một số lượng lớn các tổ chức người dùng hạ nguồn. Do đó, không có gì ngạc nhiên khi vectơ tấn công này đang phát triển nhanh chóng: một nghiên cứu của Sonatype đã chẩn đoán mức tăng 650% khi so sánh năm 2020 và 2021.

Kiểm soát an toàn thông tin Mã hóa an toàn 8.28

Để kịp thời bảo vệ quy trình phát triển phần mềm, Tổ chức Tiêu chuẩn hóa Quốc tế (ISO - ủy ban ISO/IEC JTC 1/SC 27) đã đưa "Mã hóa an toàn" làm kiểm soát mới 8.28 trong ISO/IEC 27002 mới và Tiêu chuẩn ISO/IEC 27001:2022, Phụ lục A. Mục đích của biện pháp kỹ thuật để mã hóa an toàn là bảo vệ phòng ngừa phần mềm.

Mức độ bảo mật tối thiểu được tạo ngay từ giai đoạn viết trên cơ sở các quy định về thủ tục, do đó giảm thiểu số lượng lỗ hổng bảo mật tiềm ẩn trong phần mềm. Khung quy định để tạo mã an toàn sẽ được áp dụng một cách tổng thể cho cả mã chương trình của chính công ty và phần mềm từ bên thứ ba và nguồn mở. Các nguyên tắc đáng chú ý để triển khai là Bảo mật theo thiết kế và Đặc quyền tối thiểu, cũng phải được xem xét trong mã hóa.

Nguyên tắc mã hóa an toàn

8.28 đề cập đến cái gọi là nguyên tắc mã hóa an toàn nhiều lần. Hướng dẫn về những gì có thể được cung cấp bởi nhiều tổ chức và viện nghiên cứu thường xuyên đưa ra các hướng dẫn và thực tiễn tốt nhất để mã hóa an toàn. Chúng bao gồm, ví dụ, Thực tiễn mã hóa an toàn của Tổ chức OWASP, Tiêu chuẩn mã hóa an toàn của Nhóm ứng phó khẩn cấp máy tính (CERT) của Viện kỹ thuật phần mềm (SEI) và danh mục các biện pháp của BSI Đức về bảo mật ứng dụng web . Mặc dù các nguồn khác nhau cho thấy nhiều điểm tương đồng, ví dụ như liên quan đến các điểm sau

• Xác thực dữ liệu đầu vào
• Bảo mật xác thực và quản lý mật khẩu
• Kiểm soát truy cập an toàn
• Mã đơn giản, minh bạch
• Các biện pháp và thành phần mã hóa được thử nghiệm bền vững
• Xử lý lỗi và ghi nhật ký
• Bảo vệ dữ liệu
• mô hình mối đe dọa

Trong tiêu chuẩn ISO/ISO 27002:2022, các hành động được đề xuất cho Kiểm soát 8.28 được chia thành ba phần, "Lập kế hoạch và mã hóa trước", "Trong quá trình mã hóa" và "Xác minh và bảo trì", nội dung cốt lõi của các phần này được nêu dưới đây.

Lập kế hoạch và tiền mã hóa

Cả phát triển mã mới và tái sử dụng mã đều yêu cầu áp dụng các nguyên tắc mã hóa an toàn - bất kể mã được viết cho phần mềm nội bộ hay cho các sản phẩm và dịch vụ bên ngoài. Điều này đòi hỏi phải đánh giá trước các kỳ vọng cụ thể của tổ chức và xác định các nguyên tắc được công nhận. Ngoài ra, các hành động được đề xuất để lập kế hoạch và mã hóa trước có tính đến các lỗi và thực tiễn mã hóa phổ biến và lịch sử đã biết có thể dẫn đến lỗ hổng bảo mật.

Cấu hình của các công cụ phát triển, chẳng hạn như môi trường phát triển tích hợp (IDE) dựa trên quy tắc, phải bắt buộc tạo mã bảo mật. Khá quan trọng là trình độ của các nhà phát triển và sự quen thuộc của họ với các kiến trúc an toàn và các tiêu chuẩn lập trình. Không cần phải nói rằng việc đưa chuyên môn về bảo mật thông tin vào nhóm phát triển.

Trong quá trình mã hóa

Trong quá trình mã hóa, các phương pháp mã hóa và kỹ thuật lập trình có cấu trúc đóng vai trò chính, có tính đến trường hợp sử dụng cụ thể và nhu cầu bảo mật của trường hợp đó. Các kỹ thuật thiết kế không an toàn - ví dụ: mật khẩu được mã hóa cứng - nên bị cấm một cách nhất quán. Mã phải được ghi lại và xem xét đầy đủ để loại bỏ tốt nhất các lỗi liên quan đến bảo mật. Việc xem xét mã nên diễn ra cả trong và sau quá trình phát triển, thông qua thử nghiệm bảo mật ứng dụng tĩnh (SAST) hoặc tương tự. Các phương pháp thử nghiệm tĩnh hỗ trợ phương pháp dịch chuyển sang trái ("kiểm tra sớm và thường xuyên") bằng cách dịch chuyển sang trái trong vòng đời bằng cách sớm kiểm tra mã hiển thị để tuân thủ quy tắc.

Điều này cho phép xác định sớm mã bị nhiễm độc, kết nối với tệp hoặc lớp đối tượng cụ thể hoặc lỗ hổng cấp ứng dụng có thể bị lạm dụng để tương tác không được chú ý với chương trình của bên thứ ba dưới dạng lỗ hổng có thể khai thác. Trước khi phần mềm được đưa vào hoạt động, Control 8.28 yêu cầu đánh giá các bề mặt tấn công và thực hiện nguyên tắc đặc quyền tối thiểu. Việc phân tích được thực hiện về các lỗi lập trình phổ biến nhất và tài liệu về việc sửa chữa chúng phải được đánh giá.

Xác minh và bảo trì

Ngay cả sau khi phần mềm đã đi vào hoạt động, chủ đề mã hóa an toàn vẫn có liên quan. Điều này bao gồm các bản cập nhật an toàn cũng như kiểm tra các lỗ hổng đã biết trong mã của một người. Ngoài ra, các lỗi và các cuộc tấn công đáng ngờ phải được ghi lại để có thể thực hiện các điều chỉnh cần thiết kịp thời. Trong mọi trường hợp, việc truy cập trái phép vào mã nguồn phải được ngăn chặn một cách đáng tin cậy bằng các công cụ phù hợp.

Mã nguồn mở

Trong lĩnh vực xác minh và bảo trì, Dự luật 8.28 liệt kê thêm các hướng dẫn rõ ràng về việc sử dụng các công cụ và thư viện bên ngoài, chẳng hạn như phần mềm nguồn mở. Các thành phần mã này nên được quản lý, cập nhật và duy trì trong kho. Điều này có thể được thực hiện, ví dụ, thông qua Hóa đơn vật liệu phần mềm (SBOM). SBOM là một bản ghi chính thức, có cấu trúc về các gói và thư viện của phần mềm cũng như mối quan hệ của chúng với nhau và trong chuỗi cung ứng, đặc biệt là để theo dõi mã được sử dụng lại và các thành phần nguồn mở. SBOM hỗ trợ khả năng bảo trì phần mềm và cập nhật bảo mật có mục tiêu.

Kết luận 

Mã bảo mật là nền tảng cơ bản để ngăn chặn các cuộc tấn công tiềm ẩn. Control 8.28 mới tính đến thông tin chi tiết lâu dài này và nâng cấp vai trò chính của mã hóa an toàn thành tầm quan trọng của nó đối với bảo mật thông tin. Tuy nhiên, vì biện pháp bao gồm một số lượng lớn các khuyến nghị chi tiết cho hành động và đòi hỏi kỹ thuật cao, nên việc thực hiện nó sẽ đòi hỏi mức độ nỗ lực tương đối cao - điều này cần được tính đến ngay từ giai đoạn lập kế hoạch.

Với quan điểm chuyên nghiệp của các đánh giá viên giàu kinh nghiệm, chúng tôi hỗ trợ bạn trong việc triển khai biện pháp tuân thủ. Với chuyên môn đánh giá và chứng nhận hơn 35 năm, chúng tôi là đối tác liên hệ lý tưởng của bạn và sẽ sẵn lòng hỗ trợ bạn về chủ đề bảo mật thông tin và chứng nhận theo tiêu chuẩn ISO/IEC 27001:2022.

Bản sửa đổi ISO 27001: Bản cập nhật có ý nghĩa gì đối với chứng nhận của bạn?

ISO/IEC 27001:2022 được xuất bản vào ngày 25 tháng 10 năm 2022. Điều này dẫn đến các thời hạn và khung thời gian sau đây để người dùng chuyển đổi:

Sẵn sàng chứng nhận ISO/IEC 27001:2022

• Dự kiến từ tháng 6 hoặc tháng 7 năm 2023 (tùy thuộc vào Cơ quan Công nhận Đức GmbH (DAkkS)).

Ngày cuối cùng cho các cuộc đánh giá chứng nhận lần đầu/tái chứng nhận theo tiêu chuẩn ISO 27001:2013 "cũ"

• Sau ngày 31 tháng 10 năm 2023, DQS sẽ chỉ thực hiện đánh giá lần đầu và đánh giá chứng nhận lại theo tiêu chuẩn mới ISO/IEC 27001:2022

Chuyển đổi tất cả các chứng chỉ hiện có từ ISO/IEC 27001:2013 "cũ" sang ISO/IEC 27001:2022 mới

• Có giai đoạn chuyển tiếp ba năm kể từ ngày 31 tháng 10 năm 2022
• Các chứng chỉ được cấp theo tiêu chuẩn ISO/IEC 27001:2013 hoặc DIN EN ISO/IEC 27001:2017 sẽ tiếp tục có hiệu lực chậm nhất đến ngày 31 tháng 10 năm 2025 hoặc phải bị thu hồi vào ngày này.

DQS: Chỉ cần tận dụng Bảo mật.

Do các giai đoạn chuyển tiếp, các công ty có đủ thời gian để điều chỉnh ISMS của họ cho phù hợp với các yêu cầu mới và được chứng nhận. Tuy nhiên, không nên đánh giá thấp thời gian và nỗ lực của toàn bộ quá trình thay đổi - đặc biệt nếu bạn không có đủ nhân sự chuyên trách. Nếu muốn an toàn, bạn nên giải quyết vấn đề càng sớm càng tốt và gọi cho các chuyên gia có kinh nghiệm nếu cần.

Với tư cách là chuyên gia đánh giá và chứng nhận với hơn 35 năm kinh nghiệm chuyên môn, chúng tôi rất vui được hỗ trợ bạn đánh giá tình trạng hiện tại của mình, có thể như một phần của đánh giá delta. Tìm hiểu từ nhiều đánh giá viên có kinh nghiệm của chúng tôi về những thay đổi quan trọng nhất và mức độ phù hợp của chúng đối với tổ chức của bạn. Chúng ta sẽ cùng nhau thảo luận về tiềm năng cải thiện của bạn và hỗ trợ bạn cho đến khi bạn nhận được chứng chỉ mới. Hãy tận dụng năng lực của chúng tôi trong lĩnh vực bảo mật thông tin! Chúng tôi mong chờ tin từ bạn.