Software Security: Thách thức và tiềm năng mới

Nếu bạn không biết các mối đe dọa, bạn sẽ không thể chống lại nó. Bạn có biết sự phát triển ở tương lai của các cuộc tấn công của hacker, các biện pháp bảo mật và kiểm tra bảo mật là như thế nào? Các doanh nghiệp liệu có thật sự an toàn khi chuyển data của họ sang các ứng dụng sử dụng công nghệ blockchain ? Hãy cùng tìm hiểu và tìm ra phương pháp chống lại các mối nguy hiểm này.

Các Công ty "lãng quên" kiểm tra bảo mật và các ảnh hưởng của nó đang và sẽ diễn ra.

Các cuộc đấu tranh giữa bảo mật và quyền riêng tư sẽ diễn ra mạnh mẽ hơn trong năm 2019. Với sự phát triển mạnh mẽ của công nghệ hiện đại, người dùng đã cung cấp các thông tin nhạy cảm khi cài đặt các phần mềm trên thiết bị của mình hoặc liên kết đến device, những thông tin này như những quả bóng chứa đầy rủi ro, nó có thể nổ tung bất kỳ lúc nào. Chúng ta có thể thấy những rủi ro này với Equifax breach và Facebook (Facebook có các thuật toán thu thập dữ liệu người dùng).

Số lượng hồ sơ thông tin người bị xâm nhập từ 2016-2018 cho thấy các công ty đánh giá thấp các thách thức bảo mật. Một ví dụ điển hình cho vấn đề bảo mật thông tin này là Yahoo, chỉ riêng Yahoo đã bị xâm nhập 3 tỷ profile. Các rủi ro này không phải xảy ra trùng hợp ngẫu nhiên mà là xu hướng tất yếu.

Kết quả #1: GDPR bước vào cuộc chiến bảo mật phần mềm

Khi căng thẳng giữa bảo mật và quyền riêng tư tăng lên, General Data Protection Regulation (GDPR) đã ra đời, nó mang đến những phiền toái nhất định cho các công ty, Theo những số liệu thống kê cho thấy trong những năm 2014, các vấn đề về bảo mật được bỏ quả tất cả. Với GDPR, các chủ công ty không có quyền bỏ qua bảo mật.

Đối với software developer và tester, đây là một thách thức lớn. Chương trình nghị sự của các developer có đưa ra một vài thứ như thêm cookies, thẩm định độ an toàn của quá trình xử lý dữ liệu và sự an toàn của lưu trữ, kiểm tra dữ liệu ở Database.

GDPR làm mọi thứ khó khăn hơn đối với developer và chủ doanh nghiệp, đồng thời nó cũng làm cho doanh nghiệp phải đặt vấn đề bảo mật lên hàng đầu.

Kết quả #2: RANSOMWARE ra đời như một dịch vụ

RANSOMWARE là phần mềm độc hại, nó chặn truy cập vào hệ thống máy tính cho đến khi người dùng đưa tiền chuộc.

Năm 2017 đã chứng kiến sự phát triển mạnh mẽ của Ransomware với các cuộc tấn công WannaCry, Petya, and Not Petya. WannaCry đã đánh vào 80 trung tâm y tế ở nước Anh và hủy 20.000 cuộc hẹn. Với sự phát triển của Blockchain và đồng tiền điện tử, các hacker có thể dễ dàng thực hiện các cuộc trao đổi tài chính an toàn, thúc đẩy sự lan rộng của các cuộc tấn công.

Kết quả #3: AI-Powered hacking

Trong khi các chuyên gia bảo mật và QA ứng dụng Artificial Intelligence (AI) trong bảo mật thì các hacker cũng dùng AI để làm lợi cho họ. Mối đe dọa đâuf tiên với sự đóng góp của AI là vào năm 2016 khi DARPA, một cơ quan nghiên cứu của Lầu năm góc, vượt qua các hacker bằng Cyber Grand Challenge. Họ đã tạo ra cuộc tấn công thông minh sử dụng hiểu biết toàn diện về khách hàng để phát hiện và khắc phục các lỗ hỏng. Đây là một thành tựu tuyệt vời, một mặt nó mở ra khả năng bảo mật dự án, mặt khác, nó thể hiện các thuật toán được hỗ trợ bởi AI nguy hiểm thế nào.

Năm 2019-2020, các mart service sẽ có thể tìm ra các lỗ hỏng nhỏ nhất và phân tích các cử chỉ hành vi của user, thực hiện các phép tính khó, những thứ mà một hacker chuyên nghiệp phải mất hàng tháng để thực hiện.

Kết quả #4: Open source không an toàn

Nếu là một người làm trong lĩnh vực IT và biết về phát triển phần mềm thì có thể bạn biết đến Open source, nó được sử dụng để rút ngắn thời gian phát triển sản phẩm bằng việc sử dụng lại source được chia sẻ. GitHub- dịch vụ cung cấp nguồn đã được mua lại bởi Microsoft, điều đó cho thấy các tập đoàn lớn sẵn sàng đầu tư vào các kho lưu trữ mở. Tuy nhiên, Mã nguồn mở luôn có các vấn đề, ví dụ như năm 2017, OpenAI Gym, một toolkit phục vụ cho machine-learning được tạo ra bởi Elon Musk đã phải đối mặt cuộc tấn công malware.

Chúng ta không thể kiểm soát mã nguồn mở khi mà bất kỳ ai cũng có thể truy cập và thay đổi nó, khi đó việc hacker truy cập vào mã nguồn mở là điều rất dễ dàng.

Kết quả là Open Source luôn có mối đe dọa tiềm tàng. Các chủ doanh nghiệp sẽ hiểu rằng Open Source không phải là sự đầu tư cần thiết vì chi phí vào bảo mật. Mặt khác, Open Source có thể được nâng lên tầm cao mới nếu Devs và QA chiến thắng trong trận chiến bảo mật, Open Source sẽ trở nên hấp dẫn hơn với các doanh nghiệp lớn.

Kết quả #5: Các giải thưởng được chi trả cho những người tìm ra các lỗ hổng tiềm tàng

Hacker phát triển ngày càng thông minh và thích nghi với công nghệ mới, hợp tác với hacker là một phương pháp để bảo mật. Chính phủ và các doanh nghiệp đã tích cực hợp tác với các hacker mũ trắng, những người sẽ tìm ra các lỗ hổng bảo mật và hỗ trợ các nhóm bảo mật ngăn chặn chúng trước các cuộc tấn công của hacker.

Chúng ta có thể biết đến platform như HackerOne, nó được sư dụng và phát triển với sự hỗ trợ của Bộ Quốc Phòng Hoa Kỳ, Shopify, GitHub, WordPress. Bên cạnh đó chính phủ sẵn sàng chi ra những khoản tiền lớn cho hacker, những người đã tìm ra các vấn đề bảo mật.

Sự hợp tác giữa hacker và những nhà bảo mật là chìa khóa để hiểu rằng vấn đề bảo mật là vấn đề có thể ngăn chặn trước những cuộc tấn công dữ liệu.

Chúng ta có thể ứng dụng những thay đổi trong Bảo mật như thế nào?

Bảo mật thay đổi từng ngày cũng như phát triển phần mềm. Nếu chúng ta kết hợp các công nghệ phát triển phần mềm với những nghiên cứu về các mối đe dọa có thể xảy ra, chúng ta có thể viết các thuật toán để ngăn chặn. Blockchain là một trong các phương pháp đầy hứa hẹn nhiều công ty bỏ qua bởi vì họ chưa hiểu đầy đủ về nó và cách hoạt động của nó.

Các nhóm Kiểm thử bảo mật luôn hợp tác chặt chẽ với các nhà phát triển, nhà phân tích sản phẩm để xác định các lỗ hổng có thể xảy ra. Cách này giúp họ không phải chiến đấu với các cuộc tấn công và đảm bảo sản phẩm được an toàn trước những mối đe dọa.

Refer: https://testfort.com/blog/software-security-in-2019-new-challenges-and-possibilities