Hướng dẫn kiểm tra an toàn của ứng dụng trước các lỗ hổng phổ biến

Vân Anh Nhà báo

Xem các bài viết của tác giả

Cùng với việc thường xuyên cảnh báo các thông tin về những điểm yếu, lỗ hổng bảo mật phổ biến hiện nay, Cục An toàn thông tin (ATTT), Bộ TT&TT cũng hướng dẫn cụ thể các đơn vị cách kiểm tra an toàn của các ứng dụng.

Theo đánh giá của Cục An toàn thông tin, Bộ TT&TT, thời gian gần đây, nhiều sản phẩm CNTT, đặc biệt các ứng dụng phục vụ Chính phủ điện tử, Chính phủ số, có tồn tại hoặc phát sinh nhiều điểm yếu, lỗ hổng bảo mật gây mất an toàn thông tin, lộ lọt thông tin, dữ liệu của người dân, tổ chức trong quá trình sử dụng sản phẩm, ứng dụng. Điều này có thể ảnh hưởng lớn đến niềm tin của xã hội và quá trình chuyển đổi số.

Tài liệu “Hướng dẫn kiểm tra an toàn thông tin đối với các lỗ hổng bảo mật phổ biến trên ứng dụng” vừa được Cục An toàn thông tin, Bộ TT&TT ban hành. Ảnh minh họa: Internet

Thực tế, lỗ hổng bảo mật đã được chuyên gia nhận định là một trong những nguyên nhân hàng đầu gây ra các cuộc tấn công mạng nhắm vào hệ thống thông tin của các tổ chức, doanh nghiệp trên thế giới và tại Việt Nam. Thống kê toàn cầu cho thấy, hiện có khoảng 40 điểm yếu, lỗ hổng được phát hiện mỗi ngày và con số này được dự báo có thể tăng gấp 2 lần vào năm 2025.

Riêng về an toàn trong phát triển phần mềm, đây là một trong những vấn đề nổi cộm cần được giải quyết để đảm bảo an toàn cho chuyển đổi số, phát triển Chính phủ số. Bởi lẽ, tại Việt Nam hầu nhiều phần mềm chưa áp dụng quy trình phát triển phần mềm an toàn DevSecOps và những lỗi sơ đẳng có thể gây ra những ảnh hưởng an toàn thông tin nghiêm trọng. Nguyên nhân của thực trạng này là do các doanh nghiệp ICT chưa giành nguồn lực cho an toàn thông tin, nhân lực thiếu kỹ năng an toàn thông tin và chủ đầu tư cũng chưa đưa yêu cầu an toàn thông tin nghiêm ngặt.

Để giải quyết vấn đề trên, Cục An toàn thông tin cho rằng, các giải pháp cần được tập trung triển khai đồng bộ chủ đầu tư các dự án phần mềm đưa quy trình DevSecOps thành yêu cầu bắt buộc, doanh nghiệp ICT trang bị công cụ rà quét lỗ hổng phần mềm, đồng thời yêu cầu các nhân sự phát triển phần mềm có kỹ năng an toàn thông tin.

“Với các ứng dụng CNTT dự kiến sẽ đặt hàng hoặc phát triển mới, mọi tổ chức, doanh nghiệp cần đưa các tiêu chí an toàn vào thiết kế từ đầu và yêu cầu đơn vị phát triển áp dụng mô hình DevSecOps. Cùng với đó là, kiểm tra đánh giá an toàn tất cả các sản phẩm ứng dụng  trước khi đưa vào sử dụng và mỗi khi có cập nhật, thay đổi”, đại diện Cục An toàn thông tin chia sẻ thêm.

Chủ yếu để hỗ trợ các đơn vị phát triển phần mềm, Cục An toàn thông tin vừa ban hành bộ tài liệu “Hướng dẫn kiểm tra an toàn thông tin đối với các lỗ hổng bảo mật phổ biến trên ứng dụng”, phiên bản 1.0

Theo đó, bên cạnh việc liệt kê danh mục 10 điểm yếu, lỗ hổng bảo mật phổ biến trên các ứng dụng hiện nay như Broken Access Control, Cryptographic Failures, Injection, Insecure Design… trong bộ tài liệu mới phát hành, Cục An toàn thông tin, trực tiếp là Trung tâm Giám sát an toàn không gian mạng quốc gia cũng đưa ra quy trình và hướng dẫn cụ thể cho các nhà phát triển phần mềm để kiểm tra với từng lỗ hổng bảo mật dành cho nhà phát triển nhằm phát triển sớm và có phương án xử lý trước khi phát hành ứng dụng.

Cục An toàn thông tin khuyến nghị các đơn vị áp dụng tài liệu “Hướng dẫn kiểm tra an toàn thông tin đối với các lỗ hổng bảo mật phổ biến trên ứng dụng” phiên bản 1.0 trong quá trình nghiên cứu, xây dựng và phát triển phần mềm.

Trước đó, Cục An toàn thông tin cũng đã ban hành hướng dẫn “Khung phát triển phần mềm an toàn (phiên bản 1.0)”. Các tài liệu này, các tổ chức, doanh nghiệp có thể xem bản đầy đủ trên trang tinnhiemmang.vn 

Vân Anh

Elon Musk hé lộ đối thủ xứng tầm Tesla

Elon Musk cho biết một hãng xe Trung Quốc có thể sẽ vươn lên trở thành đối thủ đáng gờm của Tesla trong thời gian tới.

Apple, Twitter, Meta, Binance nằm ở danh sách chủ nợ dài 116 trang của sàn FTX

Một danh sách chủ nợ dài dằng dặc của sàn FTX đã được công bố vào tối muộn ngày 25/1 (giờ Mỹ), bao gồm các cái tên ‘máu mặt’ mà không ai có thể ngờ đến.

Facebook và Instagram sẽ “mở khóa” cho cựu Tổng thống Trump

Meta, công ty mẹ Facebook và Instagram, cho biết sẽ cho phép cựu Tổng thống Mỹ Donald Trump quay trở lại nền tảng trong vài tuần tới.

4 xu hướng chuyển dịch của ngành viễn thông năm 2023

Sau 2 năm bị ảnh hưởng do gián đoạn chuỗi cung ứng, giá năng lượng tăng vọt và áp lực kinh tế, các hãng viễn thông vẫn sẽ tiếp tục phải thay đổi để tồn tại.

Tại sao Ấn Độ theo đuổi việc chế tạo chip tiên tiến? Icon

Ấn Độ đã dành một vùng đất rộng lớn ở bang Gujarat, quê hương của thủ tướng Narendra Modi, làm địa điểm xây dựng nhà máy chế tạo chip trị giá khoảng 20 tỷ USD.

Doanh nghiệp công nghệ Việt và những mục tiêu đầy tham vọng năm 2023

Những ngày đầu xuân năm mới, các doanh nghiệp công nghệ số Việt cho thấy sự lạc quan, đồng thời đưa ra nhiều kỳ vọng về những sức bật tăng trưởng mới năm 2023.

Chung tay "làm sạch" không gian mạng

Các chuyên gia cho rằng, nếu không quyết liệt làm sạch không gian mạng, đẩy lùi vấn nạn lừa đảo online đang ngày càng nở rộ, rất có thể nhiều người dân sẽ e ngại khi hoạt động trên không gian mạng.

Microsoft và nhiệm vụ hàng đầu trong năm 2023

Thương vụ thâu tóm nhà làm game Activision Blizzard cùng các kế hoạch đối phó với suy thoái kinh tế sẽ là trọng tâm của Microsoft trong năm 2023

Kỳ lân công nghệ 8 tỷ USD từng "đốt sạch" vốn, không doanh thu

Dream Sports, công ty sở hữu một trong những nền tảng trò chơi ảo lớn nhất Ấn Độ, trở thành kỳ lân công nghệ được định giá 8 tỷ USD, từng "đốt sạch" vốn và không có doanh thu.

Intel kiên định sứ mệnh đưa công nghiệp bán dẫn về nhà

“Trong hơn 3 thập kỷ, chúng tôi đã để ngành công nghiệp của mình từ 80% tại Mỹ và châu Âu trở thành 80% sản xuất tại châu Á” - CEO Intel Pat Gelsinger thừa nhận.

Đang cập nhật dữ liệu !