Vào ngày 12 tháng 5 năm 2021, Tổng thống Biden đã ban hành một sắc lệnh hành pháp (EO) nhằm tăng cường tính minh bạch trong chuỗi cung ứng phần mềm thông qua các phương pháp tốt nhất được đề xuất và một chương trình thí điểm ghi nhãn sản phẩm phần mềm dành cho tiêu dùng nhằm cải thiện đảm bảo về phần mềm. Sau khi các hacker tấn công vào hệ thống mạng của Colonial Pipene, bao gồm cả ransomware, có một sự lo ngại rất lớn về sự an toàn của phần mềm hỗ trợ cơ sở hạ tầng quan trọng của các tổ chức. Đã đến lúc, Tổng thống phải đưa ra hành động.
Executive Order (EO) chủ yếu tập trung vào việc cải thiện tính bảo mật của phần mềm được sử dụng bởi chính phủ liên bang. Mặt khác, nó cũng chỉ đạo cơ quan quản lý phát triển một tập hợp các phương pháp tốt nhất trong việc phát triển mã nguồn. Thông qua công ty SecurityScorecard – chuyên về xếp hạng bảo mật hàng đầu thế giới – chúng tôi biết rằng để thành công, chính phủ cần phải tập trung vào việc tạo ra các số liệu linh hoạt và phản ánh thông tin mới nhất và tốt nhất hiện có để người tiêu dùng có thể đưa ra quyết định mua hàng tốt nhất.
“Sau các cuộc tấn công vào chuỗi cung ứng gần đây liên quan đến SolarWinds và Microsoft, điều cấp bách là chúng ta, với tư cách một quốc gia, phải thực hiện nghiêm túc việc đảm bảo về phần mềm. Các phương pháp thực hành tốt nhất có thể nâng cao không chỉ tính bảo mật của ngành công nghiệp phần mềm mà còn cả mức độ an ninh mạng tổng thể trong nền kinh tế của chúng ta. Chúng ta hoan nghênh EO này, như một bước quan trọng trong việc đưa tính minh bạch vào thị trường phần mềm của chính phủ liên bang. Bước tiến logic tiếp theo là đưa tính minh bạch tương tự vào việc đảm bảo an ninh của các nhà cung cấp và bên thứ ba trong tất cả các ngành công nghiệp.”
Nhận xét của Mark Weatherford, cố vấn của SecurityScorecard và cựu Thứ ông còn từng là Phó Bộ trưởng phụ trách An ninh mạng tại Bảo mật Mạng tại Bộ An ninh Nội địa Hoa kỳ.
Liệu việc đảm bảo phần mềm có nghĩa là phần mềm an toàn hơn không?
Sắc lệnh Ban hành của Tổng thống (EO) đề xuất một quy ước gắn nhãn nhằm cung cấp một mức độ đảm bảo (assurance) rằng một phần mềm không chứa các lỗ hổng nào đã được biết đến trước – cả những lỗ hổng được viết vô ý vào mã nguồn và những lỗ hổng có thể bị chèn độc hại trong môi trường sản xuất – và phần mềm hoạt động theo cách được dự định.
Lý tưởng nhất là việc tiếp cận này dựa trên nhãn và đảm bảo sẽ thúc đẩy các nhà phát triển phần mềm phải nhận thức rõ hơn về thực tiễn và môi trường phát triển phần mềm của họ, và cho phép họ phân biệt sản phẩm của mình với xếp hạng đánh giá đảm bảo tốt hơn..
Mặc dù việc đánh giá đảm bảo về phần mềm không hề dễ dàng, chính phủ Biden có thể dựa vào công việc đã được thực hiện tốt trước đó bởi MITRE và các tổ chức khác. “Các phương pháp tốt nhất về phát triển phần mềm tạo ra môi trường “Tin cậy có xác minh” (trust but verify). Mặc dù phần mềm được phát triển thông qua cách tiếp cận tốt nhất có thể đáng tin cậy, nhưng các tổ chức vẫn cần phải kiểm tra xem các công ty có sử dụng nó đúng cách, duy trì cập nhật và vá lỗ hổng,” nhận xét của Bryan Ware, cố vấn của SecurityScorecard và cựu giám đốc điều hành phụ trách cơ quan CISA về an ninh mạng.
Mặc dù xếp hạng đảm bảo cho phần mềm sẽ không loại bỏ hoàn toàn tất cả các lỗ hổng, chúng sẽ cho phép người tiêu dùng xác định được các công ty và nhà phát triển nào tuân theo các phương pháp viết mã an toàn. Sau đó, các nhà phát triển sẽ có khả năng cạnh tranh dựa trên chất lượng và an ninh của sản phẩm của họ, bên cạnh giá cả và chức năng.
Đọc thêm: An ninh mạng doanh nghiệp là gì? – Mi2 JSC
Đánh giá tính bảo mật của môi trường phát triển
EO bao hàm một số cân nhắc về cách đánh giá sự đảm bảo của phần mềm: tính toàn vẹn của mã phát triển và tính bảo mật của chính môi trường phát triển. Quan điểm tổng thể này rất quan trọng, vì chúng ta đã thấy các quốc gia-thỏa hiệp phần mềm trong môi trường phát triển. Do đó, tính bảo mật của mã phụ thuộc vào sự an toàn của tổ chức viết mã đó.
Tuy nhiên, việc xác minh tính bảo mật của môi trường đang phát triển, tức là trạng thái bảo mật của chính công ty, sẽ phụ thuộc vào kiến thức của tổ chức theo cách không phải lúc nào cũng khả thi hoặc có thể khả thi đối với người tiêu dùng hoặc thậm chí cả chính phủ. Nếu không có bức tranh đầy đủ về toàn bộ môi trường bảo mật xung quanh quá trình phát triển phần mềm, khách hàng sẽ chỉ có hiểu biết hạn chế về tính an toàn của các sản phẩm mà họ đang cài đặt trên hệ thống của họ.
Điều này không có nghĩa là mọi nhà phát triển phần mềm đều phải tiết lộ bí mật thương mại hoặc quyền sở hữu trí tuệ để đưa ra đánh giá chính xác về môi trường bảo mật của họ. Với các công cụ phù hợp, chẳng hạn như xếp hạng bảo mật, thông tin có sẵn công khai có thể cung cấp bức tranh không xâm phạm nhưng vẫn chính xác về tình hình bảo mật của bất kỳ công ty nào.
Vai trò của xếp hạng bảo mật trong đảm bảo phần mềm
Xếp hạng an ninh mạng cung cấp các điểm dữ liệu có giá trị để có cái nhìn toàn diện hơn về tình trạng bảo mật của nhà phát triển phần mềm hoặc bất kỳ tổ chức nào. Xếp hạng bảo mật mạnh mẽ nhất được cập nhật hàng ngày để cung cấp cho người tiêu dùng hiểu biết từ ngoài vào trong (Outside-in), liên tục và khách quan về bản thân họ và nhà cung cấp của họ. Với cái nhìn toàn diện về tình hình bảo mật của nhà cung cấp phần mềm, bao gồm cả môi trường phát triển của nó, để người tiêu dùng có thể đưa ra quyết định lựa chọn nhà cung cấp tốt hơn.
Xếp hạng bảo mật là một chỉ báo tốt về tình trạng và chăm sóc hệ thống an ninh mạng tổng thể của một tổ chức. Thật vậy, vào tháng 1 năm 2020, CISA đã công nhận xếp hạng bảo mật là thước đo rủi ro mạng. Bên cạnh đó, SecurityScorecard nhận thấy rằng nếu xếp hạng bảo mật của một tổ chức thấp thì điều này thường cho thấy rằng tổ chức đó không ưu tiên bảo mật. Do đó, nhà phát triển phần mềm có xếp hạng bảo mật thấp có thể không ưu tiên bảo mật trong môi trường phát triển và mức độ đảm bảo cho phần mềm của họ sẽ thấp hơn.
SecurityScorecard rất vui khi thấy tầm quan trọng mà Chính quyền Biden đang đặt ra trong việc đảm bảo chuỗi cung ứng của quốc gia và đặc biệt là tập trung vào cách tiếp cận dựa trên số liệu đối với việc đảm bảo phần mềm. Họ hy vọng rằng tất cả các khía cạnh trong cách tiếp cận của nhà phát triển mã nguồn đều được đánh giá khi xác định mức độ đảm bảo cho phần mềm của họ. Ông Rob Knake, cố vấn của SecurityScorecard và là cựu giám đốc an ninh mạng của Hội đồng An ninh Quốc gia dưới thời Chủ tịch Obama, cho biết: “Các cuộc tấn công gần đây đã cho chúng ta thấy rằng dù một phần mềm có được mã hóa tốt đến đâu thì cũng không thể tin cậy được nếu môi trường phát triển bị xâm phạm”.
Đọc thêm: Xếp hạng bảo mật là gì? – Mi2 JSC
Tính minh bạch trong các chương trình bảo mật có nên là bước tiếp theo?
Khi chúng ta đang chờ xem mức độ đảm bảo sẽ được mô tả và đánh giá như thế nào, SecurityScorecard tin rằng việc mang lại sự minh bạch hơn trong thị trường phần mềm có thể được tận dụng cho các khía cạnh thẩm định khác của bên thứ ba. Nếu chúng ta mong đợi người mua và người tiêu dùng đo lường mức độ rủi ro mà một phần mềm đưa vào môi trường của họ, thì liệu chúng ta có nên mong đợi họ đo lường mức độ bảo mật của những người mà họ hợp tác kinh doanh cùng hay không?
Xếp hạng bảo mật đã tồn tại và cho phép các công ty cân nhắc không chỉ chi phí, dịch vụ và tốc độ của bất kỳ nhà cung cấp cụ thể nào mà còn cả mức độ rủi ro mà nhà cung cấp đó có thể đưa vào môi trường của họ tùy thuộc vào tính bảo mật của mạng công ty của họ. Với sự minh bạch hơn về việc nhà cung cấp nào ưu tiên bảo mật và nhà cung cấp nào không, người mua thuộc khu vực công và tư nhân có thể đưa ra quyết định kinh doanh dựa trên thông tin về rủi ro.