Những nỗ lực của Synology trong việc nâng cấp chất lượng bảo mật dữ liệu của người dùng

Các lỗ hổng phần mềm là một trong những miếng mồi ngon được tội phạm mạng khai thác phổ biến nhất, từ các cuộc tấn công SolarWinds ảnh hưởng đến hơn 18.000 tổ chức, cho đến lỗ hổng Log4j ảnh hưởng đến hơn 48,3% doanh nghiệp trên toàn cầu. Khả năng quản lý rủi ro bảo mật của nhà cung cấp hiện đang bị thách thức hơn bao giờ hết. Khi nói đến quản lý rủi ro bảo mật, ứng phó sự cố thường là yếu tố đầu tiên cần nghĩ đến. Qua bài viết ngay sau đây, hãy cùng Việt Tuấn làm rõ những nỗ lực của Synology trong việc nâng cấp chất lượng bảo mật dữ liệu của người dùng!

Cách Synology tiếp cận và giải quyết vấn đề bảo mật dữ liệu 

Với tư cách là nhà cung cấp dịch vụ lưu trữ hàng đầu thế giới với số lượng lớn khách hàng toàn cầu tin tưởng và giao phó dữ liệu quan trọng của họ, Synology luôn đặt vấn đề về bảo mật là ưu tiên hàng đầu. Product Security Incident Response Team - PSIRT hay Nhóm ứng phó sự cố bảo mật sản phẩm chuyên dụng của Synology đã thiết kế quy trình phát triển phần mềm gồm bốn giai đoạn (Thiết kế, Phát triển, Xác minh, Phát hành) để đảm bảo chất lượng bảo mật của sản phẩm và khả năng phản ứng chớp nhoáng trước các cuộc tấn công zero-day. 

Synology cam kết sẽ khắc phục các lỗ hổng về bảo mật nghiêm trọng trong vòng 24 giờ, nhanh hơn mức trung bình của ngành là 60 ngày. Cam kết bảo mật này là cực kỳ rõ ràng khi chưa có bất kỳ hoạt động khai thác nào trên các sản phẩm Synology theo Danh mục KEV của Cơ quan An ninh mạng & Cơ sở hạ tầng (CISA) kể từ khi được giới thiệu vào năm 2021.

Các giai đoạn phát triển phần mềm của Synology

1. Giai đoạn thiết kế: An toàn theo thiết kế

Khi một sản phẩm hoặc tính năng Synology mới được triển khai, Chương trình Đảm bảo An ninh Sản phẩm (PSA) sẽ được bắt đầu. Sau đó, nhóm PSIRT sẽ cộng tác với nhóm phát triển trong việc xem xét thiết kế và cơ sở hạ tầng bảo mật, đưa ra các đề xuất mang tính xây dựng để cải thiện. 

Ví dụ: Đặc quyền gốc đã bị lược bỏ trong phiên bản hệ điều hành DSM 7.0 để tuân thủ nguyên tắc đặc quyền tối thiểu, chỉ cấp cho người dùng những quyền cần thiết tối thiểu để ngăn chặn tối đa rủi ro bảo mật. Cách tiếp cận chủ động này đã thiết lập một cơ chế bảo vệ an ninh mạnh mẽ ngay từ đầu, tránh những rắc rối liên quan đến bảo mật trong tương lai.

Tìm hiểu thêm thông tin về hệ điều hành DSM qua bài viết tại đây

2. Giai đoạn phát triển: Thử nghiệm tiêu chuẩn hóa và tự động

Giai đoạn phát triển sẽ chính thức bắt đầu sau khi các thông số kỹ thuật của sản phẩm được xác nhận. Để đảm bảo chất lượng ngay từ đầu, Synology triển khai Kiểm tra bảo mật ứng dụng tĩnh (SAST) bằng các công cụ tự động để sàng lọc các lỗ hổng và khiếm khuyết tiềm ẩn trong mã nguồn phần mềm.

Điều này giúp ngăn chặn việc sử dụng mã nguồn không an toàn hoặc bị cấm ngay từ đầu.

Khi quá trình phát triển tiến triển và hoàn thiện, Kiểm tra bảo mật phân tích động (DAST) sẽ được thực hiện liên tục để phát hiện các thay đổi trong mã nguồn và đảm bảo rằng tất cả các chức năng đều được kiểm tra kỹ lưỡng trên ứng dụng, giảm các mối đe dọa bảo mật tiềm ẩn.

3. Giai đoạn xác minh: Tư duy của kẻ tấn công

Synology hiểu được tầm quan trọng của việc kiểm tra và xác minh kỹ lưỡng trước khi phát hành các sản phẩm phần mềm của mình tới người dùng. Đó là lý do tại sao Red Team được Synology công bố vào đầu năm 2022. Để giải thích đơn giản cho bạn đọc thì Red Team là 1 tổ chức bao gồm một nhóm tin tặc, hacker tài năng với kinh nghiệm chuyên môn CNTT sâu rộng, 

Red Team sẽ có nhiệm vụ kiểm tra các sản phẩm của Synology từ góc độ của kẻ tấn công để xác định và khai thác mọi lỗ hổng của phần mềm. Chỉ trong sáu tháng, Red Team đã tạo nên nhiều chiến công nổi bật, đó là xác định được hơn 21% lỗi phần mềm trước khi phát hành chính thức, tương đương với phần thưởng trị giá 100.000 USD trong chương trình tiền thưởng.

Nói về chương trình tiền thưởng, Synology không chỉ dựa vào đội ngũ Hacker nội bộ để bảo đảm sản phẩm của mình. Hãng cũng áp dụng cách tiếp cận chủ động và tích cực tương tác với cộng đồng hacker toàn cầu thông qua nhiều sáng kiến ​​khác nhau. 

Việc tham gia vào các sự kiện uy tín như Pwn2Own và TienFu Cup cũng như chương trình Săn lỗi Bảo mật hàng năm (Bug Bounty) kể từ năm 2017, Synology đã hợp tác cùng các nhà nghiên cứu bên ngoài để xác định các lỗ hổng bảo mật, thể hiện cam kết toàn diện đối với sự an toàn của dữ liệu người dùng. Cho đến nay, hơn 200 nhà nghiên cứu đã tham gia vào chương trình Bug Bounty của Synology. Bên cạnh đó, 270.000 USD là con số Synology đã bỏ ra để thưởng cho những nỗ lực của họ.

Bằng cách nắm bắt suy nghĩ của những kẻ tấn công, Synology có thể mô phỏng các cuộc tấn công trong thế giới thực và từ đó cải thiện khả năng sẵn sàng và sự tin cậy của hệ thống trong những trường hợp xảy ra thảm họa thực sự. Cách tiếp cận chủ động này giúp Synology khác biệt so với các đối thủ cạnh tranh và đảm bảo rằng người dùng có thể tin tưởng vào tính bảo mật và độ tin cậy của sản phẩm của hãng.

4. Giai đoạn phát hành: Thời gian phản hồi dẫn đầu ngành

Nếu Red Team lựa chọn việc tấn công thì Blue Team lựa chọn việc phòng thủ. Red Team tích cực tìm kiếm các lỗ hổng trong khi Blue Team cảnh giác theo dõi các mối đe dọa bảo mật. Sau khi báo cáo về lỗ hổng, Blue Team sẽ nhanh chóng tiến hành đánh giá sơ bộ để xác định tác động trong vòng 8 giờ đồng hồ. 

Sau khi xác định được sự cố nghiêm trọng, lỗ hổng này sẽ được khắc phục kịp thời trong vòng 24 giờ, vượt xa đáng kể so với mức trung bình của ngành là 60 ngày (MTTR).

Sau khi phát hành bản vá lỗi ứng dụng, PSIRT sẽ đưa ra Tư vấn bảo mật để thông báo cho người dùng và đồng thời thông báo công khai bản cập nhật phần mềm. Phản hồi của người dùng cũng được báo cáo lại cho nhóm. Phản hồi nhanh chóng và hiệu quả của chúng tôi đảm bảo rằng người dùng có thể tin tưởng một cách toàn diện vào tính bảo mật của phần mềm, ứng dụng được phát triển bởi Synology.

Cách để thúc đẩy hiệu quả MTTR? Sự minh bạch chính là chìa khóa.

Các đơn vị trong ngành luôn đặt ra những thắc mắc: Làm thế nào Synology có thể đạt được chỉ số MTTR đặc biệt như vậy khi đối mặt với cuộc tấn công Zero-day? Chìa khóa ở đây nằm ở chính sách minh bạch trong việc quản lý, kiểm soát toàn diện đối với mã nguồn của ứng dụng.

Khi phát triển một ứng dụng, thường cần có nhiều thành phần nguồn mở. Chẳng hạn, mỗi phiên bản Synology DSM bao gồm hơn 1.600 thành phần nguồn mở. Trong trường hợp lỗ hổng zero-day được phát hiện, việc sử dụng hệ thống kiểm kê tại chỗ có thể giúp nhanh chóng xác định tất cả các sản phẩm Synology có bị ảnh hưởng hay không và cụ thể hơn là ứng dụng và phiên bản nào bị ảnh hưởng.

Software Bill of Materials hay Hóa đơn vật liệu phần mềm (SBoM) là một hệ thống kiểm kê toàn diện giúp theo dõi tất cả các thành phần nguồn mở chính hãng và của bên thứ ba được sử dụng trong một ứng dụng phần mềm. Qua đó, mang lại sự minh bạch, nâng cao tính chất bảo mật cùng sự tin cậy. 

Khi các cuộc tấn công chuỗi cung ứng ngày càng phổ biến trong những năm gần đây, SBoM đã được công nhận là một công cụ quan trọng để bảo mật phần mềm. Synology đã sớm nhận ra tầm quan trọng của SBoM và dành 8 tháng trong năm 2020 để triển khai hệ thống này. 

Bằng cách tích hợp SBoM, nhóm PSIRT có thể đánh giá phiên bản ứng dụng Synology nào có thể bị ảnh hưởng bởi các lỗ hổng CVE mới được phát hiện một cách nhanh chóng và kịp thời. 

Việc áp dụng SBoM không chỉ cho phép nhóm PSIRT tiến hành kiểm tra toàn diện về tác động mà còn tăng đáng kể hiệu quả của quá trình ứng phó sự cố bảo mật của hãng lên 50%.

Synology - Đồng hành cùng người dùng trong cuộc chiến bảo mật dữ liệu

Sự cộng tác tích cực giữa tổ chức bảo mật và nhóm phát triển sản phẩm cho phép Synology khắc phục các lỗ hổng bảo mật một cách nhanh chóng và hiệu quả. Là thành viên của Diễn đàn Tổ chức An ninh và Ứng phó Sự cố (FIRST) được đánh giá cao, đồng thời cũng giữ vị trí là thương hiệu sản xuất thiết bị lưu trữ NAS đầu tiên được ủy quyền là CNA bởi Tập đoàn MITER nổi tiếng thế giới. Không lạ gì khi Synology luôn đi đầu trong cộng đồng an ninh mạng quốc tế. 

Từ thiết kế đến phát hành, mã hóa đến thử nghiệm, Synology cam kết từng bước trong quy trình phát triển sản phẩm đều được áp dụng các chính sách và cơ chế bảo mật mạnh mẽ. Qua đó, dữ liệu quan trọng của người dùng cá nhân, doanh nghiệp sẽ được bảo vệ tối đa.

Cuối cùng nhưng không kém phần quan trọng, với tư cách là chủ sở hữu dữ liệu, người dùng cũng phải đóng vai trò tích cực trong việc đảm bảo an toàn cho dữ liệu có giá trị. 

Tiến hành đánh giá bảo mật thường xuyên và xây dựng chiến lược sao lưu toàn diện là những phương pháp phổ biến có thể giúp bảo vệ dữ liệu của bạn. Bảo mật là trách nhiệm chung giữa nhà cung cấp dịch vụ và người dùng. Bằng cách hợp tác với một nhà cung cấp đáng tin cậy, bạn có thể giảm thiểu rủi ro vi phạm bảo mật và đảm bảo an toàn cho dữ liệu của mình.

Tổng kết

Bài viết đến đây là kết thúc. Hi vọng rằng bạn đọc đã có những thông tin bổ ích và cần thiết nhất về chủ đề Những nỗ lực của Synology trong việc nâng cấp chất lượng bảo mật dữ liệu của doanh nghiệp. Đừng quên Việt Tuấn là đơn vị hàng đầu thị trường Việt Nam chuyên cung cấp đa dạng các dòng sản phẩm thiết bị lưu trữ NAS chính hãng Synology cho khách hàng toàn quốc. Chúng tôi cũng cung cấp dịch vụ tư vấn, thiết kế các giải pháp bảo mật tối ưu cho hệ thống của khách hàng để đạt được hiệu quả cao nhất! Liên hệ ngay cho Việt Tuấn!