Chuyển đổi số đòi hỏi quan tâm thích đáng tới vấn đề bảo mật

07:26, Thứ Hai, 16/09/2019 (GMT+7)

 - Những phát hiện chính trong Báo cáo tình trạng bảo mật thông tin DevOps năm 2019 của Fortinet cho thấy, cuộc cách mạng chuyển đổi số đòi hỏi đội ngũ làm việc trong lĩnh vực DevOps - vốn là sự kết hợp của Development (Dev) và Operations (Ops) cần có sự quan tâm thích đáng tới vấn đề bảo mật để đạt được thành công…

DevOps đã trở nên phổ biến trong năm 2017 với 84% doanh nghiệp áp dụng các nguyên lý của DevOps, cho phép khách hàng dễ dàng thực hiện các giao dịch bằng điện thoại thông minh và các thiết bị khác. Điều này đã cho phép các nhân viên sử dụng ứng dụng web để thực hiện các công việc như xử lý các vấn đề kinh doanh, làm báo cáo và phối hợp với các nhân viên khác, dẫn đến kết quả là năng suất lao động được cải thiện, khả năng phản hồi với nhu cầu của thị trường trở nên nhanh chóng hơn nhiều. Các thiết bị ứng dụng công nghệ IoT cũng sử dụng các ứng dụng tương tự để chia sẻ, thu thập và tương quan dữ liệu để đóng góp vào Big Data (tập hợp Dữ liệu Lớn) cũng như kết nối khoảng cách giữa các hệ thống mạng IT và OT.

Khó khăn của DevOps

Các ứng dụng web đang ngày càng trở thành trách nhiệm đối với đội ngũ DevOps - những người sử dụng các chiến lược phát triển đặc biệt để xây dựng, kết hợp, cập nhật và duy trì các ứng dụng này. Đối với hầu hết các giai đoạn, các ứng dụng này đều cần sử dụng các dịch vụ liên quan tới điện toán đám mây để tăng cường khả năng phát triển các công cụ này.

Một trong những kết quả bất ngờ nhất của xu thế chuyển đổi số đó là việc nhận ra khách hàng trực tuyến có xu hướng thay đổi nhiều hơn. Họ sẵn sàng từ bỏ sự trung thành với một thương hiệu để đổi lấy một giao diện người dùng nhanh hơn, đơn giản hơn hoặc trông có vẻ xịn hơn. Ngay cả người dùng nội bộ cũng thể hiện xu hướng tương tự. Do đó, để bắt kịp với thực tế mới này, đội ngũ DevOps luôn phải chịu áp lực ứng dụng các công nghệ mới và duy trì lợi thế cạnh tranh trong một không gian luôn bị chi phối bởi sự thay đổi.

Nhu cầu về tốc độ và bảo mật

Do các ứng dụng DevOps đã trở nên rất cần thiết đối với sự thành bại của việc kinh doanh, chức năng bảo mật thông tin tương xứng là rất quan trọng đối với các công cụ này. Việc tội phạm mạng khai thác đúng ứng dụng web không chỉ có thể làm lộ thông tin nhận dạng cá nhân (PII) của khách hàng, mà còn có ảnh hưởng nghiêm trọng đến các chức năng kinh doanh cốt yếu.

Theo Báo cáo tình trạng bảo mật thông tin DevOps năm 2019 được công bố gần đây của Fortinet, 92% các tổ chức đã thấy ít nhất một lỗ hổng thông tin được đưa vào hệ thống sản xuất trong vòng 12 tháng qua, điển hình có công ty đã gặp phải 3 đến 5 lỗ hổng trong hệ thống sản xuất trong khoảng thời gian đó. Việc tìm ra những lỗ hổng này cũng khó khăn không kém, vì chỉ có 14% các tổ chức cho phép hiển thị đầy đủ vào môi trường DevOps của họ từ các hệ thống trên một vi mạch SOC. Do đó, 70% các công ty đã có kế hoạch ứng dụng hệ thống bảo mật DevOps dưới sự kiểm soát của giám đốc bảo mật thông tin (CISO) của họ trong năm tới.

Tuy nhiên, có một số lo ngại rằng cam kết này cũng không hơn những “lời nói đãi môi” là bao. Lý do là thời gian đáp ứng với thị trường. Tốc độ là một yếu tố quan trọng trong các nỗ lực của DevOps, và việc không cung cấp được các ứng dụng và các bản cập nhật kịp thời sẽ đồng nghĩa với việc tụt lại phía sau, điều mà trong thị trường số ngày nay có thể gây ra những hậu quả vô cùng tai hại.

Điều mà các chuyên gia DevOps lo ngại, là các giải pháp bảo mật truyền thống chắc chắn sẽ làm chậm lại các dự án của họ. Kết quả là, theo một cuộc khảo sát gần đây, 52% các công ty thừa nhận đã nhân rộng trở lại các biện pháp bảo mật để đáp ứng thời hạn hoặc mục tiêu kinh doanh. Trên thực tế, 68% lại nói rằng các CEO của họ yêu cầu DevOps cùng đội ngũ bảo mật thông tin không bao giờ được gây trì trệ quá trình kinh doanh. Thật không may, tốc độ mà mã code cần để được đưa vào sử dụng có thể là một trong những tác nhân chính trong rất nhiều vụ vi phạm bảo mật dữ liệu nghiêm trọng.

Kết hợp những biện pháp hiệu quả nhất với giải pháp bảo mật

Những gì đội ngũ DevOps cần là các công cụ bảo mật giúp giảm thiểu rủi ro mà không cản trở công việc của họ hoặc yêu cầu họ trở thành chuyên gia bảo mật thông tin. Họ cần có khả năng lồng ghép các công cụ và chức năng bảo mật vào một ứng dụng khi cần mà không tốn thời gian và năng lượng cần thiết để xây dựng và quản lý các công cụ đó từ đầu. Thay vào đó, họ cần cấu hình và các bản cập nhật, bảo trì vòng đời và khả năng giám sát được tự động hóa. Nếu không, các chức năng này cần phải được thực hiện bởi đội ngũ bảo mật thông tin.

Tuy nhiên, việc chỉ sử dụng các giải pháp bảo mật thông tin thôi là chưa đủ. Kết quả phân tích trong Báo cáo tình trạng bảo mật thông tin DevOps năm 2019 của các tổ chức, công ty vẫn luôn vận hành quản lý để nắm bắt các lỗ hổng thông tin trong ứng dụng và tránh các vi phạm bảo mật cho thấy rằng họ cũng thực hiện một bộ tương tự các giao thức kiểm soát an ninh hiệu quả.

Những biện pháp được đánh giá hiệu quả nhất này bao gồm: Theo dõi kiểm toán bảo mật; Theo dõi và báo cáo về việc tuân thủ các tiêu chuẩn bảo mật thông tin; Theo dõi và báo cáo thỏa hiệp bảo mật thông tin; Phân tích các quan hệ phụ thuộc; Quét các bộ chứa tài nguyên trên hệ thống đám mây công cộng để tìm kiếm các trường hợp cấu hình sai; Đánh giá lỗ hổng thông tin và quét hệ thống phục vụ công tác quản lý; Giám sát và quản lý cam kết sử dụng mã code.

Đáp ứng các mục tiêu của DevOps đồng thời giảm thiểu rủi ro

Những phát hiện chính trong Báo cáo tình trạng bảo mật thông tin DevOps năm 2019 của Fortinet chỉ ra rằng các giải pháp bảo mật thông tin cho môi trường DevOps phải có khả năng mở rộng, tốc độ nhanh và tự động. Điều đó cũng có nghĩa là các phương pháp tiếp cận truyền thống đối với an ninh mạng đơn thuần không có tốc độ cần thiết để hỗ trợ môi trường DevOps.

Thay vào đó, an ninh mạng phải bao gồm các giải pháp được tích hợp và tự động hóa có thể giải quyết các mối đe dọa trong bối cảnh hiện tại, trong đó các tội phạm mạng đang ứng dụng các công nghệ tiên tiến như trí tuệ nhân tạo và công nghệ tập thể để tạo ra các mối đe dọa có khả năng tùy chỉnh và di chuyển ở tốc độ máy, trong khi không cản trở tốc độ mà DevOps cần để hoạt động.

Điều này cần được thực hiện bằng cách kết hợp các biện pháp hiệu quả nhất với các giải pháp bảo mật thông tin giúp đơn giản hóa việc thực hiện, giảm thiểu các chẩn đoán sai thông qua công nghệ máy học, đồng thời tự động phản ứng đối với các mối đe dọa. Các công ty thiết lập và tuân thủ một cách tiếp cận toàn diện, tích hợp đầy đủ để bảo mật có thể gặt hái những lợi ích của DevOps mà không làm tăng rủi ro cho chính họ hoặc khách hàng của họ.

Hiền Mai

Nội dung:




Giá vàng 9999 tr.đ/lượng

Doji TienPhongBank

Tỷ giá ĐVT:đồng

Loại Mua Bán
BIDV
OCB Kỳ hạn (tháng)