Những nỗ lực Synology thực hiện để bảo mật dữ liệu

Lỗ hổng phần mềm là một trong những lỗ hổng được tội phạm mạng khai thác phổ biến nhất, từ vụ tấn công SolarWinds ảnh hưởng đến hơn 18.000 tổ chức đến lỗ hổng Log4j ảnh hưởng đến hơn 48,3% tổ chức trên toàn cầu. Khả năng quản lý rủi ro bảo mật của nhà cung cấp hiện đang bị thách thức hơn bao giờ hết.

Khi nói đến quản lý rủi ro bảo mật, ứng phó sự cố thường là điều đầu tiên bạn nghĩ đến. Mặc dù điều quan trọng là phải có kế hoạch ứng phó sự cố để giải quyết hậu quả của vi phạm, nhưng điều quan trọng không kém là ưu tiên bảo mật phần mềm ở giai đoạn phát triển để ngăn chặn sự cố như vậy xảy ra ngay từ đầu.

Được hướng dẫn bởi Khung phát triển phần mềm bảo mật (Secure Software Development Framework: SSDF) của NIST, Vòng đời phát triển bảo mật (Security Development Lifecycle: SDL) là một phương pháp ngày càng phổ biến cung cấp phương pháp tiếp cận có hệ thống giúp giảm thiểu rủi ro bảo mật và đảm bảo tuân thủ các yêu cầu quy định. Các công ty khác nhau có thể có định nghĩa riêng về SDL, nhưng cơ bản vẫn giống nhau, giúp các nhà phát triển chuẩn hóa và xây dựng một sản phẩm có tính bảo mật cao từ đầu đến cuối.

Làm thế nào để Synology làm điều đó?

Là nhà cung cấp dịch vụ lưu trữ, khách hàng của Synology giao phó dữ liệu có giá trị của họ, Synology đặt vấn đề bảo mật lên hàng đầu. Nhóm Ứng phó Sự cố Bảo mật Sản phẩm (Product Security Incident Response Team: PSIRT) tận tâm của Synology đã thiết kế quy trình phát triển phần mềm gồm bốn giai đoạn (Thiết kế, Phát triển, Xác minh, Phát hành) để đảm bảo an toàn cho sản phẩm và phản ứng nhanh trước các cuộc tấn công zero-day. Synology hứa sẽ khắc phục các lỗ hổng nghiêm trọng trong vòng 24 giờ, nhanh hơn mức trung bình của ngành là 60 ngày. Cam kết của Synology về bảo mật là điều hiển nhiên vì không có cách khai thác nào hiện có trên các sản phẩm Synology theo Danh mục KEV của Cơ quan An ninh Cơ sở hạ tầng & An ninh mạng (Cybersecurity & Infrastructure Security Agency: CISA) kể từ khi được giới thiệu vào năm 2021.

Bài viết này sẽ khám phá cách các sản phẩm Synology được phát triển cẩn thận theo SDL của riêng Synology, nhằm mục đích bảo mật.

1. Giai đoạn thiết kế: An toàn theo thiết kế

Khi một sản phẩm hoặc tính năng Synology mới được đưa vào sử dụng, Chương trình Đảm bảo An ninh Sản phẩm (Product Security Assurance: PSA) sẽ được bắt đầu. Sau đó, nhóm PSIRT sẽ cộng tác với nhóm phát triển trong việc xem xét thiết kế và cơ sở hạ tầng bảo mật, đưa ra các đề xuất mang tính xây dựng để cải thiện. Chẳng hạn, đặc quyền gốc đã bị loại bỏ trong DSM 7.0 để tuân thủ nguyên tắc đặc quyền tối thiểu, chỉ cấp cho người dùng những quyền cần thiết tối thiểu để giảm rủi ro bảo mật. Cách tiếp cận chủ động này thiết lập một khung bảo mật mạnh mẽ ngay từ đầu, tránh các biến chứng liên quan đến bảo mật trong tương lai.

2. Giai đoạn phát triển: Chuẩn hóa và thử nghiệm tự động

Giai đoạn phát triển sẽ chính thức bắt đầu sau khi thông số kỹ thuật của sản phẩm đã được xác nhận. Để đảm bảo chất lượng của mã ngay từ đầu, Synology triển khai Kiểm tra bảo mật ứng dụng tĩnh (SAST) bằng các công cụ tự động để sàng lọc các lỗ hổng và lỗi tiềm ẩn. Điều này giúp ngăn chặn việc sử dụng mã nguồn không an toàn hoặc bị cấm ngay từ đầu.

Khi quá trình phát triển tiến triển và hoàn tất, Kiểm tra bảo mật phân tích động (DAST) sẽ được thực hiện liên tục để phát hiện các thay đổi trong mã và đảm bảo rằng tất cả chức năng được kiểm tra kỹ lưỡng trên ứng dụng, giảm các mối đe dọa bảo mật tiềm ẩn.

3. Giai đoạn xác minh: Tư duy của kẻ tấn công

Tại Synology, Họ hiểu tầm quan trọng của việc kiểm tra và xác minh kỹ lưỡng trước khi phát hành sản phẩm của mình cho người dùng. Đó là lý do tại sao Synology đã giới thiệu Synology Red Team vào đầu năm 2022. Bao gồm một nhóm tin tặc nội bộ tài năng với nhiều kinh nghiệm chuyên môn, Red Team chuyên kiểm tra các sản phẩm của Synology từ góc độ của kẻ tấn công để xác định và khai thác mọi lỗ hổng. Chỉ trong sáu tháng, Red Team đã tạo ra một tác động đáng kể, xác định được hơn 21% lỗi hệ thống, tương đương với 100.000 đô la Mỹ trong phần thưởng chương trình tiền thưởng, trước khi phát hành chính thức.

Nói về chương trình tiền thưởng, Synology không chỉ dựa vào đội ngũ nội bộ để đảm bảo an toàn cho sản phẩm của mình. Họ áp dụng cách tiếp cận chủ động và tích cực tham gia với cộng đồng tin tặc thông qua nhiều sáng kiến ​​khác nhau. Việc Synology tham gia vào các sự kiện uy tín như Pwn2Own và TienFu Cup cũng như chương trình tiền thưởng lỗi hàng năm của họ kể từ năm 2017, nơi Synology mời các nhà nghiên cứu bên ngoài giúp Synology xác định các lỗ hổng bảo mật, thể hiện cam kết của Synology đối với sự an toàn của dữ liệu người dùng. Cho đến nay, hơn 200 nhà nghiên cứu đã tham gia vào chương trình tiền thưởng lỗi của họ và họ đã thưởng hơn 270.000 đô la Mỹ cho những nỗ lực của họ.

Bằng cách nắm bắt suy nghĩ của những kẻ tấn công, Synology có thể mô phỏng các cuộc tấn công trong thế giới thực và do đó cải thiện sự sẵn sàng của họ trong trường hợp xảy ra khủng hoảng thực sự. Cách tiếp cận chủ động này khiến Synology khác biệt với các đối thủ cạnh tranh và đảm bảo rằng người dùng của Synology có thể tin tưởng vào tính bảo mật và độ tin cậy của các sản phẩm của Synology.

4. Giai đoạn phát hành: Thời gian phản hồi hàng đầu trong ngành

Nếu đội đỏ chơi tấn công, thì đội xanh chơi phòng thủ. Đội Đỏ tích cực tìm kiếm các lỗ hổng trong khi Đội Xanh cảnh giác giám sát các mối đe dọa bảo mật. Sau khi báo cáo về lỗ hổng bảo mật, Nhóm Xanh sẽ nhanh chóng bắt đầu đánh giá sơ bộ để xác định tác động trong vòng tám giờ. Sau khi được xác định là vấn đề nghiêm trọng, lỗ hổng sẽ được khắc phục nhanh chóng trong vòng 24 giờ, nhanh hơn đáng kể so với thời gian trung bình của ngành là 60 ngày để khắc phục (Mean Time to Remediate: MTTR).

Sau khi phát hành bản vá, PSIRT sẽ đưa ra Tư vấn bảo mật để thông báo cho người dùng của Synology và đồng thời thông báo công khai bản cập nhật phần mềm. Phản hồi của người dùng cũng được báo cáo lại cho nhóm. Phản hồi nhanh chóng và hiệu quả của họ đảm bảo rằng người dùng của Synology luôn có thể tin tưởng vào tính bảo mật của các sản phẩm của Synology, vì bảo mật luôn là ưu tiên hàng đầu tại Synology.

Mẹo để thúc đẩy hiệu quả MTTR? Minh bạch là chìa khóa.

Người ta có thể tự hỏi làm thế nào Synology đạt được Thời gian trung bình để khắc phục (MTTR) đặc biệt như vậy khi đối mặt với một cuộc tấn công zero-day. Chìa khóa nằm ở việc giữ một khoảng không quảng cáo minh bạch.

Khi phát triển một ứng dụng, nhiều thành phần nguồn mở thường được yêu cầu. Chẳng hạn, mỗi phiên bản của Synology DSM bao gồm hơn 1.600 thành phần nguồn mở. Trong trường hợp lỗ hổng zero-day được phát hiện, việc có sẵn hệ thống kiểm kê có thể giúp nhanh chóng xác định xem các sản phẩm Synology có bị ảnh hưởng hay không và cụ thể hơn là ứng dụng và phiên bản nào bị ảnh hưởng.

Software Bill of Material (SBoM) là một hệ thống kiểm kê toàn diện theo dõi tất cả các thành phần bên thứ ba và nguồn mở được sử dụng trong một ứng dụng phần mềm cung cấp tính minh bạch và bảo mật nâng cao. Khi các cuộc tấn công chuỗi cung ứng trở nên phổ biến hơn trong những năm gần đây, SBoM đã được công nhận là một công cụ quan trọng để bảo mật phần mềm.

Synology đã sớm nhận ra tầm quan trọng của SBoM và dành 8 tháng trong năm 2020 để triển khai nó. Bằng cách tích hợp SBoM, nhóm PSIRT có thể đánh giá phiên bản ứng dụng nào của Synology có thể bị ảnh hưởng bởi các lỗ hổng CVE mới được phát hiện một cách nhanh chóng và linh hoạt. Việc áp dụng SBoM không chỉ cho phép nhóm PSIRT tiến hành kiểm tra toàn diện về tác động mà còn tăng đáng kể hiệu quả của quy trình ứng phó sự cố của Synology lên 50%.

Việc theo đuổi an ninh không bao giờ kết thúc

Sự hợp tác tích cực giữa nhóm bảo mật và nhóm phát triển sản phẩm của Synology cho phép họ khắc phục các lỗ hổng bảo mật một cách nhanh chóng và hiệu quả. Cam kết của Synology đối với bảo mật cũng vượt xa những nỗ lực nội bộ của họ. Là thành viên của Diễn đàn các nhóm bảo mật và ứng phó sự cố (FIRST) rất được kính trọng và là nhà cung cấp NAS đầu tiên được Tập đoàn MITRE nổi tiếng thế giới ủy quyền làm CNA (CVE Numbering Authority), họ đi đầu trong cộng đồng an ninh mạng quốc tế. Bằng cách hợp tác với các tổ chức hàng đầu khác và luôn cập nhật các tiến bộ bảo mật mới nhất, Synology có thể ứng phó với các sự cố bảo mật với hiệu quả chưa từng có.

Từ thiết kế đến phát hành, mã hóa đến thử nghiệm, Synology hoàn toàn cam kết tích hợp bảo mật vào mọi bước trong quy trình phát triển sản phẩm của Synology để bảo vệ dữ liệu của bạn.

Cuối cùng nhưng không kém phần quan trọng, với tư cách là chủ sở hữu dữ liệu, điều quan trọng không kém là phải đóng vai trò tích cực trong việc đảm bảo an toàn cho dữ liệu quý giá của bạn. Tiến hành đánh giá bảo mật thường xuyên và xây dựng chiến lược sao lưu toàn diện là những phương pháp phổ biến có thể giúp bảo vệ dữ liệu của bạn. Bảo mật là trách nhiệm chung giữa nhà cung cấp và người dùng. Bằng cách hợp tác với một nhà cung cấp đáng tin cậy, bạn có thể giảm thiểu rủi ro vi phạm bảo mật và đảm bảo an toàn cho dữ liệu của mình.

Gợi ý sản phẩm NAS Synology bảo mật dữ liệu:

Liên hệ Vietcorp để mua thiết bị lưu trữ NAS tốt nhất:
www.vietcorp.com 0814 247 247