Kiểm tra an toàn thông bong da truc tiep trước các lỗ hổng bảo mật phổ biến

Lỗ hổng bảo mật được phát hiện mỗi ngày

Lỗ hổng bảo mật được các chuyên gia nhận định là một trong những nguyên nhân hàng đầu gây ra các cuộctấn công mạngnhắm vào hệ thống thông bong da truc tiep của các tổ chức, doanh nghiệp trên thế giới và tại Việt Nam.

Thống kê bong da truc tiep cầu cho thấy, hiện có khoảng 900 cuộc tấn công mạng, 5 mã độc mới sinh ra trong mỗi giây, 40 điểm yếu, lỗ hổng được phát hiện mỗi ngày. Con số này được dự báo có thể tăng gấp 2 lần vào năm 2025.

Theo số liệu thống kê của Cục An toàn thông bong da truc tiep, trong 3 quý đầu năm nay, cơ quan này đã ghi nhận và hướng dẫn xử lý 9.519 cuộc tấn công mạng vào các hệ thống thông bong da truc tiep tại Việt Nam, ngăn chặn 926 website lừa đảo và ghi nhận gần 4.000 phản ánh trường hợp lừa đảo do người dùng Internet Việt Nam thông bong da truc tiep tới hệ thống cảnh báo.

Theo đánh giá của Cục An toàn thông bong da truc tiep, Bộ Thông bong da truc tiep và Truyền thông, thời gian gần đây, nhiều sản phẩm công nghệ thông bong da truc tiep, đặc biệt các ứng dụng phục vụ Chính phủ điện tử, Chính phủ số, có tồn tại hoặc phát sinh nhiều điểm yếu,lỗ hổng bảo mậtgây mất an toàn thông bong da truc tiep, lộ lọt thông bong da truc tiep, dữ liệu của người dân, tổ chức trong quá trình sử dụng sản phẩm, ứng dụng. Điều này có thể ảnh hưởng lớn đến niềm bong da truc tiep của xã hội và quá trình chuyển đổi số.

An toàn trong phát triển phần mềm, bảo mật thông bong da truc tiep là một trong những vấn đề nổi cộm cần được giải quyết để đảm bảo an toàn cho chuyển đổi số, phát triển Chính phủ số.

Tại Việt Nam, nhiều phần mềm chưa áp dụng quy trìnhphát triển phần mềm bong da truc tiep toàn DevSecOps (Development - Security - Operations: Phát triển - Bảo mật - Vận hành)và những lỗi sơ đẳng có thể gây ra những ảnh hưởng an toàn thông bong da truc tiep nghiêm trọng.

Nguyên nhân của thực trạng này là do các doanh nghiệp ICT chưa dành nguồn lực cho an toàn thông bong da truc tiep, nhân lực thiếu kỹ năng an toàn thông bong da truc tiep và chủ đầu tư cũng chưa đưa yêu cầu an toàn thông bong da truc tiep nghiêm ngặt.

Bộ tài liệu hướng dẫn kiểm tra an toàn thông bong da truc tiep

Cùng với việc thường xuyên cảnh báo các thông bong da truc tiep về những điểm yếu, lỗ hổng bảo mật phổ biến hiện nay, Cục An toàn thông bong da truc tiep, Bộ Thông bong da truc tiep và Truyền thông đã ban hành bộ tài liệu “Hướng dẫn kiểm tra an toàn thông bong da truc tiep đối với các lỗ hổng bảo mật phổ biến trên ứng dụng”, phiên bản 1.0.

Theo Cục An toàn thông bong da truc tiep, các dự án phần mềm cần được triển khai đồng bộ và đưa quy trình DevSecOps thành yêu cầu bắt buộc, doanh nghiệp ICT phải trang bị công cụ rà quét lỗ hổng phần mềm, đồng thời yêu cầu các nhân sự phát triển phần mềm có kỹ năng an toàn thông bong da truc tiep.

Với các ứng dụng công nghệ thông bong da truc tiep dự kiến sẽ đặt hàng hoặc phát triển mới, mọi tổ chức, doanh nghiệp cần đưa các tiêu chí an toàn vào thiết kế từ đầu và yêu cầu đơn vị phát triển áp dụng mô hìnhDevSecOps. Cùng với đó là, kiểm tra đánh giá an toàn tất cả các sản phẩm ứng dụng trước khi đưa vào sử dụng và mỗi khi có cập nhật, thay đổi.

Bên cạnh việc liệt kê danh mục 10 điểm yếu, lỗ hổng bảo mật phổ biến trên các ứng dụng hiện nay như Broken Access Control, Cryptographic Failures, Injection, Insecure Design…, bộ tài liệu cũng đưa ra quy trình và hướng dẫn cụ thể cho các nhà phát triển phần mềm để kiểm tra với từng lỗ hổng bảo mật dành cho nhà phát triển nhằm phát triển sớm và có phương án xử lý trước khi phát hành ứng dụng.

Cục An toàn thông bong da truc tiep khuyến nghị các đơn vị áp dụng tài liệu “Hướng dẫn kiểm tra an toàn thông bong da truc tiep đối với các lỗ hổng bảo mật phổ biến trên ứng dụng” phiên bản 1.0 trong quá trình nghiên cứu, xây dựng và phát triển phần mềm.

Trước đó, Cục An toàn thông bong da truc tiep cũng đã ban hành hướng dẫn “Khung phát triển phần mềm an toàn (phiên bản 1.0)”. Các tài liệu này, các tổ chức, doanh nghiệp có thể xem bản đầy đủ trên trangtinnhiemmang.vn.