Checkmarx: Dự đoán tình trạng bảo mật phần mềm năm 2021

Trong năm 2020, nhiều tổ chức chính trị, tài chính, chăm sóc sức khỏe và giáo dục thay đổi mạnh mẽ với quá trình thực hiện chuyển đổi kỹ thuật số khổng lồ mà nhiều trường hợp hoàn toàn không nằm trong kế hoạch trước đó. Các tổ chức thực hiện sự thay đổi này chủ yếu do nhiều tình huống xảy ra nằm ngoài tầm kiểm soát. Tuy nhiên, thành công của họ trong việc chuyển đổi số đều rất đáng chú ý. Do đó, chúng tôi một lần nữa ngồi lại với hai chuyên gia của Checkmarx để hiểu rõ hơn những điều có thể mong đợi trong năm tới về các mối đe dọa mới nổi, cơ chế phòng thủ mới, cách tiếp cận triển khai và phát triển phần mềm, v.v. Những dự đoán này đều bắt nguồn từ các xu hướng quan sát được, hiểu biết chuyên môn và kiến thức sâu rộng về công nghệ và các ngành công nghiệp phần mềm nói chung. Dự đoán của họ như sau:

Maty Siman, CTO

Bảo mật sẽ chạy đua để bắt kịp tốc độ phát triển, thích ứng với xu hướng cloud.

Phát triển và phát hành các ứng dụng nhanh chóng trong khi duy trì bảo mật thường được đều cập rất nhiều, nhưng không được thực thi hiệu quả. Quá trình phát triển kết hợp các nền tảng đám mây cần được thực hiện nhanh nhất có thể. Và cùng với đó, xu hướng của nhiều tổ chức là đưa phiên bản phần mềm mới nhất nhanh chóng đến với người dùng và khôi phục lại nếu phát hiện lỗi, giúp họ có thể triển khai các tính năng theo cách nhanh hơn. Nhưng không thể áp dụng điều tương tự với các cơ chế an ninh thông tin, các tổ chức không thể đẩy mã và sau đó quay lại để sửa các lỗ hổng. Điều đó sẽ tạo nhiều cơ hội cho các kẻ xấu xâm nhập vào hệ thống. Vào năm 2021, các công cụ được sử dụng để bảo mật ứng dụng được tích hợp vào chuỗi công cụ cần có tốc độ xử lý cao, khả năng mở rộng, hỗ trợ tích hợp các nền tảng đám mây và đưa ra các khuyến cáo giúp các nhà phát triển có thể hiểu và sử dụng để thực hiện các bản sửa lỗi một cách nhanh chóng.

Việc lợi dụng các lỗ hổng trong mã nguồn mở sẽ gia tăng trong khi các tổ chức cố gắng tìm cách ngăn cản các tác nhân độc hại.

Tin tặc nhận thấy thư viện mã nguồn mở là một cách dễ dàng tấn công vào các tổ chức và xu hướng này sẽ gia tăng vào năm 2021. Hiếm có tuần nào trôi qua mà không phát hiện ra các gói mã nguồn mở độc hại. Các tổ chức hiểu rằng họ cần phải bảo mật các thành phần mã nguồn mở mà họ đang sử dụng và các giải pháp hiện có giúp họ xóa các gói dễ bị tấn công. Nhưng điều đó vẫn chưa đủ để chống lại những kẻ cố ý đẩy mã độc vào các gói phần mềm. Điều này cần phải thay đổi vào năm 2021. Về cơ bản, tốt nhất là nên sử dụng các thành phần nguồn mở nổi tiếng cho các dự án quan trọng và xem xét các chính sách mà các dự án nguồn mở chấp nhận những người đóng góp mới.

Nhu cầu bảo mật dựa trên nền tảng đám mây làm gia tăng việc sử dụng infrastructure as code (IaC).

Các thay đổi diễn ra năm 2020 đã buộc nhiều tổ chức phải chuyển sang sử dụng đám mây để duy trì liên tục các hoạt động kinh doanh. Đám mây mang lại những lợi thế rõ ràng để hỗ trợ người dùng phân tán. Tuy  nhiên, song song với sự chuyển đổi này là những thách thức mới, một trong những thách thức lớn nhất xoay quanh sự xuất hiện của Infrastructure as Code (IaC).

IaC đã buộc các nhà phát triển phải bước ra ngoài vùng an toàn, do thiếu đào tạo thích hợp và áp lực xây dựng mã nhanh chóng trong cho những môi trường này. Kiến trúc thực tế của mã này cực kỳ phức tạp và các công cụ bảo mật trên thị trường hiện nay nói chung khó có thể phát hiện các lỗ hổng trong mã. Vào năm 2021, tôi hy vọng sẽ thấy những kẻ tấn công ác ý khai thác lỗi sai của nhà phát triển trong những môi trường linh hoạt này. Các tổ chức sẽ dành sự tập trung chủ yếu vào đào tạo bảo mật đám mây, các phương pháp về IaC và chi tiêu bổ sung được cho bảo mật phần mềm và ứng dụng để hỗ trợ nhu cầu của lực lượng lao động từ xa và hệ sinh thái phần mềm phức tạp hơn.

Erez Yalon, Director of Security Research

Bảo mật đám mây sẽ là trung tâm.                

API đã là từ thông dụng khi nói đến bảo mật và phát triển phần mềm hiện đại. Nhưng nếu năm 2020 là năm của API, thì năm 2021 sẽ là năm mà bảo mật đám mây chiếm được sự chú ý. API đóng một vai trò quan trọng trong bảo mật dựa trên đám mây, nhưng trọng tâm sẽ chuyển sang cách các công nghệ dựa trên đám mây tiếp tục phát triển và tăng mức độ áp dụng trong các tổ chức. Bảo mật hệ sinh thái là kết quả của các giải pháp dựa trên đám mây được kết nối với nhau sẽ trở thành một ưu tiên. Tại thời điểm hiện nay, sự hiểu biết rộng rãi về bảo mật đám mây vẫn còn sơ khai. API, container và công cụ điều phối hiện đã trở nên phổ biến trong phát triển phần mềm, trong khi các tổ chức đã và đang nỗ lực để tăng cường kết nối giữa các công cụ khác nhau mà họ đã sử dụng để tăng hiệu quả và năng suất. Nhưng tại mỗi điểm kết nối, có nguy cơ xảy ra lỗ hổng có thể dẫn đến vi phạm. Vào năm 2021, chúng ta sẽ thấy các tổ chức nắm bắt được thực tế phức tạp của phần mềm và thực hiện các bước để bảo vệ chính họ.

Các API chứa lỗ hổng chịu trách nhiệm cao nhất cho các vi phạm liên quan đến phần mềm và ứng dụng.

Mặc dù nhận thức về bảo mật API đã được cải thiện trong vài năm qua, chúng tôi vẫn có thể dự đoán rằng API sẽ vẫn là vectơ tấn công hàng đầu, nếu không muốn nói là lựa chọn tiên quyết với các kẻ tấn công ác ý vào năm 2021. Mặc dù API đã trở thành một cách thuận tiện để các nhà phát triển xây dựng và chạy nhiều các ứng dụng phức tạp, các vấn đề như kiểm soát truy cập đặt ra một thách thức lớn vì việc tính toán và loại bỏ các lỗ hổng này là một nhiệm vụ khó khăn với số lượng ít ỏi các giải pháp hỗ trợ một cách dễ dàng.

Khi các kẻ tấn công tiếp tục gia tăng các cuộc tấn công nhắm mục tiêu API và các tổ chức bắt kịp hiểu biết của họ về cách các chương trình này có thể bị khai thác, những kẻ này sẽ tận dụng lỗ hổng này trong thời gian ngắn nhất, buộc các nhà phát triển phải nhanh chóng xác định các cách để bảo mật tốt hơn Quy trình xác thực và ủy quyền API.

 

VNCS – Phân phối chính thức sản phẩm Checkmarx tại Việt Nam. Liên hệ với chúng tôi để bảo vệ hệ thống thông tin của doanh nghiệp mình tốt hơn.