Thứ năm, 30/05/2024
   

Kiểm soát lỗ hổng bảo mật ứng dụng với DevSecOps trong ngành ngân hàng

Sáng 21/03/2024, Hiệp hội Ngân hàng Việt Nam đã phối hợp với PwC Việt Nam tổ chức hội thảo trực tuyến “Kiểm soát lỗ hổng bảo mật ứng dụng với DevSecOps trong Ngành tài chính - Ngân hàng” cho khoảng gần 370 cán bộ, nhân viên các tổ chức tín dụng hội viên để cùng trao đổi với các chuyên gia về chủ đề này.
bảo mật ứng dụng
Các diễn giả trong buổi hội thảo “Kiểm soát lỗ hổng bảo mật ứng dụng với DevSecOps trong Ngành tài chính - Ngân hàng”

Ông Phó Đức Giang, Giám đốc Công ty TNHH Dịch vụ An toàn Thông tin PwC Việt Nam cho biết, theo báo cáo về bảo mật phần mềm của Veracode thì trên 75% các ứng dụng có chứa ít nhất một lỗ hổng bảo mật. Nghĩa là cứ khoảng 100 ứng dụng thì có đến 75 ứng dụng có lỗ hổng bảo mật. Như vậy, các ứng dụng có lỗ hổng bảo mật rất là phổ biến.

Bên cạnh đó, theo khảo sát của Forrester Research - Công ty nghiên cứu thị trường của Mỹ, chuyên cung cấp lời khuyên về tác động tiềm tàng và tiềm ẩn của công nghệ tới khách hàng và công chúng, cũng chia sẻ có tới 42% các doanh nghiệp gặp phải tấn công mạng đến từ bên ngoài liên quan đến lỗ hổng của phần mềm hay ứng dụng.

Từ đó, thấy được tầm quan trọng liên quan đến an ninh, an toàn và bảo mật của phần mềm hay ứng dụng. Trong đó, các phần mềm hay ứng dụng có thể được doanh nghiệp mua từ bên ngoài hay tự phát triển nhưng quá trình kiểm thử ứng dụng để phát hiện lỗ hổng bảo mật là chưa được toàn diện và triệt để.

Đặc biệt, đối với ngân hàng đòi hỏi việc phát triển phần mềm, ứng dụng cần nhanh chóng, tiện lợi và linh hoạt hơn để từ đó có thể cung cấp những các sản phẩm dịch vụ tiện ích cho khách hàng.

Theo ông Giang, kiểm soát lỗ hổng bảo mật ứng dụng với DevSecOps(Development - Security - Operations) là phương pháp tích hợp kiểm thử bảo mật ở mọi giai đoạn của quy trình phát triển phần mềm. Đây là phương pháp bao gồm các công cụ và quy trình khuyến khích cộng tác giữa các nhà phát triển, chuyên gia bảo mật và đội ngũ vận hành nhằm xây dựng phần mềm hoặc ứng dụng vừa hiệu quả và an toàn.

Trong đó, DevSecOps mang đến sự chuyển đổi văn hóa, biến việc bảo mật trở thành trách nhiệm chung đối với tất cả các cá nhân xây dựng phần mềm. Nhờ vậy, DevSecOps đã giúp rút ngắn được tối đa quá trình kiểm thử về an toàn thông tin một cách nhanh nhất mà vẫn kịp thời phát hiện những lỗ hổng bảo mật của phần mềm hay ứng dụng.

Việc kiểm soát lỗ hổng bảo mật của phần mềm hay ứng dụng với mô hình DevSecOps sẽ mang lại 5 lợi ích chủ yếu như: Một là, DevSecOps đảm bảo được tiến độ; Hai là, xây dựng được văn hóa bảo mật phát triển phần mềm an toàn hơn; Bà là, nâng cao thêm kiến thức, chất lượng về an toàn bảo mật; Bốn là, phần mềm hay ứng dụng được tăng cường bảo mật hơn; Năm là, giúp giám sát an toàn thông tin liên tục ở mức ứng dụng.

Hội thảo trực tuyến “Kiểm soát lỗ hổng bảo mật ứng dụng với DevSecOps trong Ngành tài chính - Ngân hàng”

Ông Bùi Văn Hạnh - Trưởng phòng - Công ty TNHH Dịch vụ An toàn Thông tin PwC Việt Nam cho biết, DevSecOps có tầm quan trọng đặc biệt, vì là một phần tất yếu của các phương pháp phát triển phần mềm hiện đại. Trong đó, lợi ích chính của phương pháp tiếp cận DevSecOps pipeline là nó giúp kích hoạt bảo mật DevOps mà không làm gián đoạn các chu kỳ phát hành trong phát triển ứng dụng hiện đại.

Theo ông Hạnh, cách tiếp cận DevSecOps cần hài hòa 3 yếu tố là con người, quy trình và công nghệ. Trong đó, đối với con người, do thực tế, các vụ vi phạm dữ liệu xảy ra do bảo mật kém hiệu quả từ lỗi con người đang ngày càng gia tăng. Vì vậy, để có một mô hình DevSecOps vững chắc không thể thiếu yếu tố con người. Theo đó, các chuyên gia bảo mật sẽ đóng vai trò quan trọng trong việc đưa DevSecOps đi đúng hướng.

Đối với quy trình, sẽ bao gồm nhiều thành phần và quan trọng nhất là tài liệu và tiêu chuẩn hóa quy trình làm việc. Thông thường, các nhóm khác nhau trong một tổ chức sẽ thực hiện các quy trình khác nhau. Trong DevSecOps, các quy trình thường được thỏa thuận và cùng thực thi để tăng cường mức độ bảo mật trong quá trình phát triển.

Đối với công nghệ nhằm hỗ trợ cho con người thực thi các quy trình DevSecOps một cách hiệu quả hơn. Một số công nghệ phổ biến được sử dụng trong DevSecOps như tự động hóa và quản lý cấu hình, Bảo mật dưới dạng mã (Security as Code), quét tự động bắt buộc (automated compliance scans),…

Tại hội thảo, ông Jeff Lau - Trưởng phòng cấp cao PwC Hong Kong đã trình bày kinh nghiệm triển khai DevSecOps tại các ngân hàng ở Hồng Kông (Trung Quốc). Bởi việc phát triển mã nguồn và quy trình DevSecOps cụ thể cho từng nền tảng cũng đối diện với các thách thức riêng. Tuy nhiên, với đặc tính “viết một lần, chạy ở bất kỳ đâu” có thể cung cấp cho các nhóm DevSecOps những lợi ích tương tự như khi các lập trình viên viết mã phù hợp với nhiều nền tảng khác nhau. Trong phát triển phần mềm đa nền tảng, việc thực hiện kiểm tra bảo mật trên nhiều nền tảng là một phần quan trọng của DevSecOps.

Mỗi khi có sự thay đổi trên một nền tảng cụ thể - bất kể là để cải thiện tính đọc hiểu, sửa lỗi, hoặc nâng cao bảo mật - thì việc áp dụng những thay đổi này lên các nền tảng khác cũng phải được thực hiện cẩn thận. Nếu thực hiện đúng cách, điều này thường không gây ra vấn đề lớn, nhưng lại tạo thêm công việc bảo trì và đảm bảo tính đồng nhất trên các nền tảng khác nhau.

Bên cạnh đó, khi một nền tảng mới được đưa cho các nhóm DevSecOps, sẽ phải bắt đầu việc xây dựng và kiểm tra bảo mật cho nền tảng đó từ đầu. Đối với các nền tảng độc quyền, việc chuyển đổi sang một nền tảng khác có thể kéo theo rủi ro bị ràng buộc bởi nhà cung cấp của nền tảng đó.

Ngoài ra, khi mỗi nền tảng yêu cầu mã nguồn và tập lệnh xây dựng riêng, thường sẽ có các chuyên gia đặc biệt về từng nền tảng. Nếu một chuyên gia về một nền tảng cụ thể rời khỏi tổ chức, điều này có thể tạo áp lực cho các chuyên gia khác đang làm việc trên các nền tảng khác để đảm bảo tiếp tục duy trì các quy trình DevSecOps cho nền tảng đó, cộng thêm công việc hàng ngày mà họ đã đảm nhận…

Thảo luận tại hội thảo đại diện ngân hàng đã đưa ra các câu hỏi về vấn đề kiểm soát mã nguồn ứng dụng khi lựa chọn DevSecOps của tổ chức tài chính ngân hàng tại Việt Nam trong bối cảnh không chia sẻ mã nguồn với đối tác ngoài. Đồng thời phân biệt giữa DAST và IAST. Trong đó, DAST là kiểm tra các sản phẩm trong quá trình hoạt động và cung cấp phản hồi. Ngoài ra, IAST là kết hợp giữa SAST & DAST, sử dụng thiết bị phần mềm để phân tích các ứng dụng đang chạy….

  • Shinhan Finance chuyển địa điểm đặt trụ sở chính

    Shinhan Finance chuyển địa điểm đặt trụ sở chính

    Công ty Tài chính TNHH Một Thành viên Shinhan Việt Nam (Shinhan Finance) vừa có thông báo về việc chuyển địa điểm đặt Trụ sở chính tới địa chỉ mới tại tầng 19, tháp B, khu thương mại dịch vu kết hợp nhà ở cao tầng lô đất 1-13 thuộc khu chức năng số 1 - số 15, đường Trần Bạch Đằng, phường Thủ Thiêm, thành phố Thủ Đức, thành phố Hồ Chí Minh.

  • Phó Thống đốc Thường trực NHNN Đào Minh Tú làm việc với Ngành ngân hàng tỉnh Kiên Giang

    Phó Thống đốc Thường trực NHNN Đào Minh Tú làm việc với Ngành ngân hàng tỉnh Kiên Giang

    Sáng ngày 28/5, Phó Thống đốc Thường trực Ngân hàng Nhà nước Việt Nam (NHNN) Đào Minh Tú làm việc với NHNN chi nhánh tỉnh và các tổ chức tín dụng trên địa bàn tỉnh Kiên Giang. Cùng tham dự có lãnh đạo Vụ Tín dụng các ngành kinh tế, Vụ Tài chính Kế toán, Vụ Tổ chức cán bộ, Văn phòng NHNN cùng Ban lãnh đạo, cán bộ chủ chốt của NHNN chi nhánh tỉnh Kiên Giang và các Tổ chức tín dụng (TCTD) trên địa bàn.

  • PGBank tìm đối tác cung cấp quà tặng khách hàng dịp khai trương

    PGBank tìm đối tác cung cấp quà tặng khách hàng dịp khai trương

    Ngân hàng TMCP Thịnh Vượng và Phát triển (PGBank) mời các nhà thầu có đủ điều kiện, năng lực, kinh nghiệm tham gia chào giá cạnh tranh gói “Sản xuất quà tặng khách hàng nhân dịp khai trương tại PGBank năm 2024”.

  • NHNN sẽ bán vàng cho 4 NHTMNN để bán trực tiếp tới người dân

    NHNN sẽ bán vàng cho 4 NHTMNN để bán trực tiếp tới người dân

    Nhằm tiếp tục triển khai có hiệu quả các chỉ đạo của Chính phủ, Thủ tướng Chính phủ về việc xử lý tình trạng chênh lệch cao giữa giá vàng miếng SJC trong nước và giá thế giới, Ngân hàng Nhà nước Việt Nam (NHNN) sẽ điều chỉnh phương án bình ổn thị trường vàng. Để có thông tin cụ thể về các giải pháp của NHNN đối với thị trường vàng trong thời gian tới, phóng viên đã phỏng vấn ông Phạm Quang Dũng - Phó Thống đốc NHNN.

  • TP. Hồ Chí Minh: Tín dụng bất động sản khởi sắc

    TP. Hồ Chí Minh: Tín dụng bất động sản khởi sắc

    Tính đến cuối tháng 4/2024, tổng dư nợ tín dụng bất động sản tại TP. Hồ Chí Minh đạt khoảng 981.500 tỷ đồng, tăng 1,61% so với cuối năm 2023. Các lĩnh vực cho vay mua nhà và cho vay khu công nghiệp có mức tăng trưởng cao nhất.

  • Chưa trình phương án chuyển giao bắt buộc DongABank, SCB

    Chưa trình phương án chuyển giao bắt buộc DongABank, SCB

    Chính phủ quyết định chủ trương chuyển giao bắt buộc 3 ngân hàng, còn DongABank và SCB vẫn do Ngân hàng Nhà nước kiểm soát đặc biệt.

  • Nam A Bank tìm đối tác cung cấp 15 máy ATM cho ngân hàng

    Nam A Bank tìm đối tác cung cấp 15 máy ATM cho ngân hàng

    Ngân hàng TMCP Nam Á (Nam A Bank) mời các nhà thầu có đủ điều kiện, năng lực, kinh nghiệm tham gia chào giá cạnh tranh cung cấp 15 máy ATM DIEBOLD NIXDORE - DN SERIES 100D Front Load - Part#01750312999 (Nạp tiền cửa trước) cho ngân hàng.

  • BIDV VÀ AFD nâng tầm quan hệ hợp tác chiến lược

    BIDV VÀ AFD nâng tầm quan hệ hợp tác chiến lược

    Ngày 28/05/2024, tại Trụ sở Ngân hàng TMCP Đầu tư và Phát triển Việt Nam (BIDV), Ông Lê Ngọc Lâm – Tổng Giám đốc BIDV và Ông Jean-Pierre Marcelli – Giám đốc Cơ quan Phát triển Pháp (AFD) Khu vực Đông Nam Á đã đại diện hai cơ quan ký kết Bản Ghi nhớ (MOU) nhằm thúc đẩy mối quan hệ hợp tác chiến lược toàn diện, đặc biệt trong hoạt động tài chính xanh hướng tới phát triển bền vững giữa hai bên.

  • Eximbank "mạnh tay" hỗ trợ gói vay bất động sản hấp dẫn

    Eximbank "mạnh tay" hỗ trợ gói vay bất động sản hấp dẫn

    Bất chấp những khó khăn của nền kinh tế, thị trường bất động sản được kỳ vọng hồi phục nhanh chóng nhờ cơ chế chính sách tháo gỡ khó khăn của Chính phủ và sự hỗ trợ về giải pháp vốn vay từ các ngân hàng.

  • MB là ngân hàng ngoại hối tốt nhất tại Việt Nam

    MB là ngân hàng ngoại hối tốt nhất tại Việt Nam

    Ngân hàng TMCP Quân Đội (MB) được Business Achievement Awards 2024 trao giải thưởng Best FX Bank in Vietnam (Ngân hàng Ngoại hối tốt nhất tại Việt Nam) ngày 23/5.

Tính lãi tiền gửi
VNĐ
%/year
month
Tính lãi tiền gửi

Tính toán khoản vay
VNĐ
%/year
month
Tính toán khoản vay