7 Phương pháp anninh mạng end-to-end của Huawei
7.10 Khi gặp sự cố: Vấn đề, sai sót, phát hiện và giải pháp khắc phục yếu điểm bảo mật
điểm bảo mật
Khơng có cơng ty chịu trách nhiệm nào có thể đảm bảo 100% về vấn đề an ninh. Do đó, khả năng của một cơng ty có thể đối phó một cách hiệu quả lại những vấn đề, rút ra bài học từ các sự cố đóng vai trị vơ cùng quan trọng đối với cả khách hàng và nhà cung cấp. Biết được việc gì cần làm trong thời điểm “khủng hoảng” sẽ đảm bảo có thể cung cấp thơng tin cho các cán bộ điều hành cấp cao từ đó đưa ra quyết định nhanh chóng và hợp tác hiệu quả với khách hàng và các bên liên quan đảm bảo dịch vụ thông thường được phục hồi một cách nhanh chóng và an tồn.
Chúng ta đang sống trong một thế giới được kết nối tồn cầu, và ln phải đối mặt với các mối đe dọa máy tính tồn cầu. Những mối đe dọa đó khơng chỉ giới hạn trong phạm vi địa lý của những quốc gia, mà còn ảnh hướng đến tồn bộ cơng nghệ và các nhà cung cấp dịch vụ/phần mềm/phần cứng. Các nguy cơ luôn luôn cao, và mức độ phức tạp cũng như khối lượng thì ngày càng tăng.
Quy trình Phương hướng đề ra Giải pháp (ITR) cung cấp một khn khổ khép kín từ khâu tiếp nhận, phân tích và xử lý các vấn đề mà khách hàng của chúng ta gặp phải, có liên quan đến an ninh hay không.
Thông thường các vấn đề khách hàng có thể ảnh hưởng ít nhiều đến cơng ty chúng tơi khi đó là một yêu cầu dịch vụ kỹ thuật, yêu cầu dịch vụ vận hành và vấn đề về linh kiện, một vấn đề an ninh được trình báo hoặc khiếu nại của khách hàng. Do vậy, quy trình ITR được kết hợp chặt chẽ với quá trình Nghiên cứu và Phát triển (IPD), PSIRT, Hệ thống Dị tìm Lỗi (DTS) và quy trình khác. Điều này giúp đảm bảo đối phó kịp thời để giải quyết các vấn đề cho khách hàng.
GCSO: Giám đốc an ninh mạng toàn cầu SPOC: Điểm liên lạc đơn
Hình 10. Tích hợp PSIRT với các quy trình khác
Bất cứ vấn đề nào mà khách hàng của chúng tôi gặp phải với các sản phẩm, giải pháp hoặc dịch vụ sẽ ảnh hưởng đến khách hàng trên các khía cạnh tính khả dụng, nguyên vẹn, bảo mật, khả năng truy xuất, độ vững chắc và độ bền trong các thao tác. Do đó điều quan trọng là chúng ta phải xác định các tác động an ninh càng sớm càng tốt trong quy trình.
Khi đối phó với một vấn đề, cho dù vấn đề đó rất đơn giản, quan trọng là bất kỳ giải pháp nào đưa ra và được thực hiện khơng vơ tình đưa vào các nguy cơ an ninh và các hành vi rủi ro. Chúng ta cần liên tục cải thiện và rút kinh nghiệm từ những vấn đề phát sinh. Sự đa dạng của các vấn đề nảy sinh cũng đóng vai trị quan trọng do Huawei phục vụ trên 1/3 dân số tồn cầu, nhưng chúng tơi cần đảm bảo rằng chúng ta là một tổ chức phát triển và học hỏi kinh nghiệm - để vấn đề tương tự khơng lặp lại; nếu lặp lại, điều đó có nghĩa rằng nguyên nhân cốt lõi của vấn đề chưa được giải quyết triệt để.
Huawei đã lập một hệ thống khép kín để tạo ra một quy trình ITR tích hợp và tồn diện giúp liên kết các quy trình quan trọng khác. Điều này đảm bảo tồn bộ các vấn đề được giải quyết triệt để và hiệu quả.
Để hỗ trợ quy trình ITR, và ngược lại, Đội phản ứng nhanh an ninh mạng máy tính (CERT) là một thành phần cơ bản của toàn bộ hệ thống an ninh mạng giúp người sử dụng công nghệ giảm thiểu hoặc loại bỏ các nguy cơ tiềm ẩn từ các điểm yếu bảo mật đối với các mạng và cơng nghệ hiện có bằng cách chia sẻ bí mật thơng tin có yếu điểm bảo mật, các hoạt động giảm thiểu thực tế và quản lý giải pháp khắc phục yếu điểm bảo mật. Tại Huawei, chức năng này được đảm nhận và thực hiện bởi Đội Phản ứng Sự cố An ninh Sản phẩm (PSIRT).
Nếu không chia sẻ kịp thời thơng tin có yếu điểm bảo mật, cơng nghệ có nguy cơ bị khai thác và lạm dụng. Nếu sản phẩm có chứa thơng tin có yếu điểm bảo mật lọt vào tay của nhữn kẻ bất chính thì tồn bộ cơng nghệ tích hợp sử dụng các phần cứng và/hoặc phần mềm chứa yếu điểm bảo mật đó có thể bị đe dọa.
Xác định mức độ tổn thương Cộng đồng/khách hàng CERT Khách hàng CSI, CTO khách hàng Đội phục vụ khách hàng Cung ứng VP GCSO
Báo cáo cho
Báo cáo mức độ tổn thương Đưa ra các yêu cầu của PSIRT cho nhà
cung cấp
Đội ngũ chủ chốt Chuyên gia kỹ thuật hàng đầu
Báo cáo mức độ tổn thương
N/cứu và phát triển dây chuyền sản
phẩm
Nhóm từ
Trung tâm an ninh (Bộ phận hỗ trợ kỹ thuật) Y/cầu pháp lý Giải thích pháp lý P. Pháp chế P. Quan hệ công chúng Công bố chung Côg nkhai vào công bố tổn thương
Giải thích pháp lý
Thơng báo tổn thương
Quầy thông tin khách hàng
SPOC an ninh Dây chuyền cung ứng Quầy sản phẩm bị ảnh hưởng Công bố Hỗ trợ kỹ thuật Quản lý cấu hình
Huawei rất quan tâm đến nguy cơ này và áp dụng các biện pháp cương quyết nhất đối với thơng tin có yếu điểm bảo mật. Ngồi ra, Huawei cũng tích cực tham gia các tổ chức và diễn đàn tiêu chuẩn quốc tế để phổ biến kiến thức về những vấn đề này cũng như chia sẻ những biện pháp hiệu quả nhất với cộng đồng máy tính. Tuy nhiên, nếu khơng có các tiêu chuẩn quốc tế13 và các hệ thống đánh giá hiệu quả, thì các nhà cung cấp khơng thể đưa ra quyết định làm cách nào và có thể chia sẻ thơng tin có yếu điểm bảo mật với ai.
An ninh mạng là một cuộc đua vũ trang giữa những kẻ muốn xâm nhập cơng nghệ vì mục đích phi pháp và sai trái trong với nhà cung cấp cũng như khách hàng, là những người đang nỗ lực để ngăn chặn chúng. Đáp lại, vai trò của PSIRT là để đảm bảo rằng các nhà khai thác mạng thông báo về mọi yếu điểm mạng có thể xảy ra, cùng với những biện pháp giảm thiểu và các giải pháp lâu dài đối với các rủi ro đi kèm với các sản phẩm của Huawei. Việc cơng bố chính xác và kịp thời thông tin này giúp các nhà khai thác mạng có thể duy trì an ninh của mạng lưới bằng cách đảm bảo các biện pháp bảo vệ mạng theo các hướng dẫn sản phẩm mới nhất.
Quy trình xử lý điểm yếu bảo mật của PSIRT được chia thành 4 giai đoạn:
1. Thu thập và nghiên cứu yếu điểm bảo mật - Được thực hiện cùng với việc xác định và/hoặc tiếp nhận những thông báo về yếu điểm bảo mật gửi đến. Các thông báo gửi đến được tiếp nhận từ mọi người gửi, gồm khách hàng, các CERT bên ngồi, chun viên nghiên cứu hoặc nhân viên tìm kiếm website và phân tích các yếu tố rủi ro. Tại Huawei chúng tơi khuyến khích thơng báo có trách nhiệm, nghĩa là người ngoài phát hiện thấy yếu điểm bảo mật, họ nên cho nhà sản xuất có đủ thời gian để giải quyết và khắc phục các vấn đề trước khi công bố rộng rãi. Giai đoạn thu thập yếu điểm bảo mật cũng bao gồm việc công bố các yêu cầu an ninh cho các nhà cung cấp thuộc chuỗi cung ứng thông qua nhân viên mua hàng, và đảm bảo đáp ứng đầy đủ các yêu cầu này thông qua hợp đồng. Những cam kết trong hợp đồng sẽ đảm bảo nhà cung cấp báo cáo kịp thời về các yếu điểm bảo mật liên quan đến các sản phẩm Huawei.
2. Đánh giá, phân tích và xác minh yếu điểm bảo mật - Khi nghi ngờ hoặc xác nhận có một yếu điểm bảo mật nào đó, đội PSIRT sẽ làm việc với chủ sở hữu sản phẩm để nhanh chóng hồn thiện bảnđánh giá tính xác thực của yếu điểm và các rủi ro đi kèm. Trong q trình phân tích và xác nhận, đội ngũ PSIRT sẽ sử dụng các công cụ mã nguồn mở và công cụ thương mại đầu ngành cũng như các tiêu chuẩn mới nhất để nâng cao độ chính xác và độ kịp thời khi phân tích yếu điểm.
3. Dị tìm và khắc phục - Khi đã xác nhận có yếu điểm, PSIRT sẽ khẩn trương gửi thông tin cho đội ngũ chịu trách nhiệm về các sản phẩm bị ảnh hưởng, và sau đó chủ động dị tìm biện pháp khắc phục. Các yếu điểm được kiểm tra để xác minh xem chúng có tồn tại trong các thành phần của cấu trúc thông thường, hoặc trong các linh kiện hoặc sản phẩm đặc biệt nào không (các linh kiện tùy chỉnh dựa trên các cấu trúc thơng thường), do đó đảm bảo rằng vấn đề được giải quyết trong mọi dòng sản phẩm, các phiên bản sản phẩm và các model sản phẩm. Quy trình PSIRT được tích hợp chặt chẽ với quy trình Nghiên cứu và phát triển để đảm bảo khắc phục kịp thời các yếu điểm. Quy trình IPD và Nghiên cứu phát triển bao gồm phát triển sản phẩm, lập hồ sơ, quản lý cấu hình, kiểm tra và quản lý phát hành. Tích hợp PSIRT và IPD có ưu điểm là nâng cao nhận thức an ninh của nhân viên và độ bảo mật cho sản phẩm bằng cách báo cáo kịp thời, chia sẻ và tập huấn theo tình huống. Những thao tác đó giúp tạo một chu trình khép kín để cải tiến liên tục.
4. Cơng bố - Cơng bố thơng tin chính xác cho các nhà khai thác mạng là một yêu cầu quan trọng để duy trì mơi trường an tồn. Thơng qua quy trình này, đội ngũ PSIRT quản lý công bố cho cả tổ chức báo cáo yếu điểm nghi ngờ và cho khách hàng. Thông tin công bố cho khách hàng gồm các chiến lược giảm thiểu cùng với thông tin về giải pháp lâu dài. Danh sách khách hàng có sản phẩm bị ảnh hưởng được lập từ cơ sở dữ liệu chuỗi cung cấp để đảm bảo đội chính xác của những thơng tin công bố end-to-end (PSIRT đến CERT). Trước khi ban hành
Hướng dẫn An ninh ra bên ngồi, cơng ty sẽ tổ chức và sắp xếp thông tin theo ý kiến kỹ sư hỗ trợ (GTS), các phịng liên quan, phịng quan hệ cơng chúng và phòng pháp chế để đảm bảo độ chính xác và nhất quán của thơng tin có yếu điểm bảo mật khi công bố cho những bên liên quan khác nhau. Thông tin được chia sẻ nghiêm ngặt theo nguyên tắc “cần phải biết” để đảm bảo bí mật. Trong một số hồn cảnh Huawei có thể phát hiện thấy những yếu điểm đã tích hợp trong phần mềm của bên thứ ba và PSIRT Huawei báo cáo ngay yếu điểm cho nhà cung cấp tương ứng và khuyên họ có những biện pháp khắc phục cần thiết và cơng bố về yếu điểm đó.
Tóm tắt quy trình được trình bày trong sơ đồ sau
Hình 11. Quy trình PSIRT/CERT
Trong tồn bộ giai đoạn của quy trình này, bảo vệ thơng tin mật cho khách hàng và thơng tin có yếu điểm bảo mật là điều tối quan trọng đối với Huawei.
Khi làm việc với khách hàng để giải quyết các yếu điểm, chúng tôi phải nhận ra rằng khơng phải mọi yếu điểm đều có thể khai thác bởi tin tặc, vì điều này được quyết định bởi cấu hình và kiến trúc chính xác của mạng lưới. Ví dụ, nếu yếu điểm tồn tại trong một đặc tính mà nhà khai thác mạng đã vơ hiệu hóa, hoặc áp dụng cho một giao diện được bảo vệ bởi các đặc tính an ninh khác, thì việc lợi dụng yếu điểm đó khơng đáng quan ngại.
Như đã tình bày, thơng tin có yếu điểm bảo mật được chia sẻ sẽ để lại hậu quả khôn lường nếu rơi vào tay kẻ xấu. Toàn bộ các bên liên quan phải giữ bí mật. Do đó, mối qua hệ hai chiều và tin tưởng lẫn nhau giữa nhà cung cấp và nhà khai thác mạng là mấu chốt của an ninh mạng.
Đội ngũ PSIRT Huawei sẽ chủ động tham gia ở cấp ngành và công chúng để đề xuất thay đổi toàn diện nhằm thực hiện tốt và nâng cao nhận thức an ninh mạng nói chung của những nhà làm luật, lập pháp và giám đốc doanh nghiệp. Điều này bao gồm, nhưng không giới hạn, ở việc trở thành thành viên của Diễn đàn Đội ngũ An ninh và Phản ứng Sự cố (FIRST), một diễn đàn được lập ra nhằm kết nối với CERTs chính phủ, CERTs khách hàng, nhà cung cấp khác, nhà nghiên cứu và các bên thứ ba.
Để góp phần nâng cao nhận thức về vấn đề quan trọng này giữa cộng đồng an ninh mạng và để góp phần tuân thủ các tiêu chuẩn quốc tế, Huawei chủ động tham gia các tổ chức như Diễn đàn An ninh Thông tin Mạng của Hội đồng Châu Âu.
Huawei tin rằng để giải quyết các vấn đề tội phạm máy tính, ngành cơng nghệ máy tính cần lựa chọn các biện pháp minh bạch để thúc đẩy hợp tác quốc tế và các tiêu chuẩn. PSIRT là một minh chứng cho sự hợp tác này.
Thu thập yếu điểm Đánh giá mức độ nghiêm trọng Phân tích, xác nhận và khắc phục Cơng bố Khách hàng Nội bộ Nhà cung cấp Cộng đồng an ninh Nguồn tổn thương Phân loại, phân tích, Quyết định và khớp tổn thương với sản phẩm Yếu điểm, phân phối thông tin Xây dựng biện pháp hoặc giải pháp khắc phục yếu điểm Hướng dẫn an ninh, thông báo an ninh
Đánh dấu cấp an ninh Ủy quyền Lưu giữ Làm rõ Thư viện tổn thương sản phẩm CERT khách hàng và/hoặc Bên liên quan khác
LMT: Đội quản lý vòng đời PDT: Đội phát triển sản phẩm PSIRT:Đội Phản ứng Sự cố An ninh Sản phẩm