Là một nhà cung cấp dịch vụ lưu trữ, Synology đã bảo mật dữ liệu của khách hàng như thế nào?
Synology hiểu rõ giá trị của dữ liệu mà khách hàng giao phó, đó là lý do đây là ưu tiên hàng đầu của công ty này. Nhóm ứng phó sự cố bảo mật sản phẩm (PSIRT) của Synology đã xây dựng một quy trình phát triển phần mềm qua bốn giai đoạn (Thiết kế, Phát triển, Xác minh, Phát hành). Mục tiêu chính là đảm bảo tính an toàn cho sản phẩm và phản ứng nhanh chóng đối với các cuộc tấn công zero-day. Synology cũng đồng thời cam kết rằng họ sẽ khắc phục những lỗ hổng nghiêm trọng trong vòng 24 giờ, mức thời gian nhanh hơn đáng kể so với mức trung bình trong ngành là 60 ngày.
Vậy chúng ta sẽ cùng tìm hiểu chi tiết cách mà các sản phẩm của Synology đã được phát triển theo quy trình Phát triển An toàn Sản phẩm (SDL) riêng của họ như thế nào? Và đảm bảo tính toàn vẹn dữ liệu cho khách hàng ra sao?
Khi một sản phẩm hoặc tính năng mới của Synology ra mắt, chương trình Đảm bảo An ninh Sản phẩm (PSA) sẽ được khởi động. Trong giai đoạn này, nhóm PSIRT hợp tác cùng nhóm phát triển để đánh giá thiết kế và cơ sở hạ tầng bảo mật. Dựa vào đánh giá này, nhóm sẽ đưa ra những đề xuất xây dựng để cải thiện. Cách tiếp cận tích cực này xây dựng nên một cơ sở bảo mật vững chắc ngay từ đầu, tránh khả năng gặp rắc rối liên quan đến bảo mật trong tương lai.
Sau khi xác định thông số kỹ thuật của sản phẩm, giai đoạn phát triển chính thức bắt đầu. Để đảm bảo chất lượng mã nguồn ngay từ đầu, Synology áp dụng phương pháp Kiểm tra bảo mật ứng dụng tĩnh (SAST) thông qua các công cụ tự động để phát hiện các lỗ hổng và lỗi tiềm ẩn. Điều này đảm bảo mã nguồn không chứa các lỗ hổng bảo mật từ đầu.
Trong quá trình phát triển tiến triển và hoàn thiện, Synology sử dụng phương pháp Kiểm tra bảo mật phân tích động (DAST) để liên tục theo dõi sự thay đổi trong mã nguồn và đảm bảo tất cả các chức năng được kiểm tra kỹ lưỡng trên ứng dụng. Điều này giúp giảm thiểu các lỗ hổng bảo mật tiềm ẩn.
Synology nhận thức tầm quan trọng của việc kiểm tra và xác minh kỹ lưỡng trước khi phát hành sản phẩm cho người dùng. Điều này thúc đẩy sự ra đời của Synology Red Team vào đầu năm 2022. Với các chuyên gia tin tặc nội bộ giàu kinh nghiệm, Red Team tập trung vào việc kiểm tra sản phẩm từ góc độ của kẻ tấn công để phát hiện ra các lỗ hổng. Chỉ trong 6 tháng, Red Team đã tìm ra hơn 21% lỗi hệ thống, tương đương với 100,000 đô-la Mỹ từ chương trình tìm lỗi trước khi phát hành chính thức.
Nhắc tới chương trình săn lỗi nhận thưởng, công ty Đài Loan này còn tham gia vào các sự kiện quan trọng như Pwn2Own và TienFu Cup, cùng với chương trình phát hiện lỗi thường niên từ năm 2017, tạo điều kiện tương tác tích cực với cộng đồng tin tặc. Đây là cách họ đảm bảo tính an toàn bằng cách hợp tác với các chuyên gia độc lập. Đến nay, hơn 200 nhà nghiên cứu đã tham gia và hơn 270,000 đô-la Mỹ đã được trao thưởng.
Bằng cách nắm bắt suy nghĩ của kẻ tấn công, Synology có thể mô phỏng các cuộc tấn công thực tế và từ đó cải thiện khả năng sẵn sàng đối mặt với tình huống khủng hoảng có thể xảy ra. Hướng tiếp cận chủ động này khiến họ trở nên khác biệt với các đối thủ cạnh tranh và đảm bảo người dùng có thể tin tưởng vào tính bảo mật và độ tin cậy của các sản phẩm.
Khi đội Red Team đảm nhận tác vụ tấn công, đội Blue Team sẽ nắm vững tư duy phòng thủ. Red Team tận dụng mọi cơ hội để phát hiện lỗ hổng, trong khi Blue Team tập trung theo dõi mối đe dọa bảo mật. Ngay sau khi lỗ hổng bảo mật được báo cáo, Blue Team bắt đầu việc đánh giá tác động ban đầu trong vòng tám giờ. Nếu xác định rằng lỗ hổng có mức độ nghiêm trọng, đội ngũ Synology sẽ khắc phục nó trong vòng 24 giờ, thời gian nhanh hơn rất nhiều so với mức trung bình trong ngành là 60 ngày để xử lý sự cố (MTTR).
Sau khi bản vá được phát hành, PSIRT sẽ đưa ra Tư vấn bảo mật để thông báo cho người dùng và cùng lúc công bố cập nhật phần mềm một cách công khai. Mọi phản hồi từ người dùng cũng được tổng hợp và báo cáo cho nhóm liên quan. Quá trình phản hồi nhanh chóng và hiệu quả này đảm bảo rằng người dùng luôn có thể tin cậy vào tính an toàn của các sản phẩm của Synology, vì với họ, bảo mật luôn là ưu tiên hàng đầu.
