An ninh mạng là một lĩnh vực đang phát triển đáp ứng mối quan tâm lớn của các công ty và cá nhân, trong một thế giới ngày càng kỹ thuật số, đặc biệt là sự bùng nổ của các đối tượng được kết nối, việc phi vật chất hóa IS lên đám mây và trao đổi dữ liệu quan trọng. IDEMIA, với tư cách là công ty hàng đầu thế giới về nhận dạng kỹ thuật số và sinh trắc học, luôn cố gắng cung cấp các công nghệ hiện đại để đảm bảo các tiêu chuẩn bảo mật cao nhất, kết hợp với tính dễ sử dụng.
Laila Ahddar là người đứng đầu các hoạt động an ninh mạng trong R&D Toàn cầu của Tập đoàn IDEMIA. Thông qua các nhiệm vụ khác nhau, vai trò của nó là thiết kế các hệ thống được tạo thành từ các sản phẩm có mức độ an toàn cao. Bảo mật được xem xét từ giai đoạn thiết kế và phát triển đến giai đoạn sản xuất và triển khai.
Vai trò của bạn tại IDEMIA bao gồm những gì?
Tôi có một số mũ. Tôi là giám đốc Trung tâm Xuất sắc của IDEMIA Morocco và tôi cũng phụ trách an ninh mạng cho các tổ chức R&D toàn cầu của tập đoàn. Vai trò của tôi là hỗ trợ phát triển các sản phẩm tích hợp trong chuỗi giá trị của dịch vụ xoay quanh các giải pháp mà chúng tôi bán cho khách hàng. Nhiệm vụ đầu tiên của tôi là thực hiện bảo mật trong suốt vòng đời của sản phẩm, từ giai đoạn thiết kế đến giai đoạn giao hàng, bao gồm cả sản xuất, bao gồm việc giám sát để phát hiện các lỗi trong bảo mật và hành động nhanh chóng.
IDEMIA coi trọng việc đảm bảo an toàn của các sản phẩm và giải pháp. Chúng tôi cảnh giác về tất cả các phương tiện bảo mật được áp dụng để các nhà phát triển có thể thiết kế các sản phẩm an toàn trong toàn bộ chuỗi giá trị.
Tôi cũng chịu trách nhiệm thực hiện các công việc quan trọng để nâng cao nhận thức của nhân viên:
một mặt, để đảm bảo bảo vệ cơ sở và bảo vệ thông tin, mặt khác, để bảo vệ các sản phẩm của chúng tôi chắc chắn được phát triển trong một môi trường an toàn, nhưng sau đó được xử lý bởi các cộng tác viên nội bộ và những người bên ngoài hành động thay mặt cho IDEMIA. Chúng ta cần giáo dục họ và dạy họ cách áp dụng các phương pháp hay nhất.
Bạn có thể trình bày chi tiết cách IDEMIA tích hợp an ninh mạng vào thiết kế các sản phẩm của mình như thế nào không?
Chúng tôi thực hành cái được gọi là phương pháp DevSecOps: nó là một khuôn khổ tiêu chuẩn hóa. Các giải pháp được tạo thành từ các sản phẩm dạng ứng dụng dành cho một số giải pháp được phát triển trong DevOps (hoặc phát triển và tích hợp liên tục), kết hợp các nhiệm vụ Dev và Operation. Khi chúng tôi phát triển một sản phẩm, chúng tôi tuân theo các giai đoạn khác nhau: lập kế hoạch, viết mã, xây dựng, kiểm tra, phát hành, triển khai, vận hành, giám sát. Trong mỗi giai đoạn này, chúng tôi áp dụng an ninh mạng.
Ở thượng nguồn của giai đoạn thiết kế, chúng tôi thực hiện một hội thảo, trong đó chúng tôi xem xét sản phẩm sẽ được phát triển và hệ sinh thái trong đó nó sẽ phát triển để thực hiện phân tích rủi ro. Trong quá trình phân tích này, chúng tôi xem xét tất cả các mối đe dọa (bên ngoài và bên trong), có thể ảnh hưởng đến sản phẩm hoặc chuỗi giá trị của nó. Điều này làm cho nó có thể xác định các biện pháp bảo vệ được tích hợp vào các giai đoạn phát triển.
Quy trình có khác khi nói đến một chương trình bao gồm các sản phẩm khác nhau không? Những điểm quan trọng cần kiểm tra về mặt bảo mật là gì?
Thiết kế một chương trình liên quan đến việc giám sát việc lắp ráp các sản phẩm khác nhau tạo nên giải pháp được bán cho khách hàng. Để thực hiện quá trình lắp ráp này, chúng tôi đảm bảo rằng sự thỏa hiệp của một sản phẩm không ảnh hưởng đến toàn bộ chuỗi giá trị của giải pháp (và do đó bằng “hiệu ứng phục hồi” tất cả các sản phẩm và dịch vụ khác của giải pháp). Ví dụ: nếu chúng tôi thiết kế một ứng dụng di động, chúng tôi đảm bảo rằng trong trường hợp bị đánh cắp số nhận dạng, toàn bộ chuỗi xác thực của các dịch vụ khác được cung cấp cho khách hàng khác sẽ không bị xâm phạm. Công việc của chúng tôi đáp ứng một logic toàn cầu. Chúng tôi áp dụng bảo mật trong suốt vòng đời của sản phẩm, nhưng cũng tính đến toàn bộ chuỗi giá trị của giải pháp mà sản phẩm là một phần.
Trải nghiệm người dùng được tích hợp vào thiết kế sản phẩm như thế nào?
Việc tích hợp an ninh mạng sẽ tính đến đầy đủ trải nghiệm của khách hàng. Ví dụ: trong trường hợp xác thực kép cho một ứng dụng di động, vai trò của chúng tôi là hỗ trợ nhà thiết kế UX tính đến tính bảo mật trong hành trình của khách hàng bằng cách tìm kiếm số dư phù hợp và làm cho xác thực kép này không ràng buộc bằng cách đơn giản hóa ví dụ: nhập Mã SMS.
Trải nghiệm người dùng phải duy trì tính linh hoạt để đảm bảo khách hàng chấp nhận sản phẩm. Mục tiêu của chúng tôi là đặt mức độ bảo mật mạnh mẽ và minh bạch cho khách hàng để bảo vệ cơ sở hạ tầng và sản phẩm của chúng tôi. Thực sự là ngược dòng của sự phát triển, khi nghĩ về trải nghiệm người dùng và giao diện người dùng của một sản phẩm, chúng tôi hình dung cách bảo mật sẽ có thể bao gồm tất cả các yếu tố này để mang lại trải nghiệm người dùng tốt nhất có thể.
Làm thế nào để bạn đảm bảo sự an toàn của một sản phẩm?
Để đảm bảo tính bảo mật của sản phẩm IDEMIA, tôi đặt mình vào vị trí của kẻ tấn công để cố gắng xâm nhập hệ thống thông qua các sản phẩm này hoặc kết nối với các sản phẩm khác. Hơn nữa, tôi lo ngại về các khía cạnh pháp lý và luật pháp có thể gây tổn hại đến hình ảnh của công ty và gây thiệt hại cho hoạt động kinh doanh, chẳng hạn như các quy định của GDPR nhằm bảo vệ dữ liệu cá nhân của công dân Châu Âu. Các đề xuất của chúng tôi được gửi tới các nhà quản lý và Nhà phát triển dự án, bao gồm cả các đường dẫn tấn công, để chúng phát triển một cách thận trọng. Chúng tôi hỗ trợ họ bằng kiến trúc của họ, chúng tôi truyền lại các phương pháp hay nhất cho họ và chúng tôi cung cấp cho họ các công cụ để giúp họ trong suốt giai đoạn phát triển.
Một cuộc canh gác an ninh cũng được thực hiện. Đây là một bước quan trọng bởi vì, trong một sản phẩm, chúng tôi sử dụng các thư viện được phát triển bởi các bên thứ ba. Chúng tôi được cảnh báo bằng các bản tin bảo mật khi các lỗ hổng được tìm thấy và quản lý chúng trong vòng đời sản phẩm. Chúng tôi khôi phục các lỗ hổng này nhiều nhất có thể để các nhà phát triển của chúng tôi tích hợp chúng để sửa chữa. Nếu những lỗ hổng này được quan sát thấy sau thực tế, xung quanh chiến lược quản lý bản vá, chúng tôi quyết định kế hoạch giảm thiểu sẽ được thực hiện.
Làm thế nào để các nhà phát triển nhận thức được các thực hành tốt được tích hợp trong quá trình phát triển một sản phẩm?
Tùy thuộc vào sự trưởng thành và nhạy cảm của nhà phát triển, kiến thức về bảo mật của anh ta được phát triển nhiều hơn hoặc ít hơn để hiểu các khía cạnh này. Chúng tôi đã lên kế hoạch cho một giai đoạn nhận thức, đi kèm với tài liệu, để giúp anh ta phát triển các kỹ năng của mình. Các công cụ được đưa vào chuỗi phát triển của anh ấy để giúp anh ấy, khi anh ấy bắt đầu viết mã, cho phép anh ấy phát hiện ra các lỗ hổng bảo mật ở đâu. Ngoài ra, chúng tôi dựa vào một “nhà vô địch bảo mật” làm người giới thiệu trong mỗi dự án, giao diện của chuyên gia bảo mật, để giúp nhóm dự án xây dựng kỹ năng. Anh ta là người bảo đảm việc thực hiện bảo mật trong một dự án.
Mỗi ngôn ngữ lập trình cũng có những đặc thù về bảo mật, vì vậy chúng ta phải thích nghi. Kế hoạch đào tạo cung cấp một chương trình cụ thể để có thể giải quyết chúng một cách chính xác. Các cộng tác viên nội bộ của chúng tôi sẽ bắt đầu bằng cách tuân theo một khóa đào tạo chung về 2 ngày, sau đó là đào tạo cụ thể bằng ngôn ngữ lập trình và chương trình chuyên biệt dành cho DevSecOps về tính bảo mật và nhanh nhẹn. Hơn nữa, trong tổ chức linh hoạt, để tạo điều kiện thuận lợi cho cách tiếp cận Security By Design, các yêu cầu phải được tích hợp càng sớm càng tốt trong thiết kế của sản phẩm. Các biện pháp bảo mật này phải được dịch thành “đường cơ sở bảo mật”, sẽ trở thành “câu chuyện người dùng bảo mật”, sau đó sẽ đưa vào “nhật ký sản phẩm”, các bước tiếp theo cho nhà phát triển. Các kịch bản rủi ro sẽ được dịch thành “Câu chuyện của người dùng về Ác ma”.
Những “Câu chuyện của người dùng về Ác ma” là gì?
“Câu chuyện của người dùng về Ác ma” mô tả việc thực hiện một kịch bản rủi ro thông qua việc xác định nguồn rủi ro (kẻ tấn công bên ngoài / cộng tác viên độc hại), khai thác lỗ hổng, gây ảnh hưởng đến giá trị doanh nghiệp.
Công cụ, ngôn ngữ lập trình mà bạn sử dụng để thực hiện những sứ mệnh khác nhau này là gì?
Để áp dụng bảo mật cho các sản phẩm của mình, chúng tôi sử dụng một số công cụ có thể đến từ thị trường hoặc do chúng tôi tự phát triển vì chúng có một chức năng cụ thể cho doanh nghiệp của chúng tôi. Ví dụ, chúng tôi sử dụng:
các công cụ mô hình hóa mối đe dọa khi cần thiết, các công cụ phân tích mã tĩnh trong chuỗi CI / CD có trên thị trường và được sử dụng bởi các công ty khác, các công cụ thị trường cho các thử nghiệm và kiểm tra của chúng tôi, để thực hiện quét lỗ hổng, được bổ sung bằng pentest, kiểm tra xâm nhập, bởi các nhóm Redteam của chúng tôi. Đây là đội bảo mật có kỹ năng cao trong các tình huống tấn công.
Ngoài ra, chúng tôi sử dụng một số ngôn ngữ lập trình: Java / JEE, Spring, Python, Angular, Javascript, D3.JS, Node.js, React, PHP, HTML5 / CSS3, Bootstrap framework, C / C ++, cho phần di động, Native IOS và Android, Xamarine để phát triển web di động và thiết kế đáp ứng.
Hộp công cụ DevOps và DevSecOps vẫn là tiêu chuẩn, có những môi trường chung cho nhiều cộng đồng nhà phát triển, cho dù ở cấp kho lưu trữ, công cụ cộng tác, chuỗi CI / CD, hoặc công cụ điều phối, kiểm tra, giám sát và APM. Về phần bảo mật, chúng tôi sử dụng các khuôn khổ OWASP, NIST, SANS và các công cụ quét lỗ hổng, phân tích mã tĩnh hoặc động cũng như quét lỗ hổng.
Các cộng tác viên của chúng tôi thông thạo tất cả các ngôn ngữ và công cụ này (hợp pháp hóa sự tham gia của chúng tôi trong các phiên bản Battle Dev khác nhau) và được các nhóm bảo mật của chúng tôi củng cố để phát triển sản phẩm theo công nghệ tiên tiến.
Bạn đang tìm kiếm loại công việc nào và bạn nghĩ kỹ năng mềm nào là quan trọng để làm việc trong lĩnh vực an ninh mạng?
Chúng tôi tuyển dụng các hồ sơ chuyên gia, cho dù về mặt CNTT hay phát triển ứng dụng. Đặc biệt, chúng tôi đang tìm kiếm các kiến trúc sư bảo mật CNTT, kiến trúc sư hệ thống, nhà phát triển bảo mật, pentesters hoặc hồ sơ làm việc về quản trị. Đối với kỹ năng mềm, tôi rất coi trọng khả năng lãnh đạo và giao tiếp. Tôi đang tìm kiếm các chuyên gia bảo mật ở giữa kỹ thuật và kinh doanh. Một nhà quản lý an ninh mạng giỏi phải thể hiện khả năng lãnh đạo đồng thời biết cách tiếp thị an ninh mạng để bán nó cho khách hàng và đối tác.
An ninh mạng có một cái giá phải trả, khi nó không được tính đến một cách đầy đủ ở thượng nguồn của các dự án, mà phải được chuyển thành việc tạo ra giá trị để đáp ứng nhu cầu của khách hàng và làm hài lòng họ. Tôi cần hồ sơ kỹ thuật để hỗ trợ các đối tác của chúng tôi về chủ đề này. Nhân viên của chúng tôi cũng phải thể hiện rất nhiều tính kiên nhẫn, tính sư phạm và tất nhiên là sự tò mò.
Tìm tất cả các ưu đãi tuyển dụng của IDEMIA
