Xác định phần mềm quan trọng đã trở thành một nhiệm vụ phức tạp hơn trong những năm gần đây, vì cả các chuyên gia công nghệ và quan chức chính phủ đều nhằm mục đích ngăn chặn hoặc giảm bớt tác động của các vi phạm an ninh mạng khó ghi nhãn hơn.
Các dòng định nghĩa đã bị mờ không thể nhận ra, vì tất cả các nền tảng phần mềm đều có thể bị tấn công và các tác nhân đe dọa được thúc đẩy bởi một loạt các chương trình nghị sự về tài chính, địa chính trị hoặc ý thức hệ. Không nghi ngờ gì nữa, các cuộc tấn công mạng là một phần của cuộc đối thoại về an ninh quốc gia, khi có nhiều mối đe dọa tiềm tàng hơn đến từ các quốc gia không thân thiện với Hoa Kỳ.

Như một phần phản ứng trước số lượng các cuộc tấn công ngày càng tăng này, Nhà Trắng đã ban hành lệnh hành pháp vào ngày 12 tháng 5 năm 2021 để giúp cải thiện quan điểm của Hoa Kỳ về an ninh mạng. Lệnh bắt buộc Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đưa ra định nghĩa cho những gì nên được coi là “phần mềm quan trọng”. Vào ngày 24 tháng 6, NIST đã phát hành định nghĩa của mình, điều này sẽ giúp cả chính phủ và ngành công nghiệp hiểu rõ hơn về nơi cần tập trung và cách tăng cường nỗ lực của họ trong việc bảo mật phần mềm.

Theo NIST, “Phần mềm quan trọng EO được định nghĩa là bất kỳ phần mềm nào có hoặc có phần mềm phụ thuộc trực tiếp vào một hoặc nhiều thành phần có ít nhất một trong các thuộc tính sau:

• Được thiết kế để chạy với đặc quyền nâng cao hoặc quản lý các đặc quyền;

• Có quyền truy cập trực tiếp hoặc đặc quyền vào mạng hoặc tài nguyên máy tính;

• Được thiết kế để kiểm soát quyền truy cập vào dữ liệu hoặc công nghệ hoạt động;

• Thực hiện một chức năng quan trọng để tin tưởng;

• Hoạt động bên ngoài ranh giới tin cậy thông thường với quyền truy cập đặc quyền.

Thông báo của NIST tiếp tục cung cấp các ví dụ về phần mềm phù hợp với định nghĩa: danh tính, thông tin xác thực và quản lý truy cập (ICAM); các hệ điều hành; người giám sát; môi trường container; trình duyệt web; bảo mật điểm cuối; kiểm soát mạng; bảo vệ mạng; giám sát và cấu hình mạng; giám sát và phân tích hoạt động; quét từ xa; truy cập từ xa và quản lý cấu hình; sao lưu / phục hồi và lưu trữ từ xa.

Định nghĩa khá rộng này xác nhận điều mà nhiều chuyên gia an ninh mạng biết nhưng có lẽ không thực thi được: Tất cả phần mềm, bất kể sự khéo léo hay có vẻ tầm thường của nó, đều rất quan trọng. Định nghĩa NIST không nên được coi là quá rộng; thay vào đó, phần mềm ngày nay tràn lan và chạm đến hầu hết các khía cạnh của cuộc sống của chúng ta. Công việc kết hợp, phương tiện truyền thông xã hội và sự phụ thuộc nhiều hơn vào thiết bị di động đã khiến phần mềm trở thành một phần không thể thay thế của xã hội hiện đại.
Có thể tìm thấy một ví dụ về phạm vi tiếp cận vô hạn của phần mềm trong các ứng dụng web được thiết kế để kiểm soát quyền truy cập vào dữ liệu. Nhiều ứng dụng di động yêu cầu quyền truy cập vào các công nghệ hoạt động của thiết bị di động để thực hiện các chức năng cơ bản nhất của chúng. Phần mềm có thể cấp quyền truy cập vào hệ điều hành cơ bản hoặc phần mềm khác, sau đó có thể dẫn đến sự leo thang đặc quyền cho phép tiếp quản hệ thống. Tất cả phần mềm có thể cho phép truy cập. Ngay cả khi phần mềm không được dự định sử dụng theo cách “quan trọng”, nó có thể được sử dụng theo cách đó hoặc được tái sử dụng thành một “phần mềm phụ thuộc trực tiếp”. Các tác nhân đe dọa hoàn toàn hiểu điều này, đưa ra các cách giải quyết độc đáo để thao túng phần mềm mà nếu không sẽ không được coi là nghiêm trọng. Phân tích những sự cố này và xem xét tần suất của chúng nên là một phần của quy trình bảo mật phần mềm.

Một ví dụ cụ thể, nổi tiếng nêu bật mức độ nghiêm trọng không ngờ của phần mềm đến từ nhiệt kế bể cá trong một sòng bạc ở Las Vegas. Những kẻ tấn công có thể xâm nhập vào mạng của sòng bạc thông qua nhiệt kế bể cá được kết nối với Internet. Những kẻ tấn công sau đó đã truy cập dữ liệu trên mạng và gửi nó đến một máy chủ ở Phần Lan. Hầu hết mọi người sẽ không nghĩ nhiệt kế bể cá là phần mềm quan trọng, nhưng nó có thể đáp ứng rất tốt định nghĩa về phần mềm quan trọng EO, vì nó cho phép truy cập vào PC qua mạng - và cuối cùng là dữ liệu nhạy cảm. Ví dụ này nhấn mạnh rằng mức độ nghiêm trọng của phần mềm không chỉ dựa trên một ứng dụng cụ thể, mà là bối cảnh của ứng dụng trong một hệ sinh thái không gian mạng lớn hơn. Nếu một thành phần của hệ sinh thái đó bị khai thác, toàn bộ hoạt động sẽ gặp rủi ro, làm lộ thông tin cá nhân, quyền truy cập vào các nguồn tài chính hoặc cấp khả năng kiểm soát chính hệ sinh thái đó.

Khi xử lý các tài nguyên hạn chế, trọng tâm bảo mật nên bắt đầu với điều gì là quan trọng nhất, nhưng trọng tâm bảo mật đó không nên kết thúc khi các mục ban đầu được đánh dấu là quan trọng nhất được bảo mật. Một triển vọng bảo mật toàn diện, dài hạn là cần thiết khi làm việc với ngân sách hạn chế, cho phép bảo mật sau này cho phần mềm có thể không được sử dụng thường xuyên nhưng vẫn có thể được coi là một điểm truy cập. Ưu tiên cho những gì quan trọng phụ thuộc rất nhiều vào hệ thống, mục đích, dữ liệu mà nó được kết nối và bối cảnh. Việc đưa ra phân loại ưu tiên là rất khó và cần được thực hiện theo từng trường hợp với các đối tác bảo mật đáng tin cậy. Các công ty cả nhỏ và lớn đều là hắc ín dành cho các tác nhân đe dọa. Việc loại bỏ tính chất quan trọng của phần mềm của tổ chức do quy mô hoạt động sẽ là không khôn ngoan; cuộc tấn công chuỗi cung ứng Kaseya gần đây minh chứng rõ ràng điều này.

Các tác nhân đe dọa đang thể hiện rất nhiều sự sáng tạo và định nghĩa của NIST về phần mềm quan trọng đã nhấn mạnh điểm này. Việc tìm kiếm một chiến lược bảo mật dài hạn giải quyết đầy đủ tất cả các thành phần phần mềm của hệ sinh thái là điều không thể thương lượng, vì tất cả phần mềm cần được coi là quan trọng.

Xem thêm các bài viết liên quan khác: Công ty phần mềm

Xem thêm nhiều bài viết hay tại:
Cổng thông tin toàn diện về phần mềm
Cổng thông tin VHRO - giải pháp quản lý nhân sự online