Tại sao ngành bảo mật thông tin cần kỹ sư DevSecOps

Với các mối đe dọa mạng không ngừng gia tăng, điều đặc biệt quan trọng là phải cải thiện chất lượng, tốc độ và tính bảo mật của quá trình phát triển phần mềm (DevSecOps). Để giải quyết những vấn đề này, cần có các đội có trình độ. Hãy xem xét những chuyên gia nào đang được yêu cầu nhiều nhất trong lĩnh vực bảo mật thông tin, họ nên có kiến ​​thức và kỹ năng gì.

1. Giới thiệu
2. Cần những chuyên gia nào
3. Kỹ sư DevSecOps có thể làm việc với những công nghệ nào?
4. kết luận

Giới thiệu

Hiện tại, các công ty thương mại và chính phủ trong nước có công nghệ tiên tiến đã bắt đầu tích cực chuyển sang cái gọi là phương pháp phát triển ứng dụng an toàn, DevSecOps. Đồng thời, các công nghệ DevSecOps nổi tiếng thường không thể đáp ứng được nhu cầu cơ bản của các công ty trong nước, bao gồm cả do thị trường thiếu các giải pháp hoàn thiện thuộc các loại “đặc tả phần mềm” (SBOM), “kiểm tra bảo mật giao diện chương trình” ( Kiểm tra bảo mật API), “chính sách dưới dạng mã” “(Chính sách dưới dạng mã), “Bảo mật chuỗi cung ứng phần mềm”, “Cơ sở hạ tầng dưới dạng bảo mật mã”, “Bảo mật vùng chứa”, “Bảo mật ứng dụng thử nghiệm động” (DAST), vân vân.

Hơn nữa, do các nhiệm vụ còn tồn tại hiện nay trong lĩnh vực bảo mật, cần phải tạo ra một chuỗi công nghệ DevSecOps trong nước và các công cụ tương ứng ở mức độ sẵn sàng UGT 9-12 (theo tiêu chí được phê duyệt trong Nghị định của Chính phủ Nga). Liên bang ngày 22 tháng 12 năm 2020 Số 2204 “Về một số vấn đề thực hiện, nhà nước hỗ trợ cho các hoạt động đổi mới, bao gồm thông qua liên doanh và (hoặc) tài trợ trực tiếp cho các dự án đổi mới…”). Cũng cần lưu ý rằng do tình trạng thiếu nhân sự ở Trên thị trường, các công ty trong nước đang gặp khó khăn trong việc tuyển dụng các chuyên gia phát triển các ứng dụng an toàn, chủ yếu là các kỹ sư DevSecOps. Vì lý do này, nhu cầu đào tạo và đào tạo lại các chuyên gia này là cấp thiết.

Ngày nay, ngành bảo mật thông tin phải đối mặt với những thách thức và mối đe dọa mới. Ngành này cần những chuyên gia nào trong thực tế hiện đại? Để trả lời câu hỏi này, trước tiên chúng ta phải xác định các xu hướng chính trong sự phát triển của lĩnh vực an ninh thông tin ở Nga.

Thứ nhất, nguồn nhân lực có trình độ nói chung đang thiếu. Theo Bộ Phát triển Kỹ thuật số Nga, ngành CNTT Nga đang thiếu nhân sự lên tới 500–700 nghìn người. Đồng thời, lĩnh vực an ninh thông tin, theo nhiều ước tính khác nhau, đang thiếu ít nhất 100 nghìn người và sự cạnh tranh về nhân sự đang gia tăng nhanh chóng. Mặt khác, không phải tất cả các chuyên gia tốt nghiệp đại học ngày nay (khoảng 7.500 chuyên gia mỗi năm) đều có trình độ chuyên môn mà các công ty cần.

Thứ hai, đây là sự xuất hiện của công nghệ thông tin đầu cuối và việc thực hiện các chương trình thay thế nhập khẩu. Kể từ năm 2018 ở Nga đang được thực hiện chương trình quốc gia “Kinh tế số của Liên bang Nga” và từ năm 2012 – chương trình nhà nước “Xã hội thông tin”. Chúng nhằm mục đích bảo vệ cơ sở hạ tầng thông tin quan trọng của nhà nước, chủ quyền kỹ thuật số, thay thế nhập khẩu và nói chung là cung cấp các dịch vụ chất lượng cao và giá cả phải chăng trong lĩnh vực truyền thông và kết nối với mạng thông tin và viễn thông. Ngoài ra, theo Án Lệnh Tổng thống Liên bang Nga, các công ty trong nước (hay nói đúng hơn là các đối tượng quan trọng của cơ sở hạ tầng thông tin quan trọng) phải từ bỏ phần mềm nước ngoài và chuyển sang phần mềm hệ thống của Nga vào năm 2025. Đồng thời, các doanh nghiệp hàng đầu trong nước hiện sử dụng tới 65% phần mềm và công nghệ của phương Tây. 95% phần cứng giống nhau.

Cần những chuyên gia nào

Ngày nay, các kỹ sư DevSecOps đặc biệt có nhu cầu—các nhà phát triển lãnh đạo chịu trách nhiệm triển khai phần mềm, điều phối lập trình viên, quản trị viên hệ thống và chuyên gia bảo mật máy tính.

Thực tế là hiện nay hầu hết các công ty trong nước đã chuyển sang phát triển nội bộ hệ thống CNTT. Do đó, điều quan trọng là phải cải thiện chất lượng, tính bảo mật và tốc độ phát triển phần mềm bằng cách thành lập các nhóm phát triển nội bộ và xây dựng quy trình sản xuất CNTT của riêng chúng tôi. Các đội này bao gồm từ 500 đến 30.000 chuyên gia trong và ngoài nước; mỗi loại sử dụng một bộ kỹ thuật khác nhau để tự động triển khai ứng dụng trong các môi trường khác nhau.

Để chuyển sang thực hành DevSecOps Các nhóm nên bao gồm các chuyên gia về kiến ​​trúc và phát triển phần mềm, nhà công nghệ, người kiểm tra và kỹ sư DevSecOps. Sau này xác định các yêu cầu bảo mật phần mềm và giám sát sự tuân thủ của chúng, quản lý mức độ dễ bị tổn thương của hệ thống phần mềm, phát triển các mẫu kiến ​​trúc ứng dụng an toàn, triển khai các tiêu chuẩn lập trình an toàn và các phương pháp hay nhất để phát triển phần mềm an toàn, triển khai và hỗ trợ các công cụ bảo mật thông tin cần thiết. Trong số những việc khác, họ xây dựng quy trình CI/CD và tự động hóa các quy trình bảo mật, giám sát cấu hình và tích hợp chính xác nhóm công nghệ vào các quy trình phát triển ứng dụng an toàn.

Các kỹ sư DevSecOps cũng tham gia vào việc hình thành nền tảng kiến ​​thức chung về phát triển ứng dụng an toàn, tạo và cập nhật tài liệu dự án, chuẩn bị các tiêu chuẩn, quy định và hướng dẫn người dùng, v.v.

Kỹ sư DevSecOps có thể làm việc với những công nghệ nào?

Kỹ sư DevSecOps là một chuyên gia phải có nhiều kỹ năng và kiến ​​thức trong lĩnh vực công nghệ bảo mật và hiệu suất hệ thống kỹ thuật số. Điều quan trọng là phải đạt được sự cân bằng giữa đổi mới và bảo mật để đảm bảo các ứng dụng và cơ sở hạ tầng đáng tin cậy. Dưới đây là một số công nghệ chính mà kỹ sư DevSecOps có thể làm việc được.

1. Công nghệ bảo mật container. Hiện tại, container hóa là một trong những xu hướng chính trong phát triển phần mềm (các ứng dụng client-server nguyên khối, hai và ba tầng đang được thay thế bằng các ứng dụng microservice và môi trường container), điều này có thể tăng tốc đáng kể quá trình tạo và phân phối ứng dụng.
2. Công nghệ tạo môi trường phát triển ứng dụng an toàn (Secure Development Environment)cho phép bạn quản lý rủi ro khi làm việc từ xa và sử dụng rộng rãi các thành phần nguồn mở, từ đó cải thiện việc tuân thủ các yêu cầu quy định và tiêu chuẩn bảo mật thông tin.
3. Công nghệ phát hiện và loại bỏ lỗ hổng kịp thời (API Security testing) cho phép bạn ngăn chặn các cuộc tấn công độc hại vào giao diện chương trình (API) thông qua nghiên cứu kịp thời và loại bỏ các lỗ hổng trong chúng.
4. Công nghệ thử nghiệm khiêu khích (Chaos Engineering) cung cấp cho việc thực hiện cách tiếp cận như vậy đối với các quy trình thử nghiệm, trong khuôn khổ tạo ra một môi trường không ổn định, các sự cố và hỏng hóc đột ngột được sắp xếp. Cách tiếp cận này cho phép bạn chuẩn bị để đẩy lùi các cuộc tấn công có thể xảy ra và chưa được biết trước đó (và do đó chưa được nghiên cứu kỹ) của những kẻ tấn công, cái gọi là “các cuộc tấn công hỗn loạn” trong toàn bộ vòng đời xây dựng nền tảng kỹ thuật số. Do đó, điều này giúp cải thiện chất lượng của các quy trình phát triển phần mềm an toàn, tăng cường tính bảo mật và khả năng phục hồi mạng cũng như cải thiện khả năng ứng phó với các sự cố bảo mật.
5. Công nghệ đám mây. Kiến thức về các nền tảng đám mây như Yandex.Cloud, Softline Multicloud, VK Cloud, #CloudMTS, Cloud.ru và các nền tảng khác, cũng như khả năng làm việc với chúng, sẽ giúp kỹ sư DevSecOps đảm bảo khả năng mở rộng và bảo mật của các ứng dụng trên đám mây . Khả năng làm việc với công nghệ đám mây sẽ cho phép bạn triển khai các phương pháp giám sát liên tục để thu thập và phân tích dữ liệu theo thời gian thực, xác định các vấn đề về hiệu suất và nhanh chóng ứng phó với sự cố.
6. Công nghệ SBOM (Hóa đơn vật liệu phần mềm) là một bộ công cụ để xử lý, phân tích và sử dụng siêu dữ liệu có cấu trúc mà máy có thể đọc được, dùng để mô tả các thành phần phần mềm – thư viện nguồn mở, mô-đun của bên thứ ba, mã độc quyền. Nói cách khác, công nghệ SBOM cho phép bạn kiểm kê thành phần phần mềm được sử dụng, xác định và loại bỏ kịp thời các lỗ hổng phần mềm, đồng thời xác định và kiểm soát danh sách giấy phép cho các thành phần và thư viện của bên thứ ba để giảm thiểu rủi ro pháp lý. Điều này thúc đẩy tính minh bạch cần thiết khi làm việc với các phần phụ thuộc, giúp theo dõi trạng thái của các phần phụ thuộc trong chuỗi cung ứng phần mềm, đồng thời cho phép bạn thiết lập sự hợp tác với các nhà sản xuất để kịp thời phát hiện và loại bỏ các lỗ hổng phần mềm.
7. Công nghệ dịch các chính sách bảo mật thành mã thực thi (Policy-as-a-Code) liên quan đến cách tiếp cận trong đó các chính sách (quy tắc công ty, tiêu chuẩn kiến ​​trúc, hướng dẫn, yêu cầu, v.v.) được kiểm soát, sử dụng và cập nhật bằng cách sử dụng mã theo cách tự động. Công cụ Policy-as-a-Code cho phép công ty tăng tốc độ hoàn thành nhiệm vụ, giảm nguy cơ sai sót do yếu tố con người, cải thiện sự tương tác giữa các nhân viên trong cùng một nhóm hoặc các phòng ban khác nhau và tăng tính chính xác của việc tuân thủ mọi chính sách. điều kiện.

Thị trường công nghệ Nga đang phát triển tích cực nên kỹ sư DevSecOps phải liên tục theo dõi các xu hướng mới trong lĩnh vực bảo mật thông tin và phát triển phần mềm. Hiểu rõ các công nghệ chính sẽ giúp bạn tạo ra các giải pháp kỹ thuật số hiệu quả và an toàn, đáp ứng yêu cầu của người dùng và doanh nghiệp ngày nay.

kết luận

Tóm lại, tôi muốn lưu ý rằng vai trò của kỹ sư DevSecOps ngày càng trở nên quan trọng trong bối cảnh xu hướng công nghệ đang phát triển nhanh chóng. Do tính chất năng động của các mối đe dọa trong lĩnh vực bảo mật thông tin, việc áp dụng phương pháp DevSecOps để phát triển phần mềm trở nên cần thiết.

Tôi nghĩ rằng trong vòng 2 đến 5 năm tới, nhu cầu về kỹ sư DevSecOps sẽ chỉ tăng lên. Để phát triển chuyên nghiệp trong lĩnh vực này, các chuyên gia sẽ cần không ngừng học hỏi, mở rộng kiến ​​thức và kỹ năng của mình. Do đó, đầu tư vào giáo dục chuyên nghiệp và nâng cao kỹ năng của các kỹ sư DevSecOps sẽ không chỉ giúp đáp ứng nhu cầu ngày càng tăng đối với các chuyên gia này mà còn đảm bảo tính bền vững và khả năng cạnh tranh của các công ty trên thị trường.