Chuyển đến nội dung chính

Security architecture và con đường sự nghiệp

Kiến trúc bảo mật (security architecture) thực sự là gì? Các thành phần và lợi ích của security architecture? Kiến trúc sư bảo mật  (security architect) làm gì và cần có những kỹ năng gì để làm tốt vai trò của mình? Cơ hội nghề nghiệp của các kiến trúc sư bảo mật ra sao? Họ cần những chứng chỉ gì? Lương bổng ra sao? Chúng ta hãy cùng tìm hiểu trong bài viết này.

Kiến trúc bảo mật là gì?

Kiến trúc bảo mật là một khuôn khổ (framework) xác định cấu trúc tổ chức, tiêu chuẩn, chính sách và hành vi chức năng của mạng máy tính, bao gồm cả tính năng bảo mật và mạng. Kiến trúc bảo mật cũng là cách thức mà các thành phần khác nhau của hệ thống mạng hoặc máy tính của bạn được tổ chức, đồng bộ hóa và tích hợp.

Khuôn khổ kiến ​​trúc bảo mật (security architecture framework) là một thành phần của kiến ​​trúc tổng thể của hệ thống. Nó được thiết kế và xây dựng để cung cấp hướng dẫn trong quá trình thiết kế toàn bộ sản phẩm hay hệ thống để vấn đề về bảo mật được tính đến và được đảm bảo trong quá trình vận hành.

Kiến trúc bảo mật giúp xác định các biện pháp kiểm soát an ninh và vi phạm cũng như cách chúng liên quan đến framework tổng thể của công ty bạn. Mục đích chính của các biện pháp kiểm soát này là duy trì các thuộc tính chất lượng quan trọng của hệ thống như tính bảo mật, tính toàn vẹn và tính khả dụng. Đó cũng là sức mạnh tổng hợp giữa kiến ​​thức phần cứng và phần mềm với trình độ lập trình, kỹ năng nghiên cứu và xây dựng chính sách.

Như vậy kiến trúc bảo mật thống nhất các phương pháp, quy trình và công cụ khác nhau để bảo vệ tài nguyên, dữ liệu và thông tin quan trọng khác của tổ chức. Sự thành công của kiến ​​trúc bảo mật chủ yếu dựa vào luồng thông tin liên tục trong toàn bộ tổ chức. Mọi người phải làm việc theo khuôn khổ và quy trình của kiến ​​trúc bảo mật đã được thiết kế.

Thành phần kiến ​​trúc bảo mật

Kiến trúc bảo mật liên quan đến các nguyên tắc và chính sách bảo mật hiện có, thay vì một hệ thống độc lập. Như vậy, nó không chỉ bao gồm tường lửa, chương trình chống vi-rút, phần mềm chống phần mềm độc hại, các công cụ và ứng dụng bảo mật khác để bảo vệ mạng của công ty. Kiến ​​trúc bảo mật bao gồm ba thành phần chính:

  • Con người (People)
  • Quy trình (Processes)
  • Công cụ (Tools)

Lợi ích của kiến trúc bảo mật
1. Kiến trúc bảo mật mạnh mẽ dẫn đến ít vi phạm bảo mật, tăng tính cạnh tranh
Các doanh nghiệp cần phải có một security architecture framework mạnh mẽ để bảo vệ các thông tin quan trọng nhất của họ. Bằng cách tăng cường kiến trúc bảo mật doanh nghiệp có thể loại bỏ các điểm yếu bảo mật phổ biến, giảm đáng kể nguy cơ kẻ tấn công xâm nhập hệ thống.

Như một lợi ích bổ sung, với các biện pháp này, các doanh nghiệp có thể chứng minh mức độ đáng tin cậy của họ đối với các đối tác tiềm năng, có khả năng giúp họ đưa doanh nghiệp của mình vượt  lên trước các đối thủ cạnh tranh.

2. Các biện pháp bảo mật chủ động giúp tiết kiệm chi phí
Việc phát hiện và sửa chữa các lỗ hổng bảo mật tốn rất tốn kém. Lỗi càng được phát hiện muộn hơn trong chu kỳ phát triển sản phẩm, thì càng có thể tốn nhiều chi phí, công sức, chưa kể đến nguy cơ tổn hại đến danh tiếng.

Tích hợp bảo mật trong mỗi cấp độ phát triển sản phẩm có thể giảm nguy cơ xảy ra lỗi. Các sản phẩm được phát triển với bối cảnh bảo mật từ giai đoạn ý tưởng, và các công cụ và quy trình mới được phát triển (được cài đặt như một phần của quy trình kiến trúc bảo mật) giúp giảm nguy cơ lỗi ở mỗi giai đoạn tiếp theo.

3. Kiến trúc bảo mật có thể giúp giảm nhẹ các biện pháp kỷ luật trong trường hợp vi phạm
Mặc dù luật pháp trên toàn cầu khác nhau về hậu quả của một vụ vi phạm mạng, nhưng một doanh nghiệp càng cố gắng giảm thiểu rủi ro và ngăn chặn các lỗ hổng bảo mật, thì kết quả càng có lợi trong trường hợp bị tấn công. Nhìn chung, các cơ quan quản lý tôn trọng các tổ chức đã nỗ lực hết mình trong việc bảo vệ thông tin và trừng phạt những doanh nghiệp chỉ giả vờ cố gắng hoặc không cố gắng gì cả.

Tạo ra một kiến ​​trúc bảo mật mạnh mẽ, tích hợp bảo mật vào chu trình phát triển, sử dụng các công cụ và quy trình để phát hiện lỗi – đây là tất cả các bước quan trọng trong nỗ lực của một tổ chức để cho thấy rằng tổ chức đang cố gắng hết sức để tự bảo vệ mình trước các mối đe dọa mạng và tuân thủ tất cả các quy định liên quan với khả năng tốt nhất của nó.

Kiến trúc sư bảo mật làm gì?
Bạn có những suy nghĩ giống như một hacker và như một giám đốc công nghệ thông tin của một doanh nghiệp tầm cỡ không? Bởi vì cả hai tư duy này đều cần thiết để trở thành một kiến ​​trúc sư bảo mật hiệu quả.

Công việc của kiến ​​trúc sư bảo mật là một vị trí cấp cao chịu trách nhiệm lập kế hoạch, thiết kế, thử nghiệm, triển khai và duy trì cơ sở hạ tầng máy tính và an ninh mạng của một tổ chức, doanh nghiệp, đảm bảo khuôn khổ kiến trúc bảo mật được tuân thủ.  Vai trò này đòi hỏi phải có kiến ​​thức sâu rộng về hoạt động kinh doanh của doanh nghiệp và hiểu biết toàn diện về công nghệ mà doanh nghiệp sử dụng trong hoạt động kinh doanh của mình.

Một số thuộc tính chính của một kiến ​​trúc sư bảo mật hiệu quả bao gồm:
  • Khả năng suy nghĩ như một tin tặc để dự đoán và bảo vệ tổ chức của một người trước các rủi ro bảo mật thông tin
  • Khả năng suy nghĩ như một nhà điều hành doanh nghiệp, quản lý các thành viên trong nhóm bảo mật và giao tiếp hiệu quả với các bên liên quan chính
  • Kinh nghiệm và chuyên môn kỹ thuật để xây dựng cơ sở hạ tầng bảo mật từ đầu hoặc cập nhật các hệ thống hiện có để đáp ứng với những thay đổi liên tục trong bối cảnh bảo mật, bao gồm các rủi ro mới và tuân thủ các quy định hiện hành
Kiến trúc sư bảo mật còn được gọi là kiến ​​trúc sư an ninh mạng hoặc kiến ​​trúc sư bảo mật thông tin.

Trách nhiệm công việc của kiến ​​trúc sư an ninh mạng
Nhiệm vụ của kiến ​​trúc sư an ninh mạng có thể khác nhau theo ngành và theo nhu cầu riêng của công ty, nhưng trách nhiệm cốt lõi thường bao gồm những điều sau:
  • Phát triển sự hiểu biết đầy đủ về công nghệ và hệ thống thông tin của một công ty
  • Thiết kế, xây dựng, triển khai và hỗ trợ các hệ thống an ninh cấp doanh nghiệp
  • Điều chỉnh chiến lược bảo mật của tổ chức và cơ sở hạ tầng với chiến lược kinh doanh và công nghệ tổng thể
  • Xác định và truyền đạt các mối đe dọa bảo mật hiện tại và mới xuất hiện.
  • Thiết kế các yếu tố kiến ​​trúc bảo mật để giảm thiểu các mối đe dọa khi chúng xuất hiện
  • Lập kế hoạch, nghiên cứu và thiết kế kiến ​​trúc bảo mật mạnh mẽ cho bất kỳ dự án CNTT nào
  • Thực hiện hoặc giám sát kiểm tra lỗ hổng bảo mật, phân tích rủi ro và đánh giá bảo mật
  • Tạo ra các giải pháp cân bằng các yêu cầu kinh doanh với các yêu cầu về thông tin và an ninh mạng
  • Xác định các lỗ hổng thiết kế bảo mật trong các kiến ​​trúc hiện có và được đề xuất và đề xuất các thay đổi hoặc cải tiến
  • Xem xét và phê duyệt cài đặt tường lửa, VPN, bộ định tuyến, công nghệ quét IDS và máy chủ
  • Kiểm tra hệ thống bảo mật để đảm bảo chúng hoạt động như mong đợi
  • Sử dụng ngôn ngữ lập trình và công nghệ hiện tại để viết code, hoàn thành và thực hiện kiểm tra và gỡ lỗi các ứng dụng
  • Cung cấp sự giám sát và hướng dẫn cho nhóm bảo mật
  • Xác định, thực hiện và duy trì các chính sách và thủ tục bảo mật của công ty
  • Đào tạo người dùng trong việc triển khai hoặc chuyển đổi hệ thống
  • Phản ứng tức thời với các sự cố liên quan đến bảo mật và cung cấp các giải pháp khắc phục
  • Thường xuyên trao đổi thông tin quan trọng, nhu cầu bảo mật và ưu tiên cho quản lý cấp trên
Con đường sự nghiệp của Security Architect
Trong hệ thống phân cấp CNTT của một tổ chức, Security Architect ở vị trí cao hơn Kỹ sư bảo mật hoặc nhà phân tích bảo mật và thấp hơn giám đốc công nghệ (Chief Technology Officer – CTO), giám đốc bảo mật (Chief Security Officer – CSO) hoặc giám đốc an ninh thông tin (Chief Information Security Officer – CISO).

Thông thường, để trở thành một kiến trúc sư an ninh mạng bạn thường phải có ít nhất năm năm kinh nghiệm trong các vai trò bảo mật thông tin. Dưới đây là con đường sự nghiệp khả thi nhất cho vị trí này:

Các vị trí bảo mật cấp độ đầu vào:
  • Quản trị viên bảo mật (Security Administrator)
  • Quản trị mạng (Network Administrator)
  • Quản trị hệ thống (System Administrator)
Các vị trí cấp trung gian:
  • Nhà phân tích bảo mật (Security Analyst)
  • Kỹ sư bảo mật (Security Engineer)
  • Tư vấn bảo mật (Security Consultant)
  • Chuyên gia bảo mật (Security Specialist)
Trở thành một kiến ​​trúc sư bảo mật không hề dễ dàng, nhưng những lợi ích mà nó mang lại cho bạn vượt xa những thách thức mà bạn phải trải qua.

Kỹ năng cần có của Security Architect
Dưới đây là các kỹ năng và năng lực cần thiết để làm việc với vai trò này theo Csoonline.com

Kinh nghiệm
  • Sử dụng các công nghệ mới nhất để thiết kế và triển khai các giải pháp bảo mật; giám sát và cải tiến các giải pháp đó trong khi làm việc với nhóm bảo mật thông tin.
  • Tư vấn trong việc thiết kế và phát triển các phương pháp bảo mật tốt nhất; thực hiện các biện pháp bảo mật để đáp ứng các mục tiêu kinh doanh, nhu cầu của khách hàng và các yêu cầu theo luật định.
  • Xem xét các vấn đề về bảo mật điện toán đám mây, bao gồm vi phạm dữ liệu, hack, chiếm đoạt tài khoản, nội gián độc hại, bên thứ ba, xác thực, chống tấn công có chủ đích (Advanced Persistent Threat – APT) , mất dữ liệu và tấn công DoS.
  • Quản lý danh tính và quyền truy cập; theo dõi và tạo, thực thi các chính sách quản lý việc truy cập các tài nguyên công nghệ và tài sản thông tin nhạy cảm.
Những kỹ năng cơ bản của security architect
  • Kỹ năng giao tiếp vượt trội; kỹ năng phân tích và tư duy phản biện mạnh mẽ
  • Kỹ năng lãnh đạo, quản lý dự án và xây dựng nhóm mạnh mẽ, bao gồm khả năng lãnh đạo nhóm và thúc đẩy các sáng kiến ​​trong nhiều phòng ban
  • Chứng minh được khả năng xác định các rủi ro liên quan đến các quy trình kinh doanh, vận hành, các dự án công nghệ và các chương trình bảo mật thông tin
  • Khả năng hoạt động như một chuyên gia về các vấn đề bảo mật doanh nghiệp, người có thể giải thích các chủ đề phức tạp cho những người không có kiến ​​thức về kỹ thuật
Kỹ năng và kiến ​​thức kỹ thuật
Kiến trúc sư bảo mật cần có những kiến thức, kỹ năng sau:
  • Hệ điều hành Windows, UNIX và Linux
  • VB.NET, Java / J2EE, ColdFusion, dịch vụ API / web, ngôn ngữ kịch bản và hệ quản trị cơ sở dữ liệu quan hệ (RDBMS) như MS SQL Server hoặc Oracle.
  • Nắm vững các tiêu chuẩn và giao thức bảo mật ngành liên quan bao gồm ISO27001, National Institute of Standards and Technology  (NIST),  Control Objectives for Information and Related Technologies (COBIT); Committee of Sponsoring Organizations (COSO) of Treadway Commission..
  • Các thông số kỹ thuật ISO 27001 cho hệ thống quản lý bảo mật thông tin
  • Router, switch và bảo mật VLAN; bảo mật không dây
  • Quy trình đánh giá rủi ro, chính sách, các phương pháp chứng thực quyền dựa trên vai trò  (role-based authorization methodologies), công nghệ xác thực và tấn công bảo mật
Những thách thức mà Security architect phải đối mặt
Theo khảo sát của Fortinet, tổ chức về bảo mật có trụ sở tại California, dưới đây là các thách thức mà các security architect cho biết họ phải đối mặt
  • Các kiến ​​trúc sư bảo mật cần học hỏi và phát triển nhiều hơn để đáp ứng với các xu hướng hiện tại trong an ninh mạng: Các kiến ​​trúc sư bảo mật cho biết họ đang phải vật lộn để bắt kịp với các tấn công ngày càng mở rộng, mức độ phức tạp bảo mật gia tăng và bối cảnh mối đe dọa hiện đại. Trong mỗi thể loại này, người trả lời cho rằng họ cần phải học hỏi và phát triển thêm để có thể xử lý tốt được các vấn đề (xem kết quả khảo sát trong hình bên dưới)
  • Phát hiện và ngăn chặn sự xâm nhập là trọng tâm hàng đầu của các kiến ​​trúc sư bảo mật: Một sự phát triển đáng lo ngại trong lĩnh vực an ninh mạng là tính hiệu quả ngày càng tăng của những kẻ tấn công với việc truy quét dữ liệu thành công đã tăng lên. Kết quả là chi phí cho các sự cố bảo mật tăng nhanh. Việc ngăn chặn vi phạm cũng ngày càng khó khăn hơn, do các cuộc tấn công ngày càng tinh vi sử dụng Malware-as-a-Service (MaaS), AI và máy học (ML), IoT và các công nghệ tiên tiến khác.
  • Sự phức tạp ngày càng tăng của an ninh mạng làm cho việc quản lý rủi ro trở nên khó khăn hơn đối với các kiến trúc sư bảo mật: hơn 3/4 (68%) kiến trúc sư bảo mật được hỏi cho biết không có kiến trúc bảo mật tích hợp đầy đủ. Thêm vào đó các tổ chức bảo mật cũng có một danh sách ngày càng tăng các yêu cầu tuân thủ mới và đang phát triển. Tất cả những yếu tố này có hậu quả trực tiếp đối với các kiến trúc sư bảo mật: 44% nói rằng độ phức tạp bảo mật tăng lên khiến việc quản lý rủi ro trở nên khó khăn hơn.
  • Các kiến trúc sư bảo mật đang gặp phải tỷ lệ kiệt sức cao hơn do áp lực công việc: những tiến bộ trong các mối đe dọa đang khiến các kiến trúc sư bảo mật gặp phải tỷ lệ căng thẳng và kiệt sức trong công việc cao hơn. Nghiên cứu gần đây cho thấy 91% CISO (Chief Information Securiry Officer) phải đối mặt với căng thẳng từ mức độ trung bình đến cao. Sự kiệt sức đạt đến tỷ lệ khủng hoảng lĩnh vực an ninh mạng, nơi mà sai lầm phải trả giá đắt, mọi nhiệm vụ đều là nhiệm vụ quan trọng và tinh thần cảnh giác cao là trạng thái mặc định. 66 % các chuyên gia bảo mật cho biết nhóm của họ đang bị quá tải với khối lượng công việc ngày càng tăng, dẫn đến kiệt sức.
Công việc và mức lương của Kiến trúc sư An ninh mạng
Mức lương trung bình cao trả cho các kiến trúc sư bảo mật phản ánh cả kỹ năng và kinh nghiệm đáng kể cần thiết, cũng như sự thiếu hụt tổng thể về nhân tài an ninh mạng. Dữ liệu về mức lương theo năm sau đây được liệt kê bởi Robert Walters năm 2020 cho thị trường Việt Nam:

Không có số liệu chính xác lương về vị trí Security Architect nhưng số liệu về lương về Cybersecurity Engineer hay Solution Architect cũng mang đến cho bạn những con số tham khảo:

Chứng chỉ Kiến trúc sư An ninh mạng
Hầu hết các tổ chức yêu cầu kiến ​​trúc sư bảo mật của họ ít nhất phải có bằng cử nhân. Ngoài ra, bằng thạc sĩ trong lĩnh vực CNTT là một điểm cộng và bằng thạc sĩ về an ninh mạng là một điểm cộng lớn hơn nữa, theo CSOonline.

Ngoài nền tảng về giáo dục, một số chứng chỉ đáng chú ý nhất dành cho kiến ​​trúc sư an ninh mạng và các ngành nghề liên quan bao gồm:
  • Certified Information Systems Security Professional – Information Systems Security Architecture Professional (CISSP-ISSAP)
  • Certified Information Systems Security Professional (CISSP). 
  • Certified Information Security Manager (CISM)
  • Certified Information Systems Auditor (CISA)
  • SANS-related certifications such as GIAC Defensible Security Architecture (GDSA)
Tài liệu tham khảo:
1/ https://blog.rsisecurity.com/what-is-the-purpose-of-cybersecurity-architecture/
2/ https://dig8ital.com/resources/library/what-is-security-architecture-and-what-do-you-need-to-know
3/ https://www.fortinet.com/content/dam/maindam/PUBLIC/02_MARKETING/08_Report/report-security-architect-and-cybersecurity.pdf
4/ Other on the Internet

Nhận xét

Bài đăng phổ biến từ blog này

HttpOnly Flag và Secure Flag của chiếc Cookie để làm gì?

Cookies rất hữu ích nhưng cũng tồn tại không ít rủi ro. Bài viết sau đây giúp tìm hiểu rõ thêm về 2 thuộc tính giúp bảo vệ Cookies là Httponly flag   và Secure flag.   Nếu anh em mò vào được bài này thì chắc cũng biết về Cookie rồi, nhưng còn hiểu lơ mơ    thì click vào đây trước nhé -  Cookie . Chuyện kể rằng, ngày xửa ngày xưa, có một "nghệ sĩ" nọ do không sao kê tiền từ thiện nên đã bị hacker tấn công chiếm rất nhiều tài khoản do bị mất cookie.  1. Tại sao lại mất?   Nguyên nhân "nghệ sĩ" bị mất thông tin cá nhân là do quá chủ quan khi click đọc email do rất nhiều "fan" gửi cho, trong những email đó có gắn đường link chứa mã độc đánh cắp cookie của 1 trang web nào đó.  Do cookies phản hồi từ server mà các đường link đó dẫn tới không được bảo vệ     nên đã bị đối tượng xấu lấy mất cookies chứa xác thực đăng nhập -> dẫn tới mất thông tin. Về mặt bản chất, cũng có thể hiểu đây như là một cuộc tấn công XSS , đối tượng gửi email sẽ execute một đoạn scri

Những câu hỏi phỏng vấn kỹ sư bảo mật thường gặp.

Dưới đây là một danh sách các câu hỏi thường được sử dụng trong việc phỏng vấn tuyển dụng chuyên gia bảo mật. Nhiều câu hỏi được thiết kế buộc người được phỏng vấn phải suy nghĩ, và không thể chuẩn bị trước cho dạng câu hỏi này. Ở đó, các phản ứng của ứng viên cũng quan trọng  như câu trả lời. Một số câu hỏi được pha trộn giữa kỹ thuật và lý thuyết, hoặc câu hỏi tìm hiểu quan điểm của ứng viên để tạo ra những câu hỏi khó khăn hơn. Các câu hỏi cũng thường được chia thành các thể loại khác nhau, một số câu hỏi mẹo sẽ được chèn vào giữa. Mục đích của những câu hỏi dạng đánh đố này là tìm kiếm những điểm yếu kỹ thuật thường chỉ xuất hiện khi ứng viên đi vào làm việc :| . Nhóm câu hỏi chung 1. Giữa các dự án mã mở và mã đóng, bên nào bảo mật hơn? Câu trả lời của ứng viên sẽ nói rất nhiều về họ. Nó cho thấy 1) họ biết những khái niệm gì trong phát triển phần mềm, 2) cho thấy mức độ chín chắn của ứng viên. Mục tiêu chính của câu hỏi là đưa ra được ưu/ nhược điểm của hệ mã đóng và mã m

10 nguyên tắc thiết kế bảo mật khi phát triển phần mềm theo OWASP

 TTổng quan về bảo mật phần mềm Bảo mật đóng vai trò vô cùng quan trọng trong việc phát triển cũng như khi vận hành ứng dụng. Nó như một lá chắn giúp bảo vệ hệ thống phần mềm của chúng ta tránh khỏi các cuộc tấn công của những kẻ xấu nhằm mục đích phá hoại hoặc đánh cắp thông tin. Bảo mật chính là một quá trình liên tục kiểm tra, xử lý các vấn đề bảo mật của hệ thống để duy trì 3 đặc tính trên của hệ thống (Tính toàn vẹn, tính bảo mật, tính sẵn sàng). Tính bí mật : Bí mật là thuật ngữ được sử dụng để tránh lộ thông tin đến những đối tượng không được xác thực hoặc để lọt vào các hệ thống khác. Ví dụ: một giao dịch tín dụng qua Internet, số thẻ tín dụng được gửi từ người mua hàng đến người bán, và từ người bán đến nhà cung cấp dịch vụ thẻ tín dụng. Hệ thống sẽ cố gắng thực hiện tính bí mật bằng cách mã hóa số thẻ trong suốt quá trình truyền tin, giới hạn nơi nó có thể xuất hiện (cơ sở dữ liệu, log file, sao lưu (backup), in hóa đơn…) và bằng việc giới hạn truy cập những nơi mà nó được l