Checklist bảo mật cho CTO SaaS Ver.3

• Giải thích các hạng mục bảo mật thiết yếu mà CTO cần quan tâm theo từng danh mục

→ kèm các liên kết nên đọc, công cụ đề xuất, mẹo, v.v.

• Nhân viên

→ tổ chức đào tạo bảo mật

→ áp dụng 2FA

→ tự động khóa máy tính

→ ngăn chia sẻ tài khoản

→ mã hóa máy tính/điện thoại cá nhân - Jamf, Canonical Landscape

→ checklist onboarding / offboarding

→ sử dụng trình quản lý mật khẩu - dashlane, lastpass, onelogin

→ xây dựng và vận hành checklist review code bảo mật -

→ quản lý tài khoản tập trung

→ công cụ chống malware & virus - stormshield

→ tuyển dụng kỹ sư bảo mật

• Code

→ quản lý lỗi bảo mật như lỗi thông thường

→ tách các secret khỏi code - envkey, vault, secret-manager

→ không tự triển khai cryptography mà hãy dùng thư viện

→ áp dụng Static Code Analysis Tool

→ thực hiện các phiên kiểm thử tập trung vào bảo mật

→ tự động hóa bảo mật trong toàn bộ vòng đời phát triển phần mềm (SDLC)

→ triển khai onboarding đào tạo bảo mật cho kỹ sư phần mềm - safecode, pagerdugy sudo

• Ứng dụng

→ tự động hóa bảo mật cho sản phẩm production - snyk, checkov

→ bảo mật FaaS

→ theo dõi dependency - snyk, dependabot

→ chạy bằng tài khoản khác ngoài root (unprivileged)

→ dịch vụ bảo vệ thời gian chạy (Runtime Application Self Protection, RASP)

→ thuê đội kiểm thử xâm nhập bên ngoài

• Hạ tầng

→ sao lưu, kiểm thử khôi phục rồi lại sao lưu - tarsnap, quay

→ kiểm thử bảo mật cơ bản cho website - securityheaders, ssllabs

→ cô lập các asset ở cấp độ mạng

→ luôn cập nhật OS & Docker image - watchtower , spacewalkproject

→ quét tự động bảo mật cho container image - quay, vulerability & image scanning

→ áp dụng TLS cho mọi website & API

→ tập trung hóa mọi log, lưu trữ archive và làm cho chúng có ý nghĩa - loggly, kibana

→ giám sát các dịch vụ bị lộ ra ngoài - checkup

→ bảo vệ trước tấn công DDOS - fastly, cloudflare, cloudfront

→ chặn truy cập vào dịch vụ nội bộ bằng IP

→ phát hiện mẫu bất thường trong metric - newrelec , sysdig

• Công ty

→ trung thực và minh bạch về mọi dữ liệu được thu thập

→ xây dựng văn hóa thân thiện với bảo mật - Security Culture Framework

→ không dùng chung mạng WiFi với khách ghé thăm

→ kiểm tra bảo mật cho tất cả các dịch vụ bên thứ ba quan trọng - Google Apps/Slack/WordPress, v.v.

→ xác nhận bảo vệ cho tên miền - tự động gia hạn và các tính năng khóa khác

→ xác nhận chính sách bảo mật công khai

→ sử dụng các công cụ để ưu tiên bảo mật

→ chuẩn bị cho việc scaling bảo mật

→ xây dựng chương trình Bug Bounty - hackerone, cobalt

→ lập inventory cho tài sản công ty

→ xây dựng chính sách bảo mật nội bộ

→ chuẩn bị đối phó phishing tên miền

• Người dùng sản phẩm

→ thực thi chính sách mật khẩu

→ tăng cường bảo vệ thông tin cá nhân người dùng: ngăn social engineering

→ khuyến nghị người dùng dùng 2FA. Quản lý tài khoản bằng SSO và role-based - auth0, okta, WebAuthn

→ phát hiện hành vi bất thường của người dùng - castle