TrustCloud: Tự động hóa đánh giá rủi ro ứng dụng, chấm dứt kỷ nguyên bảng câu hỏi thủ công

Trong bối cảnh việc đánh giá độ tin cậy của các ứng dụng đang chạy (production applications) vẫn dựa nhiều vào các bảng câu hỏi thủ công, đã đến lúc cần một giải pháp tự động hóa.

Đối với nhiều Giám đốc An toàn Thông tin (CISO), việc phân tích mức độ tin cậy đối với các ứng dụng doanh nghiệp vẫn là một quy trình thủ công tốn kém: gửi bảng khảo sát cho các đội vận hành ứng dụng, liên tục nhắc nhở để thu hồi, tổng hợp và sau đó phân tích nội dung. Mục đích không phải là đếm số lượng lỗ hổng và mối đe dọa, mà là đánh giá xem liệu công ty có thể tin tưởng vào các ứng dụng mà họ đang vận hành hay không. Đây là yêu cầu quan trọng đối với CISO và là điều mà hội đồng quản trị yêu cầu.

Quy trình này tẻ nhạt và tiêu tốn nhiều thời gian. Tốt nhất, nó có thể được thực hiện hàng quý, nhưng thường xuyên nó chỉ là một nhiệm vụ hàng năm. Kết quả là một phán đoán chủ quan tại một thời điểm cụ thể, không phản ánh cách thức doanh nghiệp hiện đại thay đổi từng ngày. Trong khi một thập kỷ trước, một doanh nghiệp có thể chỉ vận hành vài trăm ứng dụng, thì nay họ có hàng nghìn ứng dụng đang chạy và con số này sẽ còn tăng vào ngày mai. Việc thu thập dữ liệu thông qua bảng câu hỏi thủ công đơn giản là không thể mở rộng quy mô.

TrustCloud Application Assurance

"Trong nhiều năm, các CISO đã buộc phải đưa cho ban lãnh đạo những bức ảnh chụp nhanh tại một thời điểm và gọi đó là bức tranh rủi ro," Tejas Ranade, đồng sáng lập và CPO tại TrustCloud, nhận định. "Họ biết nó chưa hoàn thiện. Hội đồng quản trị của họ cũng biết điều đó, nhưng ngành công nghiệp chưa có giải pháp nào tốt hơn."

TrustCloud đã phát triển một sản phẩm được thiết kế để thay đổi điều này và đưa một thực hành lỗi thời vào kỷ nguyên của tự động hóa được điều khiển và quản lý bởi AI: Application Assurance (Đảm bảo Ứng dụng).

"Chúng tôi kết nối vào toàn bộ hệ sinh thái vận hành một ứng dụng," Ranade giải thích. "Điều này bao gồm các công cụ bảo mật giám sát ứng dụng, các công cụ hạ tầng cấu thành môi trường chạy, các kho lưu trữ tài liệu chứa chính sách và quy trình, hệ thống vé, v.v. Chúng tôi giám sát tất cả những điều này liên tục cho CISO. Chúng tôi không nhìn vào bên trong ứng dụng; chúng tôi giám sát tất cả dữ liệu về ứng dụng. Điều này cho CISO biết liệu ứng dụng này có được bảo mật đầy đủ chưa và rủi ro là gì."

Dữ liệu được thu thập bởi hàng trăm kết nối (connectors) của TrustCloud trên toàn doanh nghiệp, cắm vào các nguồn dữ liệu doanh nghiệp, tổng hợp, chuẩn hóa và tự động phân tích dữ liệu đó. Quy trình phục vụ hai mục đích: nó hoàn toàn thay thế việc thu thập dữ liệu thủ công tại một thời điểm bằng giám sát tự động liên tục, và thay thế việc diễn giải chủ quan bằng sự diễn giải khách quan do AI điều khiển.

Tuy nhiên, việc thu thập, tập trung hóa và phân tích dữ liệu tự động lại tạo ra hai vấn đề mới: nơi lưu trữ dữ liệu (data residency) và sự tin tưởng vào chính TrustCloud.

Về vấn đề nơi lưu trữ dữ liệu, "Chúng tôi làm việc với các doanh nghiệp chịu sự kiểm soát chặt chẽ ở nhiều ngành: sản xuất, dược phẩm, chính phủ, v.v.," Ranade nói. "Một số có nhu cầu rất cụ thể về nơi lưu trữ dữ liệu; vì vậy, chúng tôi kiến trúc hệ thống cho nhiều mô hình lưu trữ khác nhau. Dữ liệu có thể nằm trong đám mây được quản lý của TrustCloud như một dịch vụ được quản lý an toàn, nhưng cũng có thể nằm trong môi trường của khách hàng với các dữ liệu được chọn được đẩy sang TrustCloud để phân tích. Chúng tôi hỗ trợ nhiều tùy chọn lưu trữ dữ liệu để đáp ứng các yêu cầu khác nhau của khách hàng."

Sự tin tưởng vào chính TrustCloud là vấn đề thứ hai. TrustCloud thu thập và tập trung thông tin về các ứng dụng đang chạy. Những thông tin này sẽ có giá trị đối với những kẻ xấu, do đó bảo mật của chính TrustCloud là một mối lo ngại tiềm ẩn.

Công ty hiểu rõ điều này và cố gắng minh bạch nhất có thể. Bảo mật của chính họ thường xuyên được kiểm toán bởi các khách hàng tiềm năng; mọi thứ đều hoạt động theo nguyên tắc đặc quyền tối thiểu (least privilege), nơi họ chỉ sử dụng và giữ dữ liệu họ cần; họ cho phép khách hàng chỉ định dữ liệu nào họ có thể giữ; và chương trình bảo mật của họ tuân thủ tất cả các hướng dẫn quy định. "Cuối cùng," Ranade nói, "chúng tôi không khác gì khách hàng của mình. Họ ở trong các ngành nhạy cảm, chịu sự kiểm soát cao, và những gì họ làm cho chính mình, chúng tôi cũng làm cho TrustCloud, giữ cho mình ở mức tiêu chuẩn tương đương hoặc cao hơn."

Việc sử dụng bên thứ ba để chứng minh sự tin tưởng vào ứng dụng còn có một lợi ích khác. Các ứng dụng không chỉ tăng về số lượng và độ phức tạp, mà chúng còn thay đổi về loại hình. Những gì đã quá phức tạp để xử lý bằng quy trình thủ công sẽ trở nên tồi tệ hơn trong tương lai với việc sử dụng ngày càng nhiều các ứng dụng sản xuất nội bộ và bên thứ ba được tạo ra dễ dàng bởi AI (vibe-coded). Các hệ thống tác nhân (agentic systems) mang lại những vấn đề mới.

"Một mối quan tâm hàng đầu của các CISO hiện nay," Ranade giải thích, "là hiểu rõ các ứng dụng tác nhân đang được xây dựng trong doanh nghiệp của họ — hiểu rõ các rào chắn bảo mật nào nên được đặt ra cho những ứng dụng tác nhân đó; hiểu rõ các nhà cung cấp nào họ đang đưa vào với khả năng tác nhân và cách đánh giá các nhà cung cấp này. Chúng tôi đã làm việc với khách hàng để thực hiện các đánh giá ứng dụng tác nhân để đảm bảo CISO biết những tác nhân nào đang trong môi trường, các rào chắn bảo mật nào cần được đặt ra, và các điểm dữ liệu nào có thể được giám sát để cho thấy cách mỗi tác nhân được bảo mật và quản lý bởi chính sách công ty. Đây không chỉ là điều chúng tôi có thể làm, mà là điều chúng tôi đang thực hiện."

Do đó, khi các loại ứng dụng mới phát triển, một màn hình giám sát đảm bảo của bên thứ ba có thể giúp các CISO nhanh chóng hiểu mức độ tin cậy có thể được duy trì. Nó không bảo mật chính các ứng dụng đó nhưng giúp CISO đảm bảo mức độ bảo vệ phù hợp xung quanh chúng.

Bằng cách tự động hóa việc thu thập và phân tích dữ liệu được sử dụng cho các đánh giá tin cậy, TrustCloud tìm cách cách mạng hóa quy trình cho các CISO: ít nỗ lực tốn thời gian hơn, và các đánh giá khách quan chính xác hơn có thể được sử dụng để cả cải thiện bảo mật xung quanh các ứng dụng đang chạy và chứng minh sự tin tưởng vào các ứng dụng này cho hội đồng quản trị bất cứ khi nào được yêu cầu.