Bảo Mật Cộng Đồng là gì?
Lợi ích của giải pháp Crowdsourced Security
Nội dung chính
- Giới thiệu
- 1. Sự hình thành
- 2. Crowdsourced Security là gì? Tại sao gọi là Bảo Mật Cộng Đồng
- 3. Ưu điểm của giải pháp Bảo Mật Cộng Đồng
- Ứng dụng trong thực tế
- Chính sách VDP
- Chương trình Bug Bounty
- Bắt đầu triển khai Bug Bounty
- Tạm kết
GIỚI THIỆU
1. Sự hình thành
1.1. Do thiếu hụt nhân lực có trình độ cao
Theo khảo sát của PwC và Cybersecurity Ventures thực hiện năm 2018, số lượng các vụ tấn công mạng sẽ tăng hơn 50% trong năm 2019, trong khi số lượng nhân sự bảo mật có trình độ cao chỉ tăng 6%. Với mức tăng trưởng này, số lao động chất lượng cao trong ngành bảo mật sẽ không đủ để đáp ứng nhu cầu về bảo mật của các doanh nghiệp hiện nay.
Trước tình hình đó, các doanh nghiệp đang phải đối diện bài toán khó khăn: làm thế nào để tiếp cận được với các chuyên gia bảo mật có năng lực nhằm tăng cường tính bảo mật cho hệ thống và sản phẩm của công ty. Để giải quyết vấn đề này, rất cần có một giải pháp thực sự hiệu quả với chi phí phù hợp để doanh nghiệp ở mọi giai đoạn phát triển đều có thể sử dụng.
1.2. Do động cơ hành động của tin tặc mạnh mẽ hơn
| TIN TẶC | NHÂN VIÊN BẢO MẬT | |
| Động cơ chính | Tại sao tin tặc tấn công? – Sở thích phá hoại – Thử thách/thể hiện bản thân – Thể hiện quan điểm cá nhân (tôn giáo, chính trị, v.v. – Tiền. | Tại sao nhân viên bảo mật bảo vệ hệ thống website? – Được trả lương |
| Cách thực hiện | Liên tục tìm kiếm những lỗ hổng bảo mật nguy hiểm | Chạy những phần mềm, ứng dụng được lập trình tự động |
| Mục tiêu cuối cùng | Phá hoại hoặc xâm nhập sâu vào hệ thống | Đảm bảo an toàn cho toàn bộ hệ thống |
| Thành quả | Hưởng lợi tùy theo kết quả của quá trình tấn công | Hưởng lương cố định theo thời gian làm việc |
Bảng so sánh trên cho thấy rõ ràng sự khác biệt trong động cơ hành động của tin tặc so với các lực lượng bảo mật. Nếu như tin tặc phải tấn công thành công vào hệ thống mới có cơ hội kiếm lời, thì hầu như mức lương thưởng dành cho nhân sự bảo mật đều được quyết định từ trước. Việc này không thể thúc đẩy các chuyên gia bảo mật đạt được hiệu suất cao nhất.
Không chỉ vậy, tin tặc chỉ cần phát hiện ra một lỗ hổng nguy hiểm đôi khi đã đủ để tấn công gây thiệt hại nghiêm tọng cho doanh nghiệp. Trong khi đó, công việc của đội ngũ bảo mật là tìm ra tất cả các lỗ hổng tồn tại để bảo vệ tổ chức an toàn.
Trong bối cảnh thiếu nguồn nhân lực có trình độ chuyên sâu và chênh lệch trong động cơ làm việc giữa đội ngũ bảo mật truyền thống và tin tặc, Crowdsourced Security ra đời nhằm giải quyết bài toán hóc búa về an toàn thông tin mà các doanh nghiệp hiện nay đang phải đối mặt.
2. Crowdsourced Security là gì? Tại sao gọi là Bảo Mật Cộng Đồng
Crowdsourced Security là phương pháp bảo mật tận dụng nguồn lực của cộng đồng các nhà nghiên cứu bảo mật độc lập và hacker mũ trắng để tăng cường bảo mật cho các sản phẩm của doanh nghiệp. Vì vậy, phương pháp này còn được gọi là “bảo mật cộng đồng”.
Không phải 1, 2 hay 3, mà là hàng trăm nhân lực có trình độ chuyên môn cao sẽ thực hiện kiểm thử xâm nhập (pentest)vào sản phẩm ứng dụng web hoặc mobile app của doanh nghiệp. Từ đó tìm ra những điểm yếu bảo mật của ứng dụng và thông báo lại để doanh nghiệp kịp thời khắc phục.
Một cách tự nhiên, Crowdsourced Security đã giải quyết được bài toán về động lực sáng tạo trong vấn đề bảo mật của doanh nghiệp. Bằng cách hợp tác với một nhóm hacker mũ trắng, doanh nghiệp có thể tận dụng nguồn lực dồi dào, phù hợp với từng tình hình cụ thể và giai đoạn phát triển riêng
3. Ưu điểm của giải pháp Bảo Mật Cộng Đồng
3.1. Sức mạnh đám đông
Sự độc đáo của phương pháp Crowdsourced Security nằm ở việc tận dụng sức mạnh số đông. Nếu sử dụng phương pháp bảo mật truyền thống, một doanh nghiệp sẽ có từ 2-4 nhân sự thực hiện các biện pháp bảo mật. Trong khi đó, số chuyên gia cùng dò tìm lỗ hổng có thể tăng lên tới hàng trăm người nếu doanh nghiệp chọn phương pháp Crowdsourced Security.
3.2. Hiệu quả bảo mật cao
Việc tìm kiếm lỗ hổng bảo mật cần sự đa dạng trong kinh nghiệm, kiến thức, tư duy. Do đó, 100 chuyên gia cùng tham gia bảo mật sẽ hiệu quả hơn 2-5 người.
3.3. Tiết kiệm thời gian và chi phí
Nhờ nguồn lực dồi dào, phương pháp Crowdsourced Security giúp doanh nghiệp tìm kiếm lỗ hổng nhanh hơn & tiết kiệm chi phí nhân sự.
3.4. Liên tục 24/7
Nếu như dịch vụ pentest kiểu truyền thống được thực hiện theo chu kỳ nhất định (hàng tuần đến hàng tháng), thì các giải pháp Crowdsourced Security có thể được thực hiện liên tục. Doanh nghiệp sẽ nhận báo cáo 24/7 từ các chuyên gia và khắc phục lỗ hổng ngay lập tức.
ỨNG DỤNG TRONG THỰC TẾ
Chính sách VDP
Chính sách Thông báo lỗ hổng (Vulnerability Disclosure Program/Policy VDP) là cần thiết đối với các doanh nghiệp cung cấp phần mềm, ứng dụng website, mobile hay các thiết bị IoT. Nó khuyến khích & ràng buộc bên thứ 3 (bao gồm những chuyên gia bảo mật độc lập và hacker) thông báo lỗ hổng cho doanh nghiệp dưới sự bảo hộ của luật pháp. Các điều lệ chi tiết sẽ tùy thuộc vào từng doanh nghiệp với các đặc trưng khác nhau, tuy nhiên đều phải có các thông tin cơ bản sau:
- Cam kết bảo mật
- Phạm vi thực hiện
- Cam kết với chuyên gia kiểm thử
- Phương thức báo cáo và Quy trình thực hiện
- Hướng dẫn về mức độ ưu tiên.
Một số các đơn vị đã tổ chức thành công VDP bao gồm: Google, Facebook, Apple, hay Dell inc. Thông thường, để tổ chức thành công VDP, doanh nghiệp cần có danh tiếng trên thế giới hoặc trong khu vực. Điều đó chính là chìa khóa để thu hút thêm nhiều nhà nghiên cứu độc lập, hacker mũ trắng tham gia chương trình. Ngược lại, nếu doanh nghiệp chưa xây dựng được hình ảnh thương hiệu rộng khắp, việc thực hiện chương trình Báo Cáo Lỗ Hổng dường như là vô ích do không thu hút được nhân tài tham gia. Khi đó, tổ chức Chương trình Bug Bounty sẽ là một lựa chọn phù hợp.
Chương trình Bug Bounty
Chương trình Trao Thưởng Tìm Lỗi (Bug Bounty) đang là hình thức Bảo Mật Cộng Đồng được các doanh nghiệp ưa chuộng nhất. Cơ bản, doanh nghiệp sẽ trao tiền thưởng (bounty) cho các nhà nghiên cứu độc lập dựa trên các lỗ hổng họ tìm thấy. Nhờ đó, Bug Bounty huy động được một cộng đồng rất lớn các hackers mũ trắng đến từ nhiều nơi để nhanh chóng phát hiện ra các lỗ hổng tồn tại trên nhiều bề mặt tấn công.
Đây là giải pháp vượt trội vì cả 2 bên cùng có lợi (win-win). Về phía doanh nghiệp, không cần có quá nhiều danh tiếng mà vẫn có thể thu hút được nhiều hacker mũ trắng tham gia tìm lỗi. Về phía các nhà nghiên cứu, họ có động lực ganh đua nhau để tìm ra các lỗ hổng nhanh nhất để nhận tiền thưởng.
BẮT ĐẦU TRIỂN KHAI BUG BOUNTY
Để tổ chức một chương trình Bug Bounty, doanh nghiệp cần một quy trình hoàn thiện bao gồm:
- Xác định nhu cầu: đối tượng nào cần kiểm tra bảo mật? (web app, mobile app, network, IoT, API, v.v…)
- Ngân sách trao thưởng;
- Chi phí thưởng cho từng lỗi;
- Các lỗi ưu tiên – quan trọng với tổ chức;
- Chính sách bảo mật của chương trình Bug Bounty;
- Nhân sự phụ trách quản lý Bug Bounty (triage lỗi, trao đổi khi cần thiết);
- Và cuối cùng là một nền tảng cho phép triển khai Bug Bounty.
WhiteHub là nền tảng công nghệ giúp triển khai Bug Bounty bài bản, chuyên nghiệp.
Với 7 năm kinh nghiệm trong ngành an ninh mạng, các chuyên gia tại WhiteHub hiểu các vấn đề mà doanh nghiệp phải đối mặt khi triển khai Bug Bounty. Đó là lý do các chương trình Bug Bounty trên WhiteHub có tính tùy biến cao, phù hợp với doanh nghiệp ở nhiều ngành nghề, lĩnh vực khác nhau.
Triển khai Bug Bounty trên WhiteHub, doanh nghiệp có thể:
- Tiếp cận với cộng đồng 600 chuyên gia bảo mật trên WhiteHub;
- Thu hút những chuyên gia Việt tài năng nhất tham gia tìm lỗ hổng cho sản phẩm công nghệ web, mobile app,…
- Chủ động trong việc phân bổ ngân sách bảo mật, tập trung vào những lỗ hổng thực sự nghiêm trọng và có ý nghĩa với hoạt động kinh doanh.
- Được các chuyên gia tư vấn về chính sách – chiến lược tổ chức Bug Bounty bài bản: tối ưu chi phí & thu được kết quả tốt nhất;
TẠM KẾT
Trong thời đại công nghệ, tội phạm mạng phát triển, yêu cầu những giải pháp bảo mật cũng phải tiến hóa theo. Và giải pháp bảo mật cộng đồng, cụ thể là Bug Bounty, ra đời như vậy. Cũng giống như sự hình thành của Grab, Airbnb, hay công nghệ blockchain, Crowdsourced Security tận dụng nguồn lực cộng đồng để giải quyết triệt để một vấn đề bảo mật cho các doanh nghiệp, đó là làm sao để tìm ra nhiều lỗ hổng nhất, một cách nhanh nhất, và tối ưu chi phí nhất. Ứng dụng giải pháp bảo mật cộng đồng, doanh nghiệp sẽ có đủ nguồn lực để đương đầu với thế giới tội phạm mạng đang ngày một phát triển không ngừng và các rủi ro tiềm ẩn trên môi trường internet.
Ra mắt nền tảng kết nối cộng đồng hacker mũ trắng, chuyên gia bảo mật Vietnam Bug Bounty
Nền tảng kết nối cộng đồng hacker mũ trắng lớn nhất Việt Nam – Vietnam Bug Bounty vừa chính thức ra mắt. Đây là sản phẩm do Trung tâm Giám sát an toàn không gian mạng quốc gia – Cục ATTT phối hợp cùng Công ty VSEC phát triển.
Sự ra đời của Vietnam Bug Bounty (bugbounty.vn) được đánh giá là một bước tiến lớn trong nỗ lực xây dựng cộng đồng bảo mật Việt Nam. Đây là một nền tảng kết nối giữa các chuyên gia, hacker mũ trắng trong lĩnh vực bảo mật an toàn thông tin với các doanh nghiệp, tổ chức có nhu cầu tìm kiếm lỗ hổng bảo mật tiềm tàng trong hệ thống vận hành của đơn vị.
Với mô hình hoạt động này, các hacker mũ trắng, chuyên gia bảo mật sẽ có sân chơi chuyên nghiệp, lành mạnh để liên tục thực hành, nâng cao trình độ cũng như có cơ hội tạo ra mức thu nhập ổn định. Còn đối với doanh nghiệp, họ cũng giảm được các chi phí dịch vụ, tối ưu phí vận hành và nhanh chóng nhận được thông báo để kịp thời đối phó, xử lý sự cố an toàn thông tin.
Đại diện Trung tâm Giám sát an toàn không gian mạng quốc gia cho biết, tại Việt Nam và trên toàn thế giới, các điểm yếu bảo mật trên các hệ thống luôn hiện hữu và ngày càng xuất hiện nhiều lỗ hổng nguy hiểm gây hậu quả nghiêm trọng. Chỉ dựa vào số lượng chuyên gia đến từ các đơn vị bảo mật khó có thể nắm bắt tình hình toàn diện.
Từ thực tế đó, Trung tâm Giám sát an toàn không gian mạng quốc gia và VSEC muốn xây dựng một cộng đồng các chuyên gia bảo mật để phát huy động sức mạnh chung. Cộng đồng này bao gồm các hacker mũ trắng, các chuyên gia bảo mật giàu kinh nghiệm của Việt Nam từ khắp nơi trên thế giới có thể cùng góp sức và tham gia tạo một môi trường an toàn, an ninh mạng cho Việt Nam.
“Với vai trò là đơn vị làm chủ công nghệ, VSEC không chỉ đảm bảo hệ thống của Vietnam Bug Bounty hoạt động ổn định, minh bạch mà các chuyên gia của chúng tôi đều có ý thức tham gia vào cộng động này để hướng dẫn, đào tạo và hỗ trợ các hacker mũ trắng nhanh chóng thích nghi và phát huy hết khả năng của họ ở góc độ phát hiện lỗ hổng nhằm khắc phục sớm. Bên cạnh đó, VSEC sẽ giúp các hacker mũ trắng của Việt Nam kết nối với các cộng đồng lớn mạnh khác trên thế giới”, đại diện VSEC, ông Phạm Gia Bảo, Trưởng nhóm phát triển Vietnam Bug Bounty cho hay.
