Bảo mật cộng đồng” (tiếng Anh: Crowdsourced Security) là giải pháp bảo mật tận dụng nguồn lực đám đông để cùng bảo mật cho một sản phẩm công nghệ của tổ chức, doanh nghiệp. Vậy, thực chất bảo mật cộng đồng là gì, ứng dụng ra sao, đâu là những lợi ích cũng như khó khăn khi triển khai giải pháp này?

GIỚI THIỆU

1. Sự hình thành

1.1. Do thiếu hụt nhân lực có trình độ cao

Theo khảo sát của PwC và Cybersecurity Ventures thực hiện, số lượng các vụ tấn công mạng sẽ tăng hơn 50% trong năm 2019, trong khi số lượng nhân sự bảo mật có trình độ cao chỉ tăng 6%. Với mức tăng trưởng này, số lao động chất lượng cao trong ngành bảo mật sẽ không đủ để đáp ứng nhu cầu về bảo mật của các doanh nghiệp hiện nay.

Trước tình hình đó, các doanh nghiệp đang phải đối diện bài toán khó khăn: làm thế nào để tiếp cận được với các chuyên gia bảo mật có năng lực nhằm tăng cường tính bảo mật cho hệ thống và sản phẩm của công ty. Để giải quyết vấn đề này, rất cần có một giải pháp thực sự hiệu quả với chi phí phù hợp để doanh nghiệp ở mọi giai đoạn phát triển đều có thể sử dụng.

1.2. Do động cơ hành động của tin tặc mạnh mẽ hơn

TIN TẶCNHÂN VIÊN BẢO MẬT
Động cơ chínhTại sao tin tặc tấn công?
– Sở thích phá hoại
– Thử thách/thể hiện bản thân
– Thể hiện quan điểm cá nhân (tôn giáo, chính trị, v.v.
– Tiền.
Tại sao nhân viên bảo mật bảo vệ hệ thống website?
– Được trả lương
Cách thực hiệnLiên tục tìm kiếm những lỗ hổng bảo mật nguy hiểmChạy những phần mềm, ứng dụng được lập trình tự động
Mục tiêu cuối cùngPhá hoại hoặc xâm nhập sâu vào hệ thốngĐảm bảo an toàn cho toàn bộ hệ thống
Thành quảHưởng lợi tùy theo kết quả của quá trình tấn côngHưởng lương cố định theo thời gian làm việc

Bảng so sánh trên cho thấy rõ ràng sự khác biệt trong động cơ hành động của tin tặc so với các lực lượng bảo mật. Nếu như tin tặc phải tấn công thành công vào hệ thống mới có cơ hội kiếm lời, thì hầu như mức lương thưởng dành cho nhân sự bảo mật đều được quyết định từ trước. Việc này không thể thúc đẩy các chuyên gia bảo mật đạt được hiệu suất cao nhất.

Không chỉ vậy, tin tặc chỉ cần phát hiện ra một lỗ hổng nguy hiểm đôi khi đã đủ để tấn công gây thiệt hại nghiêm tọng cho doanh nghiệp. Trong khi đó, công việc của đội ngũ bảo mật là tìm ra tất cả các lỗ hổng tồn tại để bảo vệ tổ chức an toàn.

Trong bối cảnh thiếu nguồn nhân lực có trình độ chuyên sâu và chênh lệch trong động cơ làm việc giữa đội ngũ bảo mật truyền thống và tin tặc, Crowdsourced Security ra đời nhằm giải quyết bài toán hóc búa về an toàn thông tin mà các doanh nghiệp hiện nay đang phải đối mặt.

2. Crowdsourced Security là gì? Tại sao gọi là Bảo Mật Cộng Đồng

Crowdsourced Security là phương pháp bảo mật tận dụng nguồn lực của cộng đồng các nhà nghiên cứu bảo mật độc lập và hacker mũ trắng để tăng cường bảo mật cho các sản phẩm của doanh nghiệp. Vì vậy, phương pháp này còn được gọi là “bảo mật cộng đồng”.

Không phải 1, 2 hay 3, mà là hàng trăm nhân lực có trình độ chuyên môn cao sẽ thực hiện kiểm thử xâm nhập (pentest) vào sản phẩm ứng dụng web hoặc mobile app của doanh nghiệp. Từ đó tìm ra những điểm yếu bảo mật của ứng dụng và thông báo lại để doanh nghiệp kịp thời khắc phục.

Một cách tự nhiên, Crowdsourced Security đã giải quyết được bài toán về động lực sáng tạo trong vấn đề bảo mật của doanh nghiệp. Bằng cách hợp tác với một nhóm hacker mũ trắng, doanh nghiệp có thể tận dụng nguồn lực dồi dào, phù hợp với từng tình hình cụ thể và giai đoạn phát triển riêng

3. Ưu điểm của giải pháp Bảo Mật Cộng Đồng

3.1. Sức mạnh đám đông

Sự độc đáo của phương pháp Crowdsourced Security nằm ở việc tận dụng sức mạnh số đông. Nếu sử dụng phương pháp bảo mật truyền thống, một doanh nghiệp sẽ có từ 2-4 nhân sự thực hiện các biện pháp bảo mật. Trong khi đó, số chuyên gia cùng dò tìm lỗ hổng có thể tăng lên tới hàng trăm người nếu doanh nghiệp chọn phương pháp Crowdsourced Security.

3.2. Hiệu quả bảo mật cao

Việc tìm kiếm lỗ hổng bảo mật cần sự đa dạng trong kinh nghiệm, kiến thức, tư duy. Do đó, 100 chuyên gia cùng tham gia bảo mật sẽ hiệu quả hơn 2-5 người.

>> Tại sao các doanh nghiệp hàng đầu chọn Crowdsourced Security để bảo mật web app?

3.3. Tiết kiệm thời gian và chi phí

Nhờ nguồn lực dồi dào, phương pháp Crowdsourced Security giúp doanh nghiệp tìm kiếm lỗ hổng nhanh hơn & tiết kiệm chi phí nhân sự.

3.4. Liên tục 24/7

Nếu như dịch vụ pentest kiểu truyền thống được thực hiện theo chu kỳ nhất định (hàng tuần đến hàng tháng), thì các giải pháp Crowdsourced Security có thể được thực hiện liên tục. Doanh nghiệp sẽ nhận báo cáo 24/7 từ các chuyên gia và khắc phục lỗ hổng ngay lập tức.

ỨNG DỤNG CỦA BẢO MẬT CỘNG ĐỒNG

Chính sách VDP

Chính sách (hoặc chương trình) “Tiếp nhận thông báo lỗ hổng” (Vulnerability Disclosure Program/Policy – VDP) là cần thiết đối với các doanh nghiệp cung cấp phần mềm, ứng dụng website, mobile hay các thiết bị IoT. Nó khuyến khích bên thứ 3 (bao gồm những chuyên gia bảo mật độc lập và hacker) thông báo lỗ hổng cho doanh nghiệp một cách có trách nhiệm. Các điều lệ chi tiết sẽ tùy thuộc vào từng doanh nghiệp với các đặc trưng khác nhau, tuy nhiên đều phải có các thông tin cơ bản sau:

  • Cam kết bảo mật
  • Phạm vi thực hiện
  • Cam kết với chuyên gia kiểm thử
  • Phương thức báo cáo và Quy trình thực hiện
  • Hướng dẫn về mức độ ưu tiên.

Một số các đơn vị đã tổ chức thành công VDP bao gồm: Google, Facebook, Apple, hay Dell inc. Thông thường, để tổ chức thành công VDP, doanh nghiệp cần có danh tiếng trên thế giới hoặc trong khu vực. Điều đó chính là chìa khóa để thu hút thêm nhiều nhà nghiên cứu độc lập, hacker mũ trắng tham gia chương trình. Ngược lại, nếu doanh nghiệp chưa xây dựng được hình ảnh thương hiệu rộng khắp, việc thực hiện chương trình Báo Cáo Lỗ Hổng dường như là vô ích do không thu hút được nhân tài tham gia. Khi đó, tổ chức Chương trình Bug Bounty sẽ là một lựa chọn phù hợp.

>> Mẫu VDP bằng tiếng Anh: https://github.com/bugcrowd/disclosure-policy/

Chương trình Bug Bounty

Chương trình Trao Thưởng Tìm Lỗi (Bug Bounty) đang là hình thức Bảo Mật Cộng Đồng được các doanh nghiệp ưa chuộng nhất. Cơ bản, doanh nghiệp sẽ trao tiền thưởng (bounty) cho các nhà nghiên cứu độc lập dựa trên các lỗ hổng họ tìm thấy. Nhờ đó, Bug Bounty huy động được một cộng đồng rất lớn các hackers mũ trắng đến từ nhiều nơi để nhanh chóng phát hiện ra các lỗ hổng tồn tại trên nhiều bề mặt tấn công.

>> Bug Bounty là gì? Tổng quan về chương trình Bug Bounty

Đây là giải pháp vượt trội vì cả 2 bên cùng có lợi (win-win). Về phía doanh nghiệp, không cần có quá nhiều danh tiếng mà vẫn có thể thu hút được nhiều hacker mũ trắng tham gia tìm lỗi. Về phía các nhà nghiên cứu, họ có động lực ganh đua nhau để tìm ra các lỗ hổng nhanh nhất để nhận tiền thưởng.

BẮT ĐẦU TRIỂN KHAI BUG BOUNTY

Để tổ chức một chương trình Bug Bounty, doanh nghiệp cần một quy trình hoàn thiện bao gồm:

  • xác định nhu cầu: đối tượng nào cần kiểm tra bảo mật? (web app, mobile app, network, IoT, API, v.v…)
  • ngân sách trao thưởng;
  • chi phí thưởng cho từng lỗi;
  • các lỗi ưu tiên – quan trọng với tổ chức;
  • chính sách bảo mật của chương trình Bug Bounty;
  • nhân sự phụ trách quản lý Bug Bounty (triage lỗi, trao đổi khi cần thiết);
  • và cuối cùng là một nền tảng cho phép triển khai Bug Bounty.

WhiteHub là nền tảng công nghệ giúp triển khai Bug Bounty bài bản, chuyên nghiệp.

>> Tham khảo Các chương trình Bug Bounty trên WhiteHub

Với 7 năm kinh nghiệm trong ngành an ninh mạng, các chuyên gia tại WhiteHub hiểu các vấn đề mà doanh nghiệp phải đối mặt khi triển khai Bug Bounty. Đó là lý do các chương trình Bug Bounty trên WhiteHub có tính tùy biến cao, phù hợp với doanh nghiệp ở nhiều ngành nghề, lĩnh vực khác nhau.

Triển khai Bug Bounty trên WhiteHub, doanh nghiệp có thể:

  • tiếp cận với cộng đồng 600 chuyên gia bảo mật trên WhiteHub;
  • thu hút những chuyên gia Việt tài năng nhất tham gia tìm lỗ hổng cho sản phẩm công nghệ web, mobile app,…
  • chủ động trong việc phân bổ ngân sách bảo mật, tập trung vào những lỗ hổng thực sự nghiêm trọng và có ý nghĩa với hoạt động kinh doanh.
  • được các chuyên gia tư vấn về chính sách – chiến lược tổ chức Bug Bounty bài bản: tối ưu chi phí & thu được kết quả tốt nhất;

Nhiều doanh nghiệp tại Việt Nam và trên thế giới đang triển khai Bug Bounty trên WhiteHub và thu được kết quả khả thi, nổi bật có Vntrip, Luxstay, Sendo, Getfly, Finhay, Giaohangtietkiem, Fiin CreditVNDC.

TẠM KẾT

Trong thời đại công nghệ, tội phạm mạng phát triển, yêu cầu những giải pháp bảo mật cũng phải tiến hóa theo. Và giải pháp bảo mật cộng đồng, cụ thể là Bug Bounty, ra đời như vậy. Cũng giống như sự hình thành của Grab, Airbnb, hay công nghệ blockchain, Crowdsourced Security tận dụng nguồn lực cộng đồng để giải quyết triệt để một vấn đề bảo mật cho các doanh nghiệp, đó là làm sao để tìm ra nhiều lỗ hổng nhất, một cách nhanh nhất, và tối ưu chi phí nhất. Ứng dụng giải pháp bảo mật cộng đồng, doanh nghiệp sẽ có đủ nguồn lực để đương đầu với thế giới tội phạm mạng đang ngày một phát triển không ngừng và các rủi ro tiềm ẩn trên môi trường internet.

Chia sẻ bài viết này