Sau gần một năm thử nghiệm, tới nay, nền tảng tìm kiếm lỗ hổng bảo mật của Viettel Cyber Security đã triển khai được 20 chương trình, thu hút hơn 200 chuyên gia nghiên cứu hàng đầu tại Việt Nam. Mặc dù, đây không phải là chương trình đầu tiên xuất hiện tại Việt Nam, nhưng đến thời điểm hiện tại, có thể đánh giá đây là một trong những chương trình tìm kiếm lỗ hổng phổ biến và thu hút nhiều “hacker mũ trắng” nhất Việt Nam.
PV: Nền tảng tìm kiếm lỗ hổng bảo mật không còn mô hình mới trên thế giới. Tuy nhiên, mô hình này lại có sự phát triển kém lạc quan tại Việt Nam, ông lý giải điều này như thế nào?
Ông Dương Văn Khôi: Đầu tiên, tôi có thể khẳng định, Việt Nam sở hữu rất nhiều các chuyên gia có trình độ cao, uy tín trong lĩnh vực bảo mật và an toàn thông tin (ATTT) trong nước và trên thế giới. Thực tế đã chứng minh điều này khi có rất nhiều chuyên gia Việt được vinh danh trên các bảng xếp hạng tìm kiếm lỗ hổng của các tổ chức lớn trên toàn cầu. Tại VCS, chúng tôi có những chuyên gia được vinh danh Top 100 cao thủ bảo mật thế giới năm 2018 hay xếp thứ hạng cao trong bảng vinh danh của các hãng bảo mật lớn như Facebook, Microsoft, HackerOne…
Tuy nhiên, mô hình tìm kiếm lỗ hổng ở nước ta còn rất mới mẻ với các tổ chức/doanh nghiệp (TC/DN) trong nước. Điều này là nguyên nhân dẫn đến mô hình này chưa phát triển mạnh mẽ. Bởi các TC/DN còn vẫn còn giữ những quan niệm cũ về giữ uy tín, lộ lọt thông tin… Bên cạnh đó, nhiều nền tảng tìm kiếm lỗ hổng sau một thời gian triển khai chưa bám sát với thực tế, số lượng chương trình hạn chế, chính sách trả thưởng chưa hấp dẫn. Khi sân chơi chưa đủ lớn thì việc các chuyên gia Việt đi tìm kiếm các lỗ hổng trên thế giới là điều khó tránh khỏi.
PV: Chúng ta đang nói nhiều về chuyển đổi số, Cách mạng công nghiệp lần thứ tư, Chính phủ điện tử… thì mối quan tâm về bảo mật và an toàn thông tin cũng gia tăng. Theo ông, SafeVuln đứng ở vị trí nào trong bức tranh này?
Ông Dương Văn Khôi: Trước các mối đe dọa về an ninh thông tin ngày càng gia tăng, thì vấn đề đảm bảo ATTT cho các TC/DN ngày càng trở nên cấp thiết. Trong đó, công nghệ không phải là biện pháp đảm bảo an toàn tuyệt đối cho TC/DN, mà cần có cách tiếp cận đồng bộ các yếu tố: quy trình, công nghệ và con người.
Trong bức tranh này, SafeVuln là giải pháp tác động cả 3 yếu tố cốt lõi. Về mặt quy trình, các TC/DN có thể cung cấp các sản phẩm, dịch vụ trong và sau quá trình cung ứng. Thông tin lỗ hổng được phát hiện sẽ giúp TC/DN hoàn thiện các sản phẩm, dịch vụ. Từ đó tác động đến yếu tố công nghệ trong chính sản phẩm đó. Bên cạnh đó, SafeVuln tạo ra sân chơi cho cộng đồng, giúp nâng cao trình độ chuyên môn của các chuyên gia ATTT. Điều này đóng góp vào việc kiến tạo một xã hội số an toàn. Hiện nay, Viettel là 1 trong những đơn vị tiên phong trong việc trả thưởng cho chuyên gia tìm ra lỗ hổng cho các sản phẩm của mình.
Giao diện nền tảng tìm kiếm lỗ hổng SafeVuln
PV: Như vậy, SafeVuln sẽ phù hợp với các TC/DN nào? Các chương trình của SafeVuln có giới hạn với các sản phẩm, dịch vụ nào không?
Ông Dương Văn Khôi: SafeVuln là nền tảng linh hoạt phù hợp với mọi ứng dụng công nghệ thông tin, đặc biệt là các sản phẩm, dịch vụ được công khai trên Internet của các TC/DN. Mô hình này được tùy biến để phù hợp với hành lang pháp lý, quy mô của các TC/DN, chuyên gia tại Việt Nam.
Đặc biệt, SafeVuln góp phần thúc đẩy làn sóng “Make in Vietnam”. Bởi chúng tôi tâm niệm: Xây dựng nền móng an ninh mạng Việt Nam từ chính người Việt.
PV: SafeVuln cam kết sẽ là nền tảng tìm kiếm lỗ hổng bảo mật công khai – minh bạch – trách nhiệm. Ông có thể cho biết điều đặc biệt nào làm nên cam kết này?
Ông Dương Văn Khôi: SafeVuln minh bạch trong mô hình triển khai, với 2 loại chương trình trao thưởng công khai và bí mật. Ngoài quy định chung của Safevuln, mỗi chương trình sẽ có chính sách riêng do TC/DN quy định bao gồm: các quy định về tiền thưởng, phạm vi tìm lỗ hổng… Tất các các nhà nghiên cứu khi tham gia phải tuân thủ quy định này. Quyết định trao thưởng cho lỗ hổng thuộc về TC/DN vì chỉ có họ mới hiểu được lỗ hổng đó có tác động như thế nào tới hệ thống, tổ chức của mình.
Khi xảy ra tranh chấp, VCS sẽ dựa vào chính sách của chương trình được quy định từ trước để giải quyết. SafeVuln không thiết kế các chức năng xóa, những thay đổi trong dữ liệu đều được lưu lại, để đảm bảo cho việc truy vết. Điều này sẽ đảm bảo công bằng cho chuyên gia và TC/DN.
Nếu các TC/DN không thừa nhận hay âm thầm vá lỗ hổng, thì VCS sẽ dựa trên những bằng chứng trong báo cáo lỗ hổng để buộc TC/DN trả thưởng theo đúng quy định. Vì thế ở phía các chuyên gia, chúng tôi khuyến khích các nhà nghiên cứu đưa ra các bằng chứng cụ thể, chi tiết chứng minh về lỗ hổng.
Bên cạnh đó, để tránh trùng lặp lỗ hổng, SafeVuln hỗ trợ chuyên gia có thể thấy được tiêu đề, loại lỗi, thời gian gửi của báo cáo bị trùng lặp. Trong thời gian tới, chúng tôi sẽ phát triển thêm tính năng cho phép chuyên gia xem được nhiều nội dung hơn của báo cáo trùng lặp nhằm tăng tính minh bạch.
PV: Bên cạnh chế độ tiền thưởng, các chuyên gia sẽ có những quyền lợi gì khi tham gia SafeVuln?
Ông Dương Văn Khôi: Hiện tại, SafeVuln tính điểm cho mỗi chuyên gia dựa trên các báo cáo hợp lệ theo mức độ nghiêm trọng của lỗ hổng và vinh danh trên bảng xếp hạng. Bên cạnh đó, dựa trên một số tiêu chí, chúng tôi sẽ đề xuất một số lượng hạn chế các chuyên gia đủ tiêu chuẩn để mời vào các chương trình tìm kiếm lỗ hổng riêng tư.
PV: Cảm ơn chia sẻ của ông!
Đ.T
17:00 | 30/09/2020
14:00 | 29/10/2020
10:00 | 04/10/2020
10:00 | 22/03/2024
Không lâu sau sự cố sập toàn cầu, tối 20/3, nhiều người dùng Facebook báo cáo rằng họ đã gặp sự cố khi sử dụng nền tảng mạng xã hội này. Cụ thể, mục Story hoàn toàn bị lỗi và chỉ hiển thị khung màu xám và không hiện bất cứ hình ảnh hay video nào.
10:00 | 06/12/2023
Mặc dù Android là hệ điều hành phổ biến hiện nay, thế nhưng vẫn có một số tính năng có thể khiến điện thoại thông minh hoặc máy tính bảng của người dùng Android có nguy cơ bị lây nhiễm nghiêm trọng. Bài viết này đề cập đến ba tính năng trên Android có thể bị tin tặc khai thác khiến thiết bị dễ bị phần mềm độc hại tấn công, đồng thời đưa ra biện pháp giảm thiểu khi sử dụng chúng.
13:00 | 20/11/2023
Cradlepoint, công ty hàng đầu thế giới về các giải pháp kết nối biên không dây 5G và LTE được quản lý trên đám mây đã công bố giải pháp Biên dịch vụ truy cập an toàn (Secure Access Service Edge - SASE) được tối ưu hóa cho 5G vào cuối tháng 7/2023. 5G SASE của Cradlepoint được thiết kế cho các loại hình doanh nghiệp và được xây dựng có mục đích triển khai mạng diện rộng (WAN) không dây. Việc triển khai theo từng giai đoạn giải pháp 5G SASE sẽ cho phép các doanh nghiệp tạo môi trường SD-WAN và không dây kết hợp nhằm tối ưu hóa tính khả dụng, chất lượng dịch vụ và bảo mật cho các vị trí biên, phân tán và di động.
13:00 | 08/11/2023
Vừa qua, các chuyên gia phân tích nguy cơ của VMware đã công bố 34 trình điều khiển kernel (Kernel Driver) dễ bị tin tặc khai thác để sửa đổi firmware và leo thang đặc quyền.
Ngày 16/4, nhiều người dùng Facebook tại Việt Nam phản ánh về tình trạng không hiện thị các bài đăng trên trang cá nhân. Trong khi đó, nội dung vẫn được phân phối trên bảng tin bình thường.
10:00 | 22/04/2024