Ông Ben Sadeghipour, Trưởng bộ phận Giáo dục Hacker tại công ty HackerOne (trụ sở tại San Francisco, Mỹ) đã giúp xác định và khai thác hơn 600 lỗ hổng bảo mật trên hàng trăm ứng dụng web và di động. Ông cũng giúp ích cho cộng đồng bảo mật với việc sản xuất nội dung video giáo dục, phát trực tiếp và tạo ra cộng đồng gồm hàng trăm hacker hoạt động tích cực.
“Bảo mật do hacker hỗ trợ cho phép các TC/DN tận dụng toàn bộ nguồn lực cộng đồng toàn cầu để tìm kiếm các lỗ hổng”
Bảo mật được cải thiện, khách hàng hài lòng hơn và danh tiếng thương hiệu được nâng cao chỉ là một số lợi ích của hành động hack có đạo đức (ethical hacking - hành động tấn công giúp tìm ra được lỗ hỏng bảo mật với mục đích vá lỗ hổng đó) đối với TC/DN. Các lỗ hổng được tìm thấy hàng ngày bởi các nhà nghiên cứu bảo mật, hacker, khách hàng, học giả, nhà báo, những người yêu thích công nghệ và tội phạm. Trên thực tế, nghiên cứu gần đây của HackerOne đã xác nhận rằng, cứ 2,5 phút lại có hacker phát hiện ra một lỗ hổng phần mềm. Nếu không có cộng đồng hacker đứng về phía TC/DN, những lỗ hổng này có thể dẫn đến các cuộc tấn công mạng.
Làm việc với cộng đồng hacker là phương thức đã được công nhận để tìm và sửa các lỗ hổng nghiêm trọng chưa được xác định. Ở cấp độ cơ bản nhất, hack có đạo đức giúp các TC/DN cải thiện tình trạng bảo mật của họ. Cách tiếp cận phổ biến nhất để làm việc với hacker là thông qua các chương trình Bug Bounty, trong đó tin tặc được trả tiền thưởng để đổi lấy việc báo cáo các lỗ hổng bảo mật trước khi chúng có thể bị khai thác.
Hiện nay đã bắt đầu có nhiều TC/DN chấp nhận hack có đạo đức, từ quân đội đến chính phủ, các tổ chức tư nhân cũng như tổ chức công cộng. Thái độ đối với hacker cũng trở nên tích cực hơn. Trước đây hacker chỉ được coi là những kẻ phản diện, ngày nay họ được xem như một lực lượng toàn cầu vì mục đích tốt, hợp tác với nhau để giúp giải quyết nhu cầu bảo mật ngày càng lớn của xã hội. Cộng đồng hoan nghênh tất cả những ai đam mê thử thách trí tuệ để vượt qua những giới hạn một cách sáng tạo. Lý do hack có thể khác nhau, nhưng cuối cùng thì các TC/ DN ngày cào nâng cao và vẫn luôn đón nhận bảo mật nguồn lực cộng đồng. Điều này mang lại mức độ an toàn bảo mật lớn hơn rất nhiều so với trước đây.
Đối với nhiều TC/DN, làm việc với hacker tạo ra những cơ hội mới, vì họ có thể tiếp cận với rất nhiều kỹ năng để tìm kiếm và vá các lỗ hổng tiềm tàng trước khi bị kẻ xấu lợi dụng. Hacker thường là các chuyên gia trong lĩnh vực của họ, không ngừng nỗ lực trong công việc của mình và có góc nhìn khác với các chuyên gia bảo mật CNTT truyền thống. Họ có thể được xem như những thám tử Internet, và khả năng suy nghĩ như những kẻ tấn công khiến họ trở thành lớp phòng thủ mạnh mẽ nhất.
Các TC/DN khai thác hacker có đạo đức, đồng thời dựa vào các chuyên gia của họ sẽ có vị thế tình trạng bảo mật tốt hơn. Không giống như các nền tảng bảo mật truyền thống, bảo mật do hacker hỗ trợ nghĩa là các TC/DN sẽ luôn có một nhóm giám sát liên tục và bảo vệ hệ thống cũng như ứng dụng của họ. Mặc dù một số TC/DN có thể đã có đội ngũ CNTT để thực hiện việc này, nhưng nguồn lực của họ thường bị hạn chế. Bảo mật do hacker hỗ trợ cho phép các TC/DN tận dụng toàn bộ nguồn lực cộng đồng toàn cầu để tìm kiếm và phát hiện các lỗ hổng.
Vai trò của hacker là tận dụng trí thông minh và bản lĩnh của họ để chống lại những thách thức trong xã hội. Ngày nay, có nhiều TC/DN trong quân đội, chính phủ và phòng thủ không gian mạng đều tận dụng hacker. Bảo mật do hacker hỗ trợ cũng được các cơ quan hàng đầu như Trung tâm Giám sát an toàn không gian mạng quốc gia của Anh ủng hộ.
Không có cách khắc phục nhanh chóng hoặc giải pháp toàn vẹn nào cho vấn đề an ninh mạng, nhưng các tổ chức cần một chiến lược bảo mật liên tục khi họ tiếp tục phát triển, tạo ra các ứng dụng mới hoặc phát hành các dịch vụ và sản phẩm trực tuyến mới. Điều này đã khiến xuất hiện cộng đồng hacker, bao gồm hàng chục nghìn cá nhân với đa dạng các kỹ năng phục vụ chuyên môn được đào tạo để quét các lỗ hổng bảo mật trong hệ thống của TC/DN mà những kẻ tấn công đang tìm cách khai thác, do đó khả năng các lỗ hổng đó được phát hiện và báo cáo càng cao. Về cơ bản, cộng đồng hacker có đạo đức đang tìm cách khiến Internet trở thành một nơi an toàn hơn và các TC/DN có tiềm năng to lớn để khai thác cộng đồng này. Có rất nhiều TC/ DN nổi tiếng đang khai thác cộng đồng hack có đạo đức như Bộ Quốc phòng Mỹ, các công ty Deliveroo, Starbucks, Uber, Toyota,... Nhiều hacker thực sự có mong muốn giúp đỡ và tham gia.
Nhà nghiên cứu bảo mật Alex Haynes là trưởng nhóm triển khai, với các chứng chỉ CISSP, CEH, CHFI, PCIP, ISO27001 và ISO22301. Với hơn 200 lỗ hổng được công bố, được vinh danh (Hall of Fame) nhờ tìm ra các lỗ hổng cho Pinterest, BlueCoat, Sophos,... ông được xếp hạng một trong 50 nhà nghiên cứu bảo mật hàng đầu trên Bugcrowd.com.
“Bảo mật nguồn lực cộng đồng dù có thể khắc phục phần nào hạn chế bằng cách mở rộng nhóm người kiểm thử tiềm năng lên cấp độ quốc tế thì vẫn gặp phải một trở ngại lớn - không có nhiều nguồn lực tài năng”
Đã có nhiều bài viết về lợi ích của bảo mật nguồn lực cộng đồng so sánh với kiểm thử xâm nhập, nhưng nếu bỏ qua những bài viết tích cực với mục đích tiếp thị, sẽ có rất nhiều trường hợp mà bảo mật nguồn lực cộng đồng không mang lại lợi ích cho TC/DN.
Nếu TC/DN chưa bao giờ thực hiện kiểm thử xâm nhập hoặc thậm chí không thực hiện việc quét lỗ hổng thường xuyên thì bảo mật nguồn lực cộng đồng sẽ chỉ như “ném tiền qua cửa sổ” mà không mang lại lợi ích rõ ràng. Các chương trình nguồn lực cộng đồng là lý tưởng nếu công ty có chiến lược bài bản và thực hiện kiểm thử xâm nhập thường xuyên để loại bỏ các lỗ hổng dễ tìm thấy. Điều này sẽ cho phép phát hiện các lỗ hổng nghiêm trọng khó tìm, vốn là mục đích chính của các chương trình Bug Bounty.
Tuy nhiên, nếu TC/DN chưa bao giờ thực hiện kiểm thử xâm nhập, thì cách tiếp cận dựa trên nguồn lực cộng đồng sẽ mang tới rất nhiều lỗ hổng. Nhiều lỗ hổng trong số đó có thể được phát hiện chỉ bằng việc quét lỗ hổng đơn giản, mà giờ TC/DN lại phải trả tiền nếu chọn các chương trình Bug Bounty nguồn lực cộng đồng. Tệ hơn nữa, nếu TC/DN không có khả năng khắc phục những lỗ hổng đơn giản đó, thì nghĩa là chỉ trả tiền cho việc phát hiện những lỗ hổng mà TC/DN không sửa được. Mặc dù điều này cũng tương tự với kiểm thử xâm nhập, nhưng số lượng lỗ hổng mà TC/DN nhận được với cách tiếp cận từ nguồn lực cộng đồng sẽ cao hơn nhiều lần.
Kiểm thử xâm nhập là tối ưu về mặt chi phí. Các TC/DN đều muốn sống trong một thế giới lý tưởng, nơi Giám đốc An toàn thông tin có ngân sách không giới hạn. Nhưng khi bị hạn chế ngân sách thì sẽ không thể chi trả được cho hướng tiếp cận nguồn lực cộng đồng. Kiểm thử xâm nhập sẽ luôn tiết kiệm chi phí hơn. Nếu TC/DN cần kiểm tra một trang web, chi phí thường từ 800 - 1200 USD một ngày và một người kiểm thử xâm nhập giỏi có thể hoàn tất việc này trong vòng năm ngày. Nếu TC/DN không chọn các công ty chuyên kiểm thử xâm nhập mà hợp tác với các nhà cung cấp nhỏ hơn hoặc nhà thầu độc lập thông qua nền tảng kiểm thử xâm nhập như Avord, chi phí sẽ chỉ còn một nửa. Một chương trình có nguồn lực cộng đồng sẽ tốn kém hơn nhiều lần, ngay cả với những chương trình có mức phí cố định.
Sự tiện lợi cũng được tối ưu đối với kiểm thử xâm nhập, ví dụ như một người kiểm thử xâm nhập trực tiếp đến văn phòng của TC/DN, dùng máy tính xách tay kết nối vào mạng của tổ chức. Với chương trình nguồn lực cộng đồng, tổ chức cần sự kết hợp của máy chủ proxy hoặc kết nối VPN chuyên dụng, điều này có thể sẽ mang tới sự phức tạp. Sau đó, tổ chức cần phải kiểm soát nhiều nhà nghiên cứu đang cạnh tranh với nhau để phát hiện ra lỗi.
Alex cho biết, ông đã rất nhiều lần tham gia vào chương trình nguồn lực cộng đồng, trong đó cơ sở vật chất (trang web, máy chủ,...) gặp sự cố do số lượng người kiểm thử cùng một lúc quá lớn. Nếu cơ sở vật chất của TC/DN không thể tải được lưu lượng truy cập cao, thì chương trình nguồn lực cộng đồng sẽ thiếu hiệu quả.
Lĩnh vực bảo mật tấn công cũng bị thiếu hụt kỹ năng giống như mọi lĩnh vực khác của lực lượng an toàn thông tin ngày nay. Bảo mật nguồn lực cộng đồng dù có thể khắc phục phần nào hạn chế này bằng cách mở rộng nhóm người kiểm thử tiềm năng lên cấp độ quốc tế thì vẫn gặp phải một trở ngại lớn - không có nhiều nguồn lực tài năng. Trong bảng thành tích của các nền tảng Bug Bounty nguồn lực cộng đồng, có thể tìm thấy một điểm chung đó là phần lớn kiểm thử trên tất cả các nền tảng được thực hiện bởi một nhóm các nhà nghiên cứu hàng đầu, một số người còn làm việc toàn thời gian. Điều này có nghĩa là phần lớn các lỗ hổng được xử lý bởi cùng một nhóm. Mặc dù các tài liệu tiếp thị có thể cho rằng, có “hàng nghìn” nhà nghiên cứu trong chương trình nguồn lực cộng đồng, nhưng thực tế chỉ có khoảng hơn hai mươi nhà nghiên cứu phát hiện hầu hết các lỗ hổng được tìm thấy trên các nền tảng ngày nay. Vì hoàn toàn là tự nguyện, nên vấn đề chính là không thể ép đội ngũ nghiên cứu tình nguyện kiểm tra cơ sở hạ tầng khi họ đơn giản là không có năng lực làm việc đó.
Bảo mật nguồn lực cộng đồng cổ vũ cho nền kinh tế Gig Economy kiểu Orwell (mọi người thường làm việc trong những vị trí tạm thời và linh hoạt, và các công ty có xu hướng thuê những người làm việc độc lập và tự do thay vì nhân viên toàn thời gian) mang tính phi đạo đức cao, nơi phần lớn mọi người đang làm việc miễn phí một cách hiệu quả và hoàn toàn không được trả công cho nỗ lực của họ. Họ không được nghỉ ốm có lương, không có ngày nghỉ phép và có thể dành nhiều thời gian tham gia vào chương trình nguồn lực cộng đồng mà chẳng có kết quả gì. Thậm chí, họ có thể tìm thấy một lỗ hổng đã được ai đó phát hiện và không nhận được gì. Đó là nền kinh tế Gig Economy tồi tệ, nơi tất cả được thúc đẩy bởi nguồn vốn đầu tư mạo hiểm.
Tóm lại, các TC/DN cần cân nhắc những ý kiến trên trước khi tham gia vào bất kỳ chương trình Bug Bounty nguồn lực cộng đồng nào, để có được hiệu quả tốt nhất và giảm chi phí cho việc đảm bảo an toàn cho TC/DN của mình.
Đỗ Đoàn Kết (Tạp chí InfoSecurity)
10:00 | 24/04/2024
16:00 | 03/09/2021
16:00 | 06/04/2021
08:00 | 05/03/2021
22:00 | 25/01/2025
Nhân dịp đón chào năm mới 2025, Trung tướng Vũ Ngọc Thiềm, Trưởng ban Ban Cơ yếu Chính phủ đã gửi thư chúc Tết tới toàn thể cán bộ, nhân viên, người lao động, gia đình các Anh hùng Liệt sĩ, các đồng chí thương binh, bệnh binh đã và đang công tác trong ngành Cơ yếu Việt Nam. Tạp chí An toàn thông tin trân trọng giới thiệu toàn văn thư chúc Tết của đồng chí Trưởng ban Ban Cơ yếu Chính phủ.
16:00 | 04/12/2024
Chuyển đổi số đã đặt ra các yêu cầu mới về an toàn, an ninh mạng, kéo theo đó là bài toán về việc xây dựng lực lượng bảo đảm an toàn, an ninh mạng tinh nhuệ có kiến thức, kinh nghiệm, làm chủ công nghệ. Toạ đàm “Bàn về nguồn nhân lực an toàn thông tin chất lượng cao hiện nay” được tổ chức vào ngày 6/12 tới đây trên Tạp chí An toàn thông tin điện tử sẽ bàn luận rõ hơn về vấn đề này.
11:00 | 29/11/2024
Theo Cục An toàn thông tin (Bộ TT&TT), các hình thức lừa đảo trực tuyến vẫn đang liên tục gia tăng và mục tiêu cuối cùng của các đối tượng luôn là chiếm đoạt tài sản. Dưới đây là 03 chiêu lừa được các đối tượng sử dụng nhiều trên không gian mạng Việt Nam trong nửa cuối tháng 11 do Cục An toàn thông tin ghi nhận.
10:00 | 28/11/2024
Một chiến dịch lừa đảo mới nhắm vào những người mua sắm thương mại điện tử ở châu Âu và Mỹ thông qua các trang web giả mạo các thương hiệu hợp pháp với mục đích đánh cắp thông tin cá nhân của người dùng, lợi dụng sự kiện mua sắm khuyến mãi Black Friday.
Nhân dịp Xuân mới Ất Tỵ 2025, Tạp chí An toàn thông tin trân trọng gửi lời chúc mừng năm mới và lời cảm ơn sâu sắc nhất tới Lãnh đạo Ban Cơ yếu Chính phủ, Lãnh đạo các Bộ, ban, ngành Trung ương và địa phương, các cơ quan, đơn vị, hiệp hội, tổ chức, doanh nghiệp, cùng quý bạn đọc và cộng tác viên đã đồng hành, ủng hộ để Tạp chí hoàn thành tốt nhiệm vụ và có những bước phát triển mới trong năm qua.
22:00 | 30/01/2025
Khép lại năm 2024, Lãnh đạo Ban Cơ yếu Chính phủ, cấp ủy, lãnh đạo các cấp trong toàn lực lượng cơ yếu, nhất là đội ngũ cán bộ chủ chốt đã chủ động bám sát yêu cầu nhiệm vụ và thực tiễn, cùng với sự nỗ lực rất lớn của toàn thể cán bộ, nhân viên ngành Cơ yếu Việt Nam tổ chức triển khai đồng bộ, toàn diện trên các mặt công tác, hoàn thành tốt nhiệm vụ được giao, trong đó có nhiều nhiệm vụ hoàn thành xuất sắc, tiếp tục khẳng định vị thế, vai trò đặc biệt quan trọng của hoạt động cơ yếu. Dưới đây là 10 dấu ấn nổi bật trong năm 2024 của ngành Cơ yếu Việt Nam.
08:00 | 29/01/2025
Tỷ lệ chuyển đổi sang sử dụng địa chỉ Internet thế hệ mới IPv6 của Việt Nam hiện đã đạt 65,5%, đứng thứ 7 toàn cầu, tăng 2 bậc so với thời điểm cuối năm 2023.
09:00 | 29/01/2025