Bug Bounty là một xu hướng bảo mật nhận được nhiều sự chú ý trong thời gian gần đây. Các chương trình Bug Bounty mang lại nguồn lực dồi dào với chi phí hợp lý giúp các doanh nghiệp đương đầu với tội phạm mạng. Microsoft, Google, Facebook, Dell, và nhiều công ty khác đang triển khai Bug Bounty như một hình thức bảo mật bắt buộc. Tuy nhiên, nhiều SME và startup chưa nhận ra lợi ích của giải pháp này. Họ cho rằng nó chỉ phù hợp với các công ty lớn và có chi phí thực hiện cao. Vậy, sự thực là gì? Bug Bounty có phù hợp với các doanh nghiệp nhỏ & startup hay không? Cùng khám phá các lợi ích của giải pháp bảo mật này với SME và startup.

6 LÝ DO KHIẾN BUG BOUNTY LÀ GIẢI PHÁP PHÙ HỢP VỚI SME VÀ STARTUP

Nâng cao bảo mật cho startup và doanh nghiệp nhỏ

Để tập trung tối đa vào công việc kinh doanh, các doanh nghiệp vừa và nhỏ thường có nguồn nhân sự bảo mật hạn chế, thậm chí không có bộ phận chuyên trách cho vấn đề này. Trách nhiệm bảo mật thường được giao cho nhân viên lập trình (developer) và nhân viên quản trị hệ thống (system admin). Những nhân viên IT này có thể bị quá tải lượng công việc và thiếu kiến thức chuyên sâu. Trong khi đó, tội phạm mạng luôn sáng tạo, tìm tòi và khai thác các điểm yếu bảo mật tồn tại trong hệ thống của startup.

Đặc tính nổi bật nhất của Bug Bounty là tận dụng được nguồn lực cộng đồng để bảo mật cho hệ thống hoặc sản phẩm của tổ chức. Các chương trình “Săn lỗi nhận thưởng” cung cấp cho doanh nghiệp nguồn nhân sự dồi dào lên tới vài chục, hàng trăm, thậm chí hàng ngàn chuyên gia bảo mật cùng tìm lỗi cho hệ thống. Bằng cách này, các SME và startup có thể tự tin với nguồn lực bảo mật dồi dào để đương đầu với tội phạm mạng.

“WhiteHub Bug Bounty cung cấp cho VNtrip những chuyên gia có kiến thức chuyên sâu để tìm lỗ hổng cho hệ thống web và mobile app. Nhờ đó chúng tôi có thể tập trung vào phát triển business của mình.”Ông Nguyễn Hồng Thái, VNtrip Co-founder & CTO chia sẻ.

Chi phí linh hoạt

Một trong những rào cản đối với doanh nghiệp nhỏ là chi phí triển khai hệ thống bảo mật thường khá cao. Khác với những giải pháp bảo mật có chi phí cố định lên tới hàng chục ngàn USD, các chương trình Bug Bounty cho phép doanh nghiệp tự điều chỉnh ngân sách để phù hợp với nhu cầu và giai đoạn phát triển. Đây là một điểm cộng lớn của giải pháp crowdsourcing (Bug Bounty) giúp cho startup và SME dễ dàng tiếp cận bảo mật hơn.

Ngoài ra, doanh nghiệp cũng có thể tùy chỉnh số tiền thưởng dành cho chuyên gia dựa theo mức độ nghiêm trọng của các lỗi bảo mật. Việc này giúp doanh nghiệp ưu tiên những lỗi quan trọng với mô hình kinh doanh riêng của họ.

Một số doanh nghiệp sẵn sàng chi trả hàng triệu USD cho một lỗ hổng, nhưng cũng có doanh nghiệp trả thưởng vài trăm đô la cho một lỗ hổng ở mức nghiêm trọng và vẫn nhận được nhiều báo cáo có giá trị thông qua chương trình Bug Bounty.

>> Thiết kế chương trình Bug Bounty dành riêng cho startup của bạn: https://whitehub.net/demo

Tối ưu hiệu quả đầu tư

Đối với các startup, không chỉ cần chi phí hợp lý, mà từng đồng vốn bỏ ra phải mang lại hiệu quả tối đa. Trong quá trình khởi nghiệp, các CEO/CTO cần phải cân bằng và tối ưu ROI cho các hoạt động chi trả của doanh nghiệp, bao gồm cả bảo mật. Và chi phí để thuê các dịch vụ kiểm tra bảo mật, pentest thì lại quá cao. Trong khi chưa biết kết quả thu được sẽ ra sao.

Không giống như dịch vụ Pentest truyền thống có phí cố định trước khi test, chi phí của các chương trình Bug Bounty được tính theo từng lỗi. Các startup sẽ chỉ phải thanh toán tiền thưởng sau khi nhận được các báo cáo lỗ hổng hợp lệ. Điều này giúp loại bỏ hoàn toàn tình trạng chi phí cao nhưng kết quả không tương xứng.

Hơn nữa, các chương trình Bug Bounty là on-demand, tức là theo nhu cầu của doanh nghiệp. Khi nào cần sẽ có nguồn lực bảo mật, không cần phải trả tiền theo thời gian làm việc của pentester mà trả phí theo kết quả nhận được, giúp tối ưu hiệu quả đầu tư.

Tùy biến theo ngành

Mỗi ngành những bề mặt tấn công khác nhau mà tin tặc có thể khai thác. Một lỗi bảo mật được cho là nguy hiểm với website thương mại điện tử, có thể sẽ không quá nguy hiểm với một website tin tức và ngược lại. Đó là lý do các chương trình Bug Bounty cho phép doanh nghiệp tùy biến tiền thưởng và mức độ ưu tiên dành cho các lỗi bảo mật nghiêm trọng.

>> Tham khảo: Top 10 lỗ hổng bảo mật theo chuẩn OWASP

Doanh nghiệp triển khai Bug Bounty trên WhiteHub sẽ được các chuyên gia tư vấn về mức độ ưu tiên của các lỗ hổng tùy theo từng ngành cụ thể như: thương mại điện tử, Fintech, OTA, software, blockchain, tài chính — ngân hàng, bảo hiểm, giáo dục trực tuyến, v.v….

Nhận báo cáo liên tục 24/7

Khi triển khai Bug Bounty trên WhiteHub, các chuyên gia sẽ tìm lỗi trong hệ thống và gửi báo cáo về cho doanh nghiệp ngay khi họ tìm ra lỗi. Điều này giúp doanh nghiệp sửa chữa các lỗi bảo mật kịp thời, tránh gây ảnh hưởng gián đoạn tới sản phẩm hay hệ thống.

Tích hợp vào vòng đời phát triển

Các chương trình Bug Bounty có tính linh động và tùy biến cao, giúp cho doanh nghiệp hoàn toàn có thể triển khai tích hợp vào vòng đời phát triển sản phẩm web app hay mobile app. Đặc biệt trong bối cảnh các startup cần xây dựng sản phẩm theo kiểu “cuốn chiếu” — vừa làm vừa tối ưu, thì một chương trình Bug Bounty sẽ là giải pháp bảo mật phù hợp với startup.

“Mỗi khi Vntrip tung ra các bản cập nhật web và mobile app, các chuyên gia WhiteHub ngay lập tức tìm kiếm lỗ hổng bảo mật và báo lại cho chúng tôi.” Ông Nguyễn Hồng Thái — Đồng sáng lập & Giám đốc công nghệ VNtrip chia sẻ.

>> Xem thêm: Tích hợp Crowdsourced Security vào quá trình phát triển sản phẩm

CÁC CHƯƠNG TRÌNH BUG BOUNTY CỦA STARTUP VIỆT

Trên thế giới, nhiều tổ chức đã triển khai Bug Bounty để tối đa hiệu quả bảo mật cho sản phẩm và hệ thống IT. Từ những ông lớn công nghệ như Google, Facebook, Microsoft, Alibaba, Atlassian, booking.com cho tới các startup mới nổi như Uber, Airtable, Brave đều đạt được hiệu quả bảo mật thông qua các chương trình Săn lỗi nhận thưởng. Thậm chí cả Bộ Quốc Phòng Hoa Kỳ cũng áp dụng chiến thuật “dùng hacker chống lại hacker” thông qua chương trình Bug Bounty.

Không chỉ những tập đoàn lớn hay những doanh nghiệp nước ngoài, nhiều startup tại Việt Nam đã triển khai các chương trình Bug Bounty để bảo mật cho sản phẩm website & mobile app. Dưới đây là một số chương trình Bug Bounty nổi bật của các startup tại Việt Nam.

VNtrip — nền tảng đặt phòng khách sạn & vé máy bay trực tuyến giá rẻ

Vntrip là một startup trong lĩnh vực du lịch trực tuyến OTA (online travel agency). Mỗi ngày, hệ thống web và mobile app của công ty phục vụ hàng ngàn lượt truy cập và nhiều giao dịch booking. Đó là lí do vntrip đã triển khai chương trình Bug Bounty để bảo mật cho hệ thống web, app của công ty.

[Case Study] VNtrip triển khai Bug Bounty — Ông Nguyễn Hồng Thái, Co-founder & CTO VNtrip.

Giaohangtietkiem — đơn vị cung cấp giải pháp giao vận & logistics

Ứng dụng web và mobile app của GHTK được đánh giá là tiện lợi và dễ sử dụng cho các chủ shop/doanh nghiệp bán lẻ. Để phục vụ khách hàng tốt hơn nữa, GHTK liên tục hoàn thiện hệ thống ứng dụng website bằng việc nâng cấp, bảo trì, bảo mật thường xuyên. Công ty đã chính thức công bố chương trình Bug Bounty công khai trên WhiteHub để tăng cường bảo mật cho ứng dụng web của mình.

VNDC — sử dụng Bug Bounty để bảo mật cho hệ thống Blockchain

Là một đồng tiền mã hóa sử dụng công nghệ blockchain, VNDC cũng phải đối mặt với các rủi ro bảo mật của một đồng tiền crypto-coin thông thường. Nguy cơ có thể đến từ lỗi phần mềm, lỗ hổng trong mạng giao tiếp ngang hàng, hay bị hacker tấn công.

Chương trình Bug Bounty bán riêng tư (semi-private) của VNDC chính thức được công bố trên nền tảng WhiteHub. Thông qua chương trình này, VNDC có thể tiếp cận và nhận được sự hỗ trợ của cộng đồng 600+ chuyên gia bảo mật tài năng, giúp bảo mật hệ thống VNDC an toàn nhất. Qua đó củng cố niềm tin cho các nhà đầu tư Việt để có thể tự tin giao dịch an toàn và hưởng lợi từ nền tảng stablecoin này.

Getfly — bảo mật thông tin khách hàng cho phần mềm CRM

Là một startup nắm giữ nhiều thông tin khách hàng quan trọng, Getfly tự nhận thấy nghĩa vụ phải bảo vệ an toàn tuyệt đối cho những dữ liệu đó, và quyết định triển khai chương trình Bug Bounty.

Để đảm bảo an toàn cho các thông tin nhạy cảm của khách hàng doanh nghiệp, GetFly lựa chọn chương trình Bug Bounty bí mật (private). Ngoài ra, private Bug Bounty cho phép GetFly lựa chọn và mời những chuyên gia uy tín và tài năng nhất trên nền tảng WhiteHub kiểm thử cho ứng dụng SaaS của mình.

Fiin Credit — ứng dụng cho vay ngang hàng P2P bảo mật thông tin người dùng với Bug Bounty

Fiin là một ứng dụng fintech (công nghệ tài chính), giúp kết nối người vay và người cho vay sử dụng công nghệ AI. Ứng dụng đang được sử dụng rộng rãi bởi hơn 150.000 người dùng tại Việt Nam.

Theo các chuyên gia, các ứng dụng tài chính luôn là mục tiêu tấn công của những kẻ xấu với mục tiêu đánh cắp tiền bạc và thông tin cá nhân của người dùng. Bằng cách hợp tác với WhiteHub, các công ty Fintech có thể nhận được những báo cáo lỗ hổng và tư vấn khắc phục từ đội ngũ chuyên gia tin cậy tại WhiteHub, từ đó giúp tăng cường bảo mật, sự yên tâm và trải nghiệm cho khách hàng đang sử dụng sản phẩm.

TẠM KẾT

Không thể phủ nhận Bug Bounty là một giải pháp bảo mật hiệu quả. Nó không chỉ phù hợp với doanh nghiệp lớn, mà còn phù hợp với những startup và SME có nguồn ngân sách hạn hẹp. Bug Bounty cung cấp nguồn lực bảo mật chất lượng cao, on-demand, và chi phí hợp lý cho doanh nghiệp ở mọi quy mô khác nhau. Triển khai hiệu quả giải pháp bảo mật này sẽ giúp doanh nghiệp không những củng cố bức tường an ninh cho sản phẩm, hệ thống mà còn giúp tăng uy tín — cam kết bảo mật của doanh nghiệp với khách hàng và đối tác.