Ra mắt nền tảng An ninh mạng đầu tiên tại Việt Nam ứng dụng phương pháp Crowdsourced Security

Crowdsourced Security (Bảo Mật Cộng Đồng) là phương pháp bảo mật hiệu quả, được ứng dụng bởi nhiều công ty lớn trên thế giới như Google, Uber, Dell hay Tesla. Tại Việt Nam, WhiteHub là nền tảng đầu tiên hỗ trợ doanh nghiệp áp dụng phương pháp tiên tiến này vào bảo mật hệ thống & sản phẩm ứng dụng.

Ngày 24/4/2019, CyStack — startup hoạt động trong lĩnh vực an ninh mạng — đã chính thức cho ra mắt sản phẩm WhiteHub (https://whitehub.net). Đây là nền tảng đầu tiên tại Việt Nam ứng dụng phương pháp Crowdsourced Security để giảm thiểu rủi ro bị tin tặc tấn công cho doanh nghiệp thông qua việc tìm kiếm các lỗ hổng bảo mật trên hệ thống sản phẩm.

Theo thống kê của uy ban an ninh quốc gia, số lượng tội phạm mạng, tin tặc đang có xu hướng tăng cao đột biến trong vài năm trở lại đây. Các vụ tin tặc tấn công, làm tê liệt hệ thống hay tạo ra các giao dịch gian lận khiến nhiều doanh nghiệp lao đao. Những rủi ro này lại bắt nguồn từ chính những lỗ hổng bảo mật tiềm ẩn từ sản phẩm, hệ thống mà doanh nghiệp không hề hay biết.

“Với sản phẩm công nghệ, chỉ cần một lỗ hổng bảo mật, tin tặc đã có thể tấn công một doanh nghiệp. Để giải quyết vấn đề này, doanh nghiệp cần một lực lượng đủ mạnh để tìm kiếm lỗ hổng nhanh hơn tin tặc và Crowdsourced Security chính là câu trả lời”

Phương pháp bảo mật Crowdsourced Security là gì?

Crowdsourced nghĩa là sử dụng nguồn lực của đám đông (crowd), vậy Crowdsourced Security (hay Bảo Mật Cộng Đồng) là một phương pháp bảo mật dựa vào cộng đồng các chuyên gia bảo mật tại khắp mọi nơi. Khác với phương pháp bảo mật cũ (tức là thuê 1 đội ngũ Pentester bên ngoài chỉ gồm 2–5 người), Crowdsourced Security giúp doanh nghiệp có được sự phục vụ của hàng trăm chuyên gia bảo mật khác nhau, từ đó tìm kiếm lỗ hổng bảo mật trên hệ thống Website, Mobile app hiệu quả và nhanh chóng hơn.

Về cơ bản, việc tìm kiếm lỗ hổng bảo mật trên ứng dụng cần rất nhiều sự sáng tạo, kiến thức đa dạng và nhiều cách tiếp cận khác nhau. Đó là lý do mà một cộng đồng không giới hạn các chuyên gia bảo mật tỏ ra hiệu quả hơn các phương pháp truyền thống chỉ bao gồm một đội ngũ từ 2–5 người

>> Ebook: Crowdsourced Security là gì?

Bug Bounty Platform đầu tiên tại Việt Nam

Để có thể ứng dụng Crowdsourced Security, doanh nghiệp cần tổ chức một chương trình Bug Bounty (trả tiền thưởng cho các chuyên gia bảo mật tìm thấy lỗ hổng bảo mật trên sản phẩm/hệ thống của doanh nghiệp). Hiện tại, WhiteHub là nền tảng đầu tiên tại Việt Nam cho phép thực hiện điều này.

>> Bug Bounty là gì?

Khi triển khai chương trình Bug Bounty trên WhiteHub, doanh nghiệp sẽ thực hiện theo các bước sau:

Tạo chương trình Bug Bounty: Trong bước này, doanh nghiệp cần xác định rõ 3 yếu tố: 1. Ứng dụng hoặc phần cứng cần tìm lỗ hổng bảo mật (VD: Website, ứng dụng mobile, phần mềm desktop, hay thiết bị IoT như smartphone, laptop sắp ra mắt công chúng). 2. Ngân sách để trả thưởng cho các chuyên gia. 3. Mức độ ưu tiên của các loại lỗ hổng tùy theo tính chất sản phẩm.
Công bố chương trình Bug Bounty: Đây là bước quan trọng, ảnh hưởng tới mức độ hiệu quả của một chương trình Bug Bounty. Để đạt được thành công, chương trình cần thu hút được càng nhiều chuyên gia tìm lỗ hổng càng tốt. Khi tạo một chương trình Bug Bounty trên WhiteHub, doanh nghiệp mặc định công bố chương trình tới cộng đồng 500 chuyên gia bảo mật.
Đánh giá & khắc phục lỗ hổng: Sau khi nhận được các báo cáo về lỗ hổng bảo mật (trên sản phẩm) từ các chuyên gia gửi tới, doanh nghiệp sẽ tiến hành đánh giá tính hợp lệ, mức độ nghiêm trọng của các lỗ hổng, sau đó “vá” (hay khắc phục) các lỗ hổng đó. Tại WhiteHub có khung tham chiếu mức độ nghiêm trọng để giúp các doanh nghiệp dễ dàng đánh giá các lỗ hổng.
Trao thưởng cho chuyên gia: Doanh nghiệp sẽ tiến hành trao thưởng cho các chuyên gia. Số tiền cho từng lỗ hổng được quyết định dựa vào mức độ nghiêm trọng đã xác định ở bước trên.

>> Lợi ích của Crowdsourced Security với doanh nghiệp

Giải pháp bảo mật tối ưu cho doanh nghiệp

Trên thế giới, rất nhiều các tập đoàn lớn nhỏ đã ứng dụng Crowdsourced Security để bảo mật cho các sản phẩm & hệ thống của mình, như Google, Facebook, Uber, Tesla, Paypal, Dell inc., hay HP.

Tại Việt Nam, phương pháp này đang dần trở thành xu thế và được ứng dụng bởi các doanh nghiệp đi đầu trong việc cung cấp nền tảng công nghệ về du lịch, giáo dục, y tế, tài chính — ngân hàng, thương mại điện tử,…

Khi tạo chương trình Bug Bounty trên nền tảng WhiteHub, doanh nghiệp sẽ trả tiền khi và chỉ khi có lỗ hổng bảo mật nguy hiểm được tìm thấy. Điều này giúp doanh nghiệp tối ưu hiệu quả đầu tư, trả tiền cho kết quả thực và nhìn thấy được hiệu quả tức thì.

Sau 2 tháng triển khai, WhiteHub đã thu hút được sự tham gia của hàng trăm chuyên gia và giúp nhiều doanh nghiệp Việt Nam giải quyết hiệu quả được vấn đề bảo mật: Vntrip, Luxstay, Getfly, Ivyprep, Finhay…. Cũng theo ông Trung, trong thời gian tới WhiteHub sẽ nỗ lực phát triển cộng đồng chuyên gia không chỉ tại Việt Nam mà cả các quốc gia khác trong khu vực, dự kiến đến năm 2020, số lượng chuyên gia tham gia nền tảng WhiteHub sẽ đạt tới con số 10.000 chuyên gia và giúp được 500 doanh nghiệp tại Việt Nam giải quyết các vấn đề bảo mật.

Bạn đọc quan tâm có thể tham khảo sản phẩm tại: https://whitehub.net.

Về CyStack

CyStack là công ty khởi nghiệp trong lĩnh vực an ninh mạng được sáng lập năm 2017 bởi một nhóm kỹ sư nghiên cứu về bảo mật tại Việt Nam, với tầm nhìn xây dựng một nền tảng công nghệ giúp giải quyết toàn diện các bài toán về bảo mật cho doanh nghiệp tại Châu Á.