Ông Ben Sadeghipour, Trưởng bộ phận Giáo dục Hacker tại công ty HackerOne (trụ sở tại San Francisco, Mỹ) đã giúp xác định và khai thác hơn 600 lỗ hổng bảo mật trên hàng trăm ứng dụng web và di động. Ông cũng giúp ích cho cộng đồng bảo mật với việc sản xuất nội dung video giáo dục, phát trực tiếp và tạo ra cộng đồng gồm hàng trăm hacker hoạt động tích cực.
“Bảo mật do hacker hỗ trợ cho phép các TC/DN tận dụng toàn bộ nguồn lực cộng đồng toàn cầu để tìm kiếm các lỗ hổng”
Bảo mật được cải thiện, khách hàng hài lòng hơn và danh tiếng thương hiệu được nâng cao chỉ là một số lợi ích của hành động hack có đạo đức (ethical hacking - hành động tấn công giúp tìm ra được lỗ hỏng bảo mật với mục đích vá lỗ hổng đó) đối với TC/DN. Các lỗ hổng được tìm thấy hàng ngày bởi các nhà nghiên cứu bảo mật, hacker, khách hàng, học giả, nhà báo, những người yêu thích công nghệ và tội phạm. Trên thực tế, nghiên cứu gần đây của HackerOne đã xác nhận rằng, cứ 2,5 phút lại có hacker phát hiện ra một lỗ hổng phần mềm. Nếu không có cộng đồng hacker đứng về phía TC/DN, những lỗ hổng này có thể dẫn đến các cuộc tấn công mạng.
Làm việc với cộng đồng hacker là phương thức đã được công nhận để tìm và sửa các lỗ hổng nghiêm trọng chưa được xác định. Ở cấp độ cơ bản nhất, hack có đạo đức giúp các TC/DN cải thiện tình trạng bảo mật của họ. Cách tiếp cận phổ biến nhất để làm việc với hacker là thông qua các chương trình Bug Bounty, trong đó tin tặc được trả tiền thưởng để đổi lấy việc báo cáo các lỗ hổng bảo mật trước khi chúng có thể bị khai thác.
Hiện nay đã bắt đầu có nhiều TC/DN chấp nhận hack có đạo đức, từ quân đội đến chính phủ, các tổ chức tư nhân cũng như tổ chức công cộng. Thái độ đối với hacker cũng trở nên tích cực hơn. Trước đây hacker chỉ được coi là những kẻ phản diện, ngày nay họ được xem như một lực lượng toàn cầu vì mục đích tốt, hợp tác với nhau để giúp giải quyết nhu cầu bảo mật ngày càng lớn của xã hội. Cộng đồng hoan nghênh tất cả những ai đam mê thử thách trí tuệ để vượt qua những giới hạn một cách sáng tạo. Lý do hack có thể khác nhau, nhưng cuối cùng thì các TC/ DN ngày cào nâng cao và vẫn luôn đón nhận bảo mật nguồn lực cộng đồng. Điều này mang lại mức độ an toàn bảo mật lớn hơn rất nhiều so với trước đây.
Đối với nhiều TC/DN, làm việc với hacker tạo ra những cơ hội mới, vì họ có thể tiếp cận với rất nhiều kỹ năng để tìm kiếm và vá các lỗ hổng tiềm tàng trước khi bị kẻ xấu lợi dụng. Hacker thường là các chuyên gia trong lĩnh vực của họ, không ngừng nỗ lực trong công việc của mình và có góc nhìn khác với các chuyên gia bảo mật CNTT truyền thống. Họ có thể được xem như những thám tử Internet, và khả năng suy nghĩ như những kẻ tấn công khiến họ trở thành lớp phòng thủ mạnh mẽ nhất.
Các TC/DN khai thác hacker có đạo đức, đồng thời dựa vào các chuyên gia của họ sẽ có vị thế tình trạng bảo mật tốt hơn. Không giống như các nền tảng bảo mật truyền thống, bảo mật do hacker hỗ trợ nghĩa là các TC/DN sẽ luôn có một nhóm giám sát liên tục và bảo vệ hệ thống cũng như ứng dụng của họ. Mặc dù một số TC/DN có thể đã có đội ngũ CNTT để thực hiện việc này, nhưng nguồn lực của họ thường bị hạn chế. Bảo mật do hacker hỗ trợ cho phép các TC/DN tận dụng toàn bộ nguồn lực cộng đồng toàn cầu để tìm kiếm và phát hiện các lỗ hổng.
Vai trò của hacker là tận dụng trí thông minh và bản lĩnh của họ để chống lại những thách thức trong xã hội. Ngày nay, có nhiều TC/DN trong quân đội, chính phủ và phòng thủ không gian mạng đều tận dụng hacker. Bảo mật do hacker hỗ trợ cũng được các cơ quan hàng đầu như Trung tâm Giám sát an toàn không gian mạng quốc gia của Anh ủng hộ.
Không có cách khắc phục nhanh chóng hoặc giải pháp toàn vẹn nào cho vấn đề an ninh mạng, nhưng các tổ chức cần một chiến lược bảo mật liên tục khi họ tiếp tục phát triển, tạo ra các ứng dụng mới hoặc phát hành các dịch vụ và sản phẩm trực tuyến mới. Điều này đã khiến xuất hiện cộng đồng hacker, bao gồm hàng chục nghìn cá nhân với đa dạng các kỹ năng phục vụ chuyên môn được đào tạo để quét các lỗ hổng bảo mật trong hệ thống của TC/DN mà những kẻ tấn công đang tìm cách khai thác, do đó khả năng các lỗ hổng đó được phát hiện và báo cáo càng cao. Về cơ bản, cộng đồng hacker có đạo đức đang tìm cách khiến Internet trở thành một nơi an toàn hơn và các TC/DN có tiềm năng to lớn để khai thác cộng đồng này. Có rất nhiều TC/ DN nổi tiếng đang khai thác cộng đồng hack có đạo đức như Bộ Quốc phòng Mỹ, các công ty Deliveroo, Starbucks, Uber, Toyota,... Nhiều hacker thực sự có mong muốn giúp đỡ và tham gia.
Nhà nghiên cứu bảo mật Alex Haynes là trưởng nhóm triển khai, với các chứng chỉ CISSP, CEH, CHFI, PCIP, ISO27001 và ISO22301. Với hơn 200 lỗ hổng được công bố, được vinh danh (Hall of Fame) nhờ tìm ra các lỗ hổng cho Pinterest, BlueCoat, Sophos,... ông được xếp hạng một trong 50 nhà nghiên cứu bảo mật hàng đầu trên Bugcrowd.com.
“Bảo mật nguồn lực cộng đồng dù có thể khắc phục phần nào hạn chế bằng cách mở rộng nhóm người kiểm thử tiềm năng lên cấp độ quốc tế thì vẫn gặp phải một trở ngại lớn - không có nhiều nguồn lực tài năng”
Đã có nhiều bài viết về lợi ích của bảo mật nguồn lực cộng đồng so sánh với kiểm thử xâm nhập, nhưng nếu bỏ qua những bài viết tích cực với mục đích tiếp thị, sẽ có rất nhiều trường hợp mà bảo mật nguồn lực cộng đồng không mang lại lợi ích cho TC/DN.
Nếu TC/DN chưa bao giờ thực hiện kiểm thử xâm nhập hoặc thậm chí không thực hiện việc quét lỗ hổng thường xuyên thì bảo mật nguồn lực cộng đồng sẽ chỉ như “ném tiền qua cửa sổ” mà không mang lại lợi ích rõ ràng. Các chương trình nguồn lực cộng đồng là lý tưởng nếu công ty có chiến lược bài bản và thực hiện kiểm thử xâm nhập thường xuyên để loại bỏ các lỗ hổng dễ tìm thấy. Điều này sẽ cho phép phát hiện các lỗ hổng nghiêm trọng khó tìm, vốn là mục đích chính của các chương trình Bug Bounty.
Tuy nhiên, nếu TC/DN chưa bao giờ thực hiện kiểm thử xâm nhập, thì cách tiếp cận dựa trên nguồn lực cộng đồng sẽ mang tới rất nhiều lỗ hổng. Nhiều lỗ hổng trong số đó có thể được phát hiện chỉ bằng việc quét lỗ hổng đơn giản, mà giờ TC/DN lại phải trả tiền nếu chọn các chương trình Bug Bounty nguồn lực cộng đồng. Tệ hơn nữa, nếu TC/DN không có khả năng khắc phục những lỗ hổng đơn giản đó, thì nghĩa là chỉ trả tiền cho việc phát hiện những lỗ hổng mà TC/DN không sửa được. Mặc dù điều này cũng tương tự với kiểm thử xâm nhập, nhưng số lượng lỗ hổng mà TC/DN nhận được với cách tiếp cận từ nguồn lực cộng đồng sẽ cao hơn nhiều lần.
Kiểm thử xâm nhập là tối ưu về mặt chi phí. Các TC/DN đều muốn sống trong một thế giới lý tưởng, nơi Giám đốc An toàn thông tin có ngân sách không giới hạn. Nhưng khi bị hạn chế ngân sách thì sẽ không thể chi trả được cho hướng tiếp cận nguồn lực cộng đồng. Kiểm thử xâm nhập sẽ luôn tiết kiệm chi phí hơn. Nếu TC/DN cần kiểm tra một trang web, chi phí thường từ 800 - 1200 USD một ngày và một người kiểm thử xâm nhập giỏi có thể hoàn tất việc này trong vòng năm ngày. Nếu TC/DN không chọn các công ty chuyên kiểm thử xâm nhập mà hợp tác với các nhà cung cấp nhỏ hơn hoặc nhà thầu độc lập thông qua nền tảng kiểm thử xâm nhập như Avord, chi phí sẽ chỉ còn một nửa. Một chương trình có nguồn lực cộng đồng sẽ tốn kém hơn nhiều lần, ngay cả với những chương trình có mức phí cố định.
Sự tiện lợi cũng được tối ưu đối với kiểm thử xâm nhập, ví dụ như một người kiểm thử xâm nhập trực tiếp đến văn phòng của TC/DN, dùng máy tính xách tay kết nối vào mạng của tổ chức. Với chương trình nguồn lực cộng đồng, tổ chức cần sự kết hợp của máy chủ proxy hoặc kết nối VPN chuyên dụng, điều này có thể sẽ mang tới sự phức tạp. Sau đó, tổ chức cần phải kiểm soát nhiều nhà nghiên cứu đang cạnh tranh với nhau để phát hiện ra lỗi.
Alex cho biết, ông đã rất nhiều lần tham gia vào chương trình nguồn lực cộng đồng, trong đó cơ sở vật chất (trang web, máy chủ,...) gặp sự cố do số lượng người kiểm thử cùng một lúc quá lớn. Nếu cơ sở vật chất của TC/DN không thể tải được lưu lượng truy cập cao, thì chương trình nguồn lực cộng đồng sẽ thiếu hiệu quả.
Lĩnh vực bảo mật tấn công cũng bị thiếu hụt kỹ năng giống như mọi lĩnh vực khác của lực lượng an toàn thông tin ngày nay. Bảo mật nguồn lực cộng đồng dù có thể khắc phục phần nào hạn chế này bằng cách mở rộng nhóm người kiểm thử tiềm năng lên cấp độ quốc tế thì vẫn gặp phải một trở ngại lớn - không có nhiều nguồn lực tài năng. Trong bảng thành tích của các nền tảng Bug Bounty nguồn lực cộng đồng, có thể tìm thấy một điểm chung đó là phần lớn kiểm thử trên tất cả các nền tảng được thực hiện bởi một nhóm các nhà nghiên cứu hàng đầu, một số người còn làm việc toàn thời gian. Điều này có nghĩa là phần lớn các lỗ hổng được xử lý bởi cùng một nhóm. Mặc dù các tài liệu tiếp thị có thể cho rằng, có “hàng nghìn” nhà nghiên cứu trong chương trình nguồn lực cộng đồng, nhưng thực tế chỉ có khoảng hơn hai mươi nhà nghiên cứu phát hiện hầu hết các lỗ hổng được tìm thấy trên các nền tảng ngày nay. Vì hoàn toàn là tự nguyện, nên vấn đề chính là không thể ép đội ngũ nghiên cứu tình nguyện kiểm tra cơ sở hạ tầng khi họ đơn giản là không có năng lực làm việc đó.
Bảo mật nguồn lực cộng đồng cổ vũ cho nền kinh tế Gig Economy kiểu Orwell (mọi người thường làm việc trong những vị trí tạm thời và linh hoạt, và các công ty có xu hướng thuê những người làm việc độc lập và tự do thay vì nhân viên toàn thời gian) mang tính phi đạo đức cao, nơi phần lớn mọi người đang làm việc miễn phí một cách hiệu quả và hoàn toàn không được trả công cho nỗ lực của họ. Họ không được nghỉ ốm có lương, không có ngày nghỉ phép và có thể dành nhiều thời gian tham gia vào chương trình nguồn lực cộng đồng mà chẳng có kết quả gì. Thậm chí, họ có thể tìm thấy một lỗ hổng đã được ai đó phát hiện và không nhận được gì. Đó là nền kinh tế Gig Economy tồi tệ, nơi tất cả được thúc đẩy bởi nguồn vốn đầu tư mạo hiểm.
Tóm lại, các TC/DN cần cân nhắc những ý kiến trên trước khi tham gia vào bất kỳ chương trình Bug Bounty nguồn lực cộng đồng nào, để có được hiệu quả tốt nhất và giảm chi phí cho việc đảm bảo an toàn cho TC/DN của mình.
Đỗ Đoàn Kết (Tạp chí InfoSecurity)
16:00 | 03/09/2021
16:00 | 06/04/2021
08:00 | 05/03/2021
09:00 | 28/03/2024
Trong thông báo mới nhất gửi đến nhà đầu tư chiều ngày 27/3, chứng khoán VNDirect cho biết hệ thống đã được khôi phục và đang tiến hành rà soát, đánh giá hệ thống để đảm bảo tuyệt đối về an toàn an ninh cho khách hàng giao dịch tại công ty.
14:00 | 23/02/2024
Trong cơn sóng của những tiến bộ về khoa học và công nghệ ngày nay, trí tuệ nhân tạo (AI) đang nổi lên như một công cụ hỗ trợ trong các hoạt động công việc và cuộc sống của chúng ta, đặc biệt là ChatGPT và các ứng dụng chatbot khác dựa trên mô hình ngôn ngữ lớn (LLM). Khi công nghệ AI trở nên phát triển và phổ biến hơn, mọi người phải đối mặt với nhiều vấn đề về bảo mật và quyền riêng tư hơn, những thách thức này đặt ra những vấn đề trong việc quản lý, sử dụng và khai thác hiệu quả đối với các nền tảng AI. Trong bài viết này sẽ xem xét những tác động của AI ảnh hưởng đến an ninh mạng trong năm 2023 dựa trên báo cáo mới đây của hãng bảo mật Kaspersky.
09:00 | 13/02/2024
Các cuộc tấn công APT (Advanced Persistent Threat) hiện nay là một trong những mối đe dọa nguy hiểm nhất vì chúng sử dụng các công cụ và kỹ thuật phức tạp, đồng thời thường nhắm đến những đối tượng, mục tiêu có giá trị và khó phát hiện. Trong bối cảnh căng thẳng địa chính trị leo thang, những cuộc tấn công mạng tinh vi này thậm chí trở nên khó lường hơn. Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) đã tiến hành giám sát một số nhóm tin tặc APT, phân tích xu hướng và dự đoán hoạt động trong tương lai để đón đầu bối cảnh mối đe dọa ngày càng gia tăng. Trong bài báo này sẽ đưa ra dự đoán xu hướng các mối đe dọa APT trong năm 2024 dựa trên báo cáo của GReAT.
07:00 | 18/01/2024
Cơ quan An ninh mạng và Cơ sở hạ tầng của Mỹ (CISA) đã thêm hai lỗ hổng vào Danh sách các lỗ hổng bị khai thác đã biết (KEV), bao gồm lỗ hổng CVE-2023-7024 được vá gần đây trong Google Chrome và lỗ hổng CVE-2023-7101 ảnh hưởng đến thư viện Perl nguồn mở để đọc thông tin trong tệp Excel có tên Spreadsheet::ParseExcel.
Chiều 17/4, tại Hà Nội diễn ra Lễ công bố quyết định và trao tặng Bằng khen của Viện trưởng Viện Kiểm sát nhân dân tối cao đối với tập thể, cá nhân Cục Cơ yếu Đảng - Chính quyền (Ban Cơ yếu Chính phủ), vì đã có thành tích xuất sắc trong việc xây dựng Quy chế phối hợp giữa Viện Kiểm sát nhân dân tối cao và Ban Cơ yếu Chính phủ.
16:00 | 19/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Ngày 03/4 vừa qua, Microsoft và công ty điện toán Quantinuum đưa ra thông báo về việc hai công ty này đã đạt được thỏa thuận then chốt trong quá trình phát triển các máy tính lượng tử khả thi về mặt thương mại.
12:00 | 12/04/2024