Sau gần một năm thử nghiệm, tới nay, nền tảng tìm kiếm lỗ hổng bảo mật của Viettel Cyber Security đã triển khai được 20 chương trình, thu hút hơn 200 chuyên gia nghiên cứu hàng đầu tại Việt Nam. Mặc dù, đây không phải là chương trình đầu tiên xuất hiện tại Việt Nam, nhưng đến thời điểm hiện tại, có thể đánh giá đây là một trong những chương trình tìm kiếm lỗ hổng phổ biến và thu hút nhiều “hacker mũ trắng” nhất Việt Nam.
PV: Nền tảng tìm kiếm lỗ hổng bảo mật không còn mô hình mới trên thế giới. Tuy nhiên, mô hình này lại có sự phát triển kém lạc quan tại Việt Nam, ông lý giải điều này như thế nào?
Ông Dương Văn Khôi: Đầu tiên, tôi có thể khẳng định, Việt Nam sở hữu rất nhiều các chuyên gia có trình độ cao, uy tín trong lĩnh vực bảo mật và an toàn thông tin (ATTT) trong nước và trên thế giới. Thực tế đã chứng minh điều này khi có rất nhiều chuyên gia Việt được vinh danh trên các bảng xếp hạng tìm kiếm lỗ hổng của các tổ chức lớn trên toàn cầu. Tại VCS, chúng tôi có những chuyên gia được vinh danh Top 100 cao thủ bảo mật thế giới năm 2018 hay xếp thứ hạng cao trong bảng vinh danh của các hãng bảo mật lớn như Facebook, Microsoft, HackerOne…
Tuy nhiên, mô hình tìm kiếm lỗ hổng ở nước ta còn rất mới mẻ với các tổ chức/doanh nghiệp (TC/DN) trong nước. Điều này là nguyên nhân dẫn đến mô hình này chưa phát triển mạnh mẽ. Bởi các TC/DN còn vẫn còn giữ những quan niệm cũ về giữ uy tín, lộ lọt thông tin… Bên cạnh đó, nhiều nền tảng tìm kiếm lỗ hổng sau một thời gian triển khai chưa bám sát với thực tế, số lượng chương trình hạn chế, chính sách trả thưởng chưa hấp dẫn. Khi sân chơi chưa đủ lớn thì việc các chuyên gia Việt đi tìm kiếm các lỗ hổng trên thế giới là điều khó tránh khỏi.
PV: Chúng ta đang nói nhiều về chuyển đổi số, Cách mạng công nghiệp lần thứ tư, Chính phủ điện tử… thì mối quan tâm về bảo mật và an toàn thông tin cũng gia tăng. Theo ông, SafeVuln đứng ở vị trí nào trong bức tranh này?
Ông Dương Văn Khôi: Trước các mối đe dọa về an ninh thông tin ngày càng gia tăng, thì vấn đề đảm bảo ATTT cho các TC/DN ngày càng trở nên cấp thiết. Trong đó, công nghệ không phải là biện pháp đảm bảo an toàn tuyệt đối cho TC/DN, mà cần có cách tiếp cận đồng bộ các yếu tố: quy trình, công nghệ và con người.
Trong bức tranh này, SafeVuln là giải pháp tác động cả 3 yếu tố cốt lõi. Về mặt quy trình, các TC/DN có thể cung cấp các sản phẩm, dịch vụ trong và sau quá trình cung ứng. Thông tin lỗ hổng được phát hiện sẽ giúp TC/DN hoàn thiện các sản phẩm, dịch vụ. Từ đó tác động đến yếu tố công nghệ trong chính sản phẩm đó. Bên cạnh đó, SafeVuln tạo ra sân chơi cho cộng đồng, giúp nâng cao trình độ chuyên môn của các chuyên gia ATTT. Điều này đóng góp vào việc kiến tạo một xã hội số an toàn. Hiện nay, Viettel là 1 trong những đơn vị tiên phong trong việc trả thưởng cho chuyên gia tìm ra lỗ hổng cho các sản phẩm của mình.
Giao diện nền tảng tìm kiếm lỗ hổng SafeVuln
PV: Như vậy, SafeVuln sẽ phù hợp với các TC/DN nào? Các chương trình của SafeVuln có giới hạn với các sản phẩm, dịch vụ nào không?
Ông Dương Văn Khôi: SafeVuln là nền tảng linh hoạt phù hợp với mọi ứng dụng công nghệ thông tin, đặc biệt là các sản phẩm, dịch vụ được công khai trên Internet của các TC/DN. Mô hình này được tùy biến để phù hợp với hành lang pháp lý, quy mô của các TC/DN, chuyên gia tại Việt Nam.
Đặc biệt, SafeVuln góp phần thúc đẩy làn sóng “Make in Vietnam”. Bởi chúng tôi tâm niệm: Xây dựng nền móng an ninh mạng Việt Nam từ chính người Việt.
PV: SafeVuln cam kết sẽ là nền tảng tìm kiếm lỗ hổng bảo mật công khai – minh bạch – trách nhiệm. Ông có thể cho biết điều đặc biệt nào làm nên cam kết này?
Ông Dương Văn Khôi: SafeVuln minh bạch trong mô hình triển khai, với 2 loại chương trình trao thưởng công khai và bí mật. Ngoài quy định chung của Safevuln, mỗi chương trình sẽ có chính sách riêng do TC/DN quy định bao gồm: các quy định về tiền thưởng, phạm vi tìm lỗ hổng… Tất các các nhà nghiên cứu khi tham gia phải tuân thủ quy định này. Quyết định trao thưởng cho lỗ hổng thuộc về TC/DN vì chỉ có họ mới hiểu được lỗ hổng đó có tác động như thế nào tới hệ thống, tổ chức của mình.
Khi xảy ra tranh chấp, VCS sẽ dựa vào chính sách của chương trình được quy định từ trước để giải quyết. SafeVuln không thiết kế các chức năng xóa, những thay đổi trong dữ liệu đều được lưu lại, để đảm bảo cho việc truy vết. Điều này sẽ đảm bảo công bằng cho chuyên gia và TC/DN.
Nếu các TC/DN không thừa nhận hay âm thầm vá lỗ hổng, thì VCS sẽ dựa trên những bằng chứng trong báo cáo lỗ hổng để buộc TC/DN trả thưởng theo đúng quy định. Vì thế ở phía các chuyên gia, chúng tôi khuyến khích các nhà nghiên cứu đưa ra các bằng chứng cụ thể, chi tiết chứng minh về lỗ hổng.
Bên cạnh đó, để tránh trùng lặp lỗ hổng, SafeVuln hỗ trợ chuyên gia có thể thấy được tiêu đề, loại lỗi, thời gian gửi của báo cáo bị trùng lặp. Trong thời gian tới, chúng tôi sẽ phát triển thêm tính năng cho phép chuyên gia xem được nhiều nội dung hơn của báo cáo trùng lặp nhằm tăng tính minh bạch.
PV: Bên cạnh chế độ tiền thưởng, các chuyên gia sẽ có những quyền lợi gì khi tham gia SafeVuln?
Ông Dương Văn Khôi: Hiện tại, SafeVuln tính điểm cho mỗi chuyên gia dựa trên các báo cáo hợp lệ theo mức độ nghiêm trọng của lỗ hổng và vinh danh trên bảng xếp hạng. Bên cạnh đó, dựa trên một số tiêu chí, chúng tôi sẽ đề xuất một số lượng hạn chế các chuyên gia đủ tiêu chuẩn để mời vào các chương trình tìm kiếm lỗ hổng riêng tư.
PV: Cảm ơn chia sẻ của ông!
Đ.T
17:00 | 30/09/2020
14:00 | 29/10/2020
10:00 | 04/10/2020
12:00 | 12/04/2024
Ngày 03/4 vừa qua, Microsoft và công ty điện toán Quantinuum đưa ra thông báo về việc hai công ty này đã đạt được thỏa thuận then chốt trong quá trình phát triển các máy tính lượng tử khả thi về mặt thương mại.
09:00 | 12/12/2023
Không gian mạng đã và đang trở thành một phần không thể tách rời của cuộc sống, đặc biệt đối với trẻ em là những đối tượng đang sử dụng công nghệ trong học tập và sinh hoạt hàng ngày. Tuy nhiên hiện nay các tác nhân độc hại, những mối nguy hiểm luôn thường trực đối với trẻ em khi sử dụng internet hàng ngày mà cha mẹ không thể kiểm soát hết được. Một trong những thách thức hàng đầu của cha mẹ hiện nay là việc tìm kiếm các công cụ hỗ trợ để đồng hành cùng con trên môi trường mạng. Dưới đây là một số giải pháp hỗ trợ bảo vệ trẻ em trên môi trường mạng hiện có tại Việt Nam mà các bậc phụ huynh, thầy cô giáo có thể tham khảo.
13:00 | 14/11/2023
WhatsApp đã bắt đầu triển khai tính năng bảo mật mới trong dịch vụ nhắn tin của mình có tên “Protect IP Address in Calls”. Tính năng này đảm bảo rằng địa chỉ IP người dùng WhatsApp không hiển thị với các bên khác trong cuộc gọi.
10:00 | 10/11/2023
Meta - Công ty sở hữu mạng xã hội Facebook cho biết, sẽ cấm các quảng cáo chính trị sử dụng những công cụ quảng cáo trang bị công nghệ trí tuệ nhân tạo (AI).
Công ty được mệnh danh là “Google của Trung Quốc” - Baidu cho biết chatbot AI của hãng này, Ernie Bot đã có hơn 200 triệu người dùng trong bối cảnh cạnh tranh ngày càng khốc liệt.
19:00 | 30/04/2024