8 phút để đọc
Bug Bounty là một chương trình bảo mật mà doanh nghiệp hợp tác với cộng đồng chuyên gia để kiểm thử cho các sản phẩm công nghệ. Đây là hình thức bảo mật được ưa chuộng trên thế giới do tính hiệu quả và tối ưu chi phí.
Tuy nhiên, vẫn còn tồn tại những lầm tưởng về Bug Bounty khiến nhiều doanh nghiệp Việt còn nghi ngại và chưa sẵn sàng đón nhận loại hình bảo mật này. Bài viết dưới đây phân tích 7 lầm tưởng thường gặp về chương trình Bug Bounty tại Việt Nam.
1. Bug Bounty làm tăng khả năng hệ thống bị hack
“Hacker trong chương trình Bug Bounty sẽ khai thác lỗi họ tìm thấy để trục lợi”
Đây là nỗi lo của một vài CTO tại Việt Nam, khiến họ chưa tự tin triển khai Bug Bounty cho doanh nghiệp của mình.
Mối bận tâm này không phải không có cơ sở. Khi một chuyên gia (hacker mũ trắng) tìm được lỗ hổng trong hệ thống của doanh nghiệp, rõ ràng không ai có thể hoàn toàn kiểm soát được việc họ sẽ làm: báo cáo lại cho doanh nghiệp để nhận tiền thưởng, hay khai thác nó để tống tiền doanh nghiệp đòi nhiều lợi ích hơn.
Tuy nhiên, để trả lời câu hỏi “Liệu rằng các hacker tham gia Bug Bounty sẽ khai thác lỗ hổng hay báo cáo nó?” Thì phải xét đến các yếu tố sau:
- Điều khoản bảo mật: Nền tảng Bug Bounty luôn có các chính sách ràng buộc Chuyên gia với các nghĩa vụ họ phải tuân thủ để bảo đảm sự an toàn thông tin chương trình.
- Rủi ro pháp lý: Khi hack vào một hệ thống mà chưa có sự cho phép, Nhà nghiên cứu đứng trước các nguy cơ bị kiện cáo, buộc tội, bắt phải bồi thường, và chịu trách nhiệm hình sự trước pháp luật.
- Quản lý hồ sơ chuyên gia: Các nền tảng Bug Bounty như WhiteHub đều kiểm duyệt chặt chẽ các hồ sơ của Nhà nghiên cứu tham gia hack.
- Danh tiếng: Các Hacker mũ trắng tham gia vào nền tảng Bug Bounty để tạo dựng danh tiếng, nhằm đạt được những bước tiến lớn hơn trong sự nghiệp. Đó là lí do họ sẽ không vì một khoản tiền trước mắt mà đánh mất danh tiếng của bản thân đã xây dựng bấy lâu.
- Chương trình Bug Bounty bí mật: Đây là một loại chương trình Bug Bounty trên nền tảng WhiteHub, cho phép doanh nghiệp lựa chọn những chuyên gia uy tín nhất tham gia tìm lỗi. Nếu triển khai chương trình này, doanh nghiệp sẽ được đảm bảo tối đa về tính bảo mật cho hệ thống.
Từ những yếu tố trên, có thể thấy động lực thúc đẩy các Bug Bounty Hunter khai thác lỗ hổng trong khi tham gia chương trình Bug Bounty là hầu như không có. Bởi vô vàn những rào cản về đạo đức, danh tiếng, pháp lý bủa vây. Ngay cả khi lòng tham của hacker trỗi dậy, họ vẫn phải đối mặt với các yếu tố khách quan ngăn cản họ khỏi việc trục lợi cá nhân như.
Hơn nữa, hình thức kiểm thử là Black Box Pentest (chuyên gia tấn công giả định từ bên ngoài vào mà không được cung cấp bất kỳ thông tin nào). Điều này có nghĩa, nếu một kẻ xấu có ý định tấn công doanh nghiệp, thì họ hoàn toàn có thể tấn công mà không cần thông qua chương trình Bug Bounty.
“Bug Bounty không tạo ra thêm rủi ro. Bản thân rủi ro luôn tồn tại cho dù có Bug Bounty hay không. Và WhiteHub mang lại cơ hội để bảo mật tốt hơn cho doanh nghiệp.”
Nguyễn Hữu Trung – Nhà sáng lập WhiteHub Bug Bounty.
2. Startup và doanh nghiệp nhỏ không cần Bug Bounty
Thực tế cho thấy, Startup và doanh nghiệp vừa và nhỏ (SME) mới
là mục tiêu tấn công hấp dẫn đối với tội phạm mạng. Lí do đến từ việc hệ thống
IT chưa được bảo vệ kỹ càng, còn tồn tại nhiều điểm yếu. Thông qua những lỗ hổng
bảo mật đó, kẻ xấu có thể khai thác – tấn công – xâm phạm dữ liệu của startup
và SME.
Đối với những startup tăng trưởng dựa vào công nghệ (website,
mobile app) hoặc những SME vận hành bằng hệ thống CNTT thì vấn đề càng trở nên
rõ nét. Khi đó, một chương trình Bug Bounty sẽ giúp Startup/ SME phát hiện và
khắc phục các lỗ hổng bảo mật còn tồn tại, khiến cho tội phạm mạng có muốn cũng
không thể tấn công được.
3. Chi phí thực hiện cao
Nhiều người e ngại chưa triển khai Bug Bounty vì nghĩ rằng chi phí cao. Điều này là không đúng. Ngược lại, Bug Bounty được xem là một giải pháp bảo mật với chi phí tối ưu hơn nhiều so với Kiểm thử truyền thống.
Mô hình chi phí của Bug Bounty là result-driven (tính phí dựa trên kết quả). Vì thế có thể đảm bảo “từng đồng bỏ ra đều xứng đáng”.
- Dịch vụ Pentest truyền thống: Trả một khoản
tiền lớn để một đội ngũ thực hiện kiểm thử cho website, app, hoặc hệ thống mạng.
Số tiền đó có xứng đáng hay không phụ thuộc vào việc các chuyên gia kiểm thử
(pentester) có tìm được nhiều lỗ hổng có ý nghĩa hay không. - Chương trình Bug Bounty: Tất cả các
chuyên gia thực hiện tìm lỗi và báo cáo cho DN. Nếu lỗi hợp lệ, có ảnh hưởng tới
doanh nghiệp => Thực hiện trao thưởng. Tiền thưởng nhiều hay ít phụ thuộc
vào mức độ nghiêm trọng (severity) của lỗi đó.
Với hình thức tính phí như vậy, Bug Bounty luôn mang lại hiệu
quả bảo mật cao nhất với chi phí tối ưu. Giúp doanh nghiệp tối ưu hiệu quả
đầu tư cho bảo mật (security ROI optimized).
Hơn nữa, doanh nghiệp có quyền quyết định ngân sách chi cho
Bug Bounty để phù hợp với nhu cầu, tình hình, quy mô của tổ chức. Điều này rất
có lợi cho các startup công nghệ, họ có thể vừa cập nhật – phát triển sản phẩm,
vừa nhận các báo cáo lỗ hổng với một chi phí phù hợp.
4. Pentest rồi thì không cần Bug Bounty
Một số doanh nghiệp đã thực hiện pentest (kiểm thử xâm nhập)
và cho rằng Bug Bounty là không cần thiết. Tuy nhiên điều này đi ngược lại lời
khuyên của các chuyên gia bảo mật. Bởi lẽ, Bug Bounty có thể coi là một lớp bảo
mật tăng cường sau khi thực hiện Pentest.
Với mỗi hợp đồng kiểm thử, nhóm Pentester sẽ thực hiện tìm lỗ
hổng trong hệ thống của DN. Tuy nhiên họ gặp phải giới hạn về nguồn lực và thời
gian, nên không tránh khỏi trường hợp bỏ sót những lỗ hổng phức tạp. Đó là lúc
Bug Bounty phát huy hiệu quả. Triển khai Bug Bounty sau pentest sẽ đảm bảo các
lỗ hổng từ đơn giản tới phức tạp sẽ được tìm thấy và khắc phục, nâng hiệu quả bảo
mật DN lên mức cao nhất.
Mặt khác, nếu triển khai Pentest đã “quá tốt”, thì doanh
nghiệp cũng sẽ không tốn tiền khi triển khai Bug Bounty theo sau. Bởi vì theo
mô hình này, DN chỉ phải trả tiền khi có lỗ hổng được tìm thấy.
>> So sánh Crowdsourced Security với Pentest truyền thống.
5. Giảm mức độ nghiêm trọng của lỗi để trả thưởng thấp hơn
Trong các chương trình Bug Bounty, số tiền thưởng cho chuyên gia nhiều hay ít phụ thuộc vào mức độ nghiêm trọng của lỗ hổng mà họ tìm thấy. Dựa vào điều này, một vài nhà quản lý có xu hướng “làm giảm nhẹ mức độ nghiêm trọng của lỗ hổng” để tiết kiệm một chút chi phí trả thưởng.
Ý tưởng này tưởng chừng có lợi, nhưng thực tế lại rất có hại cho chính doanh nghiệp. Bởi vì mỗi báo cáo lỗ hổng gửi tới doanh nghiệp, đã bao gồm rất nhiều công sức của chuyên gia trong đó. Chưa nói tới tiền thưởng nhiều hay ít, không ai có thể bình tĩnh khi thấy công sức của mình bị đánh giá thấp.
Những người quản lý sẽ hiểu điều này nhất: khi một nhân viên làm việc tốt nhưng không được tưởng thưởng xứng đáng, họ sẽ có xu hướng bất mãn, chán nản, cuối cùng là nghỉ việc. Các chuyên gia cũng vậy, họ cũng là con người, họ cần sự công nhận xứng đáng. Chính vì thế, việc không công nhận công sức và trả thưởng xứng đáng cho chuyên gia có thể gây ra ác cảm với thương hiệu, gián tiếp ảnh hưởng tới chương trình Bug Bounty.
Theo khảo sát của WhiteHub, tiền thưởng không phải vấn đề
ưu tiên hàng đầu của 60% chuyên gia thuộc Top 30 WhiteHub Leaderboards. Lí do
khiến họ săn bug là cảm giác được chinh phục thử thách, và công sức được công
nhận.
6. Tự tổ chức Bug Bounty thay vì tìm đến một bên thứ Ba.
Để một chương trình Bug Bounty thành công, đạt được mục đích
là phát hiện nhiều lỗi bảo mật, thì chương trình phải thu hút được đủ số lượng
chuyên gia tài năng tham gia.
Vì vậy, nếu doanh nghiệp của bạn danh tiếng như Google hay Facebook, hoặc bạn có quan hệ sâu rộng với cộng đồng Pentester thì việc tự triển khai Bug Bounty sẽ thu được kết quả khả quan. Ngược lại, bạn sẽ cần rất nhiều công sức – tiền bạc – hoặc thời gian để xây dựng mối quan hệ nhằm thu hút các hacker mũ trắng tham gia tìm lỗi. Nếu tham gia vào một nền tảng Bug Bounty đã có sẵn một cộng đồng hàng trăm chuyên gia bảo mật, thì bài toán thu hút nhân tài sẽ được giải quyết.
Ngoài ra, các vấn đề về thủ tục triển khai, nhân lực điều phối,
giám sát báo cáo lỗ hổng cũng là lí do khiến ngày càng nhiều doanh nghiệp lựa
chọn các nền tảng Bug Bounty bên thứ Ba để giúp họ triển khai chương trình “Săn
lỗi nhận thưởng”.
Một số doanh nghiệp tiêu biểu triển khai Bug Bounty với WhiteHub: Giaohangtietkiem, VinGroup, VNtrip, VNDC, Finhay, Luxstay, Getfly,… Xem thêm Case Studies
7. Bug Bounty bảo vệ doanh nghiệp an toàn tuyệt đối
Mặc dù Bug Bounty là một bước tiến mới trong bảo mật, nó giúp doanh nghiệp giảm thiểu khả năng bị tội phạm mạng tấn công khai thác lỗ hổng kỹ thuật. Nhưng Bug Bounty không phải tất cả, nó không thể giúp bạn phòng tránh được các cuộc tấn công nhắm vào con người, hoặc các cuộc vi phạm dữ liệu tới từ chính nội bộ doanh nghiệp.
Là một nhà lãnh đạo thông minh, bạn cần thực hiện các biện pháp bảo mật ở nhiều tầng, nhiều góc độ khác nhau để đạt hiệu quả bảo mật cao nhất. Quan trọng hơn hết, cần xây dựng một khung an ninh mạng (security framework) bao gồm nhiều khía cạnh như máy móc, thiết bị, giải pháp, con người… để có thể phòng tránh, giảm thiểu rủi ro tốt nhất. Bên cạnh đó, luôn dự trù các biện pháp xử lí phòng khi không may xảy ra các sự cố an ninh mạng.
