So với On-premise software (phần mềm truyền thống), không thể phủ nhận mô hình SaaS có nhiều ưu điểm vượt trội như chi phí đầu tư thấp, tiết kiệm thời gian phát triển cũng như triển khai, lại dễ dàng hơn trong việc nâng cấp và tùy biến. Tuy nhiên, do được phân phối trên nền tảng web, SaaS cũng ẩn chứa nhiều rủi ro bảo mật hơn phần mềm truyền thống, đặc biệt là các rủi ro với nhà phát hành (SaaS provider). Sau đây là bảy rủi ro bảo mật thường gặp nhất đối với mô hình SaaS.
>>> Case Study bảo mật phần mềm SaaS của GetFly CRM
I. Bảy rủi ro bảo mật SaaS thường gặp
1. Phishing
Phishing là việc xây dựng những hệ thống lừa đảo nhằm đánh cắp các thông tin nhạy cảm, như tên đăng nhập, mật khẩu hay thông tin về các loại thẻ tín dụng của người dùng. Tin tặc sẽ giả danh một tổ chức/doanh nghiệp đáng tin cậy để thực hiện hình thức lừa đảo này. Phishing thường được thực hiện qua email, tin nhắn nhanh và thường tập trung lừa người dùng nhập thông tin cá nhân vào một form hay click vào một đường dẫn của website lừa đảo.
Ngày nay, phishing đã phát triển thành các cuộc tấn công dựa trên điện toán đám mây khi có ngày càng nhiều các doanh nghiệp có xu hướng dùng các ứng dụng gửi email SaaS (ví dụ: Office 365 hoặc G Suite) và các ứng dụng năng suất khác. Các ứng dụng sử dụng điện toán đám mây đã mở ra một chân trời mới cho hình thức lừa đảo này vì người dùng cần xác thực để truy cập vào tài khoản của họ và hệ thống xác thực lại được điều khiển thông qua các giao thức như OAuth – một mục tiêu dễ dàng xâm nhập đối với tin tặc.
Ví dụ: tin tặc đã từng nhắm vào Office365 với các cuộc tấn công lừa đảo rất tinh vi – bao gồm baseStriker, ZeroFont và PhishPoint – để vượt qua các tầng bảo mật của Microsoft. Nhiều cổng email an toàn, chẳng hạn như Mimecast, cũng không thể ngăn chặn các email lừa đảo này.
2. Tấn công chiếm đoạt tài khoản
Tấn công chiếm đoạt tài khoản ATO (Account Takeover attack) bao gồm các hành vi xâm phạm thông tin đăng nhập của người dùng thông qua các chiến dịch lừa đảo thông tin hoặc mua thông tin đăng nhập từ một bên thứ ba trên Dark Web. Sau đó, tin tặc sẽ tận dụng các thông tin bị đánh cắp để có được quyền truy cập bổ sung hoặc sử dụng các đặc quyền leo thang. Một tài khoản bị xâm nhập có thể sẽ không được phát hiện trong một thời gian dài hoặc hoàn toàn không bao giờ được phát hiện.
3. Đánh cắp dữ liệu
Nguy cơ bị đánh cắp dữ liệu luôn là một trong những mối quan tâm hàng đầu của các doanh nghiệp khi chuyển sang lưu trữ dữ liệu trên điện toán đám mây.
Sử dụng phần mềm SaaS đồng nghĩa với việc chấp nhận di chuyển và lưu trữ dữ liệu bên ngoài trung tâm dữ liệu của công ty, nơi bộ phận IT không có quyền kiểm soát và quản lý, nhưng vẫn phải chịu trách nhiệm bảo mật cho kho dữ liệu này.
Dữ liệu được lưu trữ trong ứng dụng SaaS có thể là dữ liệu khách hàng, thông tin tài chính, nhận dạng cá nhân thông tin (PII) và sở hữu trí tuệ (IP). Tin tặc thường khởi xướng một cuộc tấn công có chủ đích hoặc khai thác các lỗ hổng bảo mật để làm lộ dữ liệu.
4. Mất kiểm soát dẫn đến truy cập trái phép
Một rủi ro khác khi chuyển sang điện toán đám mây là bộ phận IT của nhà cung cấp phần mềm không còn toàn quyền quản lý quyền và giới hạn truy cập của từng người dùng. Ngoài ra, nhân viên công ty cũng có thể vô tình xóa dữ liệu dẫn đến mất dữ liệu hoặc lộ dữ liệu nhạy cảm cho người dùng trái phép dẫn đến rò rỉ dữ liệu.
5. Sự ra đời của các malware mới hoặc lỗ hổng zero-days
Các ứng dụng SaaS, đặc biệt là dịch vụ lưu trữ và chia sẻ dữ liệu (ví dụ: Dropbox, Box, OneDrive, v.v.), đã trở thành một trong những mục tiêu hàng đầu cho việc truyền bá ransomware và khai thác những lổ hổng zero-day. Theo Bitlass, 44% các tổ chức được quét có chứa ít nhất một phần mềm độc hại trong những ứng dụng sử dụng điện toán đám mây của họ. Các cuộc tấn công vào các ứng dụng SaaS rất khó để phát hiện và ngăn chặn vì những cuộc tấn công này thường được thực hiện trong âm thầm.
Một lợi thế của việc sử dụng các ứng dụng SaaS là các tệp và dữ liệu sẽ tự động đồng bộ hóa trên các thiết bị. Đây cũng chính là lợi thế cho tin tặc. Chúng sẽ chỉ cần tải lên một file PDF hoặc Office có chứa mã độc lên các ứng dụng SaaS có chức năng chia sẻ, lưu trữ dữ liệu và các tính năng đồng bộ hóa sẽ làm phần còn lại.
6. Kiểm toán trách nhiệm xã hội
Các nhiệm vụ của chính phủ, bao gồm việc bảo vệ dữ liệu cho công dân như GDPR và các quy định cho các ngành như chăm sóc sức khỏe (HIPAA), bán lẻ (PCI DSS) và tài chính (SOX) yêu cầu doanh nghiệp tích hợp các công cụ kiểm toán và tiến hành báo cáo thường xuyên để chứng minh sự tuân thủ pháp luật trong việc bảo vệ dữ liệu. Điều này đòi hỏi doanh nghiệp phải đảm bảo các dữ liệu nhạy cảm được bảo mật, triển khai ghi lại nhật ký hoạt động của người dùng và thực hiện kiểm toán trên tất cả các ứng dụng được phê duyệt.
7. Các mối đe dọa đến từ bên trong doanh nghiệp
Khi nói đến bảo mật SaaS, chính nhân viên công ty lại thường là mắt xích yếu nhất. Những sơ suất của nhân viên rất có thể dẫn đến các cuộc tấn công nội gián và là một trong những rủi ro hàng đầu đối với doanh nghiệp. Những rủi ro này không liên quan đến việc đặt mật khẩu yếu, bị mất thông tin đăng nhập hoặc máy tính xách tay. Nó liên quan đến việc dữ liệu được lưu trữ trên điện toán đám mây và có thể được chia sẻ, truy cập bằng bất cứ một thiết bị nào tại bất kỳ đâu.
Mặt tối của các mối đe dọa nội bộ khác bao gồm cả những nhân viên có ý định xấu. Những người trong cuộc, ví dụ như nhân viên IT và quản trị viên có thể lạm dụng quyền truy cập được ủy quyền của họ vào mạng, các hệ thống và dữ liệu của công ty và gây ra thiệt hại có chủ ý hoặc làm mất thông tin
II. Bug Bounty – Giải pháp bảo mật SaaS hiệu quả
Bug Bounty là một trong những phương pháp hiệu quả nhất trong việc giảm thiểu rủi ro về bảo mật cho doanh nghiệp, đặc biệt đối với mô hình phần mềm dịch vụ SaaS. Giải pháp này đã được áp dụng bởi nhiều doanh nghiệp lớn trên thế giới như Google, Microsoft, booking.com, AliExpress,… để bảo mật sản phẩm SaaS.
Tại Việt Nam, Bug Bounty đang dần trở thành xu thế và được ứng dụng bởi các doanh nghiệp đi đầu trong việc cung cấp nền tảng công nghệ về du lịch, giáo dục, y tế, tài chính – ngân hàng, thương mại điện tử..
Một case study điển hình cho việc áp dụng Bug Bounty để bảo mật phần mềm dịch vụ Saas có thể kể đến GetFly CRM. Đây là một trong những startup cung cấp giải pháp CRM trên nền tảng website hàng đầu tại Việt Nam tính tới thời điểm hiện tại. Trong vòng chưa đầy một tháng, cộng đồng 500+ chuyên gia giàu kinh nghiệm của WhiteHub Bug Bounty đã giúp GetFly tìm và vá được 32 lỗ hổng bảo mật, trong đó có nhiều lỗ hổng đã tồn tại trong hệ thống một khoảng thời gian dài mà chưa được phát hiện.
WhiteHub là nền tảng Bug Bounty đầu tiên tại Việt Nam giúp kết nối doanh nghiệp và cộng đồng hơn 500 chuyên gia giàu kinh nghiệm. Kinh nghiệm triển khai Bug Bounty cho: VNtrip, VinID, Giaohangtietkiem, Luxstay, Finhay, Getfly, Sendo và nhiều doanh nghiệp khác.