Bug Bounty là một chương trình bảo mật mà các doanh nghiệp kết nối với cộng đồng chuyên gia để tìm lỗ hổng bảo mật trong sản phẩm. Với mỗi lỗi tìm ra, doanh nghiệp sẽ trao một khoản tiền thưởng cho người tìm thấy lỗi. Đây là một hình thức bảo mật nhận được nhiều sự quan tâm của các tổ chức, doanh nghiệp hiện nay bởi tính hiệu quả và tối ưu chi phí. Vậy, Bug Bounty là gì, tác dụng như thế nào? Cùng tìm hiểu những kiến thức cơ bản về Bug Bounty và lợi ích mà nó mang lại cho doanh nghiệp trong bài viết sau đây.
I. Tổng quan về Bug Bounty
1. Bug Bounty là gì?
Bug Bounty (tạm dịch Săn lỗi nhận tiền thưởng) là một chương trình bảo mật được công bố bởi các tổ chức, doanh nghiệp hoặc bên thứ 3 nhằm thu hút cộng đồng dò tìm và báo cáo lỗ hổng bảo mật (bug) trong các sản phẩm công nghệ. Trong đó, các khoản tiền thưởng (bounty) sẽ được trao cho những người tìm ra lỗi.
Một chương trình bug bounty tiêu chuẩn sẽ bao gồm 3 đối tượng chính:
- Đơn vị tổ chức Bug Bounty: thường là các doanh nghiệp, tổ chức hoặc bên thứ 3. Đây là đơn vị chịu trách nhiệm thiết kế & công bố chương trình Bug Bounty, đồng thời trao thưởng cho chuyên gia tìm được lỗi.
- Sản phẩm cần tìm lỗi: có thể là website, mobile app, IoT, API, phần mềm máy tính, phần mềm dịch vụ – SaaS,…
- Chuyên gia: là những người tham gia tìm lỗi trong chương trình Bug Bounty. Họ là những chuyên gia an ninh mạng, tư vấn bảo mật cho các tổ chức, cũng có thể là một pen-tester, một hacker mũ trắng hay một sinh viên ATTT tài năng.
Phần thưởng có thể là tiền mặt, bằng khen, quà lưu niệm, sự công nhận,… nhưng phổ biến nhất vẫn là tiền mặt. Tiền thưởng nhiều hay ít tùy thuộc vào mức độ nghiêm trọng & tầm ảnh hưởng của lỗi bảo mật tới người dùng và chính doanh nghiệp.
2. Bug Bounty có tác dụng gì?
Mục đích của chương trình Bug Bounty là dò tìm ra nhiều lỗ hổng bảo mật nhất có thể, từ đó khắc phục – sửa chữa các lỗ hổng đó trước khi tin tặc phát hiện ra. Việc này giúp phòng tránh kẻ xấu khai thác các lỗ hổng bảo mật dẫn tới nhiều hậu quả khôn lường.
3. Bug và Vulnerability là gì?
Bug là các lỗi khiến một hệ thống, chương trình, phần mềm hoạt động không bình thường. Đôi khi bug cũng ám chỉ lỗi tồn tại trong các dòng lệnh (code) của một ứng dụng. Trong chương trình Bug Bounty, “bug” thường ám chỉ tới những lỗi bảo mật (vulnerability). Đây là những lỗ hổng hay điểm yếu bảo mật trong hệ thống, chương trình, phần mềm có thể bị kẻ xấu tấn công khai thác và gây ra nhiều hậu quả nghiêm trọng. Vulnerability có thể phát sinh ở cả khâu thiết kế và vận hành.
4. Bug Bounty Hunter
Bug Bounty Hunter (thợ săn tiền thưởng Bug Bounty) là những người thường xuyên tham gia vào các chương trình bug bounty để tìm lỗi và nhận thưởng. Họ có thể là một pen-tester, hacker mũ trắng, nhà nghiên cứu an ninh mạng độc lập, hay một sinh viên An toàn thông tin xuất sắc.
Họ yêu thích công việc tìm lỗi và thường tham gia vào nhiều chương trình Bug Bounty khác nhau để tìm kiếm các lỗi bảo mật, vừa thỏa mãn đam mê, vừa có thể kiếm thêm một khoản thu nhập đáng kể.
>> Bảng xếp hạng chuyên gia WhiteHub
5. Kỹ thuật Pen-test (kiểm thử xâm nhập)
Để tìm ra các lỗi bảo mật, các Bug Bounty Hunter cần kỹ năng Pentest (Penetration testing – kiểm thử xâm nhập). Đây là hình thức kiểm tra bảo mật cho sản phẩm công nghệ (web, app, API, IoT,…) bằng cách cố gắng tấn công xâm nhập vào sản phẩm đó để phát hiện ra điểm yếu bảo mật tồn tại trong sản phẩm. Đây là kỹ thuật được sử dụng trong các chương trình Bug Bounty để tìm ra lỗi bảo mật của hệ thống. Người làm nghề kiểm thử được gọi là Pen-tester.
6. Xu hướng Crowdsourcing
Crowdsourcing được ghép bởi 2 từ “crowd” (đám đông) và “source” (nguồn lực), có nghĩa là tận dụng nguồn lực của đám đông. Khác với outsourcing (thuê ngoài), crowdsourcing tận dụng nguồn lực cộng đồng để hoàn thiện một (hoặc một phần) công việc nào đó. Crowdsourcing thường được áp dụng vào những công việc mà đám đông tỏ ra hiệu quả hơn một nhóm người cố định.
Ví dụ: Một trong những start-up crowdsourcing thành công nhất là Waze – ứng dụng cảnh báo tắc đường và tự động lựa chọn lộ trình tốt nhất. Waze cho phép users gửi những thông tin tắc nghẽn từ khắp mọi nơi về trung tâm dữ liệu. Bằng cách xử lý những data này, Waze giúp người dùng app chọn được một lộ trình di chuyển phù hợp nhất. Trong trường hợp này, rõ ràng ứng dụng sẽ không thể thành công nếu không sử dụng nguồn lực cộng đồng.
Lợi thế của crowdsourcing là tính sáng tạo không giới hạn, từ đó mang lại hiệu quả và giúp tiết kiệm chi phí. Xu hướng này đã và đang được ứng dụng vào nhiều ngành nghề khác nhau.
>> Đọc thêm: Liệu Crowdsourced Security có thể thay thế PenTest truyền thống?
7. Bảo mật cộng đồng – crowdsouced security
Bảo mật cộng đồng (Crowdsourced Security) là ứng dụng của mô hình crowdsourcing trong bảo mật thông tin. Đây là hình thức tận dụng nguồn lực đám đông để bảo mật cho một sản phẩm công nghệ thông qua việc tìm lỗ hổng trong sản phẩm.
Các chương trình Bug Bounty là của giải pháp Bảo mật cộng đồng trong thực tế. Ngoài ra, chương trình “Công bố lỗ hổng” – Vulnerability Disclosure Program (VDP) mà ở đó, mọi báo cáo từ các hacker đều là tự nguyện, họ có thể có hoặc không nhận được tiền thưởng cho những báo cáo đó.
Cộng đồng bao gồm các pen-tester, hacker mũ trắng, những nhà nghiên cứu bảo mật tự do… Họ có thể là bất kỳ ai đam mê nghiên cứu bảo mật: một kỹ sư phần mềm, một quản trị viên hệ thống, một nhân viên IT bình thường, hay một sinh viên còn đi học.
II. Lợi ích của Bug Bounty so với dịch vụ Pentest thông thường
1. Tìm được nhiều lỗi hơn
Công việc tìm lỗi cần rất nhiều kỹ năng, kinh nghiệm, sự sáng tạo Pen-tester. Vì thế mô hình bảo mật cộng đồng (crowdsourced security) với hàng trăm, hàng nghìn chuyên gia sẽ mang lại lợi ích lớn hơn so với dịch vụ Pentest chỉ bao gồm một nhóm chuyên gia (khoảng 3-5 người).
Hơn nữa, đối với hầu hết các hợp đồng Pentest thông thường, Pen-tester bị áp lực về thời gian kiểm thử. Điều này phần nào ảnh hưởng tới tính sáng tạo của họ khi tìm lỗi. Ngược lại, các pen-tester tham gia vào nền tảng Bug Bounty bị thúc đẩy bởi sự ganh đua và hứng thú. Tâm lí này khiến cho công việc tìm lỗi đạt được nhiều kết quả khả quan hơn.
Tại WhiteHub, cộng đồng chuyên gia đã đạt hơn 600 chuyên gia. Dự kiến đạt 3000 chuyên gia vào giữa 2020.
2. Tiết kiệm chi phí
Chi phí của các hợp đồng Pentest truyền thống thường cố định và dựa vào uy tín của từng đơn vị cung cấp.
- Điều đó khiến chi phí ban đầu cao, không phù hợp với những doanh nghiệp vừa và nhỏ, startup.
- Đôi khi những lỗ hổng trong báo cáo không thực sự mang lại giá trị cho doanh nghiệp.
Với mô hình tính phí dựa trên kết quả (số lỗ hổng tìm thấy), Bug Bounty giải quyết triệt để các vấn đề trên:
- Doanh nghiệp được hoạch định ngân sách cho chương trình Bug Bounty, và chi phí trả thưởng cho từng loại lỗ hổng, tùy theo mức độ nghiêm trọng.
- Doanh nghiệp sẽ không phải trả tiền khi không tìm thấy lỗi, hoặc các lỗi nằm ngoài phạm vi ảnh hưởng (out of scope).
- Chương trình Bug Bounty có thể được chia thành nhiều giai đoạn thực hiện, phù hợp cho SME, startup cần dàn trải chi phí.
3. Linh hoạt về thời gian
Với các dịch vụ pentest truyền thống, các pen-tester sẽ thực hiện kiểm thử trong một khoảng thời gian cố định (tuần hoặc tháng), sau đó sẽ làm một báo cáo tổng quan. Điều này có thể dẫn tới chậm trễ trong việc vá các lỗ hổng hệ thống.
Ngược lại, Bug Bounty linh hoạt về thời gian, chương trình Bug Bounty cho phép mỗi chuyên gia gửi báo cáo ở ngay tại thời điểm họ tìm thấy lỗ hổng. Lợi thế của cộng đồng là mỗi người có một khung giờ hoạt động khác nhau, vì thế các báo cáo sẽ liên tục được gửi về cho doanh nghiệp để xử lý kịp thời.
4. Đáp ứng được nhu cầu phát triển web, app liên tục
Cuộc chiến thu hút người dùng khiến cho doanh nghiệp phải liên tục cập nhật, cải tiến sản phẩm web, mobile app của mình. Qua đó, các lỗ hổng bảo mật có thể xuất hiện mà bộ phận phát triển (dev) không thể lường trước được. Nếu mỗi lần update app đều sử dụng dịch vụ pentest thì chi phí đội lên quá cao. Nếu chỉ sử dụng phần mềm bảo mật tự động thì không đủ đảm bảo tính an toàn cho sản phẩm.
Một chương trình Bug Bounty sẽ là giải pháp trung gian hoàn hảo. Nó cho phép doanh nghiệp thoải mái lựa chọn phạm vi thực hiện, thời gian đóng – mở chương trình sao cho phù hợp với từng giai đoạn phát triển ứng dụng với chi phí hợp lý.
Chương trình Bug Bounty tính phí dựa trên kết quả nhận được. Vì vậy, nếu bản cập nhật không tạo ra bất kỳ một lỗ hổng nào, doanh nghiệp sẽ không phải trả phí. Ngược lại, nếu có lỗ hổng nghiêm trọng, doanh nghiệp trả tiền cho một kết quả thực tế và xứng đáng.
Ông Nguyễn Hữu Trung – Sáng lập WhiteHub Bug Bounty.
5. Tính tùy biến cao
Các chương trình Bug Bounty cho phép chủ chương trình tùy biến các thông số cho phù hợp với tài chính, thực trạng doanh nghiệp hiện tại:
- Tùy chỉnh phạm vi kiểm thử (công khai hay bí mật).
- Tùy chỉnh tổng ngân sách, tiền thưởng cho từng lỗi.
- Lựa chọn phạm vi kiểm thử cho chương trình Bug Bounty (công khai, bán công khai, bí mật)
- Lựa chọn chuyên gia kiểm thử (Giới hạn ở những chuyên gia tốt nhất).
- Tích hợp báo cáo lỗ hổng vào các phần mềm làm việc phổ biến (trello, slack).
III. Các nền tảng Bug Bounty phổ biến
Xuất phát từ khó khăn của các doanh nghiệp trong việc thu hút nhiều chuyên gia tài năng tham gia vào chương trình Bug Bounty, các nền tảng Bug Bounty thuộc bên thứ ba ra đời.
Nền tảng Bug Bounty (Bug bounty platform) là những đối tác bên thứ ba giúp các doanh nghiệp tổ chức và thu hút nhiều chuyên gia bảo mật tài năng. Các nền tảng Bug Bounty giải quyết 3 bài toán:
- Giúp cho các startup và SME tiếp cận lượng chuyên gia có sẵn trên nền tảng thay vì phải tự gây dựng danh tiếng và tự thu hút chuyên gia. Đọc thêm Vì sao Bug Bounty là giải pháp bảo mật phù hợp nhất cho SME và Start-up?.
- Tạo sân chơi cho các nhà nghiên cứu bảo mật giao lưu, học hỏi, kiếm thêm thu nhập từ đam mê.
- Giải quyết vấn đề về việc tổ chức Bug Bounty một cách chuyên nghiệp. Đảm bảo quyền lợi và sự riêng tư của cả doanh nghiệp và chuyên gia.
Dưới đây là các nền tảng Bug Bounty bên thứ 3 uy tín:
1. HackerOne
HackerOne là một trong những nền tảng Bug Bounty nổi tiếng nhất thế giới. Công ty được thành lập năm 2012 tại San Francisco. Là một trong những tên tuổi lâu đời và uy tín nhất trong ngành, HackerOne kết nối doanh nghiệp với cộng đồng hacker mũ trắng & nhà nghiên cứu bảo mật thông qua các chương trình Bug Bounty và VDP. Tính tới năm 2018, mạng lưới hacker mũ trắng của HackerOne đã lên tới 200,000 người.
Một số khách hàng tiêu biểu của HackerOne bao gồm Bộ Quốc Phòng Mỹ, General Motors, Starbucks, UBER, Spotify, airbnb, Nintendo, WordPress, Snapchat, Twitter và nhiều tổ chức, doanh nghiệp khác.
2. Bugcrowd
Thành lập năm 2011 tại San Francisco, Bugcrowd là một trong những đơn vị uy tín giúp doanh nghiệp công bố chương trình Bug Bounty và thu hút các chuyên gia kiểm thử. Công ty cung cấp 4 dịch vụ dựa trên Crowdsourced Security, bao gồm Bug Bounty, Vulnerability Disclosure, Next Gen Pentest, Bug Bash.
Bugcrowd là đối tác bảo mật của nhiều thương hiệu lớn như Tesla, Mastercard, Motorola, Atlassian, hay Western Union.
3. WhiteHub
Ra mắt vào tháng 4/2019, WhiteHub là nền tảng đầu tiên tại Việt Nam kết nối doanh nghiệp với chuyên gia bảo mật thông qua chương trình Bug Bounty. Tính tới tháng 8/2019, WhiteHub đã thu hút được 500 chuyên gia bảo mật tham gia vào nền tảng, triển khai Bug Bounty cho 20 công ty trong và ngoài nước, thuộc nhiều lĩnh vực khác nhau như eCommerce, Fintech, OTA, SaaS, blockchain, v.v.
Đây là nền tảng Bug Bounty được tin tưởng và sử dụng bởi các doanh nghiệp Việt dẫn đầu như VinGroup (VinID), Giaohangtietkiem, Vntrip, Luxstay, Sendo, Finhay, Getfly CRM.
“WhiteHub là một sản phẩm của công ty An toàn thông tin CyStack Việt Nam, được thành lập bởi nhóm chuyên gia ATTT có nhiều năm kinh nghiệm chuyên sâu và tâm huyết với ngành. Mong muốn của chúng tôi là đóng góp vào sự phát triển của ngành An ninh mạng Việt Nam. Qua đó, tạo động lực thúc đẩy nền kinh tế công nghệ cao, giúp doanh nghiệp có những bước đi vững vàng để vươn xa hơn nữa.”
Ông Nguyễn Hữu Trung – Founder WhiteHub Bug Bounty; CTO CyStack Vietnam.
Doanh nghiệp được cung cấp những công cụ cần thiết để tổ chức chương trình Bug Bounty bài bản, chuyên nghiệp. Qua đó tiếp cận cộng đồng 500+ chuyên gia bảo mật uy tín hàng đầu tại Việt Nam và trong khu vực để tìm lỗ hổng trong sản phẩm.
Lợi ích:
- Kiểm thử bảo mật cho website, mobile app với cộng đồng 500+ chuyên gia an ninh mạng & pentester.
- Phát hiện nhiều lỗ hổng bảo mật hơn, với chi phí thấp hơn.
- Bảo mật thông tin chương trình, kiểm soát chất lượng chuyên gia.
Case Study: