HomeBlogỨng dụng kiểm tra bảo mật website cho tất cả mọi người
Security Assessment

Ứng dụng kiểm tra bảo mật website cho tất cả mọi người

CyStack blog4 phút để đọc
CyStack blog01/08/2018
Locker Avatar

Trung Nguyen

CEO @CyStack

Locker logo social

CEO @CyStack

Reading Time: 4 minutes

Bằng cách tạo ra một công cụ kiểm tra bảo mật website với mức giá chỉ bằng 1% các giải pháp truyền thống. Chúng tôi đang hiện thực hóa khát vọng đưa bảo mật website tới người dân Việt Nam.

Chú ý: sản phẩm CyStack Platform đã được thay thế bằng sản phẩm CyStack Cloud Security – mạnh mẽ và hiệu quả hơn. >> Trải nghiệm ngay

Bảo mật mạng theo định nghĩa truyền thống

Hiện tại, “Bảo mật mạng” là một khái niệm xa lạ đối với hầu hết doanh nghiệp tại Việt Nam.

Hiện trạng này không hẳn là không có lí do.

Thông thường, trước khi tung ra một sản phẩm số như website bán hàng hoặc dịch vụ, các công ty sẽ tìm đến các chuyên gia bảo mật để thực hiện các quy trình pentest (kiểm thử lỗ hổng) phù hợp nhằm mục đích bảo vệ và đảm bảo tính bền vững của sản phẩm trước khi đưa đến với đại chúng qua mạng Internet.

Trong các quy trình này, một người chuyên gia bảo mật sẽ tìm những lỗ hổng mà tin tặc, mã độc có thể khai thác được do một số nguyên nhân cả chủ quan và khách quan như sau:

  • Lỗi do người lập trình thiếu kinh nghiệm và chưa biết cách kiểm duyệt dữ liệu.
  • Lỗ hổng logic của ứng dụng, tin tặc có thể vượt qua các cơ chế phân quyền, giới hạn.
  • Lỗ hổng do sử dụng các bộ thư viện lỗi thời (out-of-date).
  • Lỗ hổng do triển khai trên một nền tảng máy chủ, cơ sở dữ liệu và hosting không an toàn.
  • Local attack: Khi website được triển khai trên cùng hosting với các website không an toàn. Dẫn đến website có nguy cơ bị ảnh hưởng khi các website kém bảo mật khác bị tấn công.

Từ kinh nghiệm của bản thân tôi, quy trình kiểm tra bảo mật website truyền thống có 3 điểm khiến dịch vụ này không tiếp cận được đến đại đa số khách hàng:

  • Thực hiện thủ công trong khoảng thời gian dài (lên đến một tuần)
  • Mức phí cao – xấp xỉ $1000 cho đến $2000/lần với 1 domain.
  • Mỗi lần thực hiện sau để cập nhật các lỗ hổng mới gây tốn kém lâu dài.

Không khó để thấy không phải doanh nghiệp nào cũng có điều kiện để tiếp cận những dịch vụ này.

Quyết tâm đưa bảo mật mạng đến với tất cả mọi người

Trước tình hình này, chúng tôi ấp ủ một kế hoạch xây dựng nên một công cụ kiểm tra bảo mật website tự động. Dành cho nhiều người. Xuất phát từ những tháng ngày làm đồ án tốt nghiệp. Chúng tôi đi lên cùng với sự đam mê, liều lĩnh, và những lần thất bại.

Ứng dụng Scanning thuộc nền tảng CyStack Platform là thành tựu của toàn đội ngũ CyStack sau những nỗ lực đó.

CyStack scanning công cụ kiểm tra bảo mật website

Ứng dụng CyStack Scanning là giải pháp an ninh mạng được xây dựng trên nguyên lý SECaas (Security As A Service) và mô hình Cloud Computing (Software As A Service – SaaS) đầu tiên tại Việt Nam với khả năng tự động hóa hoàn toàn quy trình kiểm thử lỗ hổng cho các website doanh nghiệp.

Nhờ quy trình tự động này, doanh nghiệp có thể sử dụng dịch vụ kiểm tra bảo mật website của chúng tôi không giới hạn số lần chỉ với $15 một tháng, xấp xỉ 1% giá thành khi thuê chuyên gia bảo mật. Không chỉ vậy, việc thực hiện tất cả các thao tác tự động cho phép giảm thiểu mọi thiếu sót do sơ ý cũng như đảm bảo tốc độ cập nhật lỗ hổng mới tức thì.

CyStack Scanning giúp những doanh nghiệp vừa và nhỏ (SMEs) có cơ hội tiếp cận với bảo mật website. Từ đó giảm thiểu mọi tổn thất xảy ra khi bị tấn công bởi tin tặc. Điển hình như đánh cắp dữ liệu khách hàng, đánh sập website, lây lan mã độc hay thậm chí tống tiền chủ website.

Bảo mật mạng hiệu quả hơn với CyStack Scanning

Trước số lượng lỗ hổng mới ngày một tăng nhanh, ứng dụng CyStack Scanning chính là câu trả lời. Mọi lỗ hổng mới nhất được công bố sẽ tích hợp tức thời vào cơ sở dữ liệu của CyStack. Khách hàng là những người đầu tiên nắm được và đưa ra giải pháp phù hợp.

Với công nghệ CyStack Fuzzing, chúng tôi có thể giúp các quản trị website phát hiện sớm các vấn để bảo mật từ trước khi website được đưa vào sử dụng:

  • Phát hiện hơn 200 lỗ hổng bảo mật. Bao gồm: SQL Injection, Template Injection, XSS, CSRF, Command Injection, Code Injection, lộ lọt dữ liệu nhạy cảm (Local IP address, Credit card, user/password…)
  • Phát hiện các lỗ hổng trong các thư viện lỗi thời (Out-of-date).
  • Phát hiện các lỗ hổng trong việc cấu hình hạ tầng máy chủ, hosting. (mở cổng trái phép, sử dụng các dịch vụ lỗi thời, cấu hình không chính xác…).
  • Quét và phát hiện các mã độc, hành vi trái phép trên website (Javascript malware, Coin Mining…).
  • Phát hiện lỗ hổng 1-day: Lỗ hổng đã xuất hiện nhưng chưa có bản cập nhật, bản vá hoặc hotfix.

Tất cả được thực hiện trong 3 bước đơn giản:

3 bước kiểm tra bảo mật website cystack

Bảo mật website dành cho tất cả mọi người. Sử dụng miễn phí CyStack Scanning trong 14 ngày tại đây.

(Không cần thông tin thanh toán, 3 phút để đăng ký và sử dụng)

Chi tiết về 4 ứng dụng thuộc nền tảng bảo mật website CyStack Platform – đang cập nhật:

Chien Tran, CEO @CyStack

Chú ý: sản phẩm CyStack Platform đã được thay thế bằng sản phẩm CyStack Cloud Security – mạnh mẽ và hiệu quả hơn. >> Trải nghiệm ngay

Tham khảo: dịch vụ bảo mật website toàn diện CyStack

CyStack blog

Mẹo, tin tức, hướng dẫn và các best practice độc quyền của CyStack

Đăng ký nhận bản tin của chúng tôi

Hãy trở thành người nhận được các nội dung hữu ích của CyStack sớm nhất

Xem chính sách của chúng tôi Chính sách bảo mật.