Áp lực về tốc độ và tính cạnh tranh gay gắt trong thời đại hiện nay đã buộc doanh nghiệp phải liên tục thay đổi. Vòng đời phát triển sản phẩm đang rút ngắn lại, quy trình phát triển vì vậy cũng cần phải đảm bảo tính linh hoạt trong khi vẫn đòi hỏi chất lượng không đổi. 

Trước tình hình đó, một trong những yếu tố khó để duy trì chất lượng nhất chính là tính bảo mật. Chỉ tính riêng năm 2018, nhiều bê bối đã lần lượt xảy ra trong lĩnh vực an toàn thông tin đối với những đơn vị công nghệ lớn trên thế giới như Google, Facebook, Quora. Tại Việt Nam, những tin tức liên quan đến rò rỉ dữ liệu khách hàng của chuỗi cửa hàng bán lẻ Thế Giới Di Động và FPT Shop cũng khiến nhiều doanh nghiệp lo ngại về tình hình an ninh mạng.

Để bảo vệ doanh nghiệp khỏi các rủi ro về bảo mật, một trong các giải pháp tiên tiến nhất đang được áp dụng trong lĩnh vực bảo mật là Crowdsourced Security (Bảo mật dựa trên tiềm lực cộng đồng). Với hiệu quả vượt trội do tận dụng được năng lực của nhiều nhà nghiên cứu độc lập, giải pháp này đã được tin tưởng và áp dụng bởi các công ty công nghệ hàng đầu trên thế giới như Google, Facebook, Paypal, Uber hay Tesla - hứa hẹn xu hướng tất yếu trong lĩnh vực an ninh mạng trên thế giới cũng
như tại Việt Nam.

Là những chuyên gia bảo mật tâm huyết, chúng tôi cùng chung một khát vọng, đó là áp dụng những công nghệ tiên tiến nhất về bảo mật & an ninh mạng vào phục vụ cho các doanh nghiệp Việt, từ đó tạo ra môi trường kinh doanh lành mạnh, trong sạch và công bằng - giúp cải thiện thứ hạng của nền kinh tế Việt trên bản đồ Năm châu. Một trong những giải pháp tiên tiến mà chúng tôi cho rằng sẽ làm thay đổi bộ mặt an ninh mạng quốc gia, chính là Bảo Mật Cộng Đồng. Cuốn sách sẽ tập trung trả lời
những câu hỏi sau:
• Crowdsourced Security (Bảo Mật Cộng Đồng) là gì?
• Tại sao cần Bảo Mật Cộng Đồng?
• Bảo Mật Cộng Đồng có lợi thế gì so với các phương pháp bảo mật khác?
• Làm sao để ứng dụng phương pháp Bảo Mật Cộng Đồng cho doanh nghiệp?

Hy vọng tài liệu này sẽ giúp bạn có cái nhìn toàn diện về phương pháp Crowdsourced Security. Từ đó đưa ra những chiến thuật bảo mật hợp lí cho doanh nghiệp của mình.


Tổng quan về Crowdsourced Security

An toàn thông tin luôn là vấn đề nhạy cảm đối với mọi tổ chức, doanh nghiệp. Chỉ với một chiếc máy tính cá nhân, một kẻ xấu ở bên kia địa cầu có thể xâm nhập trái phép vào mạng máy tính của tổ chức. Chúng đánh cắp dữ liệu, tống tiền, làm gián đoạn hoạt động kinh doanh và vận hành doanh nghiệp,... gây thiệt hại nghiêm trọng cả về tiền bạc lẫn uy tín.

Đứng trước những thách thức đó, nhiều biện pháp phòng chống tấn công xâm nhập đã được thực hiện, một trong số đó là kiểm tra xâm nhập Penetration Testing. Bằng cách thử nghiệm các cuộc tấn công trong thế giới thực, Pentest giúp tổ chức xác định các điểm yếu trong hệ thống và khắc phục nó trước khi tin tặc tìm ra.

Tuy nhiên, tội phạm mạng luôn tiến hóa. Với số lượng đông đảo và kỹ năng đa dạng, chúng tạo ra áp lực ngày càng lớn lên đội ngũ pen-tester dù là in-house hay thuê ngoài. Đó là tiền đề cho sự ra mắt của giải pháp kiểm thử thâm nhập thế hệ mới: Pentest Cộng Đồng - Crowdsourced Penetration Testing.

Việc hợp tác với Hacker Mũ Trắng để bảo mật cho ứng dụng và hệ thống đã được nhiều tổ chức ứng dụng thành công trong nhiều năm nay. Điển hình như Google, Facebook, Microsoft, Apple, Grab, Uber,... đã trao thưởng hàng triệu đô la cho các hacker báo cáo lỗi bảo mật thông qua chương trình Bug Bounty

Crowdsourced Penetration Testing 101: "Hack To Unhack”

Trong những năm gần đây, phát triển mô hình SaaS là xu hướng kinh doanh khởi nghiệp hấp dẫn trong giới công nghệ. Do đặc tính tiện lợi và giá cả cạnh tranh của các sản phẩm SaaS so với On-premise, khách hàng yêu thích SaaS. Mặt khác, chính những nền tảng, hạ tầng được cung cấp thông qua đám mây như FaaS, IaaS, PaaS cũng khiến cho việc phát triển SaaS dễ dàng hơn.

Tuy nhiên, bảo mật cho sản phẩm SaaS luôn là một vấn đề khiến nhiều Giám đốc công nghệ và Trưởng nhóm bảo mật đau đầu tìm lời giải. Công nghệ đám mây càng phát triển, tin tặc càng có nhiều bề mặt và vector tấn công khác nhau. Rủi ro mất an toàn cho cả nhà phát triển và người dùng cuối luôn hiện hữu và ngày một tăng cao.

Đó là lí do tài liệu này ra đời. Đây là checklist mà mọi SaaS CTOs và trưởng nhóm bảo mật có thể sử dụng để tăng cường bảo mật cho sản phẩm của mình. Danh sách này có thể chưa đầy đủ nhất, vì vấn đề bảo mật còn phụ thuộc vào tiềm lực và quy mô cụ thể của doanh nghiệp, nhưng chúng tôi hi vọng bạn vẫn có thể tìm được những quy tắc và biện pháp bảo mật phù hợp với doanh nghiệp của mình tại đây.

Bảo mật sản phẩm SaaS

Pentest (Kiểm thử xâm nhập) là một phần quan trọng trong việc củng cố và duy trì an ninh mạng của mỗi doanh nghiệp. Bằng cách “hack vào một hệ thống”, các chuyên gia kiểm thử (pentester) có thể vá những lỗ hổng bảo mật và đảm bảo toàn bộ hệ thống bao gồm mạng, ứng dụng, dữ liệu không bị tin tặc truy cập trái phép. Nhưng việc tìm kiếm một dịch vụ Pentest tốt và ứng viên chất lượng lại không hề đơn giản đối với doanh nghiệp. Dưới đây là 11 điều bạn cần biết để thuê được những chuyên gia kiểm thử
tốt nhất

11 điều cần biết khi thuê dịch vụ kiểm thử pentest

Theo Bản đồ Tấn công website toàn cầu (01/01/19 – 30/06/19), Việt Nam xếp thứ 11 trong số các nước bị hack website nhiều nhất trên thế giới. Trung bình mỗi tháng có tới 1000 website bị xâm phạm – tương đương 35 trang web bị hack mỗi ngày

So với 2018, số vụ tấn công năm 2019 tuy giảm đi, nhưng quy mô tấn công lại có chiều hướng gia tăng, thiệt hại cũng lớn hơn so với cùng kỳ năm trước. WordPress tiếp tục là nền tảng quản trị nội dung (CMS) bị tấn công nhiều nhất – chiếm tới 74.3% tổng số các website bị hack trên toàn cầu. Ngay sau đó là Joomla với 15.9%, Drupal chỉ chiếm 1.65%.

Trên WordPress, hacker dễ dàng phát tán Mã độc thông qua các Theme hay Plugin miễn phí. Khi người dùng tải về và cài đặt, mã độc được tự động chèn vào website và thực thi những câu lệnh độc hại. Qua đó thực hiện các hành vi xâm phạm, tấn công, chiếm tài nguyên website cũng như máy chủ. Bên cạnh các hình thức tấn công quen thuộc như Brute force, Phishing, D-DoS, sự gia tăng của Cross-site Scripting (XSS), SQL injection tạo nên xu hướng tấn công mới cho năm 2018 và 2019, gây không ít khó khăn cho các chủ website trong việc phòng thủ, bảo vệ trang web của mình.

Bảo mật website A-Z: Từ chiến lược đến thực thi

Trong những năm gần đây, Thương Mại Điện Tử tại Việt Nam chứng kiến sự phát triển vượt bậc với các tên tuổi lớn như Tiki, Shopee, Lazada, Sendo, Vntrip, hay Luxstay. Bên cạnh tiềm năng phát triển, vẫn tồn tại những thách thức và rủi ro kìm hãm sự bứt phá của các doanh nghiệp TMĐT như: vấn đề lòng tin của người tiêu dùng, vấn đề bảo mật đối với hệ thống công nghệ thông tin, khó khăn trong việc bảo vệ dữ liệu khách hàng trước rủi ro bị tin tặc tấn công đánh cắp… Bài viết này sẽ phân tích những thách thức bảo mật mà các công ty Thương mại điện tử ở Việt Nam đang gặp phải và đưa ra giải pháp xử lý rủi ro an ninh mạng cho ngành công nghiệp tỷ đô này

Giải pháp bảo mật thương mại điện tử

Theo một báo cáo tại trung tâm nghiên cứu Kaspersky Lab, Việt Nam là một trong 3 nước có nguy cơ bị tấn công mạng cao nhất thế giới. Bên cạnh đó, doanh nghiệp Việt phải chịu thiệt hại tới 10 triệu đô-la Mỹ sau mỗi cuộc tấn công - đây là mức cao nhất trong khu vực Châu Á Thái Bình Dương (Cisco, 2018).

Cho dù là người lạc quan nhất thì cũng không thể phủ nhận: tình hình an ninh mạng ở Việt Nam đang trong trạng thái báo động. Và các tổ chức, doanh nghiệp là mục tiêu chính của tội phạm mạng. Xu hướng tấn công mạng có sự biến chuyển từ nhỏ lẻ sang những vụ tấn công quy mô lớn, được đầu tư bài bản. Với những thủ thuật tinh vi, tin tặc dễ dàng qua mặt các doanh nghiệp và thực hiện các vụ tấn công vi phạm dữ liệu, DDOS, tiêm nhiễm malware gây cản trở quá trình kinh doanh.

Với mục đích giúp doanh nghiệp Việt đương đầu với các cuộc tấn công mạng, chúng tôi đã biên soạn cuốn sách “11 vấn đề bảo mật doanh nghiệp cần biết”. Hy vọng, sau cuốn sách này, các CEO sẽ hiểu rõ hơn về tình hình an ninh mạng doanh nghiệp tại Việt Nam, từ đó đưa ra biện pháp phòng thủ phù hợp, giúp doanh nghiệp phát triển an toàn, bền vững trước vô vàn rủi ro của mạng internet thời kỳ 4.0.

11 rủi ro bảo mật trong doanh nghiệp

Báo cáo An ninh Website là báo cáo định kỳ hàng quý được thực hiện bởi CyStack nhằm đánh giá mức độ và xu hướng tấn công mạng nhắm vào website trên toàn cầu.

Các dữ liệu sử dụng trong báo cáo này được trích xuất từ hệ thống CyStack Attack Map - hệ thống thu thập, phân tích và cảnh báo tấn công mạng nhắm vào các website và máy chủ trên toàn thế giới, do CyStack nghiên cứu và phát triển. Bạn có thể xem thêm các thông tin được cập nhật theo thời gian thực tại: attacks.cystack.net

Trong quý 3 năm 2019 vừa qua, hệ thống CyStack Attack Map đã ghi nhận 127.367 website bị tấn công và chiếm quyền điều khiển. Như vậy, số website này đã giảm 27% so với con số 175.451 website bị tấn công trong quý 2. Cụ thể trong quý 3, số lượng website tháng 7, 8 và 9 lần lượt là 38.385, 44.848 và 44.134, giảm hơn so với mức trung bình 42.483 website/tháng của quý trước

Web Security Report Q3/2019

Báo cáo An ninh Website là báo cáo định kỳ hàng quý được thực hiện bởi CyStack nhằm đánh giá mức độ và xu hướng tấn công mạng nhắm vào website trên toàn cầu.

Các dữ liệu sử dụng trong báo cáo này được trích xuất từ hệ thống CyStack Attack Map - hệ thống thu thập, phân tích và cảnh báo tấn công mạng nhắm vào các website và máy chủ trên toàn thế giới, do CyStack nghiên cứu và phát triển. Bạn có thể xem thêm các thông tin được cập nhật theo thời gian thực tại: attacks.cystack.net

Kết thúc năm dương lịch 2019, hệ thống của CyStack ghi nhận 563.639 cuộc tấn công vào các website trên toàn cầu. Hoa Kỳ đứng đầu danh sách khi phải hứng chịu 236.000 cuộc tấn công, chiếm tỉ trọng tới 41,9% toàn thế giới. Việt Nam đứng thứ 11 với hơn 9000 vụ xâm phạm web trong năm 2019.

Web Security Report 2019

Explore security risks from common cloud computing services like AWS, Azure, and GCP

Security in the age of cloud services

Trong cuộc cách mạng công nghệ lần thứ tư, dữ liệu là sức mạnh. Công ty nào sở hữu và tận dụng được nguồn dữ liệu vô tận về khách hàng sẽ có lợi thế cạnh tranh cực kì lớn. Đó cũng chính là tiền đề cho sự bùng nổ những vụ tấn công mạng nhắm vào những công ty công nghệ với mục tiêu đánh cắp và phá hoại dữ liệu. Đây là một vấn đề cần được các doanh nghiệp xem xét một cách thực sự nghiêm túc.

Trong case study này, chúng tôi sẽ mô tả lại quá trình mà WhiteHub đã giúp cho Vntrip - một công ty lớn về đặt phòng khách sạn và vé máy bay tại Việt Nam giải quyết vấn đề về bảo mật trong ứng dụng và hệ thống của công ty để giảm thiểu được tối đa các rủi ro có thể xảy đến.

Vntrip Case Study

Rất nhiều doanh nghiệp hiện nay đang chuyển dịch xu hướng phát triển phần mềm từ On-premise* sang mô hình phần mềm dịch vụ SaaS**. Không thể phủ nhận những lợi ích mà SaaS mang lại cho cả doanh nghiệp cung cấp lẫn khách hàng sử dụng phần mềm.

Tuy nhiên, do được phân phối trên nền tảng web, những phần mềm này cũng tiềm ẩn nhiều rủi ro bảo mật. Trong báo cáo sau đây, chúng tôi sẽ mô tả lại quá trình WhiteHub cùng GetFly CRM - doanh nghiệp cung cấp phần mềm theo mô hình SaaS giải quyết bài toán bảo mật trong hệ thống của công ty.

Library

CyStack and Cookies