Ra mắt CyStack Web Security – Công cụ dò quét bảo mật cho website và ứng dụng

Ngày 15/10, công ty cổ phần an ninh mạng CyStack Việt Nam chính thức cho ra mắt Web Security – Công cụ quét lỗ hổng bảo mật website, ứng dụng trực tuyến hiệu quả.

Ảnh 1: Công ty an ninh mạng CyStack chính thức ra mắt ứng dụng quét bảo mật website CyStack Web Security.

Nhu cầu bảo mật website và ứng dụng web

Trong những năm trở lại đây, nhu cầu xây dựng doanh nghiệp trực tuyến và chuyển đổi số đang tăng cao. Mang công việc kinh doanh lên internet hoặc xây dựng và phân phối ứng dụng trực tuyến là một xu hướng không thể tránh khỏi trong nền kinh tế 4.0 hiện nay.

Tuy nhiên, cũng theo một số báo cáo được thực hiện bởi CyStack và các công ty an ninh mạng khác, lượng tội phạm mạng và các cuộc tấn công vào website ngày càng tăng theo cấp số nhân, gây ra nhiều hậu quả nặng nề cho nhà cung cấp và người dùng cuối.

Nhận thấy nhu cầu bảo mật web app gia tăng, trong khi các biện pháp hiện tại chưa thể đáp ứng được nhu cầu thực tiễn của nhiều cá nhân và doanh nghiệp, các kỹ sư bảo mật tại CyStack Việt Nam đã nghiên cứu những phương thức bảo mật ứng dụng web tốt nhất nhằm giải quyết vấn đề này.

Ảnh 2: Một số lỗi bảo mật của website

Chúng tôi nhận ra rằng không có cách nào bảo vệ một website hiệu quả hơn phương pháp kiểm tra bảo mật thủ công, tức là cho phép một nhóm chuyên gia bảo mật tìm lỗi bảo mật của chính website đó. Chủ website nắm được thông tin các lỗi bảo mật này và khắc phục sớm thì hackers sẽ khó có cơ hội nào để tấn công website.

Tuy nhiên, sự hạn chế của phương pháp bảo mật này là chi phí thực hiện thường rất cao so với mặt bằng chung website hiện nay. Trong khi các công ty phát triển ứng dụng web có thể dễ dàng thực hiện các dự án đánh giá bảo mật hàng quý, thì với các cá nhân kinh doanh qua website, hoặc với các dự án web app của lập trình viên còn đang trong giai đoạn phát triển, khoản chi phí kiểm tra bảo mật thủ công là quá cao và không cần thiết.

Để giải quyết vấn đề trên, chúng tôi phải đối mặt với 2 thách thức. Thứ nhất là làm sao để xây dựng một công cụ bảo mật website hiệu quả tương đương với kiểm tra bảo mật thủ công. Và thách thức thứ hai là chi phí của phương pháp này phải phù hợp và dễ tiếp cận.

Nỗ lực nghiên cứu giải pháp bảo mật website hiệu quả và giá cả phù hợp.

Sau 1 năm nghiên cứu, CyStack chính thức cho ra mắt Web Security, công cụ quét lỗ hổng và giám sát bảo mật cho website hiệu quả. Web Security có khả năng tự động mô phỏng các bài kiểm tra của kỹ sư bảo mật, qua đó bảo vệ website tốt hơn so với các công cụ thông thường.

Để làm được điều này, chúng tôi xây dựng một kho dữ liệu về lỗ hổng bảo mật dành cho website, ứng dụng web, và máy chủ. Web Security sẽ sử dụng kho dữ liệu này để thực hiện các bài kiểm tra mô phỏng trên website của người dùng, qua đó đánh giá liệu website có bị ảnh hưởng bởi các lỗ hổng có trong kho dữ liệu hay không.

Ảnh 3: Cách vận hành của CyStack Web Security.

Trong trường hợp website hoặc ứng dụng web có tồn tại lỗ hổng. Chủ website sẽ nhận được cảnh báo ngay lập tức với thông tin chi tiết về lỗ hổng đang đe dọa website. Thông tin này (bao gồm cả khuyến nghị cách khắc phục) sẽ được sử dụng để khắc phục lỗ hổng, giúp cho website trở nên an toàn hơn.

Ảnh 4: Thông tin chi tiết lỗ hổng và gợi ý cách khắc phục được thể hiện trong ứng dụng.

Mức độ hiệu quả của Web Security được đánh giá dựa trên số lượng lỗ hổng có trên hệ thống và tốc độ cập nhật các lỗ hổng mới. Để cải thiện điều này, CyStack xây dựng một đội ngũ kỹ sư bảo mật chuyên trách có nhiệm vụ theo dõi các lỗ hổng web và ứng dụng mới nhất trên toàn thế giới, viết mã khai thác cho những lỗ hổng này và cập nhật vào kho dữ liệu lỗ hổng của Web Security. Bằng cách này, Web Security sẽ có khả năng phát hiện ra các lỗ hổng mới nhất trên website và ứng dụng của khách hàng.

Giới thiệu tính năng chính Web Security

• Dò quét lỗ hổng bảo mật: OWASP là một tiêu chuẩn quan trọng khi đánh giá bảo mật cho website và ứng dụng. Web Security quét lỗ hổng theo OWASP Top 10 và các lỗ hổng đã biết theo dữ liệu lỗ hổng được duy trì và làm mới mỗi ngày. Các lỗ hổng bao gồm thông tin chi tiết và được phân loại theo nhiều tiêu chí như mức độ nguy hiểm, điểm CVSS, hay vị trí tồn tại.
• Phát hiện tên miền phụ và quét lỗ hổng tên miền phụ: Đây là một tính năng cực kỳ quan trọng của Web Security. Thông thường, một doanh nghiệp xây dựng ứng dụng có thể sở hữu rất nhiều tài nguyên như API, các dịch vụ web của bên thứ ba phục vụ việc phát triển phần mềm. Nếu không được quản lý cẩn thận, các tên miền phụ này có thể bị hacker chiếm và sử dụng như một vũ khí để tấn công ứng dụng của nhà phát triển. Do đó Web Security phát hiện tất cả tên miền phụ thuộc tên miền chính và quét lỗ hổng cho tất cả các địa chỉ này.
• Giám sát an ninh máy chủ: Mặc dù là rủi ro lớn nhất, song lỗ hổng bảo mật không phải vấn đề duy nhất của an ninh website. Web Security cung cấp khả năng liên tục theo dõi chứng chỉ bảo mật SSL, các cổng giao tiếp đang mở, danh sách đen, danh sách website bị tấn công. Người dùng sẽ nhận được tin nhắn cảnh báo ngay khi có vấn đề an ninh xuất hiện, qua đó luôn giữ website và ứng dụng trong trạng thái bảo mật tốt nhất.
• Quản lý website và lỗ hổng: Giao diện ứng dụng giúp dễ dàng theo dõi các website và lỗ hổng đang xuất hiện trên hệ thống. Các bộ lọc giúp người dùng dễ dàng tìm kiếm thông tin và làm việc hiệu quả hơn. Ngoài ra Web Security cho phép đánh dấu một lỗ hổng là đã khắc phục, không khắc phục (chấp nhận rủi ro), hay cảnh báo giả.
• Xuất báo cáo PDF chuyên nghiệp: Người dùng có thể tải về báo cáo lượt quét, bao gồm thông tin chi tiết các vấn đề mà Web Security đã phát hiện trên website hoặc ứng dụng; sử dụng báo cáo để giao tiếp với đội ngũ của mình trong việc khắc phục điểm yếu website.
• Tích hợp vào phần mềm làm việc: Cho phép nhận thông báo về lỗ hổng và các sự cố an ninh qua các kênh Email, Slack, Telegram. 

Chi phí sử dụng

Chi phí là một trong những vấn đề được chúng tôi quan tâm hàng đầu. Chi phí sử dụng Web Security phải thấp hơn các phương pháp bảo mật thủ công và các phần mềm nước ngoài để nhiều người có thể tiếp cận hơn, qua đó bảo mật được nhiều website và ứng dụng nhất.

Do đó, chúng tôi cho ra mắt gói cước Quick Scan, cho phép thanh toán theo từng lượt quét với giá 199,000 VNĐ/ lượt quét dành cho các lập trình viên và người dùng phổ thông muốn bảo vệ website, ứng dụng của mình. Ngoài ra, gói cước Deep Scan được thiết kế không giới hạn số lượt quét, dành cho các doanh nghiệp khởi nghiệp ở giai đoạn đầu có thể liên tục kiểm tra ứng dụng của mình với chi phí tính theo tháng. Gói cước Monitoring dành cho các doanh nghiệp có hệ thống ứng dụng và máy chủ cùng một lượng lớn tên miền phụ và API.

Người dùng có thể linh hoạt lựa chọn gói cước và hình thức thanh toán phù hợp với nhu cầu của mình.

Để chào đón người dùng mới, chúng tôi tặng bạn 2 ưu đãi:

• Miễn phí 1 lượt quét đầu tiên
• Khuyến mại 10% giá trị đơn hàng, áp dụng cho 100 người dùng đầu tiên. Mã KM: “WSST100U”

1. Lượt quét miễn phí thuộc gói Quick Scan và được áp dụng khi người dùng xác minh website thành công.
2. Vui lòng nhập mã này ở giao diện thanh toán để hưởng ưu đãi. Mã chỉ áp dụng cho đơn hàng đầu tiên và áp dụng 1 lần/1 tài khoản.

Bắt đầu quét bảo mật web với 3 bước

Phần mềm có thể được truy cập và sử dụng ngay trên trình duyệt web (Chrome, FireFox, Cốc Cốc) mà không cần tải gì thêm tại địa chỉ: web.cystack.net.

• Bước 1: Truy cập web.cystack.net, đăng ký tài khoản và đăng nhập
• Bước 2: Thêm website và xác minh website
• Bước 3: Tiến hành quét và đợi kết quả.

Đường dẫn tham khảo:

• Trang web chính thức: web.cystack.net
• Trung tâm trợ giúp: web.cystack.net/docs
• Cộng đồng: Facebook Group
• Liên hệ: web.cystack.net/contact-us