Epwise AG: Nỗ lực ấn tượng trong việc giảm thiểu các rủi ro mạng

Quản lý các lỗ hổng bảo mật trong hệ thống và mạng một cách khoa học thông qua nền tảng quản lý lỗ hổng toàn diện.

Epwise AG là một công ty tại Thuỵ Sỹ chuyên cung cấp các giải pháp phần mềm cho khách hàng trong nhiều ngành công nghiệp khác nhau, giúp đơn giản hóa công việc và cải thiện trải nghiệm của khách hàng.

Wise Suite là một bộ dịch vụ công nghệ thông tin độc đáo được thiết kế bởi chính khách hàng của của họ và phát triển bởi Wise.swiss, bao gồm các ứng dụng:

• Immowise là một ứng dụng quản lý bất động sản và địa ốc, cụ thể là quản lý toà nhà cho thuê và các hoạt động cơ bản bên trong để vận hành tòa nhà như công việc, lịch, cuộc họp, nhân sự, tài sản, v.v. Ứng dụng được lập trình bằng ngôn ngữ Ruby cho back-end, TypeScript và Angular cho front-end.
• Eventwise hỗ trợ quản lý tổ chức sự kiện của các công ty và đơn vị với một số hoạt động như tạo và quản lý thông tin sự kiện; quản lý người tham gia sự kiện; xử lý các luồng email liên quan như thư mời, thư nhắc; thanh toán vé tham dự sự kiện; v.v. Ứng dụng được lập trình bằng PHP và Laravel.
• Partnerwise giúp doanh nghiệp quản lý các mối quan hệ, chẳng hạn như yêu cầu hợp tác, hỗ trợ và tài trợ. Partnerwise hỗ trợ tạo biểu mẫu câu hỏi gửi đi cho đối tác, chấm điểm/xét duyệt câu trả lời từ biểu mẫu, quản lý nhân sự liên quan, phân định nhân sự xử lý từng bước trong luồng duyệt, v.v. Ứng dụng được lập trình bằng PHP và Laravel.

Hoạt động tại khu vực châu Âu, nơi được biết đến là có các quy định và nguyên tắc về bảo mật vô cùng nghiêm ngặt và chặt chẽ điển hình như Quy định bảo vệ dữ liệu chung (GDPR), Wise bắt buộc phải đảm bảo tuân thủ và đáp ứng các tiêu chuẩn bảo mật tại đây. Do đó, Wise cần tìm kiếm một đơn vị thứ ba giúp họ giám sát bảo mật cho các phần mềm và ứng dụng của công ty.

Wise đã sớm nhận thức được tầm quan trọng của các giải pháp bảo mật để bảo vệ dữ liệu công ty khỏi các mối đe doạ tiềm ẩn và giảm thiểu tối đa hậu quả. Tuy nhiên, việc xây dựng một đội ngũ bảo mật nội bộ đòi hỏi sự đầu tư đáng kể về thời gian và nguồn lực tài chính. Sau quá trình tìm kiếm trong khu vực châu Âu, Wise đã quyết định lựa chọn CyStack - một đơn vị bảo mật tại Việt Nam - đồng hành trong dự án lần này.

Do tính chất đặc thù của phần mềm có thêm nhiều cập nhật liên tục, Wise cần một giải pháp giám sát và quản lý có tính lâu dài. Giải pháp phù hợp cho những yêu cầu trên của Wise là Vulnerability Management.

Đối tượng kiểm thử: Ứng dụng web.

Thời gian triển khai:

• Hợp đồng 1: từ tháng 05/2022 đến tháng 11/2022
• Hợp đồng 2: từ 12/2022 đến tháng 05/2023.

Trong đó, CyStack bắt đầu kiểm thử Immowise vào tháng 05/2022, sau đó tiếp nhận thêm Eventwise vào tháng 08/2022 và Partnerwise vào tháng 01/2023.

Trong thời gian đầu của dự án, chỉ có đội ngũ chuyên gia của CyStack tham gia quản lý chương trình. Sau này, CyStack đã mở rộng chương trình sang hình thức bảo mật cộng đồng (crowdsourced security) trên nền tảng WhiteHub theo chế độ semi-private, tức chỉ mời những chuyên gia đã xác thực danh tính và ký NDA, nhằm đảm bảo an toàn và chủ động kiểm soát rủi ro cho Immowise và Eventwise. Chương trình diễn ra vào tháng 11/2022.

Vulnerability Management gồm các dịch vụ dưới đây, được tổ chức lại theo cách hiệu quả và toàn diện hơn cho doanh nghiệp.

• Đánh giá lỗ hổng bảo mật: Sử dụng công cụ rà quét và giám sát lỗ hổng CyStack Web Security ﴾CWS﴿ do CyStack phát triển. CWS giúp rà quét các tên miền phụ và địa chỉ IP trong mạng nội bộ, cũng như phát hiện các lỗ hổng bằng kỹ thuật fuzzing và cơ sở dữ liệu về lỗ hổng bảo mật. CWS cung cấp một nền tảng để quản lý, theo dõi, sắp xếp mức độ ưu tiên và đề xuất cách xử lý cho các phát hiện. CWS có thể được tích hợp với các công cụ CI/CD và các công cụ quản lý hiệu suất khác.
• Kiểm thử xâm nhập: Một hình thức mô phỏng lại cuộc tấn công an ninh mạng vào một hệ thống, mạng lưới máy tính hoặc ứng dụng web để phát hiện các lỗ hổng bảo mật có thể bị khai thác. Được thực hiện bởi các chuyên gia bảo mật, sử dụng đa dạng các loại công cụ và kỹ thuật để đánh giá tính bảo mật của môi trường mục tiêu nhằm tìm ra những điểm yếu có thể bị tấn công.
• Quản lý chương trình săn lỗi nhận thưởng: Đây là một hình thức bảo mật cộng đồng nhằm trao thưởng cho các cá nhân hoặc đội nhóm, hay còn gọi là hacker mũ trắng, có các phát hiện và gửi báo cáo về các lỗ hổng bảo mật trong một phần mềm hoặc hệ thống của doanh nghiệp. Các mức thưởng có thể là tiền, quà lưu niệm hoặc các hình thức ghi danh, tạo động lực cho các hacker mũ trắng tìm kiếm và báo lại những lỗ hổng bảo mật đã tìm được. Chương trình diễn ra trên nền tảng bảo mật cộng đồng do chính CyStack phát triển - WhiteHub.

Chúng tôi đã phát hiện tổng cộng 36 lỗ hổng bảo mật của ba ứng dụng. Cụ thể:

• Immowise có 16 lỗ hổng bảo mật, gồm 7 high, 6 medium và 3 low. Các lỗi phổ biến là Broken access control và Stored XSS.
• Eventwise có 14 lỗ hổng bảo mật, gồm 4 high, 9 medium và 1 low. Các lỗi phổ biến là Broken access control và Stored XSS.
• Partnerwise có 6 lỗ hổng bảo mật, gồm 6 critical. Các lỗi phổ biến là Broken access control và Insecured file upload.

Trong phiên semi-private, 12 báo cáo đã được trao thưởng với tổng giá trị là 21.500.000 VND. Trong đó, giải thưởng cao nhất trị giá 2.500.000 VND.

Đội ngũ Engineering và Business Development của chúng tôi đã hỗ trợ tận tình để đảm bảo quá trình kiểm tra bảo mật của khách hàng diễn ra thuận lợi. Quá trình này bao gồm:

Đội ngũ Business Development

• Tổ chức meeting hàng tháng nhằm hỗ trợ các yêu cầu và giải thích từng lỗi trong báo cáo, đồng thời giải đáp và tư vấn trực tiếp trên nhóm chung.
• Đẩy mạnh chương trình săn lỗi nhận thưởng trên WhiteHub để giúp khách hàng tìm kiếm thêm lỗ hổng bảo mật.

Đội ngũ Security Engineering

Tư vấn khắc phục lỗ hổng ở một sản phẩm Eventwise khác. Sản phẩm này được Wise triển khai trên môi trường on-premise cho khách hàng của họ.

CyStack là công ty an ninh mạng tại Việt Nam được thành lập từ năm 2017. Chúng tôi cung cấp các giải pháp toàn diện, bao gồm thử nghiệm, tư vấn bảo mật và dịch vụ quản lý. Với 200+ doanh nghiệp và 20,000+ người dùng trên toàn thế giới, chúng tôi được công nhận là đối tác đáng tin cậy của các tổ chức và là công ty mạnh mẽ hàng đầu về nghiên cứu và phát triển an ninh mạng.

Thông tin chi tiết, vui lòng truy cập: https://cystack.net/

“Với tư cách là người quản trị hệ thống mạng cho một tiểu bang, tôi đã phải xử lý nhiều lỗ hổng bảo mật trong suốt quá trình vận hành và phát triển sản phẩm. Những thời điểm khó khăn này đòi hỏi nỗ lực không ngừng để bảo vệ sản phẩm và duy trì uy tín thương hiệu của chúng tôi.” – Tito Espinoza, CTO Epwise AG.

“Tôi vô cùng hài lòng với chất lượng vượt trội và thái độ làm việc chuyên nghiệp của CyStack. Rất mong chờ các cơ hội hợp tác tiếp theo trong tương lai với quý công ty!” – Tito Espinoza, CTO Epwise AG.

“CyStack hiểu rõ những vấn đề mà chúng tôi đang gặp phải và tạo điều kiện giảm thiểu chúng. Nhờ dự án này, chúng tôi đã đạt được mức độ trưởng thành nhất định trong việc thiết kế, phát hành và kiểm soát các lỗ hổng phần mềm.” – Tito Espinoza, CTO Epwise AG.