Petit Gateau: Chinh phục niềm tin khách hàng với sự chủ động bảo mật mạnh mẽ

Petit Gateau thành công bảo vệ sản phẩm của đối tác Dai-ichi Life, một công ty hàng đầu trong lĩnh vực bảo hiểm trên thế giới, nhờ áp dụng phương pháp Kiểm thử xâm nhập (Penetration Testing) thực hiện bởi đội ngũ chuyên gia CyStack.

Petit Gateau (trước đây là Starseed) là một công ty quảng cáo tiếp thị nổi tiếng tại Pháp, chuyên tư vấn và cung cấp các dịch vụ liên quan đến phát triển, thiết kế, quảng cáo và nhiều lĩnh vực khác. Trong dự án outsource phát triển website cho Dai-ichi Life, một công ty bảo hiểm nhân thọ danh tiếng hàng đầu Việt Nam và thế giới, Petit Gateau đã chủ động tìm kiếm một đối tác chuyên về bảo mật để mang đến sự yên tâm tuyệt đối cho khách hàng của mình.

Petit Gateau đã triển khai một trang web thông tin sản phẩm bảo hiểm cho Dai-ichi Life, cùng với một trang quản trị đi kèm để quản lý trang thông tin sản phẩm bảo hiểm này. Trên trang web thông tin sản phẩm bảo hiểm, người dùng có thể tương tác thông qua các tính năng như thanh tìm kiếm, biểu mẫu liên hệ và công cụ tính giá gói bảo hiểm.

Trang quản trị cung cấp các chức năng cho phép thiết kế các trang landing page riêng cho từng sản phẩm bảo hiểm nhân thọ, cũng như tùy chỉnh banner, header, footer, nội dung, và nhiều thành phần khác. Ngoài ra, trang quản trị cũng là nơi tiếp nhận biểu mẫu liên hệ từ khách hàng, và có các phân quyền riêng biệt cho từng nhóm người dùng nội bộ khác nhau của Dai-ichi Life.

Petit Gateau đã nhận được yêu cầu từ đối tác về việc thực hiện đánh giá bảo mật cho sản phẩm outsource. Đây là một sản phẩm mới được triển khai của Dai-ichi Life, vì vậy nhu cầu về bảo mật là rất quan trọng. Bên cạnh việc tự kiểm tra từ đội ngũ nội bộ của Petit Gateau, thì sự giám định từ một bên thứ ba là cần thiết để đánh giá sản phẩm của Dai-ichi Life một cách toàn diện nhất.

Sau quá trình thảo luận, Petit Gateau đã đồng ý áp dụng phương pháp Kiểm thử xâm nhập (Penetration Testing) cho dự án lần này. CyStack tiến hành kiểm thử song song với quá trình phát triển (dev) của Petit Gateau. Vì vậy, dự án được chia thành 2 giai đoạn:

• Giai đoạn 1: 09/08/2023 - 25/08/2023
• Giai đoạn 2: 29/09/2023 - 06/10/2023

Đối tượng kiểm thử: Khách hàng liệt kê danh sách nhóm chức năng và URL cần tập trung test trên trang thông tin sản phẩm bảo hiểm.

Ngoài ra, CyStack khuyến nghị và thực hiện test trang quản trị của trang thông tin này, nhận tài khoản kiểm thử từ khách hàng.

Khách hàng lựa chọn tiếp cận kiểm thử theo hướng Blackbox, tức kiểm thử xâm nhập hộp đen. Đây là hình thức kiểm thử mà không có bất kỳ thông tin trước nào về hệ thống được lựa chọn. Các chuyên gia tiếp cận môi trường mục tiêu như một hacker thực thụ, tìm kiếm các lỗ hổng tồn tại bên trong hệ thống và đánh giá khả năng chống lại các cuộc tấn công từ bên ngoài. Điều này giúp doanh nghiệp xác định được mức độ rủi ro và xây dựng kế hoạch bảo mật để ngăn chặn các cuộc tấn công xảy ra.

Kiểm thử xâm nhập là một giải pháp phù hợp với nhu cầu và cần thiết đối với các sản phẩm thuộc ngành bảo hiểm bởi:

• Bảo vệ dữ liệu khách hàng: Website của các sản phẩm bảo hiểm thường đặc biệt chứa nhiều thông tin nhạy cảm của khách hàng. Việc thực hiện kiểm thử đảm bảo rằng các thông tin này của khách hàng được bảo vệ an toàn ở mức cao nhất, tránh tối đa trường hợp xảy ra rò rỉ.
• Pháp lý và tuân thủ: Các công ty bảo hiểm thường phải tuân thủ nhiều quy định nghiệm ngặt về bảo mật thông tin cá nhân như GDPR (Nghị định Bảo vệ Dữ liệu Chung châu Âu), HIPAA (Luật Bảo vệ Dữ liệu Y tế Gia đình) của quốc tế hay Nghị định 13/2023/NĐ-CP tại Việt Nam. Trải qua một quá trình kiểm thử bảo mật giúp doanh nghiệp đảm bảo tuân thủ các yêu cầu pháp lý và giảm thiểu rủi ro vi phạm.
• Phòng chống tấn công mạng: Website bảo hiểm thường là mục tiêu của các hacker và tin tặc muốn truy cập thông tin cá nhân của khách hàng, bởi đây là nơi lưu trữ rất nhiều thông tin đặc biệt nhạy cảm của các cá nhân. Để ngăn chặn hacker có thể tấn công và xâm nhập vào hệ thống, doanh nghiệp cần thực hiện kiểm thử bảo mật để nhanh chóng phát hiện và khắc phục các lỗ hổng bảo mật này.
• Tăng cường uy tín và niềm tin của khách hàng: Trong ngành bảo hiểm, niềm tin của khách hàng là điều quan trọng nhất, đặc biệt là khi có nhiều đối thủ cạnh tranh trên thị trường như hiện nay. Việc thực hiện kiểm thử bảo mật đều đặn và công khai khiến khách hàng sẽ cảm thấy an tâm hơn khi biết rằng thông tin cá nhân của họ được bảo mật trên website của doanh nghiệp.

Quy trình làm việc của chúng tôi cùng Petit Gateau bao gồm các bước:

• Lập kế hoạch và thăm dò: Ở bước đầu tiên, CyStack thực hiện xác định phạm vi và mục tiêu của cuộc kiểm thử, bao gồm các ứng dụng, cơ sở dữ liệu, hạ tầng mạng; xác định các rủi ro tiềm ẩn liên quan đến bảo mật thông tin, bảo vệ dữ liệu cá nhân, và các lỗ hổng tiềm ẩn trong hệ thống thẻ tín dụng; đồng thời thu thập thông tin về môi trường mục tiêu để hiểu rõ hơn về cách thức hoạt động của mục tiêu và những lỗ hổng tiềm ẩn trong môi trường test của Dai-ichi Life.
• Phân tích lỗ hổng: Trong giai đoạn này, các chuyên gia CyStack xác định rõ ràng các lỗ hổng tiềm ẩn trong môi trường test của Dai-ichi Life bằng cách sử dụng các kỹ thuật chuyên sâu như dò quét lỗ hổng, dò quét hệ thống mạng, và đánh giá cấu hình theo các lỗ hổng phổ biến như 1-day flaws, CVEs.
• Khai thác: Đây là bước tấn công thực tế, trong đó các chuyên gia CyStack thực hiện các kỹ thuật để có quyền truy cập trái phép vào hệ thống để khai thác lỗ hổng bảo mật trong hệ thống website.
• Sau khai thác: Các chuyên gia CyStack tiếp tục duy trì quyền truy cập vào hệ thống của Dai-ichi Life và leo thang đặc quyền (nếu có thể) nhằm tìm kiếm thêm các lỗ hổng bảo mật vẫn còn khả năng tồn tại.
• Báo cáo: Hoàn tất dự án, CyStack chuẩn bị một bản báo cáo hoàn chỉnh bao gồm tóm tắt quá trình kiểm thử, chi tiết về các lỗ hổng bảo mật được phát hiện, cung cấp khuyến nghị và đề xuất biện pháp cải thiện tính bảo mật cho sản phẩm bảo hiểm nhân thọ của Dai-ichi Life.

Trước yêu cầu thay đổi tiến độ triển khai, dự án vẫn được thực hiện đúng định hướng nhờ khả năng thích ứng nhanh trong quá trình kiểm thử và đánh giá bảo mật. Kết quả cho thấy hệ thống tồn tại nhiều rủi ro ở các mức độ khác nhau, từ đó giúp đội ngũ kịp thời ưu tiên các biện pháp khắc phục phù hợp.

Những cải thiện được đề xuất tập trung vào củng cố an toàn trên môi trường web, tăng cường kiểm soát truy cập, bảo vệ dữ liệu đầu ra và hoàn thiện các lớp bảo vệ cần thiết trong quá trình xử lý yêu cầu. Điều này góp phần nâng cao mức độ bảo vệ tổng thể của hệ thống trước khi đưa vào vận hành thực tế.

Sau quá trình triển khai, website đã được đưa vào hoạt động theo timeline yêu cầu. CyStack đã nhận được phản hồi tích cực từ cả phía Petit Gateau và Dai-ichi Life. Qua việc áp dụng các biện pháp bảo mật, nhóm kiểm thử của chúng tôi đã thành công trong việc ngăn chặn một loạt các rủi ro bảo mật quan trọng.

Chúng tôi đã thực hiện các kịch bản kiểm thử để đảm bảo rằng hệ thống chỉ cho phép quyền truy cập và hoạt động tương ứng với vai trò và quyền hạn của từng người dùng. Điều này tránh được các tấn công từ người dùng giả mạo hoặc truy cập trái phép vào các chức năng quan trọng.

Cuối cùng, các biện pháp bảo mật đã giúp ngăn chặn khả năng ộ lọt thông tin không đáng có. Các chuyên gia đã xác minh tính bảo mật của hệ thống trong việc bảo vệ thông tin cá nhân và dữ liệu quan trọng của người dùng. Các biện pháp bảo mật như mã hóa dữ liệu, kiểm soát truy cập và ghi nhật ký đã được triển khai để đảm bảo rằng thông tin không bị rò rỉ hoặc tiếp cận trái phép.

Nhìn chung, việc áp dụng các biện pháp bảo mật đã mang lại hiệu quả và đảm bảo sự an toàn cho hệ thống. Petit Gateau và Daiichi Life đã có được một dự án triển khai thành công, đáng tin cậy và đáp ứng được yêu cầu bảo mật cao. Điều này tạo ra lòng tin và sự hài lòng từ cả hai bên, đồng thời đánh dấu một bước tiến quan trọng trong việc bảo vệ thông tin và dữ liệu của khách hàng.

CyStack là công ty an ninh mạng tại Việt Nam được thành lập từ năm 2017. Chúng tôi cung cấp các giải pháp toàn diện, bao gồm thử nghiệm, tư vấn bảo mật và dịch vụ quản lý. Với 200+ doanh nghiệp và 20,000+ người dùng trên toàn thế giới, chúng tôi được công nhận là đối tác đáng tin cậy của các tổ chức và là công ty mạnh mẽ hàng đầu về nghiên cứu và phát triển an ninh mạng.

Thông tin chi tiết, vui lòng truy cập: https://cystack.net/