Petit Gateau thành công bảo vệ sản phẩm của đối tác Dai-ichi Life, một công ty hàng đầu trong lĩnh vực bảo hiểm trên thế giới, nhờ áp dụng phương pháp Kiểm thử xâm nhập (Penetration Testing) thực hiện bởi đội ngũ chuyên gia CyStack.
Về khách hàng
Petit Gateau (trước đây là Starseed) là một công ty quảng cáo tiếp thị nổi tiếng tại Pháp, chuyên tư vấn và cung cấp các dịch vụ liên quan đến phát triển, thiết kế, quảng cáo và nhiều lĩnh vực khác. Trong dự án outsource phát triển website cho Dai-ichi Life, một công ty bảo hiểm nhân thọ danh tiếng hàng đầu Việt Nam và thế giới, Petit Gateau đã chủ động tìm kiếm một đối tác chuyên về bảo mật để mang đến sự yên tâm tuyệt đối cho khách hàng của mình.
Petit Gateau đã triển khai một trang web thông tin sản phẩm bảo hiểm cho Dai-ichi Life, cùng với một trang quản trị đi kèm để quản lý trang thông tin sản phẩm bảo hiểm này. Trên trang web thông tin sản phẩm bảo hiểm, người dùng có thể tương tác thông qua các tính năng như thanh tìm kiếm, biểu mẫu liên hệ và công cụ tính giá gói bảo hiểm.
Trang quản trị cung cấp các chức năng cho phép thiết kế các trang landing page riêng cho từng sản phẩm bảo hiểm nhân thọ, cũng như tùy chỉnh banner, header, footer, nội dung, và nhiều thành phần khác. Ngoài ra, trang quản trị cũng là nơi tiếp nhận biểu mẫu liên hệ từ khách hàng, và có các phân quyền riêng biệt cho từng nhóm người dùng nội bộ khác nhau của Dai-ichi Life.
Hạ tầng triển khai của hệ thống là On-premise, sử dụng các công nghệ Nginx, PHP, MySQL, Alpine.js, jQuery, TinyMCE, và Google Analytics.
Giải pháp
Petit Gateau đã nhận được yêu cầu từ đối tác về việc thực hiện đánh giá bảo mật cho sản phẩm outsource. Đây là một sản phẩm mới được triển khai của Dai-ichi Life, vì vậy nhu cầu về bảo mật là rất quan trọng. Bên cạnh việc tự kiểm tra từ đội ngũ nội bộ của Petit Gateau, thì sự giám định từ một bên thứ ba là cần thiết để đánh giá sản phẩm của Dai-ichi Life một cách toàn diện nhất.
Sau quá trình thảo luận, Petit Gateau đã đồng ý áp dụng phương pháp Kiểm thử xâm nhập (Penetration Testing) cho dự án lần này. CyStack tiến hành kiểm thử song song với quá trình phát triển (dev) của Petit Gateau. Vì vậy, dự án được chia thành 2 giai đoạn:
- Giai đoạn 1: 09/08/2023 - 25/08/2023
- Giai đoạn 2: 29/09/2023 - 06/10/2023
Đối tượng kiểm thử: Khách hàng liệt kê danh sách nhóm chức năng và URL cần tập trung test trên trang thông tin sản phẩm bảo hiểm.
Ngoài ra, CyStack khuyến nghị và thực hiện test trang quản trị của trang thông tin này, nhận tài khoản kiểm thử từ khách hàng.
Khách hàng lựa chọn tiếp cận kiểm thử theo hướng Blackbox, tức kiểm thử xâm nhập hộp đen. Đây là hình thức kiểm thử mà không có bất kỳ thông tin trước nào về hệ thống được lựa chọn. Các chuyên gia tiếp cận môi trường mục tiêu như một hacker thực thụ, tìm kiếm các lỗ hổng tồn tại bên trong hệ thống và đánh giá khả năng chống lại các cuộc tấn công từ bên ngoài. Điều này giúp doanh nghiệp xác định được mức độ rủi ro và xây dựng kế hoạch bảo mật để ngăn chặn các cuộc tấn công xảy ra.
Kiểm thử xâm nhập là một giải pháp phù hợp với nhu cầu và cần thiết đối với các sản phẩm thuộc ngành bảo hiểm bởi:
- Bảo vệ dữ liệu khách hàng: Website của các sản phẩm bảo hiểm thường đặc biệt chứa nhiều thông tin nhạy cảm của khách hàng, bao gồm thông tin cá nhân, tài khoản ngân hàng và thông tin y tế. Việc thực hiện kiểm thử đảm bảo rằng các thông tin này của khách hàng được bảo vệ an toàn ở mức cao nhất, tránh tối đa trường hợp xảy ra rò rỉ.
- Pháp lý và tuân thủ: Các công ty bảo hiểm thường phải tuân thủ nhiều quy định nghiệm ngặt về bảo mật thông tin cá nhân như GDPR (Nghị định Bảo vệ Dữ liệu Chung châu Âu), HIPAA (Luật Bảo vệ Dữ liệu Y tế Gia đình) của quốc tế hay Nghị định 13/2023/NĐ-CP tại Việt Nam. Trải qua một quá trình kiểm thử bảo mật giúp doanh nghiệp đảm bảo tuân thủ các yêu cầu pháp lý và giảm thiểu rủi ro vi phạm.
- Phòng chống tấn công mạng: Website bảo hiểm thường là mục tiêu của các hacker và tin tặc muốn truy cập thông tin cá nhân của khách hàng, bởi đây là nơi lưu trữ rất nhiều thông tin đặc biệt nhạy cảm của các cá nhân. Để ngăn chặn hacker có thể tấn công và xâm nhập vào hệ thống, doanh nghiệp cần thực hiện kiểm thử bảo mật để nhanh chóng phát hiện và khắc phục các lỗ hổng bảo mật này.
- Tăng cường uy tín và niềm tin của khách hàng: Trong ngành bảo hiểm, niềm tin của khách hàng là điều quan trọng nhất, đặc biệt là khi có nhiều đối thủ cạnh tranh trên thị trường như hiện nay. Việc thực hiện kiểm thử bảo mật đều đặn và công khai khiến khách hàng sẽ cảm thấy an tâm hơn khi biết rằng thông tin cá nhân của họ được bảo mật trên website của doanh nghiệp.
Quy trình làm việc của chúng tôi cùng Petit Gateau bao gồm các bước:
- Lập kế hoạch và thăm dò: Ở bước đầu tiên, CyStack thực hiện xác định phạm vi và mục tiêu của cuộc kiểm thử, bao gồm các ứng dụng, cơ sở dữ liệu, hạ tầng mạng; xác định các rủi ro tiềm ẩn liên quan đến bảo mật thông tin, bảo vệ dữ liệu cá nhân, và các lỗ hổng tiềm ẩn trong hệ thống thẻ tín dụng; đồng thời thu thập thông tin về môi trường mục tiêu để hiểu rõ hơn về cách thức hoạt động của mục tiêu và những lỗ hổng tiềm ẩn trong môi trường test của Dai-ichi Life.
- Phân tích lỗ hổng: Trong giai đoạn này, các chuyên gia CyStack xác định rõ ràng các lỗ hổng tiềm ẩn trong môi trường test của Dai-ichi Life bằng cách sử dụng các kỹ thuật chuyên sâu như dò quét lỗ hổng, dò quét hệ thống mạng, và đánh giá cấu hình theo các lỗ hổng phổ biến như 1-day flaws, CVEs.
- Khai thác: Đây là bước tấn công thực tế, trong đó các chuyên gia CyStack thực hiện các kỹ thuật để có quyền truy cập trái phép vào hệ thống để khai thác lỗ hổng bảo mật trong hệ thống website.
- Sau khai thác: Các chuyên gia CyStack tiếp tục duy trì quyền truy cập vào hệ thống của Dai-ichi Life và leo thang đặc quyền (nếu có thể) nhằm tìm kiếm thêm các lỗ hổng bảo mật vẫn còn khả năng tồn tại.
- Báo cáo: Hoàn tất dự án, CyStack chuẩn bị một bản báo cáo hoàn chỉnh bao gồm tóm tắt quá trình kiểm thử, chi tiết về các lỗ hổng bảo mật được phát hiện, cung cấp khuyến nghị và đề xuất biện pháp cải thiện tính bảo mật cho sản phẩm bảo hiểm nhân thọ của Dai-ichi Life.
Kết quả
Do có sự thay đổi gấp trong timeline của dự án, thời gian dành cho quá trình kiểm thử đã bị ảnh hưởng. Đội ngũ nội bộ của CyStack đã phải gấp rút điều chỉnh công việc và đẩy nhanh quá trình kiểm thử nhằm đảm bảo hoàn thiện theo deadline mới. CyStack đã không chỉ đáp ứng thời gian go-live của website Dai-ichi Life, mà còn đảm bảo rằng mọi yêu cầu về chất lượng đều đạt tiêu chuẩn.
Sau 2 lần thực hiện kiểm thử, kết quả thu về bao gồm tổng cộng 9 lỗ hổng bảo mật với 2 critical, 1 high, 5 medium và 1 low.
Cách chúng tôi khắc phục:
- critical: Không sử dụng phép nối chuỗi để tránh các sự cố Injection như SQL Injection, Command Injection, Code Injection. Loại bỏ các chức năng không cần thiết gây lộ thông tin nhạy cảm trên hệ thống.
- high: Encode dữ liệu output trên HTML.
- medium: Kiểm tra lại hệ thống phân quyền và thực hiện kiểm tra phân quyền chặt chẽ trước khi xác nhận thực hiện request. Encode dữ liệu output trên HTML. Kiểm tra tính hợp lệ của CAPTCHA trước khi thực hiện yêu cầu từ phía khách hàng.
- low: Thiết đặt web server hoặc reverse proxy chặn truy cập tới các trang mặc định có thể chứa thông tin nhạy cảm.
Tổng kết
Sau quá trình triển khai, website đã được đưa vào hoạt động theo timeline yêu cầu. CyStack đã nhận được phản hồi tích cực từ cả phía Petit Gateau và Dai-ichi Life. Qua việc áp dụng các biện pháp bảo mật, nhóm kiểm thử của chúng tôi đã thành công trong việc ngăn chặn một loạt các rủi ro bảo mật quan trọng.
Các chuyên gia đã kiểm tra và xác minh tính bảo mật của hệ thống chống lại các cuộc tấn công thông qua việc nhập khẩu dữ liệu độc hại hoặc mã độc vào các trường dữ liệu, từ đó ngăn chặn các lỗ hổng Injection và XSS. Điều này đảm bảo rằng website khó bị tấn công và thông tin của người dùng được bảo vệ an toàn.
Chúng tôi đã thực hiện các kịch bản kiểm thử để đảm bảo rằng hệ thống chỉ cho phép quyền truy cập và hoạt động tương ứng với vai trò và quyền hạn của từng người dùng. Điều này tránh được các tấn công từ người dùng giả mạo hoặc truy cập trái phép vào các chức năng quan trọng.
Cơ chế CAPTCHA đã được triển khai một cách hiệu quả để ngăn chặn việc bypass. Chúng tôi đã kiểm tra tính hiệu quả của CAPTCHA trong việc xác thực người dùng thật và ngăn chặn các cuộc tấn công từ các bot hoặc phần mềm tự động. Điều này đảm bảo rằng chỉ những người dùng thật sự mới có thể truy cập và tương tác với hệ thống.
Cuối cùng, các biện pháp bảo mật đã giúp ngăn chặn các lỗi lộ lọt thông tin không đáng có. Các chuyên gia đã xác minh tính bảo mật của hệ thống trong việc bảo vệ thông tin cá nhân và dữ liệu quan trọng của người dùng. Các biện pháp bảo mật như mã hóa dữ liệu, kiểm soát truy cập và ghi nhật ký đã được triển khai để đảm bảo rằng thông tin không bị rò rỉ hoặc tiếp cận trái phép.
Nhìn chung, việc áp dụng các biện pháp bảo mật đã mang lại hiệu quả và đảm bảo sự an toàn cho hệ thống. Petit Gateau và Daiichi Life đã có được một dự án triển khai thành công, đáng tin cậy và đáp ứng được yêu cầu bảo mật cao. Điều này tạo ra lòng tin và sự hài lòng từ cả hai bên, đồng thời đánh dấu một bước tiến quan trọng trong việc bảo vệ thông tin và dữ liệu của khách hàng.
Về CyStack
CyStack là công ty an ninh mạng tại Việt Nam được thành lập từ năm 2017. Chúng tôi cung cấp các giải pháp toàn diện, bao gồm thử nghiệm, tư vấn bảo mật và dịch vụ quản lý. Với 200+ doanh nghiệp và 20,000+ người dùng trên toàn thế giới, chúng tôi được công nhận là đối tác đáng tin cậy của các tổ chức và là công ty mạnh mẽ hàng đầu về nghiên cứu và phát triển an ninh mạng.
Thông tin chi tiết, vui lòng truy cập: https://cystack.net/