Sự quan tâm mạnh mẽ của Ragnar đối với các thách thức bảo mật

Tìm hiểu thêm về cách Tập đoàn Ragnar đã chủ động ứng phó bảo vệ ứng dụng web T-Reg thông qua phương pháp Kiểm thử xâm nhập (Penetration Testing).

Ragnar là một công ty start-up công nghệ tại Bangkok, Thái Lan. Ragnar chuyên cung cấp các giải pháp an ninh mạng và quản lý các quy trình pháp lý trong ngành tài chính thông qua công nghệ cho các công ty, doanh nghiệp, tổ chức tại Thái Lan. Hiện Ragnar sở hữu 5 đơn vị start-up khác nhau đang cùng tham gia nghiên cứu và phát triển hệ sinh thái công nghệ đầu cuối (end-to-end).

T-Reg là một nền tảng dành cho các tổ chức trong phạm vi Thái Lan có nhu cầu đảm bảo tuân thủ Luật An ninh mạng và Đạo luật bảo vệ dữ liệu cá nhân của Thái Lan. Vì vậy, tập đoàn Ragnar đã thiết kế Phương pháp 3.0 hoặc các thủ tục để tuân thủ luật pháp. Đạo luật bảo vệ dữ liệu cá nhân (PDPA) được biết đến với tên gọi 3E Framework, gồm 3 bước: Educate (Giáo dục), Explore (Khám phá) và Execute (Thi hành). Đây là bước đầu triển khai dự án PDPA bằng cách sử dụng nền tảng T-Reg quản lý dữ liệu, giúp dự án được thực hiện một cách có hệ thống, cho phép người dùng đảm bảo tuân thủ luật pháp lâu dài.

Với trách nhiệm quản lý thông tin cá nhân, Ragnar nhận thức rõ tầm quan trọng của an ninh mạng và đặt sự an toàn của dữ liệu là ưu tiên hàng đầu. Để đảm bảo rằng hệ thống T-Reg đáp ứng các tiêu chuẩn an toàn cao nhất, Ragnar đã quyết định hợp tác với một đơn vị bảo mật bên ngoài để tiến hành đánh giá toàn diện.

Ragnar tích hợp nhiều dịch vụ AWS như Amazon Cognito, Amazon CloudFront và Amazon S3. Ragnae sử dụng WAF của CloudFlare để kiểm soát lưu lượng truy cập và đảm bảo an toàn cho ứng dụng web. Cùng với công nghệ hiện đại như Express.js, Vue.js và nginx, Ragnar tạo ra một môi trường phát triển linh hoạt, mang lại trải nghiệm người dùng mượt mà và đáng tin cậy trên nền tảng.

Là một công ty an ninh mạng, Ragnar đã sớm có nhận thức cao về mức độ rủi ro của việc không đảm bảo an toàn thông tin dữ liệu có thể gây ảnh hưởng tới hoạt động kinh doanh của doanh nghiệp cũng như các khách hàng đang sử dụng nền tảng T-Reg. Đặc biệt, trong quá khứ, ông Wisutthichart Khemklad - Kỹ sư DevOps Ragnar - từng gặp phải sự cố tấn công từ Ransomware,một loại virus được mã hoá vô cùng nguy hiểm, khiến chủ sở hữu máy tính mất quyền truy cập dữ liệu trên ổ đĩa, gây ra thiệt hại lớn cho doanh nghiệp về tài chính và niềm tin đối với khách hàng.

Ragnar đã chủ động tìm hiểu về các đơn vị bảo mật thứ ba. Sau quá trình tìm kiếm nhiều công ty từ nhiều quốc gia trên thế giới, Ragnar đã lựa chọn CyStack là đối tác bảo mật cho dự án lần này.

Giải pháp được sử dụng là Penetration Testing, theo hướng kiểm thử Grey-box phù hợp với yêu cầu của Ragnar. Grey-box giúp đánh giá lỗ hổng của tổ chức trước các mối đe doạ bên trong, tiết kiệm thời gian và tối ưu chi phí tốt nhất cho doanh nghiệp. Hình thức Grey-box giúp CyStack khoanh vùng được các endpoint cần tập trung test, hiểu chức năng nghiệp vụ nhanh chóng và giảm bớt quá trình trao đổi không cần thiết.

Thời gian triển khai: Từ tháng 06/2023, trong vòng 15 ngày.

Đối tượng kiểm thử: Ứng dụng web.

Ragnar chỉ yêu cầu kiểm thử hai module của target: User Management và Integration.

Ragnar đã phải đối mặt với thách thức đáng kể liên quan đến thiết kế và kiểm thử phân quyền người dùng, đặc biệt là trong module Quản lý Người dùng. Tất cả các lỗi phát hiện đều tập trung vào loại lỗi này, đặt ra những vấn đề nghiêm trọng về an ninh thông tin và bảo mật hệ thống.

Với giải pháp Penetration Testing, chúng tôi đã phát hiện tổng cộng 4 lỗ hổng bảo mật bao gồm: 3 critical và 1 high.

Sau quá trình tư vấn kỹ lưỡng, Ragnar đã triệt để khắc phục các lỗ hổng phân quyền. Nhờ đó, cho phép người dùng sửa thông tin của người dùng ngang quyền và cho phép người dùng truy cập trái phép vào các chức năng yêu cầu phân quyền cao. Quá trình này đã giúp củng cố và nâng cao tính bảo mật của hệ thống Ragnar, mang lại trải nghiệm sử dụng an toàn và đáng tin cậy cho người dùng.

Ragnar đã nhận được Chứng nhận An ninh mạng từ CyStack sau quá trình đánh giá nghiêm ngặt dựa trên các tiêu chuẩn quốc tế. Đây là minh chứng cho sự tuân thủ cao cấp đối với các nguyên tắc và tiêu chuẩn an ninh mạng hàng đầu trong ngành.

Dự án này sẽ không thể đạt được thành tựu nếu không có sự hỗ trợ mạnh mẽ từ nhóm Kỹ thuật bảo mật và Phát triển Kinh doanh của chúng tôi. Hai nhóm này đã đóng một vai trò quan trọng, hợp tác chặt chẽ với nhau để đảm bảo sự phát triển ổn định và an toàn của Ragnar, một công ty an ninh mạng có trụ sở tại Thái Lan và là một trong những khách hàng quan trọng của chúng tôi.

Đội ngũ Business Development: Việc phối hợp giữa hai bên là một yếu tố quan trọng để hoàn thiện dự án trong thời gian ngắn và đảm bảo thời gian yêu cầu của Ragnar. Sự hòa nhập chặt chẽ của đội ngũ Business Development chúng tôi và Ragnar đã tạo ra một môi trường làm việc hiệu quả.

Đội ngũ Security Engineering: CyStack chú trọng đến việc đảm bảo thiết kế phân quyền của chúng tôi là an toàn và hạn chế rủi ro tối đa. Chuyên gia chúng tôi thực hiện kiểm tra kỹ lưỡng và đánh giá mọi khía cạnh của hệ thống để thiết lập các giải pháp mạnh mẽ, nhằm đảm bảo quản lý quyền hạn được triển khai một cách hiệu quả và an toàn nhất. Điều này giúp Ragnar có một thiết kế phân quyền đáng tin cậy, ngăn chặn mọi đe dọa có thể xuất phát từ việc lạm dụng quyền hạn người dùng.

CyStack là công ty an ninh mạng tại Việt Nam được thành lập từ năm 2017. Chúng tôi cung cấp các giải pháp toàn diện, bao gồm thử nghiệm, tư vấn bảo mật và dịch vụ quản lý. Với hơn 200 doanh nghiệp và 20,000 người dùng trên toàn thế giới, chúng tôi được công nhận là đối tác đáng tin cậy của các tổ chức và là công ty mạnh mẽ hàng đầu về nghiên cứu và phát triển an ninh mạng.

Thông tin chi tiết, vui lòng truy cập: https://cystack.net/

“Đầu tư vào an ninh mạng là một hành động vô cùng quan trọng và cần thiết đối với các doanh nghiệp nhằm bảo vệ dữ liệu, thông tin khách hàng cũng như chống lại các mối đe dọa trên môi trường mạng. Một chiến lược an ninh mạng mạnh mẽ có thể ngăn ngừa tổn thất về tài chính, bảo vệ danh tiếng doanh nghiệp và củng cố niềm tin của khách hàng. Vì vậy, đây chính là khoản đầu tư không thể thiếu cho sự thành công mang tính bền vững của doanh nghiệp.” – Ông Wisutthichart Khemklad, Kỹ sư DevOps Ragnar.

“Chất lượng công việc, sự phối hợp làm việc đầy chuyên nghiệp của đội ngũ chuyên gia, tốc độ xử lý, hỗ trợ kỹ thuật, giá thành – tất cả đều vô cùng xuất sắc. Chúng tôi rất mong chờ lần hợp tác tiếp theo với các bạn trong tương lai!” – Ông Wisutthichart Khemklad, Kỹ sư DevOps Ragnar.

“Sau lần hợp tác này, Ragnar đã nhận được: một chứng nhận đáng tin cậy từ một công ty an ninh mạng danh giá, một nền tảng an toàn hơn cho người dùng, niềm tin từ các khách hàng và quan trọng hơn hết là đội ngũ Developers của chúng tôi đã được bổ sung thêm rất nhiều kiến thức mới mẻ về bảo mật.” – Ông Wisutthichart Khemklad, Kỹ sư DevOps Ragnar.