ViHAT đã tiết kiệm 500% chi phí bảo mật với CyStack Web Security như thế nào?

Nhờ tận dụng hiệu quả của công nghệ tiên tiến với mức chi phí tiết kiệm, CyStack đã giúp ViHat giải quyết các vấn đề an ninh mạng của mình một cách toàn diện thông qua công cụ CyStack Web Security (CWS).

Khách hàng của chúng tôi, công ty ViHAT là một trong những công ty công nghệ Marketing hàng đầu Việt Nam chuyên cung cấp phần mềm, ứng dụng và giải pháp di động cho khách hàng cá nhân lẫn doanh nghiệp. Hoạt động từ năm 2013, ViHAT đã hợp tác với hơn 5000 doanh nghiệp trong đa lĩnh vực, giúp cải thiện chiến lược Marketing, nâng tầm hình ảnh thương hiệu và đạt được những tăng trưởng đột phá trong doanh thu.

Các sản phẩm nổi bật của ViHAT bao gồm:

• TeraApp - nền tảng tạo ứng dụng bán hàng trên di động
• eSMS - giải pháp gửi tin nhắn SMS
• ZNS - giải pháp gửi tin nhắn Zalo
• OMICall - giải pháp gọi điện thoại trên nền tảng IP.

Trong bối cảnh công nghệ phức tạp hiện nay, dữ liệu cá nhân trở thành một “món hàng” được rất nhiều tin tặc săn đón không ngừng bởi những giá trị không tưởng mà chúng mang lại. Với hơn 2 triệu lượt truy cập mỗi năm cùng số lượng lớn tin nhắn SMS và cuộc gọi được thực hiện hàng tháng trên toàn thế giới, ViHAT đã sớm có nhận thức về việc bảo mật thông tin và dữ liệu cho các khách hàng của mình là điều tối quan trọng.

ViHAT cần tìm kiếm một giải pháp không chỉ tiết kiệm chi phí và thời gian mà vẫn phải đáp ứng đầy đủ các tiêu chuẩn khắt khe về bảo mật. Đội ngũ CyStack đã chủ động đề xuất giải pháp Đánh giá lỗ hổng bảo mật (Vulnerability Assessment) với công cụ dò quét CyStack Web Security (CWS).

Đối tượng kiểm thử: Ứng dụng web.

Hai target được yêu cầu quét trong dự án lần này là:

• Website eSMS về hệ thống chương trình Marketing của ViHAT cho doanh nghiệp thông qua SMS
• Website cung cấp các API cho SMS.

Thời gian thực hiện: 18/08/2023 - 21/08/2023.

Các tính năng chính của giải pháp bao gồm:

• Rà quét các sub-domain và địa chỉ trong mạng nội bộ
• Phát hiện lỗ hổng bằng kỹ thuật fuzzing và cơ sở dữ liệu về lỗ hổng riêng của CyStack
• Giám sát và cảnh báo các vấn đề mới tự động và liên tục, giúp nhận diện và xử lý các vấn đề mới ngay khi xuất hiện
• Quản lý, theo dõi, phân định mức độ ưu tiên và khắc phục các phát hiện trên một nền tảng đặc biệt, giúp tối ưu hoá quá trình phản ứng và đảm bảo tính liên tục của hệ thống bảo mật
• Tích hợp chức năng quét với các công cụ CI/CD và các công cụ cải thiện hiệu suất.

CyStack sử dụng Asset Monitoring giúp cải thiện tính bảo mật cho hệ thống bằng cách liên tục khai thác các sub-domain, địa chỉ IP trong cùng một dải mạng và cảnh báo về các tệp tin bị lộ lọt, lỗ hổng hoặc lỗi cấu hình. Asset Monitoring bao gồm 3 bước cơ bản như sau:

Thông qua quá trình này, doanh nghiệp chủ động giám sát sự cố, rủi ro lộ lọt dữ liệu và phòng chống các cuộc tấn công Subdomain Takeover, đảm bảo an toàn cho hệ thống của mình và ngăn chặn các vi phạm bảo mật tiềm ẩn.

Quá trình làm việc của chúng tôi gồm các bước:

Bước 1: Khởi động dự án

CyStack trao đổi với ViHAT để hiểu thêm về nhu cầu, phạm vi và mục tiêu các dự án của phía khách hàng.

Bước 2: Lập kế hoạch

Dựa theo những yêu cầu cụ thể của ViHAT, CyStack dựng một bản kế hoạch cụ thể cho dự án được đánh giá bảo mật, bao gồm phương pháp luận và công cụ được sử dụng.

Bước 3: Đánh giá bảo mật

Tiến hành cài đặt CWS, thực hiện quy trình đánh giá bảo mật như đã phác thảo trong kế hoạch và ghi lại tất cả các phát hiện trong quá trình rà quét.

Bước 4: Báo cáo nhanh

Các lỗ hổng được tìm thấy sẽ ngay lập tức được báo cáo một cách chủ động cho các khách hàng của ViHAT thông qua hệ thống quản lý lỗ hổng của CyStack.

Bước 5: Vá lỗ hổng

Khách hàng thực hiện vá các lỗ hổng đã tìm được theo khuyến nghị từ CyStack.

Bước 6: Báo cáo hoàn chỉnh

CyStack chuẩn bị một bản báo cáo hoàn chỉnh gửi đến ViHAT bao gồm thông tin tổng quan và các chi tiết đã được phát hiện

Bước 7: Theo dõi

CyStack tiếp tục theo dõi và trao đổi với ViHAT để đảm bảo mọi vấn đề đều đã được khắc phục hoàn toàn. Đồng thời, tư vấn các giải pháp nhằm nâng cao tính an toàn cho toàn bộ các mục tiêu được yêu cầu rà quét.

*Các bước 3,4,5 sẽ được lặp lại cho đến khi toàn bộ test case được thực hiện xong.

CyStack Web Security (CWS) là một công cụ tự động quét và giám sát lỗ hổng bảo mật dành cho các ứng dụng web được phát triển bởi CyStack. CWS được xây dựng để mô phỏng và tự động hóa quy trình đánh giá lỗ hổng bằng cách tập trung vào các khía cạnh sau:

• Xác định lỗ hổng: CWS tự động quét các lỗ hổng tiềm ẩn trong ứng dụng web và máy chủ.
• Phân định mức độ ưu tiên của lỗ hổng: CWS giúp các doanh nghiệp ưu tiên xử lý lỗ hổng dựa trên mức độ nghiêm trọng và tác động tiềm tàng của chúng. Điểm Common Vulnerability Scoring System (CVSS) là một công cụ toàn diện đã hỗ trợ việc thực hiện đánh giá này. CVSS được xác định dựa trên đa dạng yếu tố, chẳng hạn khả năng khai thác của lỗ hổng, tác động của lỗ hổng tới hệ thống và khả năng khắc phục của doanh nghiệp. CVSS được tính theo thang điểm từ 1 đến 10.
• Giám sát các lỗ hổng mới: CWS liên tục quét và phát hiện các lỗ hổng, cung cấp cảnh báo ngay khi có lỗ hổng mới được phát hiện. Điều này giúp các doanh nghiệp cập nhật thông tin và chủ động giải quyết các rủi ro bảo mật.
• Theo dõi quá trình: CWS hỗ trợ các doanh nghiệp theo dõi quá trình quản lý lỗ hổng theo thời gian, giúp các doanh nghiệp duy trì một mức tiến triển nhất định trong việc giảm thiểu nguy cơ bị tấn công mạng.

CWS hỗ trợ dò quét mục tiêu với 2 mức độ: Quick Scan và Deep Scan.

• Quick Scan: CWS hỗ trợ dò quét các lỗ hổng bảo mật cho website theo danh sách các lỗi OWASP Top 10, lỗi cấu hình và các lỗi đã biết (CVE). Điều này giúp doanh nghiệp phòng chống khả năng bị tin tặc tấn công website hay ứng dụng web khỏi các sự cố dữ liệu quan trọng hoặc chiếm quyền điều khiển.
• Deep Scan: CWS sử dụng các phương pháp chuyên sâu khác để kiểm tra từng phần của hệ thống một cách sâu sắc hơn, bao gồm:

CWS cung cấp đầy đủ các API call để bắt đầu quá trình quét tìm lỗ hổng bảo mật ngay khi có một commit mới trên Git, thông qua việc gửi yêu cầu tới API. Kết quả sẽ được trả về trong vài phút, giúp các lập trình viên phát hiện ra lỗi và khắc phục trước khi triển khai hoặc đưa ứng dụng vào hoạt động. Bằng cách tích hợp tính năng quét tìm lỗ hổng bảo mật vào quy trình phát triển và triển khai, các doanh nghiệp có thể đảm bảo rằng ứng dụng của họ tuân thủ các tiêu chuẩn ngành và các khuyến nghị tốt nhất về bảo mật.

Bắt đầu trải nghiệm CWS ngay: https://web.cystack.net/

Giải pháp lần này không chỉ đáp ứng yêu cầu các khách hàng của ViHAT về một bản báo cáo bảo mật chi tiết, mà còn tiết kiệm chi phí gấp 5 lần so với giải pháp Kiểm thử thâm nhập (Penetration Testing) thông thường, cùng thời gian triển khai nhanh chóng. Chỉ sau 3 ngày làm việc, một bản báo cáo hoàn chỉnh đã được CyStack xuất và gửi tới ViHAT.

Sử dụng công cụ CWS, 2 mục tiêu được dò quét đã ghi nhận tổng cộng 122 lỗ hổng bảo mật, trong đó gồm 9 critical, 23 medium, 38 low và 64 info.

Qua việc tìm hiểu kỹ lưỡng về yêu cầu và mong muốn của ViHAT, CyStack đã chủ động đề xuất giải pháp Vulnerability Assessment nhằm đáp ứng timeline mong muốn của khách hàng.

Đồng thời, CyStack liên tục duy trì liên lạc và theo dõi tiến độ công việc. Bằng cách này, chúng tôi đã điều chỉnh và phản hồi kịp thời để đảm bảo rằng mọi cam kết đều được thực hiện đúng thời hạn và đạt được kết quả theo đúng kỳ vọng ban đầu của ViHAT.

Sau khi hoàn thành quá trình dò quét website, chúng tôi cung cấp cho khách hàng một bản báo cáo kết quả chi tiết kèm theo các khuyến nghị cụ thể về cách khắc phục các lỗ hổng được phát hiện. Điều này giúp khách hàng hiểu rõ về tình trạng bảo mật hệ thống hiện tại và đưa ra các biện pháp cải thiện phù hợp.

CyStack là công ty an ninh mạng tại Việt Nam được thành lập từ năm 2017. Chúng tôi cung cấp các giải pháp toàn diện, bao gồm thử nghiệm, tư vấn bảo mật và dịch vụ quản lý. Với hơn 200 doanh nghiệp và 20,000 người dùng trên toàn thế giới, chúng tôi được công nhận là đối tác đáng tin cậy của các tổ chức và là công ty mạnh mẽ hàng đầu về nghiên cứu và phát triển an ninh mạng.

Thông tin chi tiết, vui lòng truy cập: https://cystack.net/