Đội ngũ chuyên môn cao với kỹ năng nghiệp vụ vững vàng, thấu hiểu nhu cầu của khách hàng và dịch vụ hỗ trợ rất thoải mái. Chúng tôi đã có nhiều trải nghiệm tích cực khi làm việc cùng CyStack và có thể giới thiệu cho những nơi có nhu cầu cải thiện bảo mật.

Dmitriy Gerasimov

FOUNDER/CEO Cellframe

Tận dụng sức mạnh của cộng đồng bảo mật một cách hiệu quả

Trong bối cảnh người dùng internet ngày càng áp đặt những tiêu chuẩn cao cho sản phẩm họ sử dụng, doanh nghiệp vô tình bị đẩy vào cuộc đua phát triển sản phẩm đủ nhanh, đủ tốt mà vẫn vận hành an toàn. Phần mềm được cập nhật càng thường xuyên thì càng có nhiều khả năng có lỗi bảo mật.

Giải pháp cho vấn đề này là các nhà phát triển phải nhanh hơn tin tặc trong việc tìm và sửa các lỗ hổng trong sản phẩm của họ. Một cách tiếp cận nâng cao ở đây là sử dụng bảo mật cộng đồng.

Phạm vi bao phủ rộng hơn

Bảo mật cộng đồng cho phép các doanh nghiệp tương tác với một số lượng lớn các chuyên gia bảo mật có kỹ năng và chuyên môn đa dạng, giúp xác định các lỗ hổng mà các nhóm bảo mật nội bộ có thể đã bỏ qua. Các phương pháp bảo mật truyền thống thường dựa vào một nhóm nhỏ hơn gồm các chuyên gia bảo mật nội bộ

Góc nhìn mới

Bảo mật cộng đồng mang đến một góc nhìn mới về các vấn đề bảo mật, vì các chuyên gia bảo mật từ bên ngoài tổ chức có thể xác định các lỗ hổng và vector tấn công mà các nhóm nội bộ đã bỏ qua

Phát hiện và phản hồi nhanh hơn

Bảo mật cộng đồng giúp doanh nghiệp nhanh chóng phát hiện và phản hồi các lỗ hổng bảo mật vì các chuyên gia bảo mật có thể xác định và báo cáo các lỗ hổng một cách kịp thời

Hiệu quả về chi phí

Bảo mật cộng đồng là giải pháp thay thế tiết kiệm chi phí cho các phương pháp bảo mật truyền thống, cho phép các doanh nghiệp tiếp cận với một nhóm lớn các chuyên gia bảo mật với chi phí chỉ bằng một phần nhỏ so với việc thuê một nhóm bảo mật toàn thời gian

Danh tiếng tích cực

Bằng cách khởi chạy một chương trình bảo mật cộng đồng, các doanh nghiệp thể hiện cam kết của mình đối với bảo mật, giúp xây dựng lòng tin và nâng cao danh tiếng của họ

Cách thức hoạt động

Phạm vi và quy tắc

WhiteHub và khách hàng thiết lập phạm vi của chương trình, bao gồm các hệ thống và ứng dụng sẽ được kiểm tra, các loại lỗ hổng bảo mật nằm trong phạm vi và phần thưởng sẽ được cung cấp cho việc xác định thành công các lỗ hổng bảo mật

Khởi động chương trình

WhiteHub, thay mặt khách hàng, thông báo chương trình tiền thưởng lỗi cho công chúng và mời các chuyên gia nghiên cứu tham gia.

Kiểm thử

Những tin tặc có đạo đức, còn được gọi là những thợ săn lỗi từ cộng đồng WhiteHub, sẽ tìm kiếm các lỗ hổng trong hệ thống hoặc phần mềm đã được xác định. Họ sử dụng nhiều kỹ thuật và công cụ để phát hiện các lỗ hổng này, bao gồm kiểm tra thủ công, quét tự động và kiểm thử xâm nhập

Báo cáo

Khi các thợ săn lỗi phát hiện một lỗ hổng, họ báo cáo cho WhiteHub và cung cấp thông tin chi tiết về lỗ hổng đó, bao gồm cách tái hiện và bất kỳ tác động hoặc rủi ro tiềm năng nào nó gây ra

Thẩm định

Chúng tôi sẽ kiểm tra lỗ hổng được báo cáo để xác định xem đó có phải là sự cố bảo mật thật sự và có đáp ứng đủ tiêu chí để nhận được phần thưởng hay không

Phần thưởng

Nếu báo cáo hợp lệ, thợ săn lỗi sẽ nhận được một khoản thanh toán theo cấu trúc phần thưởng được thiết lập trong chương trình. Số tiền thưởng sẽ phụ thuộc vào mức độ nghiêm trọng, tác động của lỗ hổng đến doanh nghiệp, và độ khó trong việc phát hiện ra nó

Khắc phục

Sau đó, khách hàng sẽ khắc phục lỗ hổng và có thể liên hệ với thợ săn lỗi để được cung cấp thêm thông tin hoặc hỗ trợ trong việc xác nhận tính hiệu quả của việc khắc phục.

Công khai

Sau khi khắc phục lỗ hổng, khách hàng có thể chia sẻ công khai thông tin về sự cố và ghi nhận đóng góp của thợ săn lỗi đối với việc bảo mật hệ thống của họ.

Các Gói Dịch Vụ

	Vulnerability Disclosure Program	Managed Bug Bounty

Phù Hợp với	Các doanh nghiệp có đội ngũ bảo mật nội bộ có thể tự quản lý một chương trình bug bounty	Các doanh nghiệp không có đội ngũ bảo mật nội bộ hoặc có nhưng không muốn tốn nhân lực cho việc quản lý chương trình bug bounty
Lỗ hổng được xử lý bởi Đối tượng thảo luận với người báo cáo và xác minh báo cáo	Khách hàng	Đội ngũ WhiteHub
Branded Domain Chương trình được truy cập qua domain/subdomain của khách hàng, không phải domain WhiteHub	Không	Có
Số lượng chương trình Số lượng chương trình tối đa mà khách hàng có thể khởi chạy	Tối đa 2	Tối đa 4
Chương trình được công khai với Đối tượng có thể xem và tham gia chương trình	Tất cả mọi người	Tất cả mọi người, hoặc chỉ các nhà nghiên cứu được mời
Chính sách chương trình được xây dựng bởi Đối tượng và cách chính sách chương trình được xây dựng	Khách hàng, dựa trên chính sách cơ bản	Khách hàng, với sự tư vấn từ đội ngũ WhiteHub
Được quảng bá qua Các kênh được sử dụng để quảng bá chương trình	Các kênh miễn phí ﴾mạng xã hội, nhóm chat, v.v.﴿	Cả kênh miễn phí và trả phí (quảng cáo, báo chí, v.v.﴿
Kiểm thử bảo mật trước khi chạy Bug BountyĐội ngũ WhiteHub thực hiện kiểm thử bảo mật trước khi khởi chạy chương trình	Không	Đánh giá lỗ hổng và kiểm thử bảo mật
Kênh hỗ trợ Kênh nhận hỗ trợ từ đội ngũ WhiteHub	Ticket, chat	Ticket, chat, điện thoại và hỗ trợ ưu tiên
Các chuyên gia nghiên cứu được lựa chọn dựa trên Quy tắc lựa chọn chuyên gia nghiên cứu bảo mật cho chương trình	Không có tiêu chí cụ thể	Kỹ năng, điểm danh tiếng, chứng chỉ, NDA
Người phụ trách xử lý lỗi Các quy tắc để chỉ định một chuyên gia xử lý phát hiện mới	Các quy tắc để chỉ định một chuyên gia xử lý phát hiện mới	Xác định trước, ngẫu nhiên hoặc theo thứ tự

Quản lý toàn diện trên nền tảng bảo mật

Nắm bắt được tổng quan về tình trạng bảo mật chỉ trên một màn hình.

Tự động phát hiện các lỗ hổng và các attack surface mới.

Nhận xét và thảo luận trực tiếp trên từng lỗ hổng, thay vì phải gọi điện và gửi email liên tục.

Dễ dàng thảo luận và trao đổi giữa đội ngũ của bạn và các chuyên gia bảo mật của chúng tôi.

Nhận được thông tin chi tiết về từng lỗ hổng (bao gồm mô tả, các bước tái tạo) cùng với hướng dẫn toàn diện, cụ thể để khắc phục.

Tăng tốc quá trình kiểm thử bảo mật với phương pháp tối ưu hóa.

Tích hợp với các công cụ hỗ trợ làm việc như Slack, Jira, Trello.

Tối ưu chi phí đầu tư và thời gian cho các nhà phát triển.

Kiểm thử xâm nhập theo đúng quy chuẩn

Kiểm thử xâm nhập của CyStack cung cấp một quá trình kiểm tra toàn diện, bao gồm tất cả các yêu cầu cần thiết để đáp ứng tiêu chuẩn ISO 27001, HIPAA, SOC2, GDPR và các khung chuẩn khác.

CyStack Compliance-driven penetration test

Quy trình làm việc

Tư vấn ban đầu

Khách hàng và đội ngũ của WhiteHub sẽ có một cuộc tư vấn ban đầu để thảo luận về các mục tiêu bảo mật của khách hàng, phạm vi của chương trình và các loại lỗ hổng sẽ nằm trong phạm vi.

Thiết lập chương trình

Đội ngũ của WhiteHub sẽ làm việc với khách hàng để thiết lập chương trình, bao gồm việc tạo biểu mẫu gửi tùy chỉnh và quy trình làm việc, thiết lập hệ thống phần thưởng và thiết lập cấu hình phạm vi của chương trình.

Vận hành chương trình

Sau khi chương trình được thiết lập, WhiteHub sẽ khởi chạy chương trình và mời các chuyên gia nghiên cứu bảo mật tham gia thông qua các chiến dịch quảng cáo, sau đó chúng tôi chờ và xử lý báo cáo.

Báo cáo và phân tích

WhiteHub cung cấp báo cáo và phân tích toàn diện, đem lại cho các tổ chức thông tin chuyên sâu, chi tiết về hiệu quả của chương trình săn lỗi nhận tiền thưởng.