Crowdsourced Security – Xu thế bảo mật mới trong doanh nghiệp

19
Dịch vụ bảo mật IT Crowdsourcing

Cho dù bạn cần một nhóm kiểm thử bảo mật (pentester), một chương trình trao thưởng tìm lỗi (bug bounty program) hay một chương trình tiết lộ lỗ hổng (vulnerability disclosure plan) thì một nền tảng crowdsourcing (mô hình tận dụng nguồn lực thuê ngoài) là một giải pháp hoàn hảo.

Một phần quan trọng của việc bảo vệ cơ sở hạ tầng, ứng dụng và dịch vụ CNTT là yêu cầu các ‘hacker mũ trắng’ kiểm thử bảo mật hay nói cách khác là tấn công độc lập để phát hiện ra các lỗ hổng còn tồn tại, tuy nhiên không phải mọi công ty đều có đủ nguồn lực để thuê một nhóm kiểm thử bảo mật như vậy.

Crowdsourced Security chính là một giải pháp thay thế tuyệt vời để giúp các công ty nhận được sự giúp đỡ ngay lập tức với mức giá phải chăng. Sản phẩm của bạn sẽ được hàng trăm chuyên gia, nhà nghiên cứu bảo mật tham gia kiểm thử với mức phí hợp lý theo mỗi kết quả mà bạn nhận được, ví dụ theo số lượng và mức độ nguy hiểm của các lỗ hổng bảo mật.

Trung gian kết nối các chuyên gia bảo mật

Tuy nhiên, crowdsourced Security cũng mang đến nhiều lo ngại cho những công ty sử dụng dịch vụ này, liệu rằng các hacker mũ trắng có thực sự làm theo đúng yêu cầu như cam kết? Hoặc việc công bố các chương trình Bug bounty như vậy có khiến cho hệ thống của doanh nghiệp trở thành mục tiêu tấn công của các doanh nghiệp?

May mắn là có rất nhiều công ty hiện đang hoạt động với tư cách một trung gian đáng tin cậy, chuyên sử dụng các quy trình chặt chẽ để kiểm duyệt và kết nối các tin tặc độc lập. Các công ty này sẽ kiểm tra, đánh giá khả năng của các tin tặc, đảm bảo mức độ tin cậy, đồng thời cung cấp chương trình và khuôn khổ tổng thể để đảm bảo dịch vụ crowdsourcing mang lại hiệu quả tốt nhất.

Ba công ty nổi tiếng nhất trong lĩnh vực này là Synack, Bugcrowd và HackerOne, tại Việt Nam thì WhiteHub là một giải pháp tiềm năng rất đáng chú ý. Mặc dù cơ chế hoạt động khác nhau, nhưng có điểm chung là các công ty này sẽ kết nối đến cộng đồng chuyên gia bảo mật để tìm kiếm các lỗ hổng bảo mật cho doanh nghiệp. Có 2 hình thức triển khai chính các dịch vụ này:

  • Kiểm thử bảo mật (pentesting)
  • Chương trình trao thưởng khi phát hiện lỗ hổng (Bug bounty program)

Dịch vụ kiểm thử bảo mật (Pentest)

Kiểm thử bảo mật thường là dịch vụ tạo ra lợi nhuận chủ yếu cho các công ty crowdsourcing. Họ kết nối một nhóm chuyên gia có kinh nghiệm với các khách hàng và đề xuất mức giá hợp lý cho một phạm vi công việc đã thỏa thuận.

Phần lớn các chuyên gia tham gia vào các công ty này đang làm các công việc bán thời gian hoặc nghiên cứu độc lập. Một số ít làm toàn thời gian trong khi một số khác chỉ làm như một công việc kiếm thêm hoặc theo sở thích. Số tiền có thể kiếm được phụ thuộc vào kỹ năng, kinh nghiệm và độ khó của nhiệm vụ được giao.

WhiteHub cho biết thậm chí còn có cả các chuyên gia tình nguyện làm miễn phí trong một số trường hợp cụ thể (chẳng hạn như bảo vệ tài nguyên của chính phủ) hoặc đóng góp số tiền kiếm được cho các tổ chức từ thiện.

Chương trình Bug Bounty là gì?

Bug bounty là chương trình trao thưởng tìm lỗi mà các công ty triển khai với mục đích phát hiện các lỗ hổng bảo mật trong các hệ thống và sản phẩm công nghệ. Tập trung vào những lỗ hổng bảo mật nguy hiểm mà các dịch vụ pentest truyền thống hay các công cụ tự động không thể phát hiện được. Trong khuôn khổ một chương trình bug bounty, công ty sẽ trả tiền thưởng cho các nhà nghiên cứu bảo mật, kỹ sư an ninh mạng hay hacker mũ trắng dựa theo các lỗ hổng bảo mật họ tìm thấy trên ứng dụng (website, app mobile, phần mềm, thiết bị IoT,…) của công ty.

Triển khai chương trình bug bounty

Thực tế cho thấy là dù nhóm bảo mật nội bộ của các công ty có tốt đến đâu thì các công ty vẫn luôn cần một chương trình trao thưởng và tiết lộ lỗ hổng như một phần quan trọng trong bảo mật CNTT. Có rất nhiều công ty đã phải nhận những hậu quả tồi tệ khi cố tình bỏ qua những chương trình này, để rồi sau đó vẫn luôn hối hận vì không triển khai sớm hơn.

Mỗi công ty nên xem xét và triển khai cả ba loại chương trình này. Nhiều ‘hacker mũ trắng’ đã nản lòng, thậm chí phẫn nộ với các công ty về việc bị gây khó dễ khi báo cáo về các lỗi mà họ tìm thấy, hoặc khi các công ty cố gắng gian dối để phủ nhận về mức độ nghiêm trọng của những lỗi đó.

Nếu một công ty không đủ tiềm lực tự mình xây dựng và phát triển một bộ phận riêng rẽ để làm nhiệm vụ này, thì Crowdsourced Security chính là giải pháp tối ưu. Hầu hết các công ty Crowdsourced Security cung cấp các dịch vụ này như các dự án một lần (one-time) hoặc đột xuất. Một số công ty crowdsourcing còn cung cấp các dịch vụ liên quan như xem xét mã, khắc phục và tăng cường nhân viên. Các công ty crowdsourcing tương đối khác nhau về cách thức kết nối hacker và dịch vụ, mô hình định giá, cũng như cách thức đánh giá kỹ năng, kinh nghiệm và phân bổ các hacker.

Chi phí cho sử dụng Crowdsourced Security là bao nhiêu?

Không có một bảng giá niêm yết cụ thể đối với dạng dịch vụ này. Mức giá sẽ khác nhau tùy thuộc vào yêu cầu công việc cũng như kỹ năng và kinh nghiệm của các chuyên gia. Tuy nhiên đối với một công việc không quá phức tạp kéo dài trong độ vài tuần thì được biết mức giá sẽ dao động từ dưới một ngàn tới chục ngàn đô la. Đối với các đầu việc khó, yêu cầu kỹ năng chuyên môn và kéo dài nhiều tuần đến vài tháng, thì mức giá có thể lên tới hàng chục ngàn đô la. Tuy nhiên, mức giá sử dụng dịch vụ Crowdsourced Security này đã rẻ hơn rất nhiều so với các dịch vụ bảo mật truyền thống.

Chọn đối tác crowdsourced Security như thế nào?

Đầu tiên, hãy quyết định loại dịch vụ bạn cần, tần suất, cũng như số tiền bạn có thể chi trả. Quyết định xem mô hình crowdsourcing có phù hợp với chiến lược quản lý rủi ro của bạn không?

Nếu có, hãy xem xét một công ty cung cấp dịch vụ crowdsourcing có thể quản lý quy trình và loại bỏ phần lớn rủi ro. Sau đó liên hệ với một hoặc nhiều công ty dạng này để biết thêm chi tiết về các dịch vụ, nền tảng, phí và quy trình quản lý chuyên nghiệp của họ. Phần lớn giá trị của mỗi tổ chức nằm trong nền tảng, quy trình và cách họ kiểm tra, cũng như phân bổ các chuyên gia thực hiện nhiệm vụ.

CSO

BÌNH LUẬN

Please enter your comment!
Please enter your name here