Nhằm giúp các DN thích nghi nhanh hơn với những thay đổi của tiến trình chuyển đổi số (CĐS) và có những phương pháp bảo vệ mình trước các nguy cơ an ninh mạng, sáng ngày 12/12, Công ty CP An ninh mạng CyStack và Làng Công nghệ An toàn không gian mạng đã tổ chức hội thảo "Giải pháp bảo mật cộng đồng cho DN Việt". Đây là sự kiện nằm trong khuôn khổ Techfest 2021 do Bộ Khoa học và Công nghệ chủ trì.
Tại Việt Nam, khái niệm đảm bảo an toàn thông tin (ATTT) không còn quá xa lạ, nhưng các DN vẫn đang gặp khá nhiều rào cản để có thể tiếp cận với lĩnh vực này, nổi bật là khó khăn về thiếu hụt nhân sự.
Theo Cục ATTT thuộc Bộ TT&TT, nguồn nhân lực trong ngành này chưa đáp ứng được nhu cầu cả về số lượng và chất lượng. Theo khảo sát, đến hết năm 2020, lực lượng dân sự về an toàn an ninh mạng của Việt Nam ước tính 50.000 người, trong khi đến năm 2021 chúng ta sẽ cần khoảng 700.000 nhân lực.
Trên thực tế, trong xu hướng CĐS, các DN đang phải đối diện với nhiều bài toán khó khăn, trong đó có vấn đề làm thế nào để tiếp cận được với các chuyên gia có năng lực để tăng cường bảo mật cho hệ thống và sản phẩm của công ty với chi phí phù hợp, để DN ở mọi giai đoạn phát triển đều có thể sử dụng. Vì vậy, bảo mật cộng đồng (Crowdsourced Security) ra đời nhằm giải quyết bài toán hóc búa về ATTT mà các DN hiện nay đang phải đối mặt.
Chia sẻ tại hội thảo "Giải pháp bảo mật cộng đồng cho DN Việt", ông Nguyễn Hữu Trung, CEO và sáng lập của Công ty CP An ninh mạng CyStack, cho biết bảo mật cộng đồng là giải pháp bảo mật tận dụng nguồn lực đám đông để cùng bảo mật cho một sản phẩm công nghệ của tổ chức, DN. Theo đó, thay vì tuyển dụng nhân sự hoặc sử dụng nguồn nhân sự bảo mật hạn chế tại DN, bảo mật cộng đồng tận dụng nguồn lực của cộng đồng các nhà nghiên cứu bảo mật độc lập và hacker mũ trắng để tăng cường bảo mật cho các sản phẩm của DN.
Theo ông Trung, các DN hàng đầu thế giới như Facebook, Google,... đã tận dụng nguồn lực cộng đồng để giải quyết vấn đề bảo mật từ rất sớm. Đây là những DN có số lượng sản phẩm công nghệ khổng lồ nhưng số lượng nhân sự bảo mật chỉ vài trăm người, họ cập nhật các tính năng mới hàng ngày hàng giờ và ra mắt các sản phẩm mới hàng tháng, vì vậy, với số lượng nhân sự bảo mật hiện có, DN vẫn không thể giải quyết được hết tất cả các vấn đề về bảo mật cho các sản phẩm của mình. Do đó, họ mở các chương trình tìm kiếm lỗ hổng bảo mật với mức tiền thưởng phụ thuộc vào mức độ nguy hiểm của lỗ hổng bảo mật.
Điển hình, Google đã triển khai nhiều chương trình khác nhau để các nhà nghiên cứu có thể báo cáo các vấn đề bảo mật, như Android Security Rewards Program (ASR), để báo cáo các lỗ hổng trong mã Android và Google Play Security Rewards Program, để thông báo các lỗi trong ứng dụng Android phổ biến, chương trình Android Partner Vulnerability Initiative (APVI), một nỗ lực nhằm cải thiện việc vá các vấn đề bảo mật dành riêng cho các OEM Android.
Cách tiếp cận này được đánh giá hiệu quả cao hơn so với tuyển dụng nhân sự bảo mật mới, giúp DN có thể tận dụng nguồn lực dồi dào hàng trăm nghìn chuyên gia bảo mật trên thế giới, phù hợp với từng tình hình cụ thể và giai đoạn phát triển riêng.
Tại Việt Nam, sự ra đời của một loạt các nền tảng tìm kiếm, công bố lỗ hổng bảo mật của Việt Nam như WhiteHub (CyStack), VCSLab, SafeVuln (Viettel), BugRank (Trung tâm Giám sát an toàn không gian mạng quốc gia - NCSC) trong thời gian gần đây đã và đang làm cho môi trường ATTT trở nên lành mạnh hơn rất nhiều, hướng cho người tìm ra lỗ hổng đi theo con đường Whitehat (trở thành hacker mũ trắng) thay vì nhiều cám dỗ Blackhat (trở thành hacker mũ đen) như trước đây. Đây cũng là xu hướng phổ biến trên thế giới, là nơi kết nối giữa DN và người làm ATTT để họ có thể báo cáo những lỗ hổng đối với những hệ thống của DN giúp DN khắc phục trước khi có những hậu quả.
"Bảo mật cộng đồng là xu hướng tất yếu của bảo mật hiện đại nhằm giải quyết câu chuyện về các rủi ro và nguy cơ an ninh mạng, đặc biệt là tại các công ty có tốc độ phát triển sản phẩm nhanh", CEO của CyStack cho biết.
Giải pháp bảo mật cộng đồng liệu có khả thi ở thị trường Việt Nam?
Trên thực tế, nghiên cứu gần đây của HackerOne đã xác nhận rằng, cứ 2,5 phút lại có hacker phát hiện ra một lỗ hổng phần mềm. Nếu không có cộng đồng hacker đứng về phía DN, những lỗ hổng này có thể dẫn đến các cuộc tấn công mạng.
Theo ông Nguyễn Hữu Trung, gần đây có rất nhiều lỗ hổng bảo mật lớn đều được phát hiện bởi bảo mật cộng đồng. Việc sử dụng tiếp cận này sẽ giúp đội ngũ nhân sự bảo mật của DN tập trung vào đúng công việc kỹ sư ATTT của mình, thay vì đi kiểm thử và phát hiện các lỗ hổng họ có thể tập trung thời gian cho việc thiết kế hệ thống và đưa ra các tham vấn kiến trúc an toàn cho nội bộ DN, việc này giúp giảm thiểu 80% nguy cơ bị tấn công mạng.
CEO của CyStack cho biết có 3 yếu tố cấu thành để DN triển khai bảo mật cộng đồng thành công. Đầu tiên, DN phải có sản phẩm phù hợp với triển khai bảo mật cộng đồng, tức là sản phẩm không yêu cầu mức độ bí mật cao, có thể công khai (public) hoặc cho phép một số nhóm người dùng nhất định truy cập.
Thứ hai, bản thân DN phải có sự sẵn sàng cho làm bảo mật cộng đồng, bởi khi cho cộng đồng tiếp cận thì DN sẽ có lợi thế về số lượng và chất lượng, có thể chỉ trong ngày đầu tiên DN sẽ nhận được hàng trăm thông tin về lỗ hổng. Tuy nhiên, nhiều khi đây cũng là bất lợi với DN, tức là nếu tốc độ phản ứng của DN không theo kịp tốc độ báo cáo thì sẽ tạo ra áp lực rất lớn cho DN và dẫn tới các hệ quả tiêu cực, ví dụ không xử lý sớm thì thông tin về lỗ hổng có thể bị lộ ra ngoài, bị khai thác,...
Cuối cùng, mức tiền thưởng cho các chuyên gia bảo mật cũng phải đủ hấp dẫn để họ sẵn sàng báo cáo các lỗ hổng bảo mật trước khi chúng có thể bị khai thác chứ không găm lại để trục lợi sau đó.
Chia sẻ thêm về việc DN nên lựa chọn bảo mật cộng đồng hay bảo mật truyền thống, theo ông Nguyễn Hữu Trung việc lựa chọn tiếp cận nào sẽ phụ thuộc vào quy mô và đặc thù riêng của từng DN.
Ông Nguyễn Thanh Tùng, Trưởng phòng An toàn sản phẩm, Công ty cổ phần OneMount Group, cho biết DN này đã triển khai bảo mật cộng đồng cho một số sản phẩm. Theo đó, việc kiểm soát, quản lý các lỗ hổng bảo mật cần phù hợp với mục tiêu kinh doanh của sản phẩm.
Tại DN, chi phí và nguồn lực bỏ ra để sửa, khắc phục các lỗ hổng bảo mật trên một số sản phẩm hoàn thiện là rất lớn. Do đó, các DN thường hướng tới thiết kế sản phẩm tốt ngay từ đầu, sạch ngay từ đầu, khi đó việc sửa chữa trong giai đoạn hoàn thiện sản phẩm sẽ ít và chi phí cũng thấp hơn.
Tuy nhiên, theo ông Tùng, nếu chỉ tập trung vào giai đoạn thiết kế ban đầu thì sẽ không phù hợp với các DN cần phát triển nhanh sản phẩm để đưa ra thị trường và tạo lợi thế cạnh tranh so với các đối thủ. Vì thế, để đảm bảo sản phẩm vừa có thể tiếp cận nhanh thị trường vừa an toàn thì DN nên sử dụng tiếp cận bảo mật cộng đồng. Đây là sự kết hợp hài hòa để kiểm soát các lỗ hổng bảo mật trong quá trình phát triển sản phẩm.
Chia sẻ thêm về vấn đề này, ông Nguyễn Hữu Trung cho biết nhiều lỗ hổng được phát hiện trên WhiteHub rất phức tạp, đòi hỏi nhiều thời gian và sự sáng tạo để tìm ra. Sẽ rất khó khăn để các dịch vụ truyền thống với một vài người thực hiện trong một khoảng thời gian hạn chế có thể phát hiện được. WhiteHub là nền tảng bảo mật cộng đồng do CyStack phát triển, giúp các DN có cơ hội tiếp cận với 1000 chuyên gia bảo mật trên nền tảng, giúp tìm ra các lỗi bảo mật trong ứng dụng web, ứng dụng di động nhanh chóng. Qua đó, DN có thể kịp thời vá những lỗi bảo mật nghiêm trọng, giúp bảo đảm an ninh ứng dụng và dữ liệu khách hàng sử dụng sản phẩm.
Tuy nhiên, khi triển khai bảo mật cồng đồng, một câu hỏi đặt ra là liệu hợp tác với các hacker có an toàn hay không? Theo đại diện OneMount Group, ranh giới giữa hacker tích cực và tiêu cực rất mong manh. Khi triển khai tiếp cận này, DN cũng gặp phải những thách thức, đó là việc kiểm soát rủi ro về lộ lọt thông tin khi đưa sản phẩm lên cộng đồng và hiệu quả mang lại.
Hiện nay đã bắt đầu có nhiều DN chấp nhận hacker có đạo đức, thái độ đối với hacker cũng trở nên tích cực hơn. Trước đây hacker chỉ được coi là những kẻ phản diện, ngày nay họ được xem như một lực lượng toàn cầu vì mục đích tốt, hợp tác với nhau để giúp giải quyết nhu cầu bảo mật ngày càng lớn của xã hội.
Mặt khác, đối với nhiều DN, làm việc với hacker còn tạo ra những cơ hội mới, vì họ có thể tiếp cận với rất nhiều kỹ năng để tìm kiếm và vá các lỗ hổng tiềm tàng trước khi bị kẻ xấu lợi dụng. Hacker thường là các chuyên gia trong lĩnh vực của họ, không ngừng nỗ lực trong công việc của mình và có góc nhìn khác với các chuyên gia bảo mật CNTT truyền thống.
Để hạn chế rủi ro khi triển khai bảo mật cộng đồng, các chuyên gia khuyến nghị DN cần đưa sản phẩm, giải pháp lên một cộng đồng bảo mật đủ lớn; đưa ra mức tiền thưởng phù hợp; ghi nhận sự đóng góp và nỗ lực của người phát hiện lỗ hổng; đồng thời có hành động xử lý nhanh chóng khi tiếp nhận báo cáo về lỗ hổng./.