Để bảo mật cho website, ứng dụng của công ty, các doanh nghiệp thường phải trả khoản tiền không nhỏ cho đội ngũ kỹ sư an ninh nội bộ hoặc thuê công ty ngoài. Nên nhiều doanh nghiệp vừa và nhỏ không mảy may nghĩ đến giải pháp đắt đỏ dành cho “giới nhà giàu” này.

Và Cystack với sản phẩm WhiteHub ra đời với mong muốn bình dân hóa dịch vụ an ninh thông tin.

CTO Cystack - Nguyễn Hữu Trung.
CTO Cystack - Nguyễn Hữu Trung.

An ninh website ở mức báo động

9300 webiste của Việt Nam bị tấn công trong năm 2019 là con số được Nguyễn Hữu Trung – CTO của Cystack đưa ra khi bắt đầu câu chuyện với Khoa học và Phát triển để thấy rằng, tình hình bảo mật website ở Việt Nam đáng báo động thế nào.

Khi website bị tấn công, doanh nghiệp thường bị ăn cắp dữ liệu thay đổi giao diện trang web (deface), chèn mã độc (malicious code), điều hướng người dùng tới trang lừa đảo... “Đáng tiếc, không nhiều doanh nghiệp vừa và nhỏ thấy tầm quan trọng của bảo mật, hoặc nhận thức được thì cũng không đủ chi phí để nuôi một kỹ sư an ninh mạng. Vậy nên họ tặc lưỡi cho qua” – anh Nguyễn Hữu Trung nói về thực trạng mà hầu như ai cũng nhìn thấy nhưng đã nhiều năm chưa thể thay đổi.

Hiện nay, mức lương của một kỹ sư bảo mật thường gấp 1,5-4 lần kỹ sư phần mềm khác. Vì vậy, chỉ những đơn vị lớn như ngân hàng, tài chính, trang thương mại điện tử… mới mạnh tay đầu tư một đội ngũ an ninh thông tin nội bộ. Những công ty có quy mô nhỏ hơn nếu có nhu cầu bảo mật sẽ lựa chọn phương thức ít tốn kém hơn là thuê dịch vụ pentest (kiểm thử bảo mật bằng cách tấn công theo nhiều cách để tìm ra lỗ hổng) định kỳ từ các công ty an ninh mạng.

Với kinh nghiệm 5 năm làm việc trong những công ty này anh Nguyễn Hữu Trung hiểu rằng phương án này cũng không phải lựa chọn tối ưu, bởi sự áp lực về thời gian, khối lượng công việc khiến các kỹ sư mất đi sự sáng tạo, sắc bén và thường sử dụng các phương pháp kiểm thử rập khuôn.

Đáng nói, dù sở hữu đội ngũ hàng đầu thế giới thì các ông lớn công nghệ như Google, Facebook cũng hiểu được sự giới hạn về tư duy và sáng tạo khi kiểm thử lỗi. Vì thế, hằng năm các công ty này không tiếc tay chi ra hàng triệu USD cho các chương trình bug bounty (săn lỗ hổng trả tiền thưởng) để tìm kiếm các Zero Day – những lỗi bảo mật chưa từng được biết đến trước đó. Đơn cử năm 2019, Facebook đã chi tới 2,2 triệu USD, Google chi 6,5 triệu USD… Nhưng đây là chuyện của các ông lớn vừa có tiếng vừa có tiền. Còn những công ty nhỏ mọi chuyện không dễ dàng - họ không có tiền để thuê đội ngũ nội bộ, không biết cách tiếp cận cộng đồng bảo mật và càng không đủ tiếng tăm để lan tỏa các chương trình bug bounty.

“Sự giới hạn về trình độ, nhân sự, tư duy phương pháp làm việc, mối quan hệ là lý do Cystack cho ra đời WhiteHub. Nền tảng của chúng tôi giải quyết sự giới hạn về nhân lực tư duy và cả tài chính của doanh nghiệp” – ông Nguyễn Hữu Trung cho biết.

Bình dân hóa dịch vụ bảo mật

WhiteHub là một bug bounty platform (nền tảng hỗ trợ săn lỗi bảo mật nhận tiền thưởng) kết nối 2000 chuyên gia bảo mật với nhiều chuyên gia đã tìm ra nhiều lỗ hổng cực khó của Google, Facebook, Microsoft và có thứ hạng cao trong cộng đồng bảo mật thế giới với các công ty có nhu cầu bảo mật. Đây là nền tảng đầu tiên tại Việt Nam ứng dụng phương pháp Crowdsourced Security (cộng đồng bảo mật) để giảm thiểu rủi ro bị tin tặc tấn công cho doanh nghiệp thông qua việc tìm kiếm các lỗ hổng bảo mật trên hệ thống sản phẩm. Thông qua nền tảng của mình, doanh nghiệp sẽ giới thiệu các chương trình bug bounty đến cho cộng đồng bảo mật với định nghĩa rõ ràng về: vấn đề cần tìm kiếm, mức thưởng cho từng hạng mục lỗi, kiểm tra báo cáo để xác nhận mức độ nghiêm trọng của lỗi và trao thưởng…

“Nếu doanh nghiệp có nhân sự bảo mật, chúng tôi sẽ giữ vai trò trung gian. Nhưng số doanh nghiệp như vậy không nhiều nên chúng tôi đóng vai trò tư vấn từ mục tiêu của chương trình, định nghĩa nội dung lỗi, lên chi tiết mức thưởng, xác nhận các báo cáo lỗi hợp lệ để trao thưởng” – anh Trung Nguyễn nói. Cũng theo anh điều tuyệt vời nhất mà WhiteHub làm được cho cộng đồng doanh nghiệp là giúp họ “nhận được đúng giá trị với số tiền đã bỏ ra”. Nghĩa là doanh nghiệp chỉ phải chi tiền khi có lỗi chứ không cần trả theo gói ‘theo kiểu có hay không vẫn phải trả tiền’. Cũng trên hệ thống này, doanh nghiệp sẽ theo dõi các báo cáo lỗi đã được xử lý tới đâu tránh bị bỏ quên như khi trao đổi qua chat hay email và kiểm soát được ngân sách đã chi. Điều này được cho là hiệu quả kinh tế rõ rệt so với dịch vụ phương pháp pentest truyền thống.

“Trung bình sẽ mất khoảng từ 2-4 ngày để nhận báo cáo lỗi đầu tiên. Thậm chí cách đây không lâu khi làm chương trình cho doanh nghiệp có quy mô tầm trung, trong vòng chưa đầy 24h chúng tôi đã nhận được 100 báo cáo lỗi với 70 báo cáo hợp lệ. Điều đó khiến doanh nghiệp nhận thấy hiệu quả rõ rệt của bảo mật cộng đồng” – anh Trung giải thích.

Xác định vươn tầm ảnh hưởng ra thế giới nên Cystack xác định TnD là tờ giấy thông hành. Đây là lý do mà dù mới thành lập chưa đầy ba năm, Cystack đã ba lần gây tiếng vang. Đó là tìm ra lỗ hổng bảo mật của Router D-link hồi cuối năm 2019 được gắn mã CVE – lỗ hổng bảo mật được gắn mã ID định danh đã được nhà phát triển công nhận và vượt qua hàng nghìn ứng viên để trở thành diễn giả trình bày tại hội thảo bảo mật lớn nhất châu Á 2020 BlackHat Asian và Hội thảo bảo mật lớn nhất thế giới BlackHat USA 2020 tại Mỹ sẽ diễn ra vào tháng 8 tới đây.

Tất nhiên, trong quá trình phát triển, Cystack cũng gặp nhiều cái khó khi người dùng của họ chưa thực sự quan tâm đến vấn đề họ đang giải quyết. Đó là chưa kể đôi khi lại bị đặt lên bàn cân với các ông lớn như Viettel, FPT, BKAV… Nhưng CTO của Cystack chưa bao giờ coi đó là vấn đề bởi “khách hàng của chúng tôi là doanh nghiệp tầm trung và nhỏ trong khi của các đơn vị kia là đơn vị lớn hoặc tầm chính phủ”. Thời gian qua, Cystack vẫn đang tiếp tục công việc ‘đào tạo thị trường’ bởi họ hiểu rằng, khi tham gia vào một lĩnh vực mới, đó là chuyện đương nhiên phải làm.

“Việt Nam đang phát triển nền kinh tế số nên việc doanh nghiệp quan tâm bảo mật sẽ là chuyện trong một vài năm tới. Việc của Cystack chỉ là xây dựng những sản phẩm tốt nhất để không bỏ lỡ thời cơ” – Trung Nguyễn quả quyết.

Nguyễn Đông Thái – CTO Vntrip.
Nguyễn Đông Thái – CTO Vntrip.

Hiện Vntrip có hai thách thức lớn nhất về bảo mật là đảm bảo dữ liệu khách hàng (500 nghìn user, 10.000 hệ thống mạng lưới khách sạn) và đảm bảo tính ổn định của hệ thống. Mỗi ngày Vntrip có hàng trăm ngàn lượt truy cập.

Vì thế nếu một ngày hệ thống gặp trục trặc thì thiệt hại sẽ rất lớn.

WhiteHub đã giúp chúng tôi giải quyết bài toán về bảo mật bằng đội ngũ chuyên gia có kinh nghiệm chuyên sâu. Mỗi khi chúng tôi có một bản cập nhật app, web thì lập tức đội ngũ chuyên gia sẽ tìm ra lỗ hổng bảo mật và vá lỗi ngay lập tức.

Một trong những thời điểm ‘bất ngờ’ nhất là WhiteHub đã tìm ra 50 lỗ hổng bảo mật, thậm chí có đối tác mà Vntrip nghĩ rằng họ không thể có lỗ hổng bảo mật thì Vntrip cũng tìm ra được. Với sự hỗ trợ của WhiteHub chúng tôi đã có thể yên tâm hơn trong việc đẩy mạnh business của mình.