Ra đời nhiều nền tảng tìm kiếm và công bố lỗ hổng bảo mật
Mới đây, VCSLab - nền tảng công bố lỗ hổng bài bản dành cho cộng đồng nghiên cứu chuyên sâu đã chính thức được Viettel Cyber Security (VCS) ra mắt. Việc hình thành VCSLab như là một lời khẳng định rằng đội ngũ chuyên gia của VCS sẽ thực hiện nghiên cứu lỗ hổng một cách bài bản, chuyên nghiệp và có tính tiếp nối giữa các lứa, lớp một cách có tổ chức.
Tại VCSLab, các lỗ hổng sau khi được phát hiện sẽ được các chuyên gia nghiên cứu, theo dõi và xử lý trên một hệ thống độc lập. Quy trình chung sẽ gồm 3 giai đoạn chính: cảnh báo lỗ hổng cho đơn vị chủ quản, hỗ trợ đơn vị chủ quản khắc phục và cuối cùng là cảnh báo đến người dùng cuối. Các cảnh báo, thông tin chi tiết mô tả về lỗ hổng sẽ được khuyến nghị tới cộng đồng dưới dạng Advisory, nhằm đảm bảo rằng lỗ hổng được nhận thức đúng đắn về mức độ nghiêm trọng và được khắc phục rộng rãi.
Đồng thời, chính sách công bố lỗ hổng được VCSLab tuân thủ theo 3 nguyên tắc: tôn trọng lỗ hổng; tôn trọng luật lệ; tôn trọng sản phẩm.
Việc chính thức định danh VCSLab khẳng định sẽ tạo ra môi trường nghiên cứu, học hỏi chuyên sâu, giao lưu, phát triển giữa các chuyên gia an ninh mạng, từ đó đẩy mạnh phát hiện và khắc phục những lỗ hổng trên không gian mạng, giúp người dùng tham gia, sử dụng Internet lành mạnh và an toàn hơn.
Trong năm 2020, Viettel cũng đã cho ra mắt nền tảng tìm kiếm lỗ hổng bảo mật SafeVuln. Thông qua SafeVuln, các sản phẩm/ứng dụng công nghệ của các tổ chức/doanh nghiệp có cơ hội được cộng đồng các chuyên gia đánh giá, tìm kiếm và báo cáo lỗ hổng. Với mỗi lỗ hổng được tìm ra, các chuyên gia sẽ được nhận thưởng tương ứng với mức độ nghiêm trọng, đồng thời được vinh danh trên bảng xếp hạng của SafeVuln.
Trước đó, tháng 8/2021, Trung tâm Giám sát an toàn không gian mạng quốc gia – NCSC (Cục ATTT – Bộ TT&TT) và VNSecurity đã phối hợp ra mắt nền tảng tìm kiếm lỗ hổng bảo mật BugRank. BugRank là một nền tảng Bug bounty nguồn mở và phi lợi nhuận. Thông qua nền tảng này, các tổ chức, doanh nghiệp có thể đưa các chương trình của tổ chức mình lên và sẽ được đánh giá, kiểm thử bởi tất cả các nhà nghiên cứu, chuyên gia bảo mật... trên toàn thế giới.
Trong năm 2019, NCSC cũng đã phối hợp với Công ty Cổ phần an ninh mạng Việt Nam (VSEC) ra mắt nền tảng kết nối cộng đồng hacker mũ trắng Vietnam Bug Bounty. Tuy nhiên, hiện tại, nền tảng này đã dừng hoạt động, khi tên miền ban đầu là Bugbounty.vn đã được trỏ đến trang cảnh báo ATTT của NCSC.
Ông Mai Xuân Cường, trưởng phòng An ninh hệ thống ứng dụng, đối với công việc tìm kiếm lỗ hổng, Viettel đang có cả Chương trình công bố lỗ hổng VCSLab và nền tảng tìm kiếm lỗ hổng SafeVuln. Đây là 2 phía khác nhau của công việc tìm kiếm lỗ hổng. Cụ thể, nếu như chương trình VCSLab là công việc nằm ở phía công bố ra lỗ hổng, còn nền tảng tìm kiếm lỗ hổng lại thiên về phía tiếp nhận và xử lý lỗ hổng.
Việc cho ra mắt chương trình công bố lỗ hổng của VCSLab thể hiện sự khẳng định của Viettel trong việc tìm và công bố lỗ hổng một cách chuyên nghiệp và định hướng lâu dài. Điều này thể hiện 2 nội dung, đầu tiên là việc hệ thống hoá, khi mà các lỗ hổng VCS tìm ra sẽ được cấp mã và theo dõi trên hệ thống nội bộ cho đến khi được khắc phục xong. Các lỗ hổng được công bố của VCSLab sẽ được sắp xếp và lưu trữ một cách bài bản tại trang web lab.viettelcybersecurity.com.
Tiếp theo, việc ra mắt VCSLab cũng sẽ giúp chuẩn hóa quá trình tìm kiếm ra lỗ hổng. Bằng việc tuyên bố chính sách, VCS muốn mọi người có một cách hiểu chung về ý nghĩa của công việc này, từ việc tìm ra cho đến công bố lỗ hổng. Việc VCSLab được hình thành đã tạo ra môi trường giúp các thành viên trong nội bộ công ty có cơ hội cùng nhau trao đổi và tương tác nhiều hơn, vừa nâng cao chất lượng chuyên môn, vừa có thể đào tạo các lớp nhân sự kế cận về ATTT, đặc biệt tạo cho mỗi cá nhân ý thức chủ động nghiên cứu và tìm kiếm những phương pháp mới hiệu quả, đóng góp nhiều giá trị hơn cho hệ sinh thái sản phẩm, dịch vụ của công ty và cho cộng đồng.
Việc định danh VCSLab một lần nữa khẳng định vị thế dẫn đầu của Viettel Cyber Security trong việc nghiên cứu, phát triển các giải pháp ATTT, đưa tri thức chuyên sâu vào trong từng sản phẩm, dịch vụ. Mặc dù cách thức tổ chức Chương trình công bố lỗ hổng như VCSLab thực hiện khá mới mẻ ở Việt Nam nhưng nó là mô hình quen thuộc trên thế giới. "Để xây dựng VCSLab, chúng tôi học hỏi lại các mô hình kinh điển công ty có đội ngũ ATTT hàng đầu trên thế giới như Google Project Zero, Zero Day Initiative (ZDI), Github Security Lab,…", ông Cường nói.
Tận dụng nguồn lực của các chuyên gia để giảm thiểu rủi ro về ATTT cho doanh nghiệp
Ông Trần Quang Hưng, Giám đốc Trung tâm NCSC, với sự phát triển nóng và nhanh chóng của công nghệ như hiện nay thì bất kỳ một hệ thống thông tin nào cũng sẽ phải đối mặt với các nguy cơ tấn công mạng. Do vậy, việc phát hiện sớm và khắc phục kịp thời các lỗ hổng bảo mật của các ứng dụng, hệ thống sẽ giúp giảm thiểu rủi ro và các thiệt hại mang lại đối với hệ thống đó. Theo xu hướng này, ngày nay các tổ chức, doanh nghiệp dần lựa chọn hình thức "Bug bounty", nhằm tận dụng nguồn lực các chuyên gia an toàn, an ninh mạng trên toàn thế giới để chỉ ra những lỗ hổng sớm nhất trên các hệ thống của mình.
Ông Nguyễn Lê Thành, Trưởng nhóm VNSecurity cho biết, Bug Bounty đang là xu hướng phổ biến trên thế giới, là nơi kết nối giữa doanh nghiệp và người làm ATTT để họ có thể báo cáo những lỗ hổng đối với những hệ thống của doanh nghiệp giúp doanh nghiệp khắc phục trước khi có những hậu quả.
Những nền tảng nước ngoài tuy phổ biến nhưng đều là sàn thương mại, tức doanh nghiệp phải trả tiền để đưa phần mềm của mình lên sàn đó và kết nối với các chuyên gia nghiên cứu về ATTT. Để sử dụng những hệ thống này, thông thường số tiền doanh nghiệp phải trả có thể từ vài chục tới vài trăm ngàn đô mỗi năm.
Do đó, những nền tảng miễn phí như BugRank có thể mở ra xu hướng mới cho các hacker mũ trắng trong nước. Trong thời gian tới, sau giai đoạn thử nghiệm, BugRank sẽ mở cho các doanh nghiệp trong nước tiếp tục đăng ký. Tương lai xa, sau khi triển khai tại Việt Nam, BugRank sẽ xúc tiến triển khai tại Hong Kong, Malaysia và một số quốc gia khác.
Cũng theo ông Cường, mặc dù việc tìm kiếm, công bố lỗ hổng đã trở thành việc làm quen thuộc từ lâu của các chuyên gia ATTT ở Việt Nam cũng như trên thế giới, nhưng trong vài năm trở lại đây, việc kết nối giữa người tìm ra lỗ hổng và đơn vị chủ quản càng đơn giản hơn khi rất nhiều nền tảng trung gian ra đời. "Xu hướng ra đời của các nền tảng tìm kiếm, công bố lỗ hổng cũng ngày càng được nở rộ, do ngày càng nhiều công ty chịu chi hơn cho ATTT", ông Cường nói.
Điều này đã và đang làm cho môi trường ATTT trở nên lành mạnh hơn rất nhiều, nó hướng cho người tìm ra lỗ hổng đi theo con đường Whitehat (trở thành hacker mũ trắng) thay vì nhiều cám dỗ Blackhat (trở thành hacker mũ đen) như trước đây. Đồng thời, với việc định hình rõ ràng trong công việc tìm lỗ hổng và nhận thưởng sẽ ngày càng có nhiều nhân sự mới tham gia ATTT hơn.
Bên cạnh đó, mặc dù việc triển khai các chương trình trao thưởng lỗ hổng là việc làm quen thuộc đối với doanh nghiệp nhưng nó không phổ biến tại các hệ thống của các cơ quan nhà nước. Ngay cả trên thế giới cũng không có nhiều nước có chương trình/nền tảng tìm kiếm, công bố lỗ hổng giống như Cục ATTT với nền tảng BugRank.
Theo ông Cường, điều này đang thể hiện sự khẳng định mạnh mẽ của Chính phủ về việc quan tâm đến lĩnh vực ATTT cho hệ thống của nhà nước, đồng thời thúc đẩy sự phát triển cho nhân sự ATTT nước nhà.
Đánh giá về tiềm năng của Việt Nam trong lĩnh vực bảo mật, ông Cường cho rằng, do hoàn cảnh lịch sử, Việt Nam không có điều kiện để phát triển các ngành nghề khoa học cơ bản. Tuy nhiên, với CNTT hay ATTT, các nước trên thế giới cũng chỉ đi trước Việt Nam từ 5-10 năm. Với việc các cơ chế chính sách đang đi đúng hướng, Việt Nam ngày càng có nhiều nhân sự tốt về CNTT và ATTT, và người hưởng lợi hiển nhiên là các đơn vị và doanh nghiệp. "Điều quan trọng tiếp theo, chúng ta cần tạo môi trường tốt để doanh nghiệp phát triển và có cơ hội gìn giữ nhân tài cho đất nước, tránh tình trạng chảy máu chất xám", ông Cường bày tỏ./.