Kinh doanh dịch vụ kiểm thử xâm nhập ứng dụng web tại Việt Nam
Taïp chí
1JKLÂQꢀFßXꢀꢁꢀ7UDRꢀõÕL
.+2$ꢀ+&ꢀ9jꢀ&1*ꢀ1*+ꢁꢀô1*ꢀô
KINH DOANH DỊCH VỤ KIỂM THỬ XÂM NHẬP
ỨNG DỤNG WEB TẠI VIỆT NAM
WEB APPLICATIONS PENETRATION TESTING SERVICE
IN VIETNAM
VŨ HOÀNG ĐẠT *
Tóm tắt
Tại Việt Nam hiện nay, ứng dụng web đã và đang trở nên rất phổ biến, gần gũi với người dùng, giúp
họ dễ dàng hơn trong việc tương tác, trao đổi thông tin. Tuy nhiên bên cạnh những lợi ích đó thì những
người cung cấp và sử dụng dịch vụ này cũng gặp phải nhiều mối đe dọa liên quan đến việc thất thoát
thông tin, tài sản, tiếp cận với những thông tin không chính xác, các thông tin nhạy cảm bị xâm phạm…
Nguyên nhân của việc này phần lớn là do ứng dụng web tồn tại các lỗ hổng bảo mật giúp kẻ xấu có thể
khai thác thực hiện theo mục đích của mình. Một trong những cách để hạn chế tối đa việc các lỗ hổng bị
tìm ra khai thác bởi kẻ tấn công chính là thực hiện tấn công, tìm lỗ hổng trên ứng dụng của mình và vá
nó trước khi những kẻ xấu thực hiện việc này. Trong bài báo tác giả đã đưa ra các nghiên cứu về tình hình
tấn công gây nguy hại trên các ứng dụng web tại Việt Nam, các đánh giá về nhu cầu thị trường cho dịch
vụ kiểm thử xâm nhập ứng dụng web.
Từ khóa: kinh doanh, an toàn thông tin, kiểm thử xâm nhập.
Summary
In Vietnam today, web applications are becoming very popular, close to the user, making it easier for
them to interact and exchange information. However, in addition to these benefits, the providers and users
of this service face many threats related to the loss of information, property, the access to inaccurate
information, or the sensitive information is compromised ... The cause of this is largely due to the web
applications existing security vulnerabilities that help the bad guys can exploit the implementation of
their purpose. One of the ways to minimize vulnerabilities exploited by an attacker is to perform an
attack, find vulnerabilities on its application, and patch it before the bad guys find it. In the article, the
author presents the studies on the threat situation on web applications in Vietnam, the assessments of
market demand for the web application penetration testing service.
Keywords: business, information security, intrusion testing.
những điểm yếu, lỗ hổng đã biết, đã được công bố
và rất dễ dàng để có thể khai thác.
Đặt vấn đề
Hiện nay tất cả các tổ chức, công ty đều sở hữu
cho mình một hệ thống mạng nội bộ để liên kết các
thiết bị lại với nhau, tăng sự tương tác giữa nhân
viên và giúp nhà quản trị có thể quản trị toàn bộ hệ
thống, tăng hiệu suất công việc. Ngoài ra, hầu hết
các tổ chức doanh nghiệp đều có một Website để
thể hiện hình ảnh của mình và thông tin đến người
dùng. Website không chỉ đại diện cho danh tiếng,
uy tín của công ty, tổ chức mà còn là nơi thông tin
đến người dùng, kết nối dữ liệu giá trị, nhạy cảm
như thông tin nội bộ, thông tin tài chính, tài khoản
ngân hàng, thẻ tín dụng. Mỗi Website luôn tồn tại
những điểm yếu bảo mật nghiêm trọng mà tin tặc
có thể lợi dụng khai thác. Đa phần trong số đó là
I.NỘI DUNG
Tình hình tấn công gây nguy hại trên các
website tại Việt Nam
Trên không gian mạng đang tồn tại nhiều trang
web Việt Nam (bao gồm cả những web sử dụng
dịch vụ máy chủ nước ngoài) bị tấn công, lợi dụng
để thực hiện các hành vi gây mất an toàn thông tin
như: phát tán thư rác; tấn công từ chối dịch vụ; cài
đặt và phát tán các loại mã độ (gần đây nhất là cài
đặt và phát tán mã độc để đào tiền ảo); lưu trữ các
mã khai thác điểm yếu lỗ hổng một cách tự động
(như lỗ hổng trên trình duyệt hay các thành phần
mở rộng của trình duyệt mà người dùng sử dụng…)
* Tổng Công ty Dịch vụ viễn thông
Ngày nhận bài: 5/4/2018; ngày thẩm định 15/7/2018; ngày duyệt đăng: 15/9/2018
15
SỐ 4 (2018)
Taïp chí
.+2$ꢀ+&ꢀ9jꢀ&1*ꢀ1*+ꢁꢀô1*ꢀô
1JKLÂQꢀFßXꢀꢁꢀ7UDRꢀõÕL
Theo số liệu của Cục An toàn thông tin ghi nhận (IIS, Apache…) và nhà cung cấp cụ thể như sau:
trong dịp Tết Nguyên đán 2018, hệ thống kỹ thuật
Nhu cầu sử dụng dịch vụ kiểm thử xâm nhập
ghi nhận khoảng 170 website đặt tại Việt Nam bị ứng dụng web
tấn công mạng. Trong 170 website đặt tại Việt Nam
Hơn 50% các tổ chức phải đối mặt với sự săm
bị tấn công mạng thì có 55 website có tên miền .vn
và 10 website của các cơ quan, tổ chức nhà nước
(.gov.vn), 98 website có tên miền .com bị tấn công.
Cục An toàn thông tin nhận định, hình thức tấn
công vào các website này chủ yếu là thay đổi giao
diện, tấn công chèn mã độc hại vào mã nguồn
website.
soi của công chúng sau mỗi vụ tấn công an ninh.
Các hệ thống vận hành và tài chính chịu ảnh hưởng
lớn nhất, tiếp đó là uy tín thương hiệu và khả năng
giữ chân khách hàng. Đối với những tổ chức đã
từng bị tấn công, hậu quả là rất đáng kể. Theo báo
cáo thường niên cuối năm 2017 của cisco:
Ứng dụng máy chủ web khác
222
Apache
Microsoft
nginx
18
7
6
openrestry
LiteSpeed
2
2
Hình 1: Thống kê số lượng URL bị tấn công theo ứng dụng máy chủ web
180
160
140
120
100
80
170
60
40
14
13
11
7
7
5
6
3
3
20
0
Hình 2: Thống kê số lượng URL bị tấn công theo nhà cung cấp
Riêng trong tuần đầu tháng 4/2018, cục an toàn
- 22% các tổ chức bị tấn công mất khách hàng –
thông tin ghi nhận có ít nhất 194 website tại Việt 40% trong số đó mất hơn 20% lượng khách hàng
Nam bị tấn công, lợi dụng để thực hiện hành vi gây thường xuyên.
mất an toàn thông tin. Trong đó, thống kê, phân loại
ác đường dẫn này theo loại ứng dụng máy chủ web
- 29% mất doanh thu, với 38% trong nhóm này
bị thất thu hơn 20%.
16
SỐ 4 (2018)
Taïp chí
1JKLÂQꢀFßXꢀꢁꢀ7UDRꢀõÕL
.+2$ꢀ+&ꢀ9jꢀ&1*ꢀ1*+ꢁꢀô1*ꢀô
- 23% các tổ chức bị tấn công mất cơ hội kinh
doanh, với 42% trong số này bị mất hơn 20% cơ hội.
Bước 1: Thống nhất phạm vi công việc
Khi khách hàng đồng ý với những điều khoản,
Hơn 1/3 tổ chức từng bị tấn công website chịu thời gian làm việc được thỏa thuận trong bản kế
thiệt hại đáng kể do mất khách hàng, cơ hội và hoạch đề xuất, bên cung cấp dịch vụ sẽ ký hợp đồng
doanh thu lên đến hơn 20%. Khoảng 90% các tổ thỏa thuận dịch vụ với khách hàng.
chức này đang cải thiện các công nghệ và quy trình
Khi khách hàng đồng ý với các điều khoản và
phòng chống mối đe doạ sau các vụ tấn công bằng
công việc đã được cập trong proposal, thời gian làm
cách tách riêng các chức năng CNTT và bảo mật
việc (ngày bắt đầu, kết thúc) và một hợp đồng thỏa
(38%), tăng cường đào tạo nâng cao nhận thức bảo
thuận dịch vụ giữa bên cung cấp dịch vụ và khách
mật cho nhân viên (38%), và thực hiện các kỹ thuật
hàng sẽ được xây dựng.
giảm thiểu rủi ro (37%).
Trước khi dự án được thực hiện, về phía cung
Với những rủi ro rất lớn ảnh hưởng nghiêm
cấp dịch vụ cần có cuộc gặp gỡ với khách hàng.
trọng đến uy tín, nguồn lực nếu bị tấn công trên các
Mục đích của cuộc gặp gỡ này là để giới thiệu các
website; Việt Nam là một thị trường rất lớn, đầy
thành viên thực hiện, trao đổi thông tin kênh liên
tiềm năng cho dịch vụ kiểm thử xâm nhập website.
lạc, và thảo luận phương thức hỗ trợ. Việc này sẽ
Kinh doanh dịch vụ kiểm thử xâm nhập ứng dụng
đảm bảo quá trình đánh giá diễn ra suôn sẻ và đạt
web nói riêng và kinh doanh dịch vụ an toàn thông
kết quả cao nhất.
tin nói chung là một ngành nghề kinh doanh có điều
Bước 2: Tiến hành đánh giá
kiện, cần phải được xin cấp giấy phép kinh doanh.
Hợp đồng được tính từ ngày bắt đầu khi 2 phía
Nghị định 108/2016/NĐ-CP quy định chi tiết
đã thống nhất chung các yêu cầu, phía khách hàng
điều kiện kinh doanh sản phẩm, dịch vụ an toàn
phải thanh toán trước một phần phí dịch vụ.
thông tin mạng vừa được Chính phủ ban hành.
Khi quá trình kiểm thử hoàn thành, bên cung cấp
Các lợi ích thu được khi sử dụng dịch vụ kiểm
dịch vụ sẽ cung cấp cho khách hàng một bản báo
thử xâm nhập ứng dụng web:
cáo (bản dự thảo) về kết quả kiểm thử.
- Phát hiện sớm nguy cơ, lỗ hổng trên các thiết bị
Bước 3: Báo cáo/ khắc phục
và ứng dụng
Sau đó, trong vòng năm ngày, quý khách có thể
- Kịp thời ngăn chặn kẻ tấn công, khai thác
xem xét, đánh giá bản báo cáo trên.
điểm yếu
Tiếp theo sau đó, bên cung cấp dịch vụ cần tiếp
- Có các phương án vá lỗ hổng kịp thời
thu các ý kiến đóng góp và nhận xét, đánh giá của
- Giảm thiểu những nguy cơ mất an toàn thông
khách hàng, sau đó đưa ra bản báo cáo hoàn chỉnh
tin và sự cố tấn công mạng xảy ra
sau cùng.
- Nâng cao năng lực cạnh tranh của Doanh
Sau đó bên cung cấp dịch vụ cần có cuộc họp
nghiệp so với các đơn vị khác. Đặc biệt là lĩnh vực
kỹ thuật trực tiếp cùng với khách hàng hoặc
kinh doanh về thương mại điện tử hay các ngân
thông qua kênh liên lạc bất kỳ khác để thảo luận
hàng đang phát triển dịch vụ ngân hàng điện tử.
về kết quả đánh giá cũng như giải đáp các thắc
Quy trình thực hiện kiểm thử xâm nhập ứng
mắc của khách hàng.
dụng web
Sau buổi thảo luận, khách hàng sẽ thực hiện
Quy trình thự hiện kiểm thử xâm nhập ứng dụng
khắc phục tất cả lỗi mà bên cung cấp dịch vụ đã
web sẽ thực hiện qua 4 bước chính bao gồm:
phát hiện và báo cáo.
THỐNG NHẤT PHẠM VI
CÔNG VIỆC
TIẾN HÀNH ĐÁNH GIÁ
BÁO CÁO/ KHẮC PHỤC
CHỨNG NHẬN/ HỖ TRỢ
Hình 3: Quy trình thực hiện kiểm thử xâm nhập ứng dụng web
17
SỐ 4 (2018)
Bạn đang xem tài liệu "Kinh doanh dịch vụ kiểm thử xâm nhập ứng dụng web tại Việt Nam", để tải tài liệu gốc về máy hãy click vào nút Download ở trên
File đính kèm:
- kinh_doanh_dich_vu_kiem_thu_xam_nhap_ung_dung_web_tai_viet_n.pdf