Kinh doanh dịch vụ kiểm thử xâm nhập ứng dụng web tại Việt Nam

Download
Taïp chí  
1JKLÂQꢀFßXꢀꢁꢀ7UDRꢀõÕL  
.+2$ꢀ+&ꢀ9jꢀ&1*ꢀ1*+ꢁꢀô1*ꢀô  
KINH DOANH DỊCH VỤ KIỂM THỬ XÂM NHẬP  
ỨNG DỤNG WEB TẠI VIỆT NAM  
WEB APPLICATIONS PENETRATION TESTING SERVICE  
IN VIETNAM  
VŨ HOÀNG ĐẠT *  
Tóm tắt  
Tại Việt Nam hiện nay, ứng dụng web đã và đang trở nên rất phổ biến, gần gũi với người dùng, giúp  
họ dễ dàng hơn trong việc tương tác, trao đổi thông tin. Tuy nhiên bên cạnh những lợi ích đó thì những  
người cung cấp và sử dụng dịch vụ này cũng gặp phải nhiều mối đe dọa liên quan đến việc thất thoát  
thông tin, tài sản, tiếp cận với những thông tin không chính xác, các thông tin nhạy cảm bị xâm phạm…  
Nguyên nhân của việc này phần lớn là do ứng dụng web tồn tại các lỗ hổng bảo mật giúp kẻ xấu có thể  
khai thác thực hiện theo mục đích của mình. Một trong những cách để hạn chế tối đa việc các lỗ hổng bị  
tìm ra khai thác bởi kẻ tấn công chính là thực hiện tấn công, tìm lỗ hổng trên ứng dụng của mình và vá  
nó trước khi những kẻ xấu thực hiện việc này. Trong bài báo tác giả đã đưa ra các nghiên cứu về tình hình  
tấn công gây nguy hại trên các ứng dụng web tại Việt Nam, các đánh giá về nhu cầu thị trường cho dịch  
vụ kiểm thử xâm nhập ứng dụng web.  
Từ khóa: kinh doanh, an toàn thông tin, kiểm thử xâm nhập.  
Summary  
In Vietnam today, web applications are becoming very popular, close to the user, making it easier for  
them to interact and exchange information. However, in addition to these benefits, the providers and users  
of this service face many threats related to the loss of information, property, the access to inaccurate  
information, or the sensitive information is compromised ... The cause of this is largely due to the web  
applications existing security vulnerabilities that help the bad guys can exploit the implementation of  
their purpose. One of the ways to minimize vulnerabilities exploited by an attacker is to perform an  
attack, find vulnerabilities on its application, and patch it before the bad guys find it. In the article, the  
author presents the studies on the threat situation on web applications in Vietnam, the assessments of  
market demand for the web application penetration testing service.  
Keywords: business, information security, intrusion testing.  
những điểm yếu, lỗ hổng đã biết, đã được công bố  
và rất dễ dàng để có thể khai thác.  
Đặt vấn đề  
Hiện nay tất cả các tổ chức, công ty đều sở hữu  
cho mình một hệ thống mạng nội bộ để liên kết các  
thiết bị lại với nhau, tăng sự tương tác giữa nhân  
viên và giúp nhà quản trị có thể quản trị toàn bộ hệ  
thống, tăng hiệu suất công việc. Ngoài ra, hầu hết  
các tổ chức doanh nghiệp đều có một Website để  
thể hiện hình ảnh của mình và thông tin đến người  
dùng. Website không chỉ đại diện cho danh tiếng,  
uy tín của công ty, tổ chức mà còn là nơi thông tin  
đến người dùng, kết nối dữ liệu giá trị, nhạy cảm  
như thông tin nội bộ, thông tin tài chính, tài khoản  
ngân hàng, thẻ tín dụng. Mỗi Website luôn tồn tại  
những điểm yếu bảo mật nghiêm trọng mà tin tặc  
có thể lợi dụng khai thác. Đa phần trong số đó là  
I.NỘI DUNG  
Tình hình tấn công gây nguy hại trên các  
website tại Việt Nam  
Trên không gian mạng đang tồn tại nhiều trang  
web Việt Nam (bao gồm cả những web sử dụng  
dịch vụ máy chủ nước ngoài) bị tấn công, lợi dụng  
để thực hiện các hành vi gây mất an toàn thông tin  
như: phát tán thư rác; tấn công từ chối dịch vụ; cài  
đặt và phát tán các loại mã độ (gần đây nhất là cài  
đặt và phát tán mã độc để đào tiền ảo); lưu trữ các  
mã khai thác điểm yếu lỗ hổng một cách tự động  
(như lỗ hổng trên trình duyệt hay các thành phần  
mở rộng của trình duyệt mà người dùng sử dụng…)  
* Tổng Công ty Dịch vụ viễn thông  
Ngày nhận bài: 5/4/2018; ngày thẩm định 15/7/2018; ngày duyệt đăng: 15/9/2018  
15  
SỐ 4 (2018)  
Taïp chí  
.+2$ꢀ+&ꢀ9jꢀ&1*ꢀ1*+ꢁꢀô1*ꢀô  
1JKLÂQꢀFßXꢀꢁꢀ7UDRꢀõÕL  
Theo số liệu của Cục An toàn thông tin ghi nhận (IIS, Apache…) và nhà cung cấp cụ thể như sau:  
trong dịp Tết Nguyên đán 2018, hệ thống kỹ thuật  
Nhu cầu sử dụng dịch vụ kiểm thử xâm nhập  
ghi nhận khoảng 170 website đặt tại Việt Nam bị ứng dụng web  
tấn công mạng. Trong 170 website đặt tại Việt Nam  
Hơn 50% các tổ chức phải đối mặt với sự săm  
bị tấn công mạng thì có 55 website có tên miền .vn  
và 10 website của các cơ quan, tổ chức nhà nước  
(.gov.vn), 98 website có tên miền .com bị tấn công.  
Cục An toàn thông tin nhận định, hình thức tấn  
công vào các website này chủ yếu là thay đổi giao  
diện, tấn công chèn mã độc hại vào mã nguồn  
website.  
soi của công chúng sau mỗi vụ tấn công an ninh.  
Các hệ thống vận hành và tài chính chịu ảnh hưởng  
lớn nhất, tiếp đó là uy tín thương hiệu và khả năng  
giữ chân khách hàng. Đối với những tổ chức đã  
từng bị tấn công, hậu quả là rất đáng kể. Theo báo  
cáo thường niên cuối năm 2017 của cisco:  
Ứng dụng máy chủ web khác  
222  
Apache  
Microsoft  
nginx  
18  
7
6
openrestry  
LiteSpeed  
2
2
nh 1: Thống kê số lượng URL bị tấn công theo ứng dụng máy chủ web  
180  
160  
140  
120  
100  
80  
170  
60  
40  
14  
13  
11  
7
7
5
6
3
3
20  
0
Hình 2: Thống kê số lượng URL bị tấn công theo nhà cung cấp  
Riêng trong tuần đầu tháng 4/2018, cục an toàn  
- 22% các tổ chức bị tấn công mất khách hàng –  
thông tin ghi nhận có ít nhất 194 website tại Việt 40% trong số đó mất hơn 20% lượng khách hàng  
Nam bị tấn công, lợi dụng để thực hiện hành vi gây thường xuyên.  
mất an toàn thông tin. Trong đó, thống kê, phân loại  
ác đường dẫn này theo loại ứng dụng máy chủ web  
- 29% mất doanh thu, với 38% trong nhóm này  
bị thất thu hơn 20%.  
16  
SỐ 4 (2018)  
Taïp chí  
1JKLÂQꢀFßXꢀꢁꢀ7UDRꢀõÕL  
.+2$ꢀ+&ꢀ9jꢀ&1*ꢀ1*+ꢁꢀô1*ꢀô  
- 23% các tổ chức bị tấn công mất cơ hội kinh  
doanh, với 42% trong số này bị mất hơn 20% cơ hội.  
Bước 1: Thống nhất phạm vi công việc  
Khi khách hàng đồng ý với những điều khoản,  
Hơn 1/3 tổ chức từng bị tấn công website chịu thời gian làm việc được thỏa thuận trong bản kế  
thiệt hại đáng kể do mất khách hàng, cơ hội và hoạch đề xuất, bên cung cấp dịch vụ sẽ ký hợp đồng  
doanh thu lên đến hơn 20%. Khoảng 90% các tổ thỏa thuận dịch vụ với khách hàng.  
chức này đang cải thiện các công nghệ và quy trình  
Khi khách hàng đồng ý với các điều khoản và  
phòng chống mối đe doạ sau các vụ tấn công bằng  
công việc đã được cập trong proposal, thời gian làm  
cách tách riêng các chức năng CNTT và bảo mật  
việc (ngày bắt đầu, kết thúc) và một hợp đồng thỏa  
(38%), tăng cường đào tạo nâng cao nhận thức bảo  
thuận dịch vụ giữa bên cung cấp dịch vụ và khách  
mật cho nhân viên (38%), và thực hiện các kỹ thuật  
hàng sẽ được xây dựng.  
giảm thiểu rủi ro (37%).  
Trước khi dự án được thực hiện, về phía cung  
Với những rủi ro rất lớn ảnh hưởng nghiêm  
cấp dịch vụ cần có cuộc gặp gỡ với khách hàng.  
trọng đến uy tín, nguồn lực nếu bị tấn công trên các  
Mục đích của cuộc gặp gỡ này là để giới thiệu các  
website; Việt Nam là một thị trường rất lớn, đầy  
thành viên thực hiện, trao đổi thông tin kênh liên  
tiềm năng cho dịch vụ kiểm thử xâm nhập website.  
lạc, và thảo luận phương thức hỗ trợ. Việc này sẽ  
Kinh doanh dịch vụ kiểm thử xâm nhập ứng dụng  
đảm bảo quá trình đánh giá diễn ra suôn sẻ và đạt  
web nói riêng và kinh doanh dịch vụ an toàn thông  
kết quả cao nhất.  
tin nói chung là một ngành nghề kinh doanh có điều  
Bước 2: Tiến hành đánh giá  
kiện, cần phải được xin cấp giấy phép kinh doanh.  
Hợp đồng được tính từ ngày bắt đầu khi 2 phía  
Nghị định 108/2016/NĐ-CP quy định chi tiết  
đã thống nhất chung các yêu cầu, phía khách hàng  
điều kiện kinh doanh sản phẩm, dịch vụ an toàn  
phải thanh toán trước một phần phí dịch vụ.  
thông tin mạng vừa được Chính phủ ban hành.  
Khi quá trình kiểm thử hoàn thành, bên cung cấp  
Các lợi ích thu được khi sử dụng dịch vụ kiểm  
dịch vụ sẽ cung cấp cho khách hàng một bản báo  
thử xâm nhập ứng dụng web:  
cáo (bản dự thảo) về kết quả kiểm thử.  
- Phát hiện sớm nguy cơ, lỗ hổng trên các thiết bị  
Bước 3: Báo cáo/ khắc phục  
và ứng dụng  
Sau đó, trong vòng năm ngày, quý khách có thể  
- Kịp thời ngăn chặn kẻ tấn công, khai thác  
xem xét, đánh giá bản báo cáo trên.  
điểm yếu  
Tiếp theo sau đó, bên cung cấp dịch vụ cần tiếp  
- Có các phương án vá lỗ hổng kịp thời  
thu các ý kiến đóng góp và nhận xét, đánh giá của  
- Giảm thiểu những nguy cơ mất an toàn thông  
khách hàng, sau đó đưa ra bản báo cáo hoàn chỉnh  
tin và sự cố tấn công mạng xảy ra  
sau cùng.  
- Nâng cao năng lực cạnh tranh của Doanh  
Sau đó bên cung cấp dịch vụ cần có cuộc họp  
nghiệp so với các đơn vị khác. Đặc biệt là lĩnh vực  
kỹ thuật trực tiếp cùng với khách hàng hoặc  
kinh doanh về thương mại điện tử hay các ngân  
thông qua kênh liên lạc bất kỳ khác để thảo luận  
hàng đang phát triển dịch vụ ngân hàng điện tử.  
về kết quả đánh giá cũng như giải đáp các thắc  
Quy trình thực hiện kiểm thử xâm nhập ứng  
mắc của khách hàng.  
dụng web  
Sau buổi thảo luận, khách hàng sẽ thực hiện  
Quy trình thự hiện kiểm thử xâm nhập ứng dụng  
khắc phục tất cả lỗi mà bên cung cấp dịch vụ đã  
web sẽ thực hiện qua 4 bước chính bao gồm:  
phát hiện và báo cáo.  
THỐNG NHẤT PHẠM VI  
CÔNG VIỆC  
TIẾN HÀNH ĐÁNH GIÁ  
BÁO CÁO/ KHẮC PHỤC  
CHỨNG NHẬN/ HỖ TRỢ  
Hình 3: Quy trình thực hiện kiểm thử xâm nhập ứng dụng web  
17  
SỐ 4 (2018)  
pdf 3 trang yennguyen 12/04/2022 4300
Download
Bạn đang xem tài liệu "Kinh doanh dịch vụ kiểm thử xâm nhập ứng dụng web tại Việt Nam", để tải tài liệu gốc về máy hãy click vào nút Download ở trên

File đính kèm:

  • pdfkinh_doanh_dich_vu_kiem_thu_xam_nhap_ung_dung_web_tai_viet_n.pdf