Kinh doanh dịch vụ kiểm thử xâm nhập ứng dụng web tại Việt Nam

Taïp chí<br /> 1JKLÂQFßX7UDRõÕL .+2$+&9j&1*1*+…ô1*ô<br /> <br /> KINH DOANH DỊCH VỤ KIỂM THỬ XÂM NHẬP<br /> ỨNG DỤNG WEB TẠI VIỆT NAM<br /> WEB APPLICATIONS PENETRATION TESTING SERVICE<br /> IN VIETNAM<br /> VŨ HOÀNG ĐẠT *<br /> <br /> Tóm tắt<br /> Tại Việt Nam hiện nay, ứng dụng web đã và đang trở nên rất phổ biến, gần gũi với người dùng, giúp<br /> họ dễ dàng hơn trong việc tương tác, trao đổi thông tin. Tuy nhiên bên cạnh những lợi ích đó thì những<br /> người cung cấp và sử dụng dịch vụ này cũng gặp phải nhiều mối đe dọa liên quan đến việc thất thoát<br /> thông tin, tài sản, tiếp cận với những thông tin không chính xác, các thông tin nhạy cảm bị xâm phạm…<br /> Nguyên nhân của việc này phần lớn là do ứng dụng web tồn tại các lỗ hổng bảo mật giúp kẻ xấu có thể<br /> khai thác thực hiện theo mục đích của mình. Một trong những cách để hạn chế tối đa việc các lỗ hổng bị<br /> tìm ra khai thác bởi kẻ tấn công chính là thực hiện tấn công, tìm lỗ hổng trên ứng dụng của mình và vá<br /> nó trước khi những kẻ xấu thực hiện việc này. Trong bài báo tác giả đã đưa ra các nghiên cứu về tình hình<br /> tấn công gây nguy hại trên các ứng dụng web tại Việt Nam, các đánh giá về nhu cầu thị trường cho dịch<br /> vụ kiểm thử xâm nhập ứng dụng web.<br /> Từ khóa: kinh doanh, an toàn thông tin, kiểm thử xâm nhập.<br /> Summary<br /> In Vietnam today, web applications are becoming very popular, close to the user, making it easier for<br /> them to interact and exchange information. However, in addition to these benefits, the providers and users<br /> of this service face many threats related to the loss of information, property, the access to inaccurate<br /> information, or the sensitive information is compromised ... The cause of this is largely due to the web<br /> applications existing security vulnerabilities that help the bad guys can exploit the implementation of<br /> their purpose. One of the ways to minimize vulnerabilities exploited by an attacker is to perform an<br /> attack, find vulnerabilities on its application, and patch it before the bad guys find it. In the article, the<br /> author presents the studies on the threat situation on web applications in Vietnam, the assessments of<br /> market demand for the web application penetration testing service.<br /> Keywords: business, information security, intrusion testing.<br /> <br /> Đặt vấn đề những điểm yếu, lỗ hổng đã biết, đã được công bố<br /> Hiện nay tất cả các tổ chức, công ty đều sở hữu và rất dễ dàng để có thể khai thác.<br /> cho mình một hệ thống mạng nội bộ để liên kết các I.NỘI DUNG<br /> thiết bị lại với nhau, tăng sự tương tác giữa nhân Tình hình tấn công gây nguy hại trên các<br /> viên và giúp nhà quản trị có thể quản trị toàn bộ hệ website tại Việt Nam<br /> thống, tăng hiệu suất công việc. Ngoài ra, hầu hết Trên không gian mạng đang tồn tại nhiều trang<br /> các tổ chức doanh nghiệp đều có một Website để web Việt Nam (bao gồm cả những web sử dụng<br /> thể hiện hình ảnh của mình và thông tin đến người dịch vụ máy chủ nước ngoài) bị tấn công, lợi dụng<br /> dùng. Website không chỉ đại diện cho danh tiếng, để thực hiện các hành vi gây mất an toàn thông tin<br /> uy tín của công ty, tổ chức mà còn là nơi thông tin như: phát tán thư rác; tấn công từ chối dịch vụ; cài<br /> đến người dùng, kết nối dữ liệu giá trị, nhạy cảm đặt và phát tán các loại mã độ (gần đây nhất là cài<br /> như thông tin nội bộ, thông tin tài chính, tài khoản đặt và phát tán mã độc để đào tiền ảo); lưu trữ các<br /> ngân hàng, thẻ tín dụng. Mỗi Website luôn tồn tại mã khai thác điểm yếu lỗ hổng một cách tự động<br /> những điểm yếu bảo mật nghiêm trọng mà tin tặc (như lỗ hổng trên trình duyệt hay các thành phần<br /> có thể lợi dụng khai thác. Đa phần trong số đó là mở rộng của trình duyệt mà người dùng sử dụng…)<br /> <br /> * Tổng Công ty Dịch vụ viễn thông<br /> Ngày nhận bài: 5/4/2018; ngày thẩm định 15/7/2018; ngày duyệt đăng: 15/9/2018<br /> SỐ 4 (2018) 15<br /> Taïp chí<br /> .+2$+&9j&1*1*+…ô1*ô 1JKLÂQFßX7UDRõÕL<br /> <br /> Theo số liệu của Cục An toàn thông tin ghi nhận (IIS, Apache…) và nhà cung cấp cụ thể như sau:<br /> trong dịp Tết Nguyên đán 2018, hệ thống kỹ thuật Nhu cầu sử dụng dịch vụ kiểm thử xâm nhập<br /> ghi nhận khoảng 170 website đặt tại Việt Nam bị ứng dụng web<br /> tấn công mạng. Trong 170 website đặt tại Việt Nam<br /> Hơn 50% các tổ chức phải đối mặt với sự săm<br /> bị tấn công mạng thì có 55 website có tên miền .vn<br /> soi của công chúng sau mỗi vụ tấn công an ninh.<br /> và 10 website của các cơ quan, tổ chức nhà nước Các hệ thống vận hành và tài chính chịu ảnh hưởng<br /> (.gov.vn), 98 website có tên miền .com bị tấn công. lớn nhất, tiếp đó là uy tín thương hiệu và khả năng<br /> Cục An toàn thông tin nhận định, hình thức tấn giữ chân khách hàng. Đối với những tổ chức đã<br /> công vào các website này chủ yếu là thay đổi giao từng bị tấn công, hậu quả là rất đáng kể. Theo báo<br /> diện, tấn công chèn mã độc hại vào mã nguồn cáo thường niên cuối năm 2017 của cisco:<br /> website.<br /> <br /> Ứng dụng máy chủ web khác 222<br /> <br /> Apache 18<br /> <br /> Microsoft 7<br /> <br /> nginx 6<br /> <br /> openrestry 2<br /> <br /> LiteSpeed 2<br /> <br /> <br /> Hình 1: Thống kê số lượng URL bị tấn công theo ứng dụng máy chủ web<br /> 180 170<br /> 160<br /> 140<br /> 120<br /> 100<br /> 80<br /> 60<br /> 40<br /> 20 14 13 11 7 7 5 6 3 3<br /> <br /> 0<br /> á<br /> <br /> <br /> m<br /> <br /> <br /> <br /> c<br /> <br /> <br /> <br /> <br /> m<br /> T<br /> <br /> <br /> <br /> <br /> l<br /> PT<br /> <br /> <br /> LC<br /> <br /> <br /> <br /> <br /> a<br /> <br /> <br /> <br /> S<br /> tte<br /> kh<br /> <br /> <br /> <br /> <br /> In<br /> <br /> <br /> <br /> <br /> at<br /> <br /> <br /> <br /> D<br /> FP<br /> .co<br /> <br /> <br /> <br /> <br /> .co<br /> rD<br /> N<br /> <br /> <br /> eL<br /> <br /> <br /> ie<br /> <br /> <br /> <br /> <br /> O<br /> re<br /> p<br /> <br /> <br /> <br /> <br /> V<br /> dy<br /> <br /> <br /> <br /> <br /> on<br /> V<br /> cấ<br /> <br /> <br /> <br /> <br /> la<br /> <br /> <br /> <br /> <br /> pe<br /> gl<br /> ad<br /> <br /> <br /> <br /> <br /> az<br /> df<br /> ng<br /> <br /> <br /> <br /> <br /> oo<br /> <br /> <br /> <br /> <br /> p<br /> ou<br /> <br /> <br /> <br /> <br /> m<br /> oD<br /> <br /> <br /> <br /> <br /> Su<br /> cu<br /> <br /> <br /> <br /> <br /> G<br /> <br /> <br /> <br /> <br /> A<br /> Cl<br /> G<br /> hà<br /> N<br /> <br /> <br /> <br /> <br /> Hình 2: Thống kê số lượng URL bị tấn công theo nhà cung cấp<br /> <br /> Riêng trong tuần đầu tháng 4/2018, cục an toàn - 22% các tổ chức bị tấn công mất khách hàng –<br /> thông tin ghi nhận có ít nhất 194 website tại Việt 40% trong số đó mất hơn 20% lượng khách hàng<br /> Nam bị tấn công, lợi dụng để thực hiện hành vi gây thường xuyên.<br /> mất an toàn thông tin. Trong đó, thống kê, phân loại - 29% mất doanh thu, với 38% trong nhóm này<br /> ác đường dẫn này theo loại ứng dụng máy chủ web bị thất thu hơn 20%.<br /> 16 SỐ 4 (2018)<br />  Taïp chí<br /> 1JKLÂQFßX7UDRõÕL .+2$+&9j&1*1*+…ô1*ô<br /> <br /> - 23% các tổ chức bị tấn công mất cơ hội kinh Bước 1: Thống nhất phạm vi công việc<br /> doanh, với 42% trong số này bị mất hơn 20% cơ hội. Khi khách hàng đồng ý với những điều khoản,<br /> Hơn 1/3 tổ chức từng bị tấn công website chịu thời gian làm việc được thỏa thuận trong bản kế<br /> thiệt hại đáng kể do mất khách hàng, cơ hội và hoạch đề xuất, bên cung cấp dịch vụ sẽ ký hợp đồng<br /> doanh thu lên đến hơn 20%. Khoảng 90% các tổ thỏa thuận dịch vụ với khách hàng.<br /> chức này đang cải thiện các công nghệ và quy trình Khi khách hàng đồng ý với các điều khoản và<br /> phòng chống mối đe doạ sau các vụ tấn công bằng công việc đã được cập trong proposal, thời gian làm<br /> cách tách riêng các chức năng CNTT và bảo mật việc (ngày bắt đầu, kết thúc) và một hợp đồng thỏa<br /> (38%), tăng cường đào tạo nâng cao nhận thức bảo thuận dịch vụ giữa bên cung cấp dịch vụ và khách<br /> mật cho nhân viên (38%), và thực hiện các kỹ thuật hàng sẽ được xây dựng.<br /> giảm thiểu rủi ro (37%).<br /> Trước khi dự án được thực hiện, về phía cung<br /> Với những rủi ro rất lớn ảnh hưởng nghiêm cấp dịch vụ cần có cuộc gặp gỡ với khách hàng.<br /> trọng đến uy tín, nguồn lực nếu bị tấn công trên các Mục đích của cuộc gặp gỡ này là để giới thiệu các<br /> website; Việt Nam là một thị trường rất lớn, đầy thành viên thực hiện, trao đổi thông tin kênh liên<br /> tiềm năng cho dịch vụ kiểm thử xâm nhập website. lạc, và thảo luận phương thức hỗ trợ. Việc này sẽ<br /> Kinh doanh dịch vụ kiểm thử xâm nhập ứng dụng đảm bảo quá trình đánh giá diễn ra suôn sẻ và đạt<br /> web nói riêng và kinh doanh dịch vụ an toàn thông kết quả cao nhất.<br /> tin nói chung là một ngành nghề kinh doanh có điều<br /> Bước 2: Tiến hành đánh giá<br /> kiện, cần phải được xin cấp giấy phép kinh doanh.<br /> Nghị định 108/2016/NĐ-CP quy định chi tiết Hợp đồng được tính từ ngày bắt đầu khi 2 phía<br /> điều kiện kinh doanh sản phẩm, dịch vụ an toàn đã thống nhất chung các yêu cầu, phía khách hàng<br /> thông tin mạng vừa được Chính phủ ban hành. phải thanh toán trước một phần phí dịch vụ.<br /> <br /> Các lợi ích thu được khi sử dụng dịch vụ kiểm Khi quá trình kiểm thử hoàn thành, bên cung cấp<br /> thử xâm nhập ứng dụng web: dịch vụ sẽ cung cấp cho khách hàng một bản báo<br /> cáo (bản dự thảo) về kết quả kiểm thử.<br /> - Phát hiện sớm nguy cơ, lỗ hổng trên các thiết bị<br /> và ứng dụng Bước 3: Báo cáo/ khắc phục<br /> <br /> - Kịp thời ngăn chặn kẻ tấn công, khai thác Sau đó, trong vòng năm ngày, quý khách có thể<br /> điểm yếu xem xét, đánh giá bản báo cáo trên.<br /> <br /> - Có các phương án vá lỗ hổng kịp thời Tiếp theo sau đó, bên cung cấp dịch vụ cần tiếp<br /> thu các ý kiến đóng góp và nhận xét, đánh giá của<br /> - Giảm thiểu những nguy cơ mất an toàn thông<br /> khách hàng, sau đó đưa ra bản báo cáo hoàn chỉnh<br /> tin và sự cố tấn công mạng xảy ra<br /> sau cùng.<br /> - Nâng cao năng lực cạnh tranh của Doanh<br /> Sau đó bên cung cấp dịch vụ cần có cuộc họp<br /> nghiệp so với các đơn vị khác. Đặc biệt là lĩnh vực<br /> kỹ thuật trực tiếp cùng với khách hàng hoặc<br /> kinh doanh về thương mại điện tử hay các ngân<br /> thông qua kênh liên lạc bất kỳ khác để thảo luận<br /> hàng đang phát triển dịch vụ ngân hàng điện tử.<br /> về kết quả đánh giá cũng như giải đáp các thắc<br /> Quy trình thực hiện kiểm thử xâm nhập ứng mắc của khách hàng.<br /> dụng web<br /> Sau buổi thảo luận, khách hàng sẽ thực hiện<br /> Quy trình thự hiện kiểm thử xâm nhập ứng dụng khắc phục tất cả lỗi mà bên cung cấp dịch vụ đã<br /> web sẽ thực hiện qua 4 bước chính bao gồm: phát hiện và báo cáo.<br /> THỐNG NHẤT PHẠM VI TIẾN HÀNH ĐÁNH GIÁ BÁO CÁO/ KHẮC PHỤC CHỨNG NHẬN/ HỖ TRỢ<br /> CÔNG VIỆC<br /> <br /> Hình 3: Quy trình thực hiện kiểm thử xâm nhập ứng dụng web<br /> SỐ 4 (2018) 17<br />