Đánh giá an ninh từ bên trong tại công ty viễn thông

Tóm tắt

Khách hàng của chúng tôi thuộc lĩnh vực di động, đang sử dụng hàng trăm phần mềm lớn nhỏ khác nhau để khai thác và kinh doanh. Nhiều phần mềm thuê đối tác khác phát triển nên khó kiểm soát mức độ an toàn bảo mật của ứng dụng. Dịch vụ kiểm thử xâm nhập VCHECK đã cho khách hàng thấy trực quan rủi ro nghiêm trọng khi một người dùng hợp lệ có thể chủ động lấy toàn bộ thông tin giao dịch của người dùng khác như thế nào.

Về khách hàng

Khách hàng là một nhà cung cấp dịch vụ viễn thông với hơn 20 năm hoạt động. Hiện tại, Khách hàng là nhà cung cấp hàng đầu Việt nam trong các lĩnh vực: dịch vụ viễn thông truyền thống, VAS, sản phẩm khách hàng doanh nghiệp, dịch vụ công nghệ thông tin, bán lẻ và phân phối và đầu tư nước ngoài,…. Khách hàng liên tục được người sử dụng bình chọn là nhãn hiệu yêu thích nhất. Tổng doanh thu năm 2014 của Khách hàng đạt gần 2 tỷ đô la Mỹ.

Thách thức

Để hỗ trợ các hoạt động quản lý, kinh doanh tốt hơn, khách hàng đã thuê đối tác bên ngoài phát triển thêm các phần mềm cho nội bộ sử dụng. Qua các phần mềm này, nhân viên trong công ty có thể đăng nhập vào hệ thống, xử lý các thông tin quan trọng về kế hoạch kinh doanh, ngân sách, doanh số một cách dễ dàng.

Tuy nhiên đây lại là một mối đe dọa lớn của khách hàng. Thực tế có rất nhiều doanh nghiệp bị mất dữ liệu, thông tin nội bộ từ chính các nhân viên, người dùng hoặc đối tác thương mại. Họ có kiến thức về thông tin của doanh nghiệp, biết được rằng doanh nghiệp có các phần mềm, trang web nội bộ,thậm chí có cả quyền truy cập, đăng nhập vào hệ thống. Từ đó biết được tất cả cơ cấu quản lý, doanh số, kế hoạch kinh doanh và rất nhiều thông tin mật khác. Đây rõ ràng là vấn để rất nghiêm trọng và khách hàng cần lưu ý hàng đầu.

Các nhân sự kỹ thuật kiêm nhiệm nhiều công việc khác nhau và khối lượng nhiều nên thông thường họ không đủ nguồn lực và thời gian cũng như kỹ năng để thực hiện việc đánh giá hay kiểm thử xâm nhập an toàn thông tin.

Giải pháp

Trước đây, khách hàng đã từng sử dụng dịch vụ đánh giá từ bên ngoài (Black Box) để đánh giá sự bảo mật và an toàn thông tin của phần mềm Cổng thông tin bởi sự tấn công của các tác nhân bên ngoài vào. Họ nhận thấy dịch vụ thật sự có hiệu quả. Lần này, họ muốn kiểm soát, đánh giá độc lập về an toàn thông tin phần mềm nội bộ thuê đối tác bên ngoài phát triển cũng như trước khi đưa phần mềm vào sử dụng. Và VSEC cung cấp cho khách hàng dịch vụ đáng giá từ bên trong (White box) của gói dịch vụ an toàn thông tin tổng thể VCHECK. Dịch vụ cho phép tìm ra các lỗ hổng bảo mật từ bên trong nội bộ, cho phép nâng quyền người dùng, và các lỗ hổng bảo mật trong mã nguồn do lập trình không an toàn.

Rất đơn giản, Khách hàng cung cấp cho VSEC sơ đồ mạng, mã nguồn hệ thống, thông tin hoặc quyền truy cập thiết bị. Cán bộ kỹ thuật của VSEC sẽ rà soát mã nguồn của ứng dụng, tìm ra các lỗ hổng bảo mật sau đó mô phỏng lại lỗ hổng bằng việc giả lập tấn công từ bên ngoài. Với những thông tin được cung cấp thêm, các tài khoản truy cập, cán bộ kỹ thuật Vsec sẽ cố gắng tìm ra các lỗ hổng nhằm nâng quyền người dùng, lấy các dữ liệu không thuộc đặc quyền của tài khoản được cung cấp. Công cụ chủ lực là Checkmarx giúp kỹ sư tìm rà các lỗ hổng trong mã nguồn được cung cấp, sau đó mô phỏng lại các lỗ hổng bằng việc tấn công từ bên ngoài sử dụng các công cụ Pentest, Blackbox.Chúng tôi chuyển giao toàn bộ cách thức thực hiện cho Khách hàng. Chúng tôi đưa ra đề xuất khắc phục tạm thời với kỹ thuật sinh các tên tập tin ngẫu nhiên và về lâu dài thêm khả năng xác thực người dùng hợp lệ khi phần mềm nhận được yêu cầu tải tập tin.

Các thông tin cung cấp:

  • 6 hệ thống
  • 6.015.088 dòng mã
  • 199 chức năng rà soát.

Kết quả sau thực hiện:

  • 85 ngày thực hiện
  • 9000 lỗi mức rất nguy hiểm
  • 129 lỗi được phát hiện, trong đó:
    • 2 lỗi mức rất nguy hiểm
    • 54 lỗi mức nguy hiểm
    • 39 lỗi mức trung bình
    • 15 lỗi mức thấp
    • 9 lỗi mức có nguy cơ

Lợi ích của dịch vụ kiểm thử bảo mật VCHECK

Triển khai nhanh gọn và Khách hàng không cần cung cấp nhiều thông tin
Rút ngắn thời gian khắc phục lỗ hổng an toàn thông tin
Giảm thiểu tổng chi phí sở hữu (TCO)
Kiện toàn hiện trạng bảo mật tổng thể

Xem thêm các Case Study