Äánh giá an ninh từ bên trong tại công ty viá»…n thông

Tóm tắt

Khách hàng cá»§a chúng tôi thuá»™c lÄ©nh vá»±c di động, Ä‘ang sá»­ dụng hàng trăm phần má»m lá»›n nhá» khác nhau để khai thác và kinh doanh. Nhiá»u phần má»m thuê đối tác khác phát triển nên khó kiểm soát mức độ an toàn bảo mật cá»§a ứng dụng. Dịch vụ kiểm thá»­ xâm nhập VCHECK đã cho khách hàng thấy trá»±c quan rá»§i ro nghiêm trá»ng khi má»™t ngưá»i dùng hợp lệ có thể chá»§ động lấy toàn bá»™ thông tin giao dịch cá»§a ngưá»i dùng khác như thế nào.

VỠkhách hàng

Khách hàng là má»™t nhà cung cấp dịch vụ viá»…n thông vá»›i hÆ¡n 20 năm hoạt động. Hiện tại, Khách hàng là nhà cung cấp hàng đầu Việt nam trong các lÄ©nh vá»±c: dịch vụ viá»…n thông truyá»n thống, VAS, sản phẩm khách hàng doanh nghiệp, dịch vụ công nghệ thông tin, bán lẻ và phân phối và đầu tư nước ngoài,…. Khách hàng liên tục được ngưá»i sá»­ dụng bình chá»n là nhãn hiệu yêu thích nhất. Tổng doanh thu năm 2014 cá»§a Khách hàng đạt gần 2 tá»· đô la Mỹ.

Thách thức

Äể há»— trợ các hoạt động quản lý, kinh doanh tốt hÆ¡n, khách hàng đã thuê đối tác bên ngoài phát triển thêm các phần má»m cho ná»™i bá»™ sá»­ dụng. Qua các phần má»m này, nhân viên trong công ty có thể đăng nhập vào hệ thống, xá»­ lý các thông tin quan trá»ng vá» kế hoạch kinh doanh, ngân sách, doanh số má»™t cách dá»… dàng.

Tuy nhiên đây lại là má»™t mối Ä‘e dá»a lá»›n cá»§a khách hàng. Thá»±c tế có rất nhiá»u doanh nghiệp bị mất dữ liệu, thông tin ná»™i bá»™ từ chính các nhân viên, ngưá»i dùng hoặc đối tác thương mại. Há» có kiến thức vá» thông tin cá»§a doanh nghiệp, biết được rằng doanh nghiệp có các phần má»m, trang web ná»™i bá»™,thậm chí có cả quyá»n truy cập, đăng nhập vào hệ thống. Từ đó biết được tất cả cÆ¡ cấu quản lý, doanh số, kế hoạch kinh doanh và rất nhiá»u thông tin mật khác. Äây rõ ràng là vấn để rất nghiêm trá»ng và khách hàng cần lưu ý hàng đầu.

Các nhân sá»± kỹ thuật kiêm nhiệm nhiá»u công việc khác nhau và khối lượng nhiá»u nên thông thưá»ng há» không đủ nguồn lá»±c và thá»i gian cÅ©ng như kỹ năng để thá»±c hiện việc đánh giá hay kiểm thá»­ xâm nhập an toàn thông tin.

Giải pháp

Trước đây, khách hàng đã từng sá»­ dụng dịch vụ đánh giá từ bên ngoài (Black Box) để đánh giá sá»± bảo mật và an toàn thông tin cá»§a phần má»m Cổng thông tin bởi sá»± tấn công cá»§a các tác nhân bên ngoài vào. Há» nhận thấy dịch vụ thật sá»± có hiệu quả. Lần này, há» muốn kiểm soát, đánh giá độc lập vá» an toàn thông tin phần má»m ná»™i bá»™ thuê đối tác bên ngoài phát triển cÅ©ng như trước khi đưa phần má»m vào sá»­ dụng. Và VSEC cung cấp cho khách hàng dịch vụ đáng giá từ bên trong (White box) cá»§a gói dịch vụ an toàn thông tin tổng thể VCHECK. Dịch vụ cho phép tìm ra các lá»— hổng bảo mật từ bên trong ná»™i bá»™, cho phép nâng quyá»n ngưá»i dùng, và các lá»— hổng bảo mật trong mã nguồn do lập trình không an toàn.

Rất đơn giản, Khách hàng cung cấp cho VSEC sÆ¡ đồ mạng, mã nguồn hệ thống, thông tin hoặc quyá»n truy cập thiết bị. Cán bá»™ kỹ thuật cá»§a VSEC sẽ rà soát mã nguồn cá»§a ứng dụng, tìm ra các lá»— hổng bảo mật sau đó mô phá»ng lại lá»— hổng bằng việc giả lập tấn công từ bên ngoài. Vá»›i những thông tin được cung cấp thêm, các tài khoản truy cập, cán bá»™ kỹ thuật Vsec sẽ cố gắng tìm ra các lá»— hổng nhằm nâng quyá»n ngưá»i dùng, lấy các dữ liệu không thuá»™c đặc quyá»n cá»§a tài khoản được cung cấp. Công cụ chá»§ lá»±c là Checkmarx giúp kỹ sư tìm rà các lá»— hổng trong mã nguồn được cung cấp, sau đó mô phá»ng lại các lá»— hổng bằng việc tấn công từ bên ngoài sá»­ dụng các công cụ Pentest, Blackbox.Chúng tôi chuyển giao toàn bá»™ cách thức thá»±c hiện cho Khách hàng. Chúng tôi đưa ra đỠxuất khắc phục tạm thá»i vá»›i kỹ thuật sinh các tên tập tin ngẫu nhiên và vá» lâu dài thêm khả năng xác thá»±c ngưá»i dùng hợp lệ khi phần má»m nhận được yêu cầu tải tập tin.

Các thông tin cung cấp:

  • 6 hệ thống
  • 6.015.088 dòng mã
  • 199 chức năng rà soát.

Kết quả sau thực hiện:

  • 85 ngày thá»±c hiện
  • 9000 lá»—i mức rất nguy hiểm
  • 129 lá»—i được phát hiện, trong đó:
    • 2 lá»—i mức rất nguy hiểm
    • 54 lá»—i mức nguy hiểm
    • 39 lá»—i mức trung bình
    • 15 lá»—i mức thấp
    • 9 lá»—i mức có nguy cÆ¡

Lợi ích của dịch vụ kiểm thử bảo mật VCHECK

Triển khai nhanh gá»n và Khách hàng không cần cung cấp nhiá»u thông tin
Rút ngắn thá»i gian khắc phục lá»— hổng an toàn thông tin
Giảm thiểu tổng chi phí sở hữu (TCO)
Kiện toàn hiện trạng bảo mật tổng thể

Xem thêm các Case Study