Đánh giá an ninh từ bên ngoài tại công ty viễn thông

Tóm tắt

Khách hàng của chúng tôi trong lĩnh vực di động đang sử dụng hàng trăm phần mềm lớn nhỏ khác nhau để khai thác và kinh doanh. Nhiều phần mềm thuê đối tác khác phát triển nên khó kiểm soát mức độ an toàn bảo mật của ứng dụng. Dịch vụ kiểm thử xâm nhập VCHECK đã cho khách hàng thấy trực quan rủi ro nghiêm trọng khi một người dùng hợp lệ có thể chủ động lấy toàn bộ thông tin giao dịch của người dùng khác như thế nào.

Về khách hàng

Khách hàng là một nhà cung cấp dịch vụ viễn thông với hơn 20 năm hoạt động. Hiện tại, Khách hàng là nhà cung cấp hàng đầu Việt nam trong các lĩnh vực: dịch vụ viễn thông truyền thống, VAS, sản phẩm khách hàng doanh nghiệp, dịch vụ công nghệ thông tin, bán lẻ và phân phối và đầu tư nước ngoài,…. Khách hàng liên tục được người sử dụng bình chọn là nhãn hiệu yêu thích nhất. Tổng doanh thu năm 2014 của Khách hàng đạt gần 2 tỷ đô la Mỹ.

Thách thức

Để tạo tiện ích tốt hơn cho người dùng, khách hàng đã thuê đối tác nâng cấp và phát triển phần mềm cổng thông tin. Qua cổng thông tin, khách hàng có thể giới thiệu dịch vụ mới, người dùng xem thông tin tài khoản, chi tiết cuộc gọi, chi phí hàng tháng, nhắn tin và đăng ký dịch vụ mới. Tại thời điểm, hơn 1,5 triệu tài khoản người dùng được đăng ký và kích hoạt trên cổng thông tin.

Theo tìm hiểu của chúng tôi thì toàn bộ thông tin này của người dùng có giá trị hàng tỷ đồng. Cổng thông tin là nơi tiếp xúc trực tiếp với Inter- net nên bị rủi ro tấn công cao. Với giá trị thông tin lớn như vậy nếu phần mềm có lỗ hổng thì thiệt hại rất lớn.
Các quy định mới đây của chính phủ cũng yêu cầu nhà cung cấp dịch vụ phải đảm bảo bảo mật dữ liệu cho người dùng và chịu trách nhiệm khi xảy ra mất mát dữ liệu. Các quy định này cũng tạo áp lực lên khách hàng phải giảm thiểu rủi ro pháp lý nếu xảy ra tấn công lấy cắp dữ liệu.
Các nhân sự kỹ thuật kiêm nhiệm nhiều công việc khác nhau và khối lượng nhiều nên thông thường họ không đủ nguồn lực và thời gian cũng như kỹ năng để thực hiện việc đánh giá hay kiểm thử xâm nhập an toàn thông tin.

Giải pháp

Một băn khoăn lớn nhất của khách hàng là phần mềm đang sử dụng có đảm bảo an toàn hay không, dữ liệu người dùng có được bảo vệ tốt như thế nào. Vì vậy Khách hàng cần sử dụng dịch vụ đánh giá hoặc kiểm thử xâm nhập an toàn thông tin. VCHECK là dịch vụ an toàn thông tin tổng thể của VSEC trong đó có dịch vụ kiểm thử xâm nhập (penetration testing). Dịch vụ có khả năng mô phỏng gần thực tế nhất cách thức mà kẻ tấn công từ bên ngoài thu thập trái phép dữ liệu của Khách hàng.

Rất đơn giản, Khách hàng cung cấp cho VSEC địa chỉ website của trang Cổng thông tin để bắt đầu quá trình kiểm thử xâm nhập. Cán bộ kỹ thuật của VSEC, đóng vai trò như người tấn công, mô phỏng các kỹ thuật thực tế để cố gắng tìm ra các lỗ hổng bảo mật của phần mềm. Các kỹ sư với kỹ năng thuần thục kết hợp với các công cụ chuyên dụng khác nhau để tìm hiểu hệ thống, phát hiện điểm yếu, dựng lại các lỗi bảo mật và cuối cùng đưa ra báo cáo. Sau 5 ngày, kỹ sư của VSEC đóng vai trò như một người dùng để tạo tài khoản trên Cổng thông tin. Công cụ chủ lực là Burp Suite giúp kỹ sư hiểu chi tiết cách thức Cổng thông tin giao tiếp với người dùng như thế nào. Từ đó, kỹ sư của chúng tôi viết công cụ lợi dụng lỗi bảo mật không xác thực người dùng của Cổng thông tin để tự động lấy dữ liệu từ các người dùng khác.

Chúng tôi chuyển giao toàn bộ cách thức thực hiện cho Khách hàng. Chúng tôi đưa ra đề xuất khắc phục tạm thời với kỹ thuật sinh các tên tập tin ngẫu nhiên và về lâu dài thêm khả năng xác thực người dùng hợp lệ khi phần mềm nhận được yêu cầu tải tập tin

Lợi ích

Phần mềm do đối tác phát triển có rủi ro bị tấn công lấy cắp dữ liệu không? Đây là câu hỏi thường trực của các doanh nghiệp lớn. Nếu không đánh giá tốt, doanh nghiệp sẽ đặt khách hàng và bản thân doanh nghiệp vào các rắc rối tài chính và pháp lý.

Cán bộ kỹ thuật của VSEC, đóng vai trò như người dùng, mô phỏng các kỹ thuật thực tế để cố gắng tìm ra các lỗ hổng bảo mật của phần mềm. Sau 5 ngày, chúng tôi đã khám phá lỗi phần mềm, không xác thực dữ liệu chặt chẽ, có thể dẫn đến thất thoát dữ liệu của hơn 1,5 triệu người dùng.

Kết quả của dịch vụ kiểm thử xâm nhập VCHECK được chuyển giao toàn bộ cho Khách hàng cùng khuyến nghị để khắc phục trong ngắn hạn và dài hạn.

Lợi ích của dịch vụ kiểm thử bảo mật VCHECK

Triển khai nhanh gọn và Khách hàng không cần cung cấp nhiều thông tin
Rút ngắn thời gian khắc phục lỗ hổng an toàn thông tin
Giảm thiểu tổng chi phí sở hữu (TCO)
Kiện toàn hiện trạng bảo mật tổng thể

Xem thêm các Case Study