Kiểm thử xâm nhập ứng dụng cho nhà sản xuất xe hơi quốc tế

Tóm tắt

Khách hàng của chúng tôi lần này là một trong những tập đoàn hàng đầu về sản xuất ô tô. Sự phát triển quá mạnh mẽ của khách hàng đồng nghĩa với việc mô hình kinh doanh được mở rộng liên tục trên mọi phương diện. Tuy nhiên các hoạt động kinh doanh đều liên quan mật thiết tới Internet nên để tránh gặp rủi ro về lộ thông tin mật hay mất quyền kiểm soát, khách hàng đã tìm kiếm và tin tưởng VSEC là đơn vị kiểm thử xâm nhập cho ứng dụng của mình.

Về khách hàng

Thuộc lĩnh vực sản xuất ô tô với trên 80 năm hoạt động và phát triển, khách hàng hiện nắm giữ hàng loạt các thương hiệu ô tô nổi tiếng thế giới. Các mảng kinh doanh chính gồm thiết kế, chế tạo, sản xuất và phân phối các loại xe khách, xe thương mại, xe gắn máy, động cơ ô tô và động cơ tuabin. Thêm vào đó, khách hàng còn hoạt động với dịch vụ tài chính, quản lý vận tải. Tổng giá trị tài sản của khách hàng năm 2017 lên tới 487 tỷ đô (theo Báo cáo tài chính của MSM).

Thách thức

Để mở rộng mô hình kinh doanh, khách hàng đã tạo ra một cửa hàng trực tuyến chuyên cung cấp quần áo, phụ kiện, mô hình xe hơi cho người hâm mộ thương hiệu của khách hàng. Vì tính chất là cổng thông tin mở – bất kỳ ai trên thế giới cũng có thể truy cập để mua sản phẩm – nên khách hàng nhanh chóng trở thành mục tiêu của các kẻ tấn công không gian mạng nhằm mục đích khai thác thông tin cho những hoạt động trái phép. Vì vậy để đảm bảo sự an toàn cho website và sữa chữa khi cần thiết, khách hàng đã lựa chọn Dịch Vụ Kiểm Thử Xâm Nhập Cho Ứng Dụng của VSEC để kiểm tra ứng dụng của mình.

Giải pháp

Các kỹ sư của VSEC đã tiến hành phân tích và nhận diện tất cả mọi khía cạnh về phát triển ứng dụng, framework và môi trường làm việc của khách hàng, các điểm mạnh yếu gắn liền với chương trình SDLC cũng được đánh giá chính xác. Dựa trên phân tích lỗ hổng này, VSEC giúp lập kế hoạch khắc phục để nâng cao năng lực bảo mật cho chu trình phát triển phần mềm của khách hàng.

Tiếp theo chúng tôi thu thập thông tin về mục tiêu và động lực phát triển kinh doanh của khách hàng, tập hợp hồ sơ về các ứng dụng hiện hữu và phác thảo một bộ các yêu cầu bảo mật ứng dụng tùy biến có thể dùng đi dùng lại nhiều lần. Từ danh mục các ứng dụng đó, chúng tôi xây dựng một bộ hồ sơ rủi ro cho ứng dụng và xác định những rủi ro có thể lặp đi lặp lại cho các ứng dụng tương lai. Chúng tôi phân loại dữ liệu và tài sản, vận dụng các động cơ tuân thủ để trích xuất một danh sách ưu tiên gồm các ứng dụng có rủi ro cao. Trong trường hợp của khách hàng VSEC thống kê được 3 lỗ hổng với tần suất xuất hiện nhiều nhất là:

  1. Lỗ hổng SQL injection
  2. Lổ hổng gây lộ thông tin
  3. Lổ hổng XSS

Với thứ hạng rủi ro trên, khách hàng có thể nắm bắt bức tranh tổng thể về các nguy cơ hiện tại và tiếp cận được các thông tin đáng tin cậy để từ đó đưa ra các quyết định kinh doanh.

Cuối cùng, VSEC hướng dẫn cách khắc phục và giúp giảm bớt tuổi trung bình của các điểm yếu mở. Chúng tôi liên hệ với việc đánh giá hậu phát triển của nhóm kỹ thuật nội bộ bên khách hàng để thiết lập và hoàn chỉnh một chính sách khắc phục rủi ro bám sát theo nội quy của doanh nghiệp.

Lợi ích

Nâng cao bảo mật và an toàn dữ liệu bằng việc chủ động nhận diện các vấn đề bảo mật
Cân bằng nhu cầu kinh doanh với yêu cầu kỹ thuật về bảo mật và tuân thủ.
Khắc phục các rủi ro vận hành qua phân tích đáng tin cậy và đem đến giải pháp khả thi.
Tiết kiệm chi phí duy trì chuyên gia bảo mật nội bộ.
Xem thêm các Case Study