Kinh doanh dịch vụ kiểm thử xâm nhập ứng dụng web tại Việt Nam

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang	3
Dung lượng	334,15 KB

Nội dung

Trong bài viết tác giả đã đưa ra các nghiên cứu về tình hình tấn công gây nguy hại trên các ứng dụng web tại Việt Nam, các đánh giá về nhu cầu thị trường cho dịch vụ kiểm thử xâm nhập ứng dụng web.

1JKLÂQFßX7UDRõÕL Tạp chí +2$+&9j&1*1*+ơ1*ơ KINH DOANH DỊCH VỤ KIỂM THỬ XÂM NHẬP ỨNG DỤNG WEB TẠI VIỆT NAM WEB APPLICATIONS PENETRATION TESTING SERVICE IN VIETNAM VŨ HỒNG ĐẠT * Tóm tắt Tại Việt Nam nay, ứng dụng web trở nên phổ biến, gần gũi với người dùng, giúp họ dễ dàng việc tương tác, trao đổi thông tin Tuy nhiên bên cạnh lợi ích người cung cấp sử dụng dịch vụ gặp phải nhiều mối đe dọa liên quan đến việc thất thơng tin, tài sản, tiếp cận với thơng tin khơng xác, thông tin nhạy cảm bị xâm phạm… Nguyên nhân việc phần lớn ứng dụng web tồn lỗ hổng bảo mật giúp kẻ xấu khai thác thực theo mục đích Một cách để hạn chế tối đa việc lỗ hổng bị tìm khai thác kẻ cơng thực cơng, tìm lỗ hổng ứng dụng vá trước kẻ xấu thực việc Trong báo tác giả đưa nghiên cứu tình hình cơng gây nguy hại ứng dụng web Việt Nam, đánh giá nhu cầu thị trường cho dịch vụ kiểm thử xâm nhập ứng dụng web Từ khóa: kinh doanh, an tồn thông tin, kiểm thử xâm nhập Summary In Vietnam today, web applications are becoming very popular, close to the user, making it easier for them to interact and exchange information However, in addition to these benefits, the providers and users of this service face many threats related to the loss of information, property, the access to inaccurate information, or the sensitive information is compromised The cause of this is largely due to the web applications existing security vulnerabilities that help the bad guys can exploit the implementation of their purpose One of the ways to minimize vulnerabilities exploited by an attacker is to perform an attack, find vulnerabilities on its application, and patch it before the bad guys find it In the article, the author presents the studies on the threat situation on web applications in Vietnam, the assessments of market demand for the web application penetration testing service Keywords: business, information security, intrusion testing Đặt vấn đề Hiện tất tổ chức, công ty sở hữu cho hệ thống mạng nội để liên kết thiết bị lại với nhau, tăng tương tác nhân viên giúp nhà quản trị quản trị tồn hệ thống, tăng hiệu suất cơng việc Ngồi ra, hầu hết tổ chức doanh nghiệp có Website để thể hình ảnh thơng tin đến người dùng Website khơng đại diện cho danh tiếng, uy tín cơng ty, tổ chức mà cịn nơi thơng tin đến người dùng, kết nối liệu giá trị, nhạy cảm thơng tin nội bộ, thơng tin tài chính, tài khoản ngân hàng, thẻ tín dụng Mỗi Website ln tồn điểm yếu bảo mật nghiêm trọng mà tin tặc lợi dụng khai thác Đa phần số điểm yếu, lỗ hổng biết, công bố dễ dàng để khai thác I.NỘI DUNG Tình hình cơng gây nguy hại website Việt Nam Trên không gian mạng tồn nhiều trang web Việt Nam (bao gồm web sử dụng dịch vụ máy chủ nước ngồi) bị cơng, lợi dụng để thực hành vi gây an tồn thơng tin như: phát tán thư rác; công từ chối dịch vụ; cài đặt phát tán loại mã độ (gần cài đặt phát tán mã độc để đào tiền ảo); lưu trữ mã khai thác điểm yếu lỗ hổng cách tự động (như lỗ hổng trình duyệt hay thành phần mở rộng trình duyệt mà người dùng sử dụng…) * Tổng Công ty Dịch vụ viễn thông Ngày nhận bài: 5/4/2018; ngày thẩm định 15/7/2018; ngày duyệt đăng: 15/9/2018 SỐ (2018) 15 Tạp chí +2$+&9j&1*1*+ơ1*ơ 1JKLÂQFßX7UDRõÕL Theo số liệu Cục An tồn thơng tin ghi nhận dịp Tết Nguyên đán 2018, hệ thống kỹ thuật ghi nhận khoảng 170 website đặt Việt Nam bị công mạng Trong 170 website đặt Việt Nam bị cơng mạng có 55 website có tên miền 10 website quan, tổ chức nhà nước (.gov.vn), 98 website có tên miền com bị cơng Cục An tồn thơng tin nhận định, hình thức công vào website chủ yếu thay đổi giao diện, công chèn mã độc hại vào mã nguồn website (IIS, Apache…) nhà cung cấp cụ thể sau: Nhu cầu sử dụng dịch vụ kiểm thử xâm nhập ứng dụng web Hơn 50% tổ chức phải đối mặt với săm soi công chúng sau vụ công an ninh Các hệ thống vận hành tài chịu ảnh hưởng lớn nhất, tiếp uy tín thương hiệu khả giữ chân khách hàng Đối với tổ chức bị công, hậu đáng kể Theo báo cáo thường niên cuối năm 2017 cisco: Ứng dụng máy chủ web khác 222 Apache 18 Microsoft nginx openrestry LiteSpeed Hình 1: Thống kê số lượng URL bị công theo ứng dụng máy chủ web 180 170 160 140 120 100 80 60 40 14 20 13 11 7 3 N m S co D az on O m A pe rD at a l tte Su p ie V eL gl oo G Hình 2: Thống kê số lượng URL bị công theo nhà cung cấp Riêng tuần đầu tháng 4/2018, cục an tồn thơng tin ghi nhận có 194 website Việt Nam bị công, lợi dụng để thực hành vi gây an tồn thơng tin Trong đó, thống kê, phân loại ác đường dẫn theo loại ứng dụng máy chủ web 16 SỐ (2018) LC PT N V la Cl ou df FP T c In re co dy ad G oD hà cu ng cấ p kh m - 22% tổ chức bị công khách hàng – 40% số 20% lượng khách hàng thường xuyên - 29% doanh thu, với 38% nhóm bị thất thu 20% Tạp chí +2$+&9j&1*1*+ơ1*ơ 1JKLÂQFßX7UDRõÕL - 23% tổ chức bị công hội kinh doanh, với 42% số bị 20% hội Bước 1: Thống phạm vi công việc Khi khách hàng đồng ý với điều khoản, Hơn 1/3 tổ chức bị công website chịu thời gian làm việc thỏa thuận kế thiệt hại đáng kể khách hàng, hội hoạch đề xuất, bên cung cấp dịch vụ ký hợp đồng doanh thu lên đến 20% Khoảng 90% tổ thỏa thuận dịch vụ với khách hàng chức cải thiện công nghệ quy trình Khi khách hàng đồng ý với điều khoản phòng chống mối đe doạ sau vụ công công việc cập proposal, thời gian làm cách tách riêng chức CNTT bảo mật việc (ngày bắt đầu, kết thúc) hợp đồng thỏa (38%), tăng cường đào tạo nâng cao nhận thức bảo thuận dịch vụ bên cung cấp dịch vụ khách mật cho nhân viên (38%), thực kỹ thuật hàng xây dựng giảm thiểu rủi ro (37%) Trước dự án thực hiện, phía cung Với rủi ro lớn ảnh hưởng nghiêm cấp dịch vụ cần có gặp gỡ với khách hàng trọng đến uy tín, nguồn lực bị cơng Mục đích gặp gỡ để giới thiệu website; Việt Nam thị trường lớn, đầy thành viên thực hiện, trao đổi thông tin kênh liên tiềm cho dịch vụ kiểm thử xâm nhập website lạc, thảo luận phương thức hỗ trợ Việc Kinh doanh dịch vụ kiểm thử xâm nhập ứng dụng đảm bảo q trình đánh giá diễn sn sẻ đạt web nói riêng kinh doanh dịch vụ an tồn thơng kết cao tin nói chung ngành nghề kinh doanh có điều Bước 2: Tiến hành đánh giá kiện, cần phải xin cấp giấy phép kinh doanh Hợp đồng tính từ ngày bắt đầu phía Nghị định 108/2016/NĐ-CP quy định chi tiết điều kiện kinh doanh sản phẩm, dịch vụ an toàn thống chung yêu cầu, phía khách hàng phải tốn trước phần phí dịch vụ thơng tin mạng vừa Chính phủ ban hành Khi q trình kiểm thử hồn thành, bên cung cấp Các lợi ích thu sử dụng dịch vụ kiểm dịch vụ cung cấp cho khách hàng báo thử xâm nhập ứng dụng web: cáo (bản dự thảo) kết kiểm thử - Phát sớm nguy cơ, lỗ hổng thiết bị Bước 3: Báo cáo/ khắc phục ứng dụng Sau đó, vịng năm ngày, q khách - Kịp thời ngăn chặn kẻ công, khai thác xem xét, đánh giá báo cáo điểm yếu Tiếp theo sau đó, bên cung cấp dịch vụ cần tiếp thu ý kiến đóng góp nhận xét, đánh giá - Giảm thiểu nguy an tồn thơng khách hàng, sau đưa báo cáo hồn chỉnh tin cố cơng mạng xảy sau - Nâng cao lực cạnh tranh Doanh Sau bên cung cấp dịch vụ cần có họp nghiệp so với đơn vị khác Đặc biệt lĩnh vực kỹ thuật trực tiếp với khách hàng kinh doanh thương mại điện tử hay ngân thông qua kênh liên lạc khác để thảo luận hàng phát triển dịch vụ ngân hàng điện tử kết đánh giải đáp thắc Quy trình thực kiểm thử xâm nhập ứng mắc khách hàng dụng web Sau buổi thảo luận, khách hàng thực Quy trình thự kiểm thử xâm nhập ứng dụng khắc phục tất lỗi mà bên cung cấp dịch vụ web thực qua bước bao gồm: phát báo cáo - Có phương án vá lỗ hổng kịp thời THỐNG NHẤT PHẠM VI CÔNG VIỆC TIẾN HÀNH ĐÁNH GIÁ BÁO CÁO/ KHẮC PHỤC CHỨNG NHẬN/ HỖ TRỢ Hình 3: Quy trình thực kiểm thử xâm nhập ứng dụng web SỐ (2018) 17 ... phí dịch vụ thơng tin mạng vừa Chính phủ ban hành Khi q trình kiểm thử hồn thành, bên cung cấp Các lợi ích thu sử dụng dịch vụ kiểm dịch vụ cung cấp cho khách hàng báo thử xâm nhập ứng dụng web: ... website; Việt Nam thị trường lớn, đầy thành viên thực hiện, trao đổi thông tin kênh liên tiềm cho dịch vụ kiểm thử xâm nhập website lạc, thảo luận phương thức hỗ trợ Việc Kinh doanh dịch vụ kiểm. .. triển dịch vụ ngân hàng điện tử kết đánh giải đáp thắc Quy trình thực kiểm thử xâm nhập ứng mắc khách hàng dụng web Sau buổi thảo luận, khách hàng thực Quy trình thự kiểm thử xâm nhập ứng dụng

Ngày đăng: 26/10/2020, 01:47