BẢO MẬT WEBSITE A-Z Bảo mật website A – Z: Từ chiến lược đến thực thi https://cystack.net BẢO MẬT WEBSITE A-Z MỤC LỤC A THỰC TRẠNG Tình hình an ninh website 2019 03 Những tác hại trang Web bị HACK! 04 Doanh Nghiệp Vừa Nhỏ mục tiêu hấp dẫn! 06 B CHIẾN LƯỢC BẢO MẬT WEBSITE TỒN DIỆN Chống cơng Password 08 Phòng chống Mã Độc 13 Giảm thiểu công DDoS 15 Bảo vệ liệu Website thông tin khách hàng 17 Chống công khai thác lỗ hổng 22 Bảo mật Hosting Cơ sở liệu web 25 Những hạng mục khác cần thực 26 Pentest – Kiểm thử website 28 Sử dụng phương pháp Bảo Mật Cộng Đồng để tăng cường bảo mật ứng dụng web 29 C DỊCH VỤ BẢO MẬT WEBSITE TỪ CYSTACK Quy trình hợp tác 32 Sản phẩm 33 Khách hàng 34 D TỔNG KẾT https://cystack.net BẢO MẬT WEBSITE A-Z A THỰC TRẠNG TÌNH HÌNH AN NINH WEBSITE 2019 Theo Bản đồ Tấn công website toàn cầu (01/01/19 – 30/06/19), Việt Nam xếp thứ 11 số nước bị hack website nhiều giới Trung bình tháng có tới 1000 website bị xâm phạm – tương đương 35 trang web bị hack ngày Vietnam lọt Top 11 quốc gia có website bị hack nhiều giới Theo CyStack Attack Map So với 2018, số vụ công năm 2019 giảm đi, quy mô công lại có chiều hướng gia tăng, thiệt hại lớn so với kỳ năm trước WordPress tiếp tục tảng quản trị nội dung (CMS) bị công nhiều – chiếm tới 74.3% tổng số website bị hack tồn cầu Ngay sau Joomla với 15.9%, Drupal chiếm 1.65% https://cystack.net BẢO MẬT WEBSITE A-Z WordPress tảng CMS bị hack nhiều giới Nguồn: CyStack Attack Map Trên WordPress, hacker dễ dàng phát tán Mã độc thông qua Theme hay Plugin miễn phí Khi người dùng tải cài đặt, mã độc tự động chèn vào website thực thi câu lệnh độc hại Qua thực hành vi xâm phạm, công, chiếm tài nguyên website máy chủ Bên cạnh hình thức cơng quen thuộc Brute force, Phishing, D-DoS, gia tăng Cross-site Scripting (XSS), SQL injection tạo nên xu hướng công cho năm 2018 2019, gây khơng khó khăn cho chủ website việc phòng thủ, bảo vệ trang web NHỮNG TÁC HẠI KHI TRANG WEB BỊ HACK! Gián đoạn hoạt động kinh doanh Rất nhiều doanh nghiệp kinh doanh thông qua website Việc website truy cập chắn làm số lượng lớn khách hàng vốn có Lượng khách hàng dần vào tay đối thủ cạnh tranh bạn https://cystack.net BẢO MẬT WEBSITE A-Z Ảnh hưởng đến SEO (Từ khóa bị thứ hạng Google) Nếu website bị nhiễm mã độc virus, Google gỡ trang bạn trang kết tìm kiếm (SERP) Việc ảnh hưởng trực tiếp tới chiến dịch marketing online doanh nghiệp Ảnh hưởng tới uy tín thương hiệu Những website liên tục khơng thể truy cập bị báo cáo virus làm giảm lịng tin khách hàng Thiệt hại uy tín thương hiệu kinh doanh bạn lúc lớn Website bị hack ảnh hưởng tới trải nghiệm người dùng uy tín thương hiệu Ảnh: internet Khơng thể chạy quảng cáo Google Facebook Khi website gặp cố, bạn khơng có Destination URL để chạy Google Ads Facebook Lead/Conversion Ads Đây thiệt hại lớn cho công ty ứng dụng digital marketing vào bán hàng https://cystack.net BẢO MẬT WEBSITE A-Z DOANH NGHIỆP VỪA VÀ NHỎ LÀ MỤC TIÊU HẤP DẪN! Khi tư vấn cho doanh nghiệp vừa nhỏ (SMB) Việt Nam, gặp hàng tá lý để bao biện cho thiếu quan tâm tới bảo mật web Dưới lý phổ biến nhất: - “Website anh chẳng có đáng để hack” - “Hack web anh để làm gì?” - “Web anh khơng tiếng, làm có biết mà hack?” Nếu bạn có suy nghĩ vậy, xem tiếp nhé! “Website tơi chẳng có để hack” Câu trả lời: Bạn đánh giá thấp website mình! Thực tế chứng minh website kênh kinh doanh hiệu nhất: từ chốt đơn – bán hàng, thu thập leads, re-marketing, tới chạy Ads, SEO, chăm sóc khách hàng, tăng nhận diện thương hiệu,… Chính vậy, việc website bạn bị cơng gây tụt giảm đáng kể doanh thu uy tín thương hiệu Vấn đề trở nên trầm trọng doanh nghiệp kinh doanh thông qua trang web như: thương mại điện tử, ngân hàng, agency du lịch – OTA, ví điện tử, sàn giao dịch, kinh doanh online, bảo hiểm, y tế, tài chính… “Hack trang web tơi để làm gì?” Câu trả lời: Website bạn mang lại nhiều lợi ích cho hacker bạn tưởng! Tin tặc có 1001 lý để hack TẤT CẢ trang web internet Bạn không nghe lầm đâu, TẤT CẢ – nhiều tốt… https://cystack.net BẢO MẬT WEBSITE A-Z Khi hack website, chúng có thể: • Biết thơng tin quan trọng sở liệu (thơng tin thẻ tín dụng, thơng tin khách hàng,…) • Điều hướng khách hàng tới trang lừa đảo (phishing) • Lợi dụng tài ngun (băng thơng) hệ thống để Đào tiền ảo bitcoin, đặt quảng cáo trang bạn • Bán website, bán thơng tin người dùng • Sử dụng website cơng cụ để trục lợi SEO: tăng uy tín cho web chúng, kéo traffic, cài cắm backlink bẩn, Redirect 301, v.v… Trên vài lợi ích mà website mang lại cho hacker, đủ hiểu khao khát công website chúng cao đến đâu Website tơi khơng tiếng, làm có biết mà hack?” Câu trả lời: tin tặc chẳng cần biết website bạn mà hack được, tài! Có thật người biết, tin tặc khơng cần phải biết website bạn để hack Thơng thường, chúng sử dụng cơng cụ mạnh mẽ “quét” tất website internet, từ tìm website có bảo mật yếu để công Bằng chứng vụ bắt giữ hồi cuối tháng 5/2019 đối tượng “Hacker sinh viên” đại học Thái Nguyên – nhóm thực quét lỗ hổng hàng trăm website ngân hàng trung gian tốn – sau xâm nhập vào tài khoản chiếm đoạt số tiền lên tới tỷ đồng https://cystack.net BẢO MẬT WEBSITE A-Z Những website doanh nghiệp vừa nhỏ (SMB) dễ bị công so với công ty lớn Lý SMB chưa thực quan tâm tới vấn đề bảo mật website Ebook giúp bạn xây dựng chiến lược toàn diện để tăng cường bảo mật cho website lên mức cao Bắt đầu thôi! B CHIẾN LƯỢC BẢO MẬT WEBSITE TỒN DIỆN CHỐNG TẤN CƠNG PASSWORD Tấn cơng password hình thức cơng nhiều người chưa biết cách phịng chống! Trong hình thức này, kẻ công dùng thủ đoạn phần mềm độc hại nhằm chiếm mật quản trị viên điều hành website Dưới giải pháp đơn giản mà hữu ích giúp bạn bảo vệ mật mình: 1.1 Sử dụng mật mạnh Phương pháp công Password phổ biến mà hacker sử dụng BruteForce Attack Chúng sử dụng công cụ dò mật tự động để thử tất mật phổ biến Vì thế, quản trị viên khuyến nghị sử dụng mật phức tạp để phịng tránh cơng dạng https://cystack.net BẢO MẬT WEBSITE A-Z • Mật nên chứa tất yếu tố: ký tự thường, ký tự in HOA, số, ký tự đặc biệt (!@#$%^&*…) Điều khiến tin tặc khó cơng dị tìm mật Đặc biệt, mật bạn chuỗi ký tự vơ nghĩa tốt! • Khơng đặt mật trùng cho dịch vụ khác (VD: password facebook cá nhân phải khác password quản trị web, khác password G-mail) Việc giúp giảm thiểu thiệt hại bạn bị mật Mặc dù điều dễ thực hiện, hiệu lại vô lớn việc bảo mật trang web bạn Một thực đáng buồn nhiều người cịn chưa thực khơng nhớ mật tạo Vì vậy, tơi giới thiệu với bạn ứng dụng hay để quản lý mật cá nhân Đó Keepass! KeePass công cụ mạnh mẽ giúp quản lý tất mật bạn Sử dụng Keepass đơn giản: Bạn tạo file lưu tất mật dịch vụ mà thân sử dụng, Keepass giúp bạn mã hóa chúng Ngồi ra, Keepass hỗ trợ tạo mật ngẫu nhiên – khó đốn cho người dùng https://cystack.net BẢO MẬT WEBSITE A-Z Phần mềm hỗ trợ chia nhóm dịch vụ (group) để dễ dàng quản lý Bạn sử dụng mật lúc cách bật Keepass copy chúng, dán lên trình duyệt Việc quan trọng bạn cần làm bảo đảm an toàn cho file liệu Tải Keepass trang chủ: Keepass.info Xem thêm: Bị mật phải làm sao? 1.2 Bật xác thực bước Một cách hữu hiệu khác để chống lại công mật Bruteforce bật xác thực bước cho trình quản lý Bởi kẻ cơng đốn mật khẩu, chúng đăng nhập bạn bật xác thực bước (two-factor authentication) 10 https://cystack.net BẢO MẬT WEBSITE A-Z 4.5 Sao lưu website định kỳ Sao lưu liệu web (hay backup website) công đoạn tối quan trọng việc quản trị, bảo mật phát triển web Việc lưu web thường xuyên giúp cho webmaster chủ động ứng phó trường hợp trang web bị hack hay gặp cố Có hình thức lưu chính: offline online Với hình thức lưu web offline, chủ web tải toàn liệu cần thiết website máy tính ổ cứng Như vậy, lưu có an tồn hay không nằm việc bạn bảo vệ ổ cứng máy tính Tuy nhiên tại, nhờ phát triển cơng nghệ điện tốn đám mây (cloud computing), bạn lưu liệu mây với giá phù hợp, lại bảo mật tiện lợi nhiều so với offline backup Theo đó, toàn dữu liệu cần thiết tải lên không gian lưu trữ đám mây Khi cần thiết, chủ web truy xuất liệu tùy ý, từ đâu, cần có internet Mấu chốt việc lưu trữ tảng đám mây chọn đối tác uy tín, việc bảo mật hồn tồn phụ thuộc vào bên cung cấp dịch vụ Chúng khuyên chọn nhà cung cấp uy tín Amazon với AWS hay Microsoft với Microsoft Azure 21 https://cystack.net BẢO MẬT WEBSITE A-Z CHỐNG TẤN CÔNG KHAI THÁC LỖ HỔNG Lỗ hổng bảo mật website (web vulnerability) điểm yếu hệ thống website bị kẻ xấu lợi dụng khai thác, qua cơng website Những điểm yếu xuất phát từ mã nguồn (source code) web, lỗi lập trình viên, website phức tạp (càng nhiều tính dễ xuất nhiều điểm yếu) Tham khảo: Lỗ hổng website 10 lỗ hổng phổ biến Phần lớn lỗ hổng phát phần mềm chuyên dụng Một số lỗ hổng phức tạp đòi hỏi thực phương pháp Pentest (kiểm thử bảo mật) đề cập phần số Trong phần này, giới thiệu lỗ hổng phổ biến “xu hướng công” năm 2019 công cụ tự động để quét lỗ hổng bảo mật hiệu 5.1 Lỗ hổng SQL injection Các công SQL injection kẻ công sử dụng trường mẫu web tham số URL để có quyền truy cập thao tác sở liệu nạn nhân Khi sử dụng Transact SQL tiêu chuẩn, thật dễ dàng chèn code giả mạo vào truy vấn người dùng, từ thay đổi bảng, lấy thơng tin xóa liệu Có thể dễ dàng ngăn chặn điều cách ln sử dụng truy vấn tham số hóa Hầu hết ngơn ngữ web có tính dễ thực Xem xét truy vấn sau: “SELECT * FROM table WHERE column = ‘” + parameter + “’;” 22 https://cystack.net BẢO MẬT WEBSITE A-Z Nếu kẻ công thay đổi tham số URL thành ‘ or ‘1’=’1 điều khiến truy vấn trơng sau: “SELECT * FROM table WHERE column = ‘’ OR ‘1’=’1’;” Vì ‘1’ ‘1’, điều cho phép kẻ công thêm truy vấn bổ sung vào cuối câu lệnh SQL thực thi Bạn sửa truy vấn cách tham số hóa cách rõ ràng Ví dụ, sử dụng MySQLi PHP truy vấn trở thành: $stmt = $pdo->prepare(‘SELECT * FROM table WHERE column = :value’); $stmt->execute(array(‘value’ => $parameter)); 5.2 Lỗ hổng XSS (Cross-site Scripting) Cross-site scripting (XSS) truyền JavaScript độc hại vào trang web, sau chạy trình duyệt người dùng thay đổi nội dung trang, đánh cắp thông tin để gửi lại cho kẻ công Đây mối quan tâm đặc biệt ứng dụng web đại, nơi trang xây dựng chủ yếu từ nội dung người dùng tạo HTML biên dịch framework front-end Angular Ember nhiều trường hợp Các framework cung cấp nhiều biện pháp bảo vệ chống lại XSS, việc kết hợp rendering máy chủ máy khách tạo cách công phức tạp hơn, khơng có khả truyền JavaScript vào HTML hiệu quả, mà cịn truyền nội dung chạy code cách chèn lệnh Angular sử dụng trình trợ giúp Ember 23 https://cystack.net BẢO MẬT WEBSITE A-Z Mấu chốt tập trung vào cách nội dung người dùng tạo Điều tương tự bảo vệ chống lại SQL injection Khi tạo HTML động, sử dụng hàm thực rõ ràng thay đổi tìm kiếm (ví dụ, sử dụng phần tử setAttribution Element.textContent để trình duyệt tự động escape, thay cài đặt phần tử.innerHTML thủ công) sử dụng hàm tự động escape thích hợp, thay nối chuỗi đặt nội dung HTML thô Một công cụ mạnh mẽ khác để chống lại XSS sách bảo mật nội dung (Content Security Policy – CSP) CSP header máy chủ trả về, cho phép trình duyệt giới hạn cách thức JavaScript thực thi trang, ví dụ khơng cho phép chạy tập lệnh không lưu trữ domain, không cho phép JavaScript nội tuyến vô hiệu hóa eval() Mozilla có hướng dẫn tuyệt vời với số cấu hình ví dụ (tham khảo developer.mozilla.org/en-US/docs/Web/HTTP/CSP) Điều làm cho tập lệnh kẻ cơng khó hoạt động hơn, kẻ cơng đưa chúng vào trang web 5.3 Phần mềm chuyên dụng quét lỗ hổng tự động Mặc dù thị trường có nhiều phần mềm quét lỗ hổng website, phần mềm việc Dưới phần mềm quét lỗ hổng phổ tin dùng nhất: • IBM Security AppScan Standard • Tenable • Arachni • CyStack WebShield Ưu – nhược điểm, giá cả, tính phần mềm phân tích kỹ link bên Các bạn tham khảo thêm Đánh giá chi tiết: Top 10 ứng dụng scan lỗ hổng website tốt thị trường 24 https://cystack.net BẢO MẬT WEBSITE A-Z WebShield ứng dụng SaaS (cloud-based) hỗ trợ quét lỗ hổng bảo mật web hiệu mà không cần cài đặt Ngồi ra, WebShield tích hợp tính qt mã độc, quét bảo mật tổng thể cho website nhiều tính hữu ích khác Mức giá thiết kế phù hợp với doanh nghiệp vừa nhỏ >> Khám phá tính WebShield BẢO MẬT HOSTING VÀ CƠ SỞ DỮ LIỆU WEB Hãy chọn dịch vụ Hosting UY TÍN thay GIÁ RẺ !! Một đối tác Hosting uy tín có trách nhiệm với “biến cố” xảy với website bạn Hiện thị trường, nhiều nhà cung cấp hosting giá rẻ có tình trạng “đem bỏ chợ” Lúc mời gọi mua dịch vụ nhiệt tình, cịn lúc khách cần khơng thấy đâu Bạn nên tham khảo kỹ trước lựa chọn dịch vụ hosting, khơng ảnh hưởng tới bảo mật, xử lý cố, mà hosting ảnh hưởng tới SEO đấy! 6.2 Giữ cho website Website nhiều tính nguy xuất điểm yếu cho tin tặc khai thác cao Vì vậy, việc cần làm tắt tất tính (bao gồm plugin wordpress, extension Joomla,…) không sử dụng đến không quan trọng Quản trị viên website cần hiểu rõ cơng việc kinh doanh mình, mục đích sử dụng website, từ tạo hệ thống web đủ dùng, tối giản mà hiệu 25 https://cystack.net BẢO MẬT WEBSITE A-Z 6.3 Bật xác thực bước đăng nhập Hosting Để bảo mật hosting tốt hơn, bạn nên thiết lập xác minh bước đăng nhập vào trình quản lý Hosting Cụ thể viết này, hướng dẫn bạn thực với cPanel HawkHost, dịch vụ hosting khác bạn làm tương tự Quy trình thực sau: • Tải cài đặt ứng dụng 2FA smartphone Các ứng dụng phổ biến: Google Authenticator (Hỗ trợ Android, iOS, blackberry), Duo Mobile (Hỗ trợ Android, iOS), Authy (hỗ trợ Android, iOS, Blackberry) • Đăng nhập vào giao diện cPanel, gõ vào tìm kiếm “Two-Factor Authentication” Click vào Cài Đặt Chương trình trả QR code mã xác nhận Dùng smartphone quét QR code Nếu phần mềm không hỗ trợ quét QR, bạn cần nhập mã xác nhận gồm số >> HOÀN THÀNH! Lưu ý: Nếu bị tài khoản, bạn cần submit ticket cho HawkHost nhà cung cấp dịch vụ Hosting để lấy lại NHỮNG HẠNG MỤC KHÁC CẦN THỰC HIỆN 7.1 Phân quyền tài khoản trang quản trị Nếu bạn có thói quen cấp đầy đủ quyền admin cho quản trị viên có lẽ bạn nên suy nghĩ lại Bởi thói quen xấu quản trị web: cần tài khoản bị hack, bạn kiểm sốt hoàn toàn Mỗi nhiệm vụ khác nên phân quyền khác Ví dụ: người viết cấp tài khoản Editor, có chức quản trị nội dung, viết Việc giúp tránh nhiều rủi ro tai hại từ bên bên ngồi Và đừng qn xóa tài khoản admin nhân nghỉ việc! 26 https://cystack.net BẢO MẬT WEBSITE A-Z Với tài khoản khách, người dùng web: thông thường tài khoản khách cần tính gửi nhận liệu từ máy chủ Điều thay đổi tùy vào mục đích website bạn, quy tắc bất di bất dịch là: không trao “thừa” quyền hạn cho tài khoản 7.2 Phân chia môi trường test thực tế Một lưu ý nhỏ không thừa: phân chia môi trường test tách biệt hẳn trang web bạn Đừng test tính năng/cập nhật website bạn không muốn gây trục trặc cho website Điều thể thái độ phong cách làm việc chuyên nghiệp 7.3 Bảo mật máy tính & sử dụng internet an tồn Nếu máy tính bạn bị nhiễm mã độc, rủi ro với website bạn Vì thế, bảo mật cho máy tính cá nhân cách sử dụng phần mềm diệt Virus Bên cạnh đó, tập thói quen sử dụng internet an tồn điều bắt buộc Một vài lưu ý: • Khơng tải file khơng rõ nguồn gốc • Khơng click vào link lạ • Không click vào quảng cáo trang web đen • Kiểm tra địa người gửi mail • Kiểm tra nội dung email • 27 https://cystack.net BẢO MẬT WEBSITE A-Z 7.4 Nâng cao nhận thức cho nhân viên Con người mắt xích yếu đảm bảo an ninh mạng cho tổ chức! Đó nhận xét ông Nguyễn Hữu Trung – CTO CyStack Thật vậy, có đến 83% cơng website xảy xuất phát từ sai lầm người (lập trình viên, quản trị web, người dùng web) Vì thế, việc tổ chức khóa đào tạo – training cho nhân viên vấn đề bảo mật website, sử dụng internet an tồn cần thiết Việc giúp doanh nghiệp tiết kiệm khoản lớn chi phí dành cho bảo mật ứng biến cố PENTEST – KIỂM THỬ WEBSITE Một phương pháp hiệu mạnh mẽ để bảo mật ứng dụng web Pentest! Pentest, hay kiểm thử xâm nhập, hình thức tăng cường bảo mật cách xâm nhập vào website Với phương pháp này, chuyên gia bảo mật cố gắng tìm cách để xâm nhập vào web bạn, từ tìm điểm yếu (lỗ hổng bảo mật) trang web Khi đó, bạn dễ dàng khắc phục điểm yếu tăng cường bảo mật cho trang web 28 https://cystack.net BẢO MẬT WEBSITE A-Z Khi định thuê dịch vụ Pentest, nên ý: • Chọn đơn vị có uy tín, kinh nghiệm • Tìm hiểu rõ điều khoản bảo mật, hợp đồng thực • Chọn phương án phù hợp với tình hình tài giai đoạn phát triển doanh nghiệp Xem ngay: Dịch vụ pentest toàn diện, tư vấn miễn phí từ chuyên gia SỬ DỤNG PHƯƠNG PHÁP BẢO MẬT CỘNG ĐỒNG ĐỂ TĂNG CƯỜNG BẢO MẬT ỨNG DỤNG WEB 9.1 Bảo Mật Cộng Đồng gì? Bảo Mật Cộng Đồng (Crowdsourced Security) phương pháp tận dụng sức mạnh hacker mũ trắng nhà nghiên cứu bảo mật tự để bảo mật cho website Về bản, BMCĐ Pentest, với quy mơ rộng Thay nhóm người thực pentest, cộng đồng chuyên gia pentest cho website bạn Tải MIỄN PHÍ ebook: Crowdsourced Security gì? Phương pháp ứng dụng rộng rãi Mỹ & châu Âu tính thực tiễn Các doanh nghiệp khơng phải “đốt tiền” cách vô tội vạ, mà họ phải tốn khoản phí làm tiền thưởng cho hacker mũ trắng chuyên gia bảo mật Những tập đoàn lớn áp dụng phương pháp này: Google, Facebook, HP, hay Bộ Quốc Phịng Mỹ khởi chạy chương trình Bug Bounty để bảo vệ hệ thống mạng lưới an ninh 29 https://cystack.net BẢO MẬT WEBSITE A-Z 9.2 Chương trình Bug Bounty Chương trình Bug Bounty (Trao thưởng tìm lỗi) cách giúp doanh nghiệp triển khai Bảo Mật Cộng Đồng Để bắt đầu, bạn triển khai chương trình Bug Bounty: Thưởng tiền mặt cho tìm lỗ hổng website Mấu chốt để tạo chương trình Bug Bounty thành công bạn phải tiếp cận với cộng đồng nhiều chuyên gia bảo mật Họ giúp bạn làm phần việc lại (bảo mật trang web bạn) Xem ngay: Làm để tổ chức chương trình Bug Bounty? 9.3 Các đối tác uy tín Dưới đơn vị uy tín cung cấp tảng Bug Bounty ưa chuộng: • Bugcrowd (San Francisco, California) • hackerone (San Francisco | London | New York | Singapore | Hà Lan) • Synack (Redwood City, California) • Detectify (Stockholm, Thụy Điển) • Cobalt (San Francisco | Berlin) • AntiHack (Singapore) • WhiteHub (Việt Nam) • Bugbounty.vn (Việt Nam) 9.4 WhiteHub – Kết nối doanh nghiệp với cộng đồng 500+ chuyên gia bảo mật WhiteHub tảng Crowdsourced Security Việt Nam, giúp kết nối nhu cầu kiểm thử bảo mật doanh nghiệp cộng đồng chuyên gia khắp nơi giới 30 https://cystack.net BẢO MẬT WEBSITE A-Z Thông qua WhiteHub, doanh nghiệp khởi tạo quản lý chương trình Bug Bounty, tiếp cận với cộng đồng 500+ chuyên gia bảo mật Từ bảo mật tối đa cho sản phẩm ứng dụng >> Tìm hiểu giải pháp WhiteHub 9.5 Case study: bảo mật cho website vntrip.vn Tại Việt Nam, Vntrip doanh nghiệp bật thực thành cơng chương trình Bug Bounty, qua khắc phục rủi ro bị hack thơng tin 500,000 khách hàng, giúp bảo vệ website an toàn, ổn định Xem Case study: Vntrip bảo mật liệu 500.000 khách hàng nào? 31 https://cystack.net BẢO MẬT WEBSITE A-Z C DỊCH VỤ BẢO MẬT WEBSITE TỪ CYSTACK QUY TRÌNH HỢP TÁC Đánh giá website CyStack thực đánh giá tổng thể hệ thống website doanh nghiệp, bao gồm hạng mục: Số lượng Domain, mơ hình kinh doanh, từ phát rủi ro đặc biệt mà doanh nghiệp bạn gặp phải Đề xuất giải pháp Mỗi doanh nghiệp có điểm yếu khác CyStack đề xuất giải pháp thiết kế riêng cho doanh nghiệp bạn bao gồm hạng mục: Công cụ, người, hạ tầng triển khai DEMO sản phẩm Giúp doanh nghiệp lựa chọn sản phẩm gói cước phù hợp với quy mơ tại, từ tối ưu chi phí Hợp tác Hai bên ký hợp đồng hợp tác Doanh nghiệp hỗ trợ suốt thời gian triển khai 32 https://cystack.net BẢO MẬT WEBSITE A-Z SẢN PHẨM 2.1 CyStack WebShield CyStack WebShield ứng dụng bảo mật web mạnh mẽ & hồn tồn tự động Ứng dụng tích hợp tính năng: • Quét bảo mật tổng thể cho website • Tường lửa thông minh giúp lọc traffic nguy hại cho máy chủ web • Chống cơng Brute-Force • Cơng cụ dị tìm tiêu diệt mã độc, làm website • Quét lỗ hổng web theo OWASP Top 10 & hỗ trợ khắc phục • Tính đặt lịch quét tự động • Giám sát Uptime website 24/7 • Giám sát & cảnh báo DNS Blacklist • Phát thay đổi nội dung • Cảnh báo thơng minh qua smartphone, email, PC • Hỗ trợ HTTPS/SSL miễn phí >> Xem bảng giá WebShield 2.2 CyStack WhiteHub WhiteHub tảng Crowdsourced Security Việt Nam, giúp kết nối nhu cầu kiểm thử bảo mật doanh nghiệp cộng đồng chuyên gia khắp nơi giới Thơng qua WhiteHub, doanh nghiệp khởi tạo quản lý chương trình Bug Bounty, tiếp cận với cộng đồng 500+ chuyên gia bảo mật Từ bảo mật tối đa cho sản phẩm ứng dụng 33 https://cystack.net BẢO MẬT WEBSITE A-Z WhiteHub cung cấp tính quản lý trực quan, phù hợp với CEO/ CISO/CTO như: • Tạo chương trình Bug Bounty • Lựa chọn phạm vi thực (cơng khai hay bí mật) • Lựa chọn chun gia phù hợp • Định nghĩa ngân sách • Giao tiếp & trao thưởng cho chuyên gia >> Giải pháp Pentest thông qua Bug Bounty KHÁCH HÀNG CỦA CHÚNG TÔI Nhiều đối tác thuộc lĩnh vực Thương mại điện tử, Giáo dục, Y tế, Tài chính, Chứng khốn, Ví điện tử, Du lịch OTA… lựa chọn WhiteHub để bảo mật cho website ứng dụng mobile họ: • vntrip.vn: Thông qua WhiteHub, Vntrip kịp thời phát lỗ hổng hệ thống nghiêm trọng Từ bảo mật thông tin cho 500,000 khách hàng 10,000 đối tác khách sạn • Getfly • Luxstay • NukeViet • Hostvn • MOG • IAE • … Đối tác nước ngoài: GPQB, Digicentre,… 34 https://cystack.net BẢO MẬT WEBSITE A-Z D TỔNG KẾT Tội phạm mạng phát triển Việc trang bị kiến thức bảo mật website cần thiết với tất người, từ cấp quản lý tới cấp nhân viên Tuy nhiên thực tế, website cần thiết phải áp dụng tất phương pháp nêu viết Bạn đọc nên cân nhắc biện pháp phù hợp với tình hình riêng trang web để đưa chiến lược phù hợp Ví dụ: Một website Thương mại điện tử (TMĐT) cần thực biện pháp pentest & Bảo Mật Cộng Đồng để bảo vệ tối đa cho website Bởi trang web có vài trị lớn công việc kinh doanh công ty TMĐT Ngược lại, website với mục đích giới thiệu cơng ty cần thực bước bảo mật website đủ Bài viết giúp bạn đọc trang bị thêm kiến thức phương pháp bảo mật website Tuy nhiên, bạn phân vân chưa biết bảo mật website nào, đâu, hay chọn phương pháp nào, liên hệ với chúng tơi để tư vấn MIỄN PHÍ giải pháp phù hợp cho doanh nghiệp bạn LIÊN HỆ CTCP An ninh mạng CyStack Việt Nam - CyStack., JSC Địa chỉ: Bigwin Tower, Số 23 Lê Văn Lương, phường Nhân Chính, quận Thanh Xuân, Hà Nội Email: contact@cystack.net Hotline: (+84) 247 109 9656 Website: https://cystack.net 35 https://cystack.net ... tín Amazon với AWS hay Microsoft với Microsoft Azure 21 https://cystack.net BẢO MẬT WEBSITE A- Z CHỐNG TẤN CÔNG KHAI THÁC LỖ HỔNG Lỗ hổng bảo mật website (web vulnerability) điểm yếu hệ thống website. .. hackerone (San Francisco | London | New York | Singapore | Hà Lan) • Synack (Redwood City, California) • Detectify (Stockholm, Thụy Điển) • Cobalt (San Francisco | Berlin) • AntiHack (Singapore) •... URL để chạy Google Ads Facebook Lead/Conversion Ads Đây thiệt hại lớn cho công ty ứng dụng digital marketing vào bán hàng https://cystack.net BẢO MẬT WEBSITE A- Z DOANH NGHIỆP V? ?A VÀ NHỎ LÀ MỤC TIÊU