Bug Bounty nguồn lực cộng đồng: lợi ích về bảo mật và tổn thất tiềm tàng

08:00 | 01/11/2021 | AN TOÀN THÔNG TIN
Các chương trình Bug Bounty (Săn lỗi nhận thưởng) từ nguồn lực cộng đồng đang là hình thức tìm kiếm lỗ hổng được một số tổ chức, doanh nghiệp (TC/DN) cân nhắc tham gia, nhằm nâng cao vị thế tình trạng bảo mật. Bài viết dưới đây sẽ trình bày hai ý kiến tích cực và tiêu cực về chương trình này của hai nhà nghiên cứu bảo mật tại Mỹ: Một người cho rằng việc tận dụng nguồn lực cộng đồng sẽ khiến không gian mạng được an toàn hơn, một người lại cho rằng nguồn lực cộng đồng là lãng phí, không mang lại hiệu quả và thiếu tài năng.

BEN SADEGHIPOUR

Ông Ben Sadeghipour, Trưởng bộ phận Giáo dục Hacker tại công ty HackerOne (trụ sở tại San Francisco, Mỹ) đã giúp xác định và khai thác hơn 600 lỗ hổng bảo mật trên hàng trăm ứng dụng web và di động. Ông cũng giúp ích cho cộng đồng bảo mật với việc sản xuất nội dung video giáo dục, phát trực tiếp và tạo ra cộng đồng gồm hàng trăm hacker hoạt động tích cực.

“Bảo mật do hacker hỗ trợ cho phép các TC/DN tận dụng toàn bộ nguồn lực cộng đồng toàn cầu để tìm kiếm các lỗ hổng”

Bảo mật được cải thiện, khách hàng hài lòng hơn và danh tiếng thương hiệu được nâng cao chỉ là một số lợi ích của hành động hack có đạo đức (ethical hacking - hành động tấn công giúp tìm ra được lỗ hỏng bảo mật với mục đích vá lỗ hổng đó) đối với TC/DN. Các lỗ hổng được tìm thấy hàng ngày bởi các nhà nghiên cứu bảo mật, hacker, khách hàng, học giả, nhà báo, những người yêu thích công nghệ và tội phạm. Trên thực tế, nghiên cứu gần đây của HackerOne đã xác nhận rằng, cứ 2,5 phút lại có hacker phát hiện ra một lỗ hổng phần mềm. Nếu không có cộng đồng hacker đứng về phía TC/DN, những lỗ hổng này có thể dẫn đến các cuộc tấn công mạng.

Làm việc với cộng đồng hacker là phương thức đã được công nhận để tìm và sửa các lỗ hổng nghiêm trọng chưa được xác định. Ở cấp độ cơ bản nhất, hack có đạo đức giúp các TC/DN cải thiện tình trạng bảo mật của họ. Cách tiếp cận phổ biến nhất để làm việc với hacker là thông qua các chương trình Bug Bounty, trong đó tin tặc được trả tiền thưởng để đổi lấy việc báo cáo các lỗ hổng bảo mật trước khi chúng có thể bị khai thác.

Hiện nay đã bắt đầu có nhiều TC/DN chấp nhận hack có đạo đức, từ quân đội đến chính phủ, các tổ chức tư nhân cũng như tổ chức công cộng. Thái độ đối với hacker cũng trở nên tích cực hơn. Trước đây hacker chỉ được coi là những kẻ phản diện, ngày nay họ được xem như một lực lượng toàn cầu vì mục đích tốt, hợp tác với nhau để giúp giải quyết nhu cầu bảo mật ngày càng lớn của xã hội. Cộng đồng hoan nghênh tất cả những ai đam mê thử thách trí tuệ để vượt qua những giới hạn một cách sáng tạo. Lý do hack có thể khác nhau, nhưng cuối cùng thì các TC/ DN ngày cào nâng cao và vẫn luôn đón nhận bảo mật nguồn lực cộng đồng. Điều này mang lại mức độ an toàn bảo mật lớn hơn rất nhiều so với trước đây.

Đối với nhiều TC/DN, làm việc với hacker tạo ra những cơ hội mới, vì họ có thể tiếp cận với rất nhiều kỹ năng để tìm kiếm và vá các lỗ hổng tiềm tàng trước khi bị kẻ xấu lợi dụng. Hacker thường là các chuyên gia trong lĩnh vực của họ, không ngừng nỗ lực trong công việc của mình và có góc nhìn khác với các chuyên gia bảo mật CNTT truyền thống. Họ có thể được xem như những thám tử Internet, và khả năng suy nghĩ như những kẻ tấn công khiến họ trở thành lớp phòng thủ mạnh mẽ nhất.

Các TC/DN khai thác hacker có đạo đức, đồng thời dựa vào các chuyên gia của họ sẽ có vị thế tình trạng bảo mật tốt hơn. Không giống như các nền tảng bảo mật truyền thống, bảo mật do hacker hỗ trợ nghĩa là các TC/DN sẽ luôn có một nhóm giám sát liên tục và bảo vệ hệ thống cũng như ứng dụng của họ. Mặc dù một số TC/DN có thể đã có đội ngũ CNTT để thực hiện việc này, nhưng nguồn lực của họ thường bị hạn chế. Bảo mật do hacker hỗ trợ cho phép các TC/DN tận dụng toàn bộ nguồn lực cộng đồng toàn cầu để tìm kiếm và phát hiện các lỗ hổng.

Vai trò của hacker là tận dụng trí thông minh và bản lĩnh của họ để chống lại những thách thức trong xã hội. Ngày nay, có nhiều TC/DN trong quân đội, chính phủ và phòng thủ không gian mạng đều tận dụng hacker. Bảo mật do hacker hỗ trợ cũng được các cơ quan hàng đầu như Trung tâm Giám sát an toàn không gian mạng quốc gia của Anh ủng hộ.

Không có cách khắc phục nhanh chóng hoặc giải pháp toàn vẹn nào cho vấn đề an ninh mạng, nhưng các tổ chức cần một chiến lược bảo mật liên tục khi họ tiếp tục phát triển, tạo ra các ứng dụng mới hoặc phát hành các dịch vụ và sản phẩm trực tuyến mới. Điều này đã khiến xuất hiện cộng đồng hacker, bao gồm hàng chục nghìn cá nhân với đa dạng các kỹ năng phục vụ chuyên môn được đào tạo để quét các lỗ hổng bảo mật trong hệ thống của TC/DN mà những kẻ tấn công đang tìm cách khai thác, do đó khả năng các lỗ hổng đó được phát hiện và báo cáo càng cao. Về cơ bản, cộng đồng hacker có đạo đức đang tìm cách khiến Internet trở thành một nơi an toàn hơn và các TC/DN có tiềm năng to lớn để khai thác cộng đồng này. Có rất nhiều TC/ DN nổi tiếng đang khai thác cộng đồng hack có đạo đức như Bộ Quốc phòng Mỹ, các công ty Deliveroo, Starbucks, Uber, Toyota,... Nhiều hacker thực sự có mong muốn giúp đỡ và tham gia.

ALEX HAYNES

Nhà nghiên cứu bảo mật Alex Haynes là trưởng nhóm triển khai, với các chứng chỉ CISSP, CEH, CHFI, PCIP, ISO27001 và ISO22301. Với hơn 200 lỗ hổng được công bố, được vinh danh (Hall of Fame) nhờ tìm ra các lỗ hổng cho Pinterest, BlueCoat, Sophos,... ông được xếp hạng một trong 50 nhà nghiên cứu bảo mật hàng đầu trên Bugcrowd.com.

“Bảo mật nguồn lực cộng đồng dù có thể khắc phục phần nào hạn chế bằng cách mở rộng nhóm người kiểm thử tiềm năng lên cấp độ quốc tế thì vẫn gặp phải một trở ngại lớn - không có nhiều nguồn lực tài năng”

Đã có nhiều bài viết về lợi ích của bảo mật nguồn lực cộng đồng so sánh với kiểm thử xâm nhập, nhưng nếu bỏ qua những bài viết tích cực với mục đích tiếp thị, sẽ có rất nhiều trường hợp mà bảo mật nguồn lực cộng đồng không mang lại lợi ích cho TC/DN.

Nếu TC/DN chưa bao giờ thực hiện kiểm thử xâm nhập hoặc thậm chí không thực hiện việc quét lỗ hổng thường xuyên thì bảo mật nguồn lực cộng đồng sẽ chỉ như “ném tiền qua cửa sổ” mà không mang lại lợi ích rõ ràng. Các chương trình nguồn lực cộng đồng là lý tưởng nếu công ty có chiến lược bài bản và thực hiện kiểm thử xâm nhập thường xuyên để loại bỏ các lỗ hổng dễ tìm thấy. Điều này sẽ cho phép phát hiện các lỗ hổng nghiêm trọng khó tìm, vốn là mục đích chính của các chương trình Bug Bounty.

Tuy nhiên, nếu TC/DN chưa bao giờ thực hiện kiểm thử xâm nhập, thì cách tiếp cận dựa trên nguồn lực cộng đồng sẽ mang tới rất nhiều lỗ hổng. Nhiều lỗ hổng trong số đó có thể được phát hiện chỉ bằng việc quét lỗ hổng đơn giản, mà giờ TC/DN lại phải trả tiền nếu chọn các chương trình Bug Bounty nguồn lực cộng đồng. Tệ hơn nữa, nếu TC/DN không có khả năng khắc phục những lỗ hổng đơn giản đó, thì nghĩa là chỉ trả tiền cho việc phát hiện những lỗ hổng mà TC/DN không sửa được. Mặc dù điều này cũng tương tự với kiểm thử xâm nhập, nhưng số lượng lỗ hổng mà TC/DN nhận được với cách tiếp cận từ nguồn lực cộng đồng sẽ cao hơn nhiều lần.

Kiểm thử xâm nhập là tối ưu về mặt chi phí. Các TC/DN đều muốn sống trong một thế giới lý tưởng, nơi Giám đốc An toàn thông tin có ngân sách không giới hạn. Nhưng khi bị hạn chế ngân sách thì sẽ không thể chi trả được cho hướng tiếp cận nguồn lực cộng đồng. Kiểm thử xâm nhập sẽ luôn tiết kiệm chi phí hơn. Nếu TC/DN cần kiểm tra một trang web, chi phí thường từ 800 - 1200 USD một ngày và một người kiểm thử xâm nhập giỏi có thể hoàn tất việc này trong vòng năm ngày. Nếu TC/DN không chọn các công ty chuyên kiểm thử xâm nhập mà hợp tác với các nhà cung cấp nhỏ hơn hoặc nhà thầu độc lập thông qua nền tảng kiểm thử xâm nhập như Avord, chi phí sẽ chỉ còn một nửa. Một chương trình có nguồn lực cộng đồng sẽ tốn kém hơn nhiều lần, ngay cả với những chương trình có mức phí cố định.

Sự tiện lợi cũng được tối ưu đối với kiểm thử xâm nhập, ví dụ như một người kiểm thử xâm nhập trực tiếp đến văn phòng của TC/DN, dùng máy tính xách tay kết nối vào mạng của tổ chức. Với chương trình nguồn lực cộng đồng, tổ chức cần sự kết hợp của máy chủ proxy hoặc kết nối VPN chuyên dụng, điều này có thể sẽ mang tới sự phức tạp. Sau đó, tổ chức cần phải kiểm soát nhiều nhà nghiên cứu đang cạnh tranh với nhau để phát hiện ra lỗi.

Alex cho biết, ông đã rất nhiều lần tham gia vào chương trình nguồn lực cộng đồng, trong đó cơ sở vật chất (trang web, máy chủ,...) gặp sự cố do số lượng người kiểm thử cùng một lúc quá lớn. Nếu cơ sở vật chất của TC/DN không thể tải được lưu lượng truy cập cao, thì chương trình nguồn lực cộng đồng sẽ thiếu hiệu quả.

Lĩnh vực bảo mật tấn công cũng bị thiếu hụt kỹ năng giống như mọi lĩnh vực khác của lực lượng an toàn thông tin ngày nay. Bảo mật nguồn lực cộng đồng dù có thể khắc phục phần nào hạn chế này bằng cách mở rộng nhóm người kiểm thử tiềm năng lên cấp độ quốc tế thì vẫn gặp phải một trở ngại lớn - không có nhiều nguồn lực tài năng. Trong bảng thành tích của các nền tảng Bug Bounty nguồn lực cộng đồng, có thể tìm thấy một điểm chung đó là phần lớn kiểm thử trên tất cả các nền tảng được thực hiện bởi một nhóm các nhà nghiên cứu hàng đầu, một số người còn làm việc toàn thời gian. Điều này có nghĩa là phần lớn các lỗ hổng được xử lý bởi cùng một nhóm. Mặc dù các tài liệu tiếp thị có thể cho rằng, có “hàng nghìn” nhà nghiên cứu trong chương trình nguồn lực cộng đồng, nhưng thực tế chỉ có khoảng hơn hai mươi nhà nghiên cứu phát hiện hầu hết các lỗ hổng được tìm thấy trên các nền tảng ngày nay. Vì hoàn toàn là tự nguyện, nên vấn đề chính là không thể ép đội ngũ nghiên cứu tình nguyện kiểm tra cơ sở hạ tầng khi họ đơn giản là không có năng lực làm việc đó.

Bảo mật nguồn lực cộng đồng cổ vũ cho nền kinh tế Gig Economy kiểu Orwell (mọi người thường làm việc trong những vị trí tạm thời và linh hoạt, và các công ty có xu hướng thuê những người làm việc độc lập và tự do thay vì nhân viên toàn thời gian) mang tính phi đạo đức cao, nơi phần lớn mọi người đang làm việc miễn phí một cách hiệu quả và hoàn toàn không được trả công cho nỗ lực của họ. Họ không được nghỉ ốm có lương, không có ngày nghỉ phép và có thể dành nhiều thời gian tham gia vào chương trình nguồn lực cộng đồng mà chẳng có kết quả gì. Thậm chí, họ có thể tìm thấy một lỗ hổng đã được ai đó phát hiện và không nhận được gì. Đó là nền kinh tế Gig Economy tồi tệ, nơi tất cả được thúc đẩy bởi nguồn vốn đầu tư mạo hiểm.

Tóm lại, các TC/DN cần cân nhắc những ý kiến trên trước khi tham gia vào bất kỳ chương trình Bug Bounty nguồn lực cộng đồng nào, để có được hiệu quả tốt nhất và giảm chi phí cho việc đảm bảo an toàn cho TC/DN của mình.

Đỗ Đoàn Kết (Tạp chí InfoSecurity)

Tin cùng chuyên mục

Tin mới