Các hacker ở Sun* đối mặt với lỗ hổng bảo mật dự án thế nào?

Tại Sun*, Cyber Security hiện đang là một trong những vấn đề nóng nhất. Làm sao để biết các sản phẩm có được bảo mật tốt hay không? Tự hack hệ thống để kiểm tra bảo mật… bạn đã từng biết đến phương pháp này chưa? Cùng tìm hiểu bài viết dưới đây xem các Hacker ở Sun* làm những gì?

Sự phát triển vũ bão của ngành công nghệ thông tin kéo theo sự xuất hiện của số lượng khổng lồ các website của tổ chức,cá nhân... Mối lo ngại về an toàn thông tin và vấn đề bảo mật cho các webiste, ứng dụng web theo đó mà leo thang. Tại Sun*, đây cũng đang là một mệnh đề chưa bao giờ hạ nhiệt. Vậy làm sao để biết các sản phẩm của chúng ta đã được bảo mật tốt hay chưa, liệu có một phép thử nào để kiểm chứng hay không? Câu trả lời chính là kĩ thuật Pentest - khái niệm “huyền thoại” gắn với các hacker. Tuy nhiên ở Sun*, khái niệm này còn khá mới mẻ. 

Trước đây, khi nhắc đến hacker chúng ta nghĩ ngay đến những nhóm người truy cập trái phép vào các hệ thống như website, mạng nội bộ, các thiết bị, ứng dụng.. để có thực hiện các hành vi trái phép với mục đích xấu như nghe lén, ăn trộm đánh cắp thông tin dữ liệu,…

Thực tế, hacker được chia làm rất nhiều loại và nổi bật nhất là “Hacker mũ đen” (Black Hat) - loại vừa nêu trên và “Hacker mũ trắng” (White Hat) - những người xâm nhập vào hệ thống hoặc phần mềm, ứng dụng, website để pentest với mục đích tốt. Họ tìm ra những lỗ hổng, những nguy cơ tấn công, giúp bảo mật tài nguyên của các tổ chức. 

Tại Sun*, team Cyber Security cũng đang thực hiện chức năng này.

Nhằm đánh giá độ bảo mật của các sản phẩm thuộc các dự án trong công ty cũng như các tổ chức bên ngoài, Cyber Security Team thuộc R&D Unit đã thực hiện Pentest, đánh giá các chức năng dễ lộ thông tin người dùng. Kết quả sau kiểm thử được phản hồi với đội phát triển, đồng thời team cũng đề xuất các giải pháp bảo mật để vá lỗi và hoàn thiện sản phẩm. Vậy cụ thể thì pentest là làm gì?

Pentest (Penetration Testing – kiểm thử thâm nhập) website là công việc kiểm thử thâm nhập hệ thống website nhằm đánh giá mức độ an toàn và bảo mật. Để thực được công việc pentest người thực hiện kiểm thử sử dụng các biện pháp nghiệp vụ, tìm mọi cách xâm nhập và hệ thống của website. Mục đích cuối cùng là kiểm soát được website, dữ liệu của website hoặc cao nhất có thể đó là chiếm quyền điều khiển Server. Những lỗ hổng tìm thấy sẽ được báo lại cho quản trị hoặc nhà phát triển ứng dụng để họ khắc phục vá lỗ hổng.

Tại Sun*, Cyber Security Team chủ yếu sử dụng hình thức BlackBox và GrayBox để khai thác và phát hiện lỗ hổng. 

Trong đó, BlackBox là hình thức kiểm thử mà pentester đứng trên phương diện của kẻ tấn công thật sự, tấn công từ phía bên ngoài vào hệ thống. Tìm cách xâm nhập vào hệ thống mà không được cung cấp thông tin nào về đối tượng.

GrayBox là hình thức kiểm thử này, pentester sẽ được cung cấp 1 ít thông tin giúp ích cho việc thâm nhập. Có thể là tài khoản đăng nhập hoặc kiểm thử từ bên trong(mạng nội bộ)...

Team cũng tuân thủ nghiêm ngặt quy trình OWASP gồm 11 hạng mục và 87 bước nhằm pentest hiệu quả và chi tiết.

Hãy đến The High Conference với topic “Pentesting in action” của speaker Nguyễn Anh Tiến để biết rõ hơn về các tình huống thực tế trong quá trình pentest, các lỗi mà coder hay mắc phải dễ gây lỗi bảo mật hay xem thống kê chi tiết về số lỗ hổng trên các sản phẩm, dự án tại Sun* đã được Cyber Security Team phát hiện trong thời gian qua. 

Để không bỏ lỡ sự kiện này, hãy nhanh tay đăng kí tham dự The High Conference 2019 - Hội thảo công nghệ thường niên của Unit 2.

The High Conference 2019

Thời gian: 13:00 - 17:00 ngày 16/11/2019

Địa điểm: Cen X Space - Tầng 3 Dolphin Plaza, 6 Nguyễn Hoàng, Mỹ Đình, Nam Từ Liêm, Hà Nội

ĐĂNG KÝ NGAY tại: https://link.sun-asterisk.vn/TheHighConference2019_regis_now

Link Facebook Event: https://www.facebook.com/events/747267102367338/

Anh Tiến

#hacker

#Cyber Security

0 Bình luận