NCSC và VNSecurity ra mắt Nền tảng tìm kiếm lỗ hổng bảo mật BugRank

Theo đó, để tăng tính an toàn cho sản phẩm thì các tổ chức phải tìm cách phát hiện và khắc phục gần như tất cả các lỗ hổng, điểm yếu đang tồn tại trên hệ thống.

Tuy nhiên, trong an toàn thông tin nếu đảm bảo an toàn 99,99 % thì vẫn là chưa an toàn, vì chỉ Hacker chỉ cần khai thác vào 1 lỗ hổng bảo mật bất kỳ còn chưa được phát hiện ra thì mọi nỗ lực của tổ chức đều có thể sẽ trở thành vô nghĩa. Theo xu hướng này, ngày nay các tổ chức, doanh nghiệp dần lựa chọn hình thức Bug bounty (săn lỗi nhận tiền thưởng) nhằm tận dụng nguồn lực các chuyên gia an toàn, an ninh mạng trên toàn thế giới để chỉ ra những lỗ hổng sớm nhất trên các hệ thống của mình.

Nhận thức được các nguy cơ tiềm ẩn có thể sẽ xảy ra với các hệ thống công nghệ đang được triển khai phục vụ phòng, chống đại dịch Covid-19 tại Việt Nam, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) công bố, ra mắt Chương trình tìm kiếm lỗ hổng bảo mật cho các nền tảng số hỗ trợ công tác phòng, chống dịch Covid-19. Phạm vi của chương trình này gồm gần 20 nền tảng thành viên của Trung tâm Công nghệ phòng, chống dịch Covid-19 quốc gia. Các nền tảng khác sẽ lần lượt được công bố, đưa lên chương trình Bug bounty.

Chương trình được Trung tâm NCSC phối hợp triển khai trên Nền tảng BugRank (https://bugrank.io/).

BugRank là một nền tảng Bug bounty nguồn mở và phi lợi nhuận được phát triển bởi VNSecurity Foundation. Các tổ chức, doanh nghiệp có thể đưa các chương trình của tổ chức mình lên và sẽ được đánh giá, kiểm thử bởi tất cả các Researcher (nhà nghiên cứu, chuyên gia bảo mật…) trên toàn thế giới. Ngoài ra BugRank còn có tính năng nổi bật như OpenPGP Encryption dành cho các báo cáo, để đảm bảo tối đa về bảo mật cho các Researcher cũng như các tổ chức, doanh nghiệp tham gia vào. Nền tảng này đã được trình bày tại hội thảo HITB Lockdown 2020 và đón nhận được sự quan tâm đông đảo của cộng đồng, chuyên gia an toàn, an ninh mạng trên thế giới.

Bug bounty là một hình thức các tổ chức, doanh nghiệp có nhu cầu cần tìm kiếm các lỗ hổng bảo mật, điểm yếu còn tồn đọng trên hệ thống của mình (trong phạm vi cho phép). Sau khi công khai các chương trình trên các nền tảng Bug bounty, sẽ được các Researcher đánh giá, kiểm thử các ứng dụng, hệ thống trong phạm vi của chương trình để tìm ra các lỗ hổng bảo mật và gửi báo cáo cho các tổ chức, doanh nghiệp thông qua chính nền tảng đó. Researcher sẽ nhận được phần thưởng bằng tiền/hiện kim hoặc các phần thưởng tương đương. Các chương trình Bug bounty không còn là mô hình xa lạ tại các quốc gia trên thế giới trong lĩnh vực an toàn, an ninh mạng. Hầu hết các quốc gia phát triển về công nghệ đều đã triển khai các chương trình tương tự qua nhiều hình thức khác nhau và gần như các công ty lớn trên thế giới đều đã tham gia vào. Các nền tảng Bug bounty nổi tiếng hiện nay trên thế giới là https://hackerone.com. và https://www.bugcrowd.com. Tại Việt Nam cũng có 2 nền tảng đã được vận hành trong mấy năm gần đây là https://safevuln.com của Công ty An ninh mạng Viettel và https://whitehub.net/ của Công ty Cổ phần CyStack Việt Nam.

DUY LỘC