Bug Bounty nguồn lực cộng đồng: lợi ích về bảo mật và tổn thất tiềm tàng (Phần I)
Phóng viên: Sự sôi động của các chương trình Bug Bounty được thể hiện qua các con số khủng về số lượng lỗ hổng cũng như là tiền thưởng. Anh Cường có thể chia sẻ trong vai trò là đơn vị cung cấp các dịch vụ an toàn thông tin, anh nhận định như thế nào về làn sóng Bug Bounty hiện nay?
Ông Mai Xuân Cường: Trào lưu về Bug bounty trong cộng đồng về an toàn thông tin đang rất nóng và có nhiều người quan tâm. Theo quan điểm của tôi, đây là một xu hướng tất yếu vì trong lĩnh vực an toàn thông tin, chúng tôi có một quan điểm là Zero Trust, tức là chúng ta không tin tưởng bất cứ điểm nào một cách tuyệt đối. Khi mà doanh nghiệp đã có một khoảng thời gian làm về an toàn thông tin tốt rồi thì chúng ta sẽ có một xu hướng tất yếu để đi tìm những điểm phản biện lại những thứ mà mình đã làm từ trước. Cùng với đó, cộng đồng bên ngoài có rất nhiều các chuyên gia đang làm an toàn tin, chúng ta sẽ cố gắng tìm để kết nối với họ để họ tìm lỗi và thông báo lại cho mình. Đó là xu hướng Bug Bounty - cộng đồng tìm lỗi và phản hồi lại cho doanh nghiệp.
Trong nhiều trường hợp, hacker tìm được lỗi sẽ bán hoặc cố gắng khai thác vào hệ thống. Còn những hacker hoặc chuyên gia không có ý đồ xấu thì không có cách nào để report được cho vendor hoặc cho tổ chức. Dẫn đến việc, các thông tin về lỗi sẽ được công khai trên mạng xã hội, thì lúc đấy doanh nghiệp sẽ là người mà chịu thiệt thòi. Không chỉ là bị tấn công mà thậm chí là danh tiếng là cũng bị mất. Do vậy, từ bây giờ nếu chúng ta chủ động trong việc đưa những kênh tiếp nhận lỗ hổng ra bên ngoài, thì hacker hoặc những hacker mũ trắng sẽ report theo những kênh như vậy. Bug Bounty cho phép vừa kiểm soát được rủi ro, vừa khắc phục được các vấn đề đang tồn tại trong hệ thống.
Phóng viên: Được biết là bên cạnh vai trò là chuyên viên bảo mật của công ty an ninh mạng Viettel thì anh Tuấn Anh còn được biết đến là một trong thợ săn tiền thưởng khủng được vinh danh trên nhiều nền tảng của Bug Bounty uy tín trong và ngoài nước. Anh Tuấn Anh có thể chia sẻ thêm thông tin về làn sóng Bug Bounty hiện nay và đặc biệt là anh nhận định như thế nào về việc người ta gọi Bug Bounty là nguồn lực cộng đồng.
Ông Nguyễn Tuấn Anh: Với kinh nghiệm 4 năm trong lĩnh vực Bug Bounty, mình nhận thấy xu hướng về Bug Bounty hiện nay trên thế giới đang rất phát triển. Có thể coi nó là một xu hướng trong lĩnh vực bảo mật khi mà ngày càng có rất nhiều người tham gia vào các sân chơi về Bug Bounty, mà không giới hạn về độ tuổi, giới tính và từ bất cứ một quốc gia nào. Ngoài ra, những người tham gia trong lĩnh vực Bug Bounty này thì không nhất thiết phải làm công việc về an ninh mạng, an toàn thông tin hay là học ở những trường về an toàn thông tin. Họ có thể xuất phát là lập trình viên hoặc là những người làm ở các ngành nghề khác.
Khi mà người chơi nhận thấy một điểm yếu hoặc vô tình tìm được những lỗ hổng bảo mật ở các công ty, thì họ cũng bắt đầu tham gia vào việc săn tiền hưởng lỗi này. Bởi vì ngoài việc báo cáo cho các công ty tổ chức thông qua các nền tảng về Bug Bounty thì người chơi có thể là thu lại được về danh tiếng và mặt tài chính. Nên ngày càng nhiều người coi đây là một cái công việc đem lại nhiều lợi ích. Hiện nay, có rất là nhiều các bạn trẻ trên thế giới cũng đang tham gia kể cả những bạn đang là sinh viên ở các trường đại học cũng bắt đầu tìm hiểu và chia sẻ để phát triển con đường Bug Bounty. Tuy nhiên, ở Việt Nam thì Bug Bounty chưa phát triển mạnh và cộng đồng thì cũng chưa có nhiều bạn trẻ tham gia.
Tọa đàm Bug Bounty nguồn lực cộng đồng: lợi ích về bảo mật và tổn thất tiềm tàng
Phóng viên: Có thể thấy, chương trình Bug Bounty đang trở nên rất sôi động trên thế giới về nền tảng chương trình. Theo thông tin từ anh Tuấn Anh chia sẻ, Bug Bounty sôi động cả ở đối tượng tham gia, rất là nhiều chuyên gia và thậm chí là cả những học sinh, sinh viên, ai có tài năng ai có khả năng thì đều có thể triển khai, tham gia vào cái chương trình. Không biết là ở Việt Nam hiện chương trình này đang được các tổ chức, doanh nghiệp triển khai như thế nào, câu hỏi này xin dành cho anh Cường.
Ông Mai Xuân Cường: Theo nhận định của tôi, tại thị trường Việt Nam thì các doanh nghiệp chưa quan tâm nhiều đến việc trả thưởng cho các chuyên gia tìm lỗ hổng bên ngoài. Bởi 2 vấn đề: thứ nhất là các cái nền tảng tìm lỗ hổng giống như là Bugcrowd hoặc là HackerOne trên thế giới thì ở Việt Nam rất là hiếm. Tuy nhiên, những nền tảng này cũng khó hoạt động bởi không có nhiều các doanh nghiệp đưa các chương trình của mình lên cho hacker tìm lỗi và trả thưởng. Thứ 2, nếu các doanh nghiệp không triển khai các chương trình trên các nền tảng Bug Bounty, thì có thể tự đưa ra chương trình tìm lỗi riêng (public trên các website hoặc là fanpage của doanh nghiệp). Nhưng hình thức này cũng chưa có nhiều doanh nghiệp công bố. Chỉ có một vài doanh nghiệp có độ trưởng thành tương đối cao về an toàn thông tin, sở hữu đội ngũ các chuyên gia là cởi mở với vấn đề này. Điển hình là các ngân hàng luôn có tâm lý sẵn sàng tiếp nhận lỗ hổng từ bên ngoài.
Một vấn đề nữa mà theo tôi nó cũng là một rào cản cho các doanh nghiệp ở Việt Nam là việc sẵn sàng trả thưởng cho chuyên gia bên ngoài các budget về chi phí của doanh nghiệp. Ở đây có thể hiểu việc này như là một dạng mua bán về lỗ hổng, tức là các chuyên gia họ báo cho doanh nghiệp lỗ hổng, thì doanh nghiệp phải sẵn sàng một cái mức chi phí theo từng lỗ hổng đó. Như vậy, các tiền lệ về tài chính, kế toán chưa sẵn sàng cho những trường hợp này. Đây cũng là một rào cản cho doanh nghiệp chuẩn bị nguồn tài chính, quy trình cho việc là trả thưởng các lỗ hổng đến từ bên ngoài.
Phóng viên: Có thể thấy rằng những chương trình Bug Bounty cũng đã bắt đầu nhen nhóm trong nước. Tuy nhiên, vẫn còn vướng những khó khăn vướng mắc từ phía các doanh nghiệp, phương án chi phí bởi vậy mà những chương trình Bug Bounty của Việt Nam cũng chưa được mở rộng như các quốc gia khác trên thế giới. Trong thông tin các diễn giả chia sẻ, có nhắc đến HackerOne – nền tảng Bug bounty lớn nhất thế giới quy tụ đông đảo cộng đồng Hacker mũ trắng và các nhà nghiên cứu bảo mật, thì đại diện của nền tảng này cho rằng: Việc huy động Bug Bounty nguồn lực cộng đồng sẽ khiến không gian mạng an toàn hơn. Tuấn Anh nhận định như thế nào về vấn đề này?
Hai khách mời tham gia Tọa đàm Bug Bounty nguồn lực cộng đồng: lợi ích về bảo mật và tổn thất tiềm tàng
Ông Nguyễn Tuấn Anh: Với cá nhân mình thì đây là một điều đúng. Bởi ngày càng có các công ty nhận thấy được lợi ích của Bug Bounty hoặc các chương trình tiếp nhận lỗ hổng hay gọi là VDP. Các công ty bắt đầu có cái nhìn cởi mở hơn với cộng đồng bảo mật hoặc người nghiên cứu bảo mật bên ngoài, do vậy họ sẵn sàng mở các chương trình Bug Bounty trên các nền tảng. Từ đó, những người chuyên tìm kiếm lỗ hổng bảo mật cho các công ty đã có đầu mối để report nhanh nhất.
Với những cuộc tấn công đang bùng nổ gần đây như tấn công ransomware, thì các công ty mới nhận ra hệ thống của họ không an toàn. Mặc dù, đó là những công ty lớn và sở hữu đội ngũ nhân sự về an toàn thông tin, nhưng khi bị tấn công các công ty này bắt đầu nhận thấy lợi ích nguồn lực cộng đồng của Bug Bounty. Dẫn đến việc các công ty triển khai các chương trình Bug Bounty của mình trên các nền tảng. Đây là các chương trình riêng tư triển khai qua HackerOne hoặc Bugcrowd. Thông qua nền tảng, các công ty sẽ lựa chọn những nhà nghiên cứu, những người chuyên về tìm kiếm lỗ hổng bảo mật đã có kinh nghiệm, danh tiếng và thứ hạng trong các nền tảng, giúp xác định một cách nhanh nhất lỗ hổng.
Lưu ý, các công ty cần xác định các véc tơ tấn công của các sản phẩ, dịch vụ của mình khi công khai trên Internet. Khi đó, các công ty có thể mở các chương trình Bug Bounty với sự tham gia của Top 100 hacker dựa theo các kỹ năng trên nền tảng HackerOne. Các nhà nghiên cứu thường có những kỹ năng khác nhau, nền tảng sẽ lựa chọn những người có kỹ năng phù hợp với yêu cầu của các chương trình Bug Bounty để tìm kiếm những lỗ hổng bảo mật một cách nhanh nhất. Các chương trình này cũng đem đến mức tiền thưởng lớn hơn so với các chương trình khác.
Bên cạnh đó, khi xuất hiện các lỗ hổng zero-day hoặc những lỗ hổng từ các sản phẩm của bên thứ ba bị công khai, gây rủi ro cho các cái doanh nghiệp, thì lợi ích của nguồn lực cộng đồng sẽ được minh chứng. Các tổ chức sẽ nghiên cứu về lỗ hổng bảo mật mới và đưa ra mã khai thác cũng như là cách để phát hiện và phòng tránh. Đây cũng là một cách giúp cho những cái doanh nghiệp, tổ chức khắc phục các lỗ hổng nguy hiểm một cách nhanh, phòng tránh rủi ro từ các tổ chức, hacker bên ngoài, giúp cho người dùng trở nên an toàn hơn.
Phóng viên: Qua những chia sẻ vừa rồi của anh Tuấn Anh thì chúng ta thấy rằng là có rất nhiều những cái lợi ích mà chương trình Bug Bounty mang lại cho chúng ta. Nhà nghiên cứu bảo mật Alex Haynes, một trong những nhà nghiên cứu bảo mật hàng đầu trên nền tảng Bugcrowd lại cho rằng: nguồn lực cộng đồng là lãng phí, không mang lại hiệu quả và thiếu tài năng. Câu hỏi này xin được hỏi ông Mai Xuân Cường, có đồng tình về quan điểm này hay không?
Ông Mai Xuân Cường: Với nhận định này, tôi có một phần đồng ý. Thực tế hiện nay, rất nhiều chương trình Bug Bounty đang mang lại hiệu quả cho các doanh nghiệp thậm chí là các doanh nghiệp lớn trên thế giới như là Apple và Microsoft. Các công ty này liên tục tổ chức những chương trình định kỳ, thậm chí có những chương trình lớn trong năm như là Pwn2Own hoặc Hacking. Thông qua đó, các công ty tiếp nhận được rất nhiều các lỗ hổng để khắc phục, giúp hệ thống an toàn hơn. Rất nhiều các vendor lớn trên thế giới cũng đang sử dụng hình thức như vậy. Điều này chứng tỏ là Bug Bounty vẫn đang mang lại hiệu quả nhất định cho doanh nghiệp.
Tuy nhiên, trong thời gian gần đây việc tìm kiếm lỗ hổng trở nên thương mại hóa. Tức là khi các lỗ hổng được định giá, thì việc mà trả thưởng của doanh nghiệp cũng như trả thưởng của các nền tảng sẽ trở thành một dạng mua/bán. Song song, sẽ có những cái tổ chức khác ở bóng tối cũng trả thưởng giống như những nền tảng Bug Bounty. Những tổ chức tội phạm cũng triển khai tiếp nhận các cái lỗ hổng. Một cuộc chạy đua giữa Underground và Whitehat đang diễn ra và điều khác biệt duy nhất là giá trị lỗ hổng.
Khi việc tìm kiếm lỗ hổng trở thành cơ chế thị trường, thì tùy theo phong cách của các chuyên gia, có những người giữ được đạo đức nghề nghiệp, sẵn sàng report cho các chương trình uy tín và đem lại giá trị cho cộng đồng. Tuy nhiên, có những người không thể tránh khỏi những cám dỗ của đồng tiền, tìm đến các chương trình tìm lỗi Underground với giá trị lỗ hổng lên tới hàng triệu USD. Hệ lụy là doanh nghiệp sẽ không thể tìm ra những cái lỗ hổng nghiêm trọng. Với trường hợp như vậy thì nhận định trên cũng có một phần đúng, tức là khi chúng ta phải bỏ nguồn lực rất lớn để mà tìm lỗ hổng thì cái giá trị của lỗ hổng lên đến hàng triệu USD, thì những chương trình public lại không thu hút được nhân lực. Cùng với đó, nếu có quá nhiều nguồn lực tập trung cùng một chỗ, sẽ dẫn tới việc trả thưởng chỉ được chi trả cho một người. Nếu 100 người cùng phát hiện ra lỗ hổng đó, thì xét trên khía cạnh xã hội chúng ta đã lãng phí mất 99 người trong việc tìm cùng một lỗ hổng.
(còn tiếp)...
Bích Thủy