Ứng dụng kiểm tra bảo mật website cho tất cả mọi người
Bằng cách tạo ra một công cụ kiểm tra bảo mật website với mức giá chỉ bằng 1% các giải pháp truyền thống, chúng tôi đang hiện thực hóa nguyện vọng đưa bảo mật website tới tất cả người dân Việt Nam.
Bảo mật mạng theo định nghĩa truyền thống
“Bảo mật mạng” vẫn là một khái niệm xa lạ đối với hầu hết các đơn vị kinh doanh tại Việt Nam cho đến thời điểm hiện tại.
Hiện trạng này không hẳn là không có lí do.
Thông thường, trước khi tung ra một sản phẩm số như website bán hàng hoặc dịch vụ, các công ty sẽ tìm đến các chuyên gia bảo mật để thực hiện các quy trình pentest (kiểm thử lỗ hổng) phù hợp nhằm mục đích bảo vệ và đảm bảo tính bền vững của sản phẩm trước khi đưa đến với đại chúng qua mạng Internet.
Trong các quy trình này, một người chuyên gia bảo mật sẽ tìm những lỗ hổng mà tin tặc, mã độc có thể khai thác được do một số nguyên nhân cả chủ quan và khách quan như sau:
- Lỗi do người lập trình, thiếu kinh nghiệm về bảo mật web, chưa biết cách quản lý và kiểm duyệt các biến đầu vào.
- Lỗ hổng do logic của ứng dụng dẫn đến việc tin tặc có thể vượt qua các cơ chế phân quyền, hạn chế đặc quyền.
- Lỗ hổng do sử dụng các bộ thư viện lỗi thời (out-of-date).
- Lỗ hổng do triển khai trên một nền tảng máy chủ, cơ sở dữ liệu và hosting không an toàn.
- Local attack: Khi website được triển khai trên cùng hosting, website với các website không an toàn, dẫn đến website có nguy cơ bị ảnh hưởng khi các website kém bảo mật khác bị tấn công.
Từ kinh nghiệm của bản thân tôi, quy trình kiểm tra bảo mật website truyền thống có 3 điểm khiến dịch vụ này không tiếp cận được đến đại đa số khách hàng:
- Thực hiện thủ công trong khoảng thời gian dài (lên đến một tuần)
- Mức phí cao – xấp xỉ $1000 cho đến $2000/lần với 1 domain.
- Mỗi lần thực hiện sau để cập nhật các lỗ hổng mới gây tốn kém lâu dài.
Không khó để thấy không phải đơn vị kinh doanh nào cũng có điều kiện để tiếp cận với những dịch vụ này.