Nền tảng BugRank hỗ trợ tìm kiếm lỗ hổng bảo mật
Xe++ - Ngày đăng : 16:34, 25/08/2021
Phạm vi của chương trình này gồm gần 20 nền tảng thành viên của Trung tâm Công nghệ phòng, chống dịch Covid-19 quốc gia. Các nền tảng khác sẽ lần lượt được công bố, đưa lên chương trình Bug Bounty.
Theo NCSC, với sự phát triển nóng và nhanh chóng của công nghệ như hiện nay thì bất kỳ một hệ thống thông tin nào cũng sẽ phải đối mặt với các nguy cơ tấn công mạng, đòi hỏi cơ quan, tổ chức, doanh nghiệp phải phát hiện sớm và khắc phục kịp thời các lỗ hổng bảo mật của các ứng dụng, hệ thống.
Tuy nhiên, trong an toàn thông tin, nếu bảo đảm an toàn 99,99% thì vẫn là chưa an toàn, vì hacker chỉ cần khai thác vào một lỗ hổng bảo mật bất kỳ chưa được phát hiện, thì mọi nỗ lực của tổ chức đều có thể sẽ trở thành vô nghĩa.
Theo xu hướng này, ngày nay, các tổ chức, doanh nghiệp dần lựa chọn hình thức Bug Bounty nhằm tận dụng nguồn lực các chuyên gia an toàn, an ninh mạng trên toàn thế giới để chỉ ra những lỗ hổng sớm nhất trên các hệ thống của mình.
Chương trình được Trung tâm NCSC phối hợp triển khai trên nền tảng BugRank (https://bugrank.io/). BugRank là một nền tảng Bug Bounty nguồn mở và phi lợi nhuận do VNSecurity Foundation phát triển. Các tổ chức, doanh nghiệp có thể đưa các chương trình của tổ chức mình lên và sẽ được các researcher (nhà nghiên cứu, chuyên gia bảo mật) trên toàn thế giới đánh giá, kiểm thử.
Bug Bounty là một hình thức các tổ chức, doanh nghiệp có nhu cầu cần tìm kiếm các lỗ hổng bảo mật, điểm yếu còn tồn tại trên hệ thống của mình (trong phạm vi cho phép). Sau khi công khai các chương trình trên các nền tảng Bug Bounty, sẽ được các nhà nghiên cứu (researcher) đánh giá, kiểm tra để tìm ra lỗ hổng bảo mật và gửi báo cáo cho các tổ chức, doanh nghiệp thông qua chính nền tảng đó.
Các chương trình Bug Bounty không còn là mô hình xa lạ tại các quốc gia trên thế giới trong lĩnh vực an toàn, an ninh mạng. Các nền tảng Bug Bounty nổi tiếng hiện nay trên thế giới là https://hackerone.com và https://www.bugcrowd.com.
Tại Việt Nam cũng có 2 nền tảng đã được vận hành trong mấy năm gần đây là https://safevuln.com của Công ty An ninh mạng Viettel và https://whitehub.net/ của Công ty cổ phần CyStack Việt Nam.