Giảm 90% nguy cơ bị tấn công với dịch vụ đánh giá lỗ hổng web

Dịch vụ đánh giá lỗ hổng website chạy trên nền điện toán đám mây như Bkav WebScan hay WEBGUARD sẽ phù hợp với những website có quy mô vừa và nhỏ, góp phần giảm thiểu 80-90% nguy cơ bị tấn công.

Nhiều dịch vụ đánh giá lỗ hổng website trên nền "đám mây"

Hiện dịch vụ kiểm tra lỗ hổng website Bkav WebScan được cung cấp theo 2 hình thức miễn phí và thu phí từ 1,5 triệu đồng/năm (1 lần quét) cho đến 14 triệu đồng/năm (12 lần quét). Cụ thể, bản thu phí sẽ chỉ ra cho người quản trị tất cả những lỗ hổng của trang web mà WebScan có thể phát hiện ra được, đồng thời đưa ra hướng dẫn sửa lỗi. Trong khi bản miễn phí sẽ giúp cho người sử dụng biết được website của mình có bao nhiêu lỗ hổng, có bị tin tặc tấn công hay không và được thông báo một số lỗ hổng nhất định.

Theo ông Đức, hiện có 1.063 quản trị hệ thống của các cơ quan, doanh nghiệp và diễn đàn đã đăng ký tham gia kiểm tra lỗ hổng website. Hệ thống đã giúp phát hiện 70% website tham gia thử nghiệm tồn tại lỗ hổng. Cụ thể, các quản trị đã đưa vào kiểm tra 2.086 website, 399.638 lỗ hổng được tìm thấy, trong đó 19.981 lỗi có mức độ nguy hiểm cao như SQL injection, XSS, Xpath injection....

Bên lề Hội thảo xây dựng chính sách đảm bảo an toàn thông tin (ATTT) trong việc phát triển Chính phủ điện tử ở Việt Nam ngày 25/5, công ty Misoft và Indusface đã chính thưc ra mắt dịch vụ WEBGUARD tại thị trường Việt Nam, dịch vụ dựa trên nền điện toán đám mây, giúp đánh giá và quản lý tình trạng an toàn thông tin của hệ thống website thông qua việc tự động dò quét hàng ngày để phát hiện các điểm yếu, lỗ hổng bảo mật trên hệ thống web cũng như khả năng nhận diện mã độc trên website. Dịch vụ có mức giá từ 20,7 triệu đồng cho đến 760,3 triệu đồng.

Ông Venkatesh Sundar, đại diện Indusface cho biết, dịch vụ WEBGUARD sẽ kiểm tra, quét xem website của khách hàng có dính những lỗi bảo mật thông dụng hay không như 10 rủi ro an ninh của ứng dụng web do OWASP (dự án mở về bảo mật ứng dụng web) đưa ra gồm một số lỗi cơ bản, ví dụ như SQL injection, Cross Site Scripting (xảy ra khi một ứng dụng tiếp nhận những dữ liệu không đáng tin cậy và gửi chúng đến cho trình duyệt web mà không qua xử lý và kiểm duyệt), lưu trữ mật mã không an toàn....

Sau 2 năm, dịch vụ WEBGUARD đã được hơn 400 khách hàng ở các nước khác nhau với khoảng hơn 1.000 website sử dụng. "Ở Việt Nam đang có khoảng 150.000 website, trong đó khoảng 5.000 trang web sẽ có nhu cầu sử dụng dịch vụ kiểm thử lỗi website trên điện toán đám mây", ông Venkatesh Sundar nhấn mạnh.

Cũng theo ông Venkatesh Sundar, dịch vụ WEBGUARD cung cấp các giải pháp trọn gói từ tự động dò quét, đánh giá bằng tay (nếu khách hàng muốn đánh giá lỗi sâu hơn) cho đến tư vấn khắc phục điểm yếu và "trên thế giới, Indusface là một trong những nhà cung cấp đầu tiên cung cấp những dịch vụ này".

Phù hợp với các website vừa và nhỏ

Theo ông Vũ Bá Thạch, Phó Giám đốc Công ty Misoft, mặc dù luôn phải đau đầu về nguy cơ bị tin tặc tấn công thay đổi giao diện nhưng do đội ngũ quản trị trang web rất thiếu nên sẽ không có nhiều thời gian để kiểm tra hàng ngày. Do đó, với những dịch vụ kiểm thử website, nó sẽ hàng ngày gửi cảnh báo, báo cáo đến người quản trị giao diện bị thay đổi hay không bị thay đổi. Với khoảng hơn 20 triệu đồng/năm, người dùng có thể biết website của mình có bị nhiễm malware, có bị cho vào blacklist (danh sách đen), có bị tấn công thay đổi giao diện... hay không. "Số tiền này rẻ hơn khá nhiều so với việc đi thuê một kỹ sư CNTT với mức lương ít nhất là 3 triệu/tháng (36 triệu/năm) chỉ để đi làm những việc như thế", ông Thạch dẫn chứng. 

Ông Venkatesh Sundar cho rằng, dịch vụ đánh giá lỗ hổng website trên nền điện toán đám mây mang tính cơ bản, không thay thế cho dịch vụ đánh giá trực tiếp. Ưu điểm của dịch vụ này là có thể dò quét tự động hàng ngày mà không phải cài đặt phần mềm, phần cứng vào hệ thống của khách hàng. "Khi cần đánh giá sâu và nâng cao hơn nữa, chúng ta mới cần sử dụng đến dịch vụ kiểm thử lỗ hổng website trực tiếp", ông Venkatesh Sundar cho biết thêm.

Cùng quan điểm với ông Venkatesh Sundar, ông Đức cũng cho rằng với dịch vụ thử nghiệm đánh giá lỗ hổng website sử dụng công nghệ đám mây, người dùng có thể sử dụng laptop, máy tính bảng để truy cập hệ thống, ra lệnh quét website mà không cần cài đặt. Ưu điểm của dịch vụ này là chỉ chủ quản thực sự của website mới có quyền ra lệnh quét website đó, tránh trường hợp người xấu lợi dụng công nghệ để quét (với các phần mềm đánh giá lỗ hổng thông thường thì nhiều người có thể mua về cài đặt để quét website và lợi dụng để tấn công website).

Còn so với dịch vụ kiểm thử trực tiếp, dịch vụ thử nghiệm đánh giá lỗ hổng website sử dụng công nghệ đám mây sẽ kiểm tra được hầu hết những lỗi bảo mật phổ biến. "Gần 90% các cuộc tấn công trên mạng đều dựa vào những lỗ hổng cơ bản nên sẽ giúp những người quản trị hạn chế được số vụ tấn công", ông Đức cho biết thêm.

Những hệ thống lớn, phức tạp như giao dịch chuyển tiền thì sẽ phải cần thêm chuyên gia đánh giá trực tiếp nữa thì mới đảm bảo an toàn. Vì thế, dịch vụ đánh giá lỗ hổng website trên nền điện toán đám mây sẽ phù hợp với những website có quy mô vừa và nhỏ.