Bug Bounty là gì? Tìm hiểu về chương trình Săn Lỗi Bảo Mật Nhận Tiền Thưởng | CyStack Security

Bug Bounty là gì? Kiến thức cơ bản về Bug Bounty.
Bug Bounty là một chương trình bảo mật thông tin mà những doanh nghiệp liên kết với hội đồng chuyên viên để tìm lỗ hổng bảo mật thông tin trong loại sản phẩm. Với mỗi lỗi tìm ra, doanh nghiệp sẽ trao một khoản tiền thưởng cho người tìm thấy lỗi. Đây là một hình thức bảo mật thông tin nhận được nhiều sự chăm sóc của những tổ chức triển khai, doanh nghiệp lúc bấy giờ bởi tính hiệu suất cao và tối ưu ngân sách. Vậy, Bug Bounty là gì, công dụng như thế nào ? Cùng tìm hiểu và khám phá những kiến thức và kỹ năng cơ bản về Bug Bounty và quyền lợi mà nó mang lại cho doanh nghiệp trong bài viết sau đây .

I. Tổng quan về Bug Bounty

1. Bug Bounty là gì?

Bug Bounty ( tạm dịch Săn lỗi nhận tiền thưởng ) là một chương trình bảo mật thông tin được công bố bởi những tổ chức triển khai, doanh nghiệp hoặc bên thứ 3 nhằm mục đích lôi cuốn hội đồng dò tìm và báo cáo giải trình lỗ hổng bảo mật thông tin ( bug ) trong những loại sản phẩm công nghệ tiên tiến. Trong đó, những khoản tiền thưởng ( bounty ) sẽ được trao cho những người tìm ra lỗi .
Một chương trình bug bounty tiêu chuẩn sẽ gồm có 3 đối tượng người tiêu dùng chính :

  • Đơn vị tổ chức Bug Bounty: thường là các doanh nghiệp, tổ chức hoặc bên thứ 3. Đây là đơn vị chịu trách nhiệm thiết kế & công bố chương trình Bug Bounty, đồng thời trao thưởng cho chuyên gia tìm được lỗi.
  • Sản phẩm cần tìm lỗi: có thể là website, mobile app, IoT, API, phần mềm máy tính, phần mềm dịch vụ – SaaS,…
  • Chuyên gia: là những người tham gia tìm lỗi trong chương trình Bug Bounty. Họ là những chuyên gia an ninh mạng, tư vấn bảo mật cho các tổ chức, cũng có thể là một pen-tester, một hacker mũ trắng hay một sinh viên ATTT tài năng.

Quy trình thực hiện Bug BountyQuy trình thực hiện Bug Bounty tiêu chuẩn. Ảnh: WhiteHub.

Phần thưởng có thể là tiền mặt, bằng khen, quà lưu niệm, sự công nhận,… nhưng phổ biến nhất vẫn là tiền mặt. Tiền thưởng nhiều hay ít tùy thuộc vào mức độ nghiêm trọng & tầm ảnh hưởng của lỗi bảo mật tới người dùng và chính doanh nghiệp.

2. Bug Bounty có tác dụng gì?

Mục đích của chương trình Bug Bounty là dò tìm ra nhiều lỗ hổng bảo mật thông tin nhất hoàn toàn có thể, từ đó khắc phục – sửa chữa thay thế những lỗ hổng đó trước khi tin tặc phát hiện ra. Việc này giúp phòng tránh kẻ xấu khai thác những lỗ hổng bảo mật thông tin dẫn tới nhiều hậu quả khôn lường .
Cuộc đua tìm lỗ hổng bảo mật của Doanh Nghiệp vs Tin Tặc >> Xem thêm: Lỗ hổng bảo mật và bài toán của doanh nghiệp.

3. Bug và Vulnerability là gì?

Bug là những lỗi khiến một mạng lưới hệ thống, chương trình, ứng dụng hoạt động giải trí không thông thường. Đôi khi bug cũng ám chỉ lỗi sống sót trong những dòng lệnh ( code ) của một ứng dụng. Trong chương trình Bug Bounty, “ bug ” thường ám chỉ tới những lỗi bảo mật thông tin ( vulnerability ). Đây là những lỗ hổng hay điểm yếu bảo mật thông tin trong mạng lưới hệ thống, chương trình, ứng dụng hoàn toàn có thể bị kẻ xấu tiến công khai thác và gây ra nhiều hậu quả nghiêm trọng. Vulnerability hoàn toàn có thể phát sinh ở cả khâu phong cách thiết kế và quản lý và vận hành .

4. Bug Bounty Hunter

Bug Bounty Hunter ( thợ săn tiền thưởng Bug Bounty ) là những người tiếp tục tham gia vào những chương trình bug bounty để tìm lỗi và nhận thưởng. Họ hoàn toàn có thể là một pen-tester, hacker mũ trắng, nhà nghiên cứu và điều tra bảo mật an ninh mạng độc lập, hay một sinh viên An toàn thông tin xuất sắc .
bug bounty hunter - những người săn tiền thưởng từ chương trình bug bounty.
Họ thương mến việc làm tìm lỗi và thường tham gia vào nhiều chương trình Bug Bounty khác nhau để tìm kiếm những lỗi bảo mật thông tin, vừa thỏa mãn nhu cầu đam mê, vừa hoàn toàn có thể kiếm thêm một khoản thu nhập đáng kể .
>> Bảng xếp hạng chuyên viên WhiteHub

5. Kỹ thuật Pen-test (kiểm thử xâm nhập)

Để tìm ra những lỗi bảo mật thông tin, những Bug Bounty Hunter cần kỹ năng và kiến thức Pentest ( Penetration testing – kiểm thử xâm nhập ). Đây là hình thức kiểm tra bảo mật thông tin cho loại sản phẩm công nghệ tiên tiến ( web, app, API, IoT, … ) bằng cách nỗ lực tiến công xâm nhập vào loại sản phẩm đó để phát hiện ra điểm yếu bảo mật thông tin sống sót trong mẫu sản phẩm. Đây là kỹ thuật được sử dụng trong những chương trình Bug Bounty để tìm ra lỗi bảo mật thông tin của mạng lưới hệ thống. Người làm nghề kiểm thử được gọi là Pen-tester .

6. Xu hướng Crowdsourcing

Crowdsourcing được ghép bởi 2 từ “ crowd ” ( đám đông ) và “ source ” ( nguồn lực ), có nghĩa là tận dụng nguồn lực của đám đông. Khác với outsourcing ( thuê ngoài ), crowdsourcing tận dụng nguồn lực hội đồng để hoàn thành xong một ( hoặc một phần ) việc làm nào đó. Crowdsourcing thường được vận dụng vào những việc làm mà đám đông tỏ ra hiệu suất cao hơn một nhóm người cố định và thắt chặt .
Ví dụ : Một trong những start-up crowdsourcing thành công xuất sắc nhất là Waze – ứng dụng cảnh báo nhắc nhở tắc đường và tự động hóa lựa chọn lộ trình tốt nhất. Waze được cho phép users gửi những thông tin ùn tắc từ khắp mọi nơi về TT tài liệu. Bằng cách giải quyết và xử lý những data này, Waze giúp người dùng app chọn được một lộ trình chuyển dời tương thích nhất. Trong trường hợp này, rõ ràng ứng dụng sẽ không hề thành công xuất sắc nếu không sử dụng nguồn lực hội đồng .

Lợi thế của crowdsourcing là tính phát minh sáng tạo không số lượng giới hạn, từ đó mang lại hiệu suất cao và giúp tiết kiệm ngân sách và chi phí ngân sách. Xu hướng này đã và đang được ứng dụng vào nhiều ngành nghề khác nhau .

7. Bảo mật cộng đồng – crowdsouced security

Bảo mật hội đồng ( Crowdsourced Security ) là ứng dụng của quy mô crowdsourcing trong bảo mật thông tin thông tin. Đây là hình thức tận dụng nguồn lực đám đông để bảo mật thông tin cho một mẫu sản phẩm công nghệ thông qua việc tìm lỗ hổng trong mẫu sản phẩm .
Các chương trình Bug Bounty là của giải pháp Bảo mật hội đồng trong trong thực tiễn. Ngoài ra, chương trình “ Công bố lỗ hổng ” – Vulnerability Disclosure Program ( VDP ) mà ở đó, mọi báo cáo giải trình từ những hacker đều là tự nguyện, họ hoàn toàn có thể có hoặc không nhận được tiền thưởng cho những báo cáo giải trình đó .
Cộng đồng gồm có những pen-tester, hacker mũ trắng, những nhà nghiên cứu bảo mật thông tin tự do … Họ hoàn toàn có thể là bất kể ai đam mê điều tra và nghiên cứu bảo mật thông tin : một kỹ sư ứng dụng, một quản trị viên mạng lưới hệ thống, một nhân viên cấp dưới IT thông thường, hay một sinh viên còn đi học .

II. Lợi ích của Bug Bounty so với dịch vụ Pentest thông thường

1. Tìm được nhiều lỗi hơn

Công việc tìm lỗi cần rất nhiều kỹ năng và kiến thức, kinh nghiệm tay nghề, sự phát minh sáng tạo Pen-tester. Vì thế quy mô bảo mật thông tin hội đồng ( crowdsourced security ) với hàng trăm, hàng nghìn chuyên viên sẽ mang lại quyền lợi lớn hơn so với dịch vụ Pentest chỉ gồm có một nhóm chuyên viên ( khoảng chừng 3-5 người ) .
Hơn nữa, so với hầu hết những hợp đồng Pentest thường thì, Pen-tester bị áp lực đè nén về thời hạn kiểm thử. Điều này phần nào ảnh hưởng tác động tới tính phát minh sáng tạo của họ khi tìm lỗi. Ngược lại, những pen-tester tham gia vào nền tảng Bug Bounty bị thôi thúc bởi sự ganh đua và hứng thú. Tâm lí này khiến cho việc làm tìm lỗi đạt được nhiều hiệu quả khả quan hơn .
Tại WhiteHub, hội đồng chuyên viên đã đạt hơn 600 chuyên viên. Dự kiến đạt 3000 chuyên viên vào giữa 2020 .
Biểu đồ thống kê và Dự kiến số lượng chuyên gia trên WhiteHub.

2. Tiết kiệm chi phí

Ngân sách chi tiêu của những hợp đồng Pentest truyền thống lịch sử thường cố định và thắt chặt và dựa vào uy tín của từng đơn vị chức năng cung ứng .

  • Điều đó khiến chi phí ban đầu cao, không phù hợp với những doanh nghiệp vừa và nhỏ, startup.
  • Đôi khi những lỗ hổng trong báo cáo không thực sự mang lại giá trị cho doanh nghiệp.

Với mô hình tính phí dựa trên kết quả (số lỗ hổng tìm thấy), Bug Bounty giải quyết triệt để các vấn đề trên:

  • Doanh nghiệp được hoạch định ngân sách cho
    chương trình Bug Bounty, và chi phí trả thưởng cho từng loại lỗ hổng, tùy theo
    mức độ nghiêm trọng.
  • Doanh nghiệp sẽ không phải trả tiền khi không
    tìm thấy lỗi, hoặc các lỗi nằm ngoài phạm vi ảnh hưởng (out of scope).
  • Chương trình Bug Bounty có thể được chia thành
    nhiều giai đoạn thực hiện, phù hợp cho SME, startup cần dàn trải chi phí.

3. Linh hoạt về thời gian

Với những dịch vụ pentest truyền thống cuội nguồn, những pen-tester sẽ thực thi kiểm thử trong một khoảng chừng thời hạn cố định và thắt chặt ( tuần hoặc tháng ), sau đó sẽ làm một báo cáo giải trình tổng quan. Điều này hoàn toàn có thể dẫn tới chậm trễ trong việc vá những lỗ hổng mạng lưới hệ thống .
trái lại, Bug Bounty linh động về thời hạn, chương trình Bug Bounty được cho phép mỗi chuyên viên gửi báo cáo giải trình ở ngay tại thời gian họ tìm thấy lỗ hổng. Lợi thế của hội đồng là mỗi người có một khung giờ hoạt động giải trí khác nhau, cho nên vì thế những báo cáo giải trình sẽ liên tục được gửi về cho doanh nghiệp để giải quyết và xử lý kịp thời .

4. Đáp ứng được nhu cầu phát triển web, app liên tục

Cuộc chiến lôi cuốn người dùng khiến cho doanh nghiệp phải liên tục update, nâng cấp cải tiến mẫu sản phẩm web, mobile app của mình. Qua đó, những lỗ hổng bảo mật thông tin hoàn toàn có thể Open mà bộ phận tăng trưởng ( dev ) không hề lường trước được. Nếu mỗi lần update app đều sử dụng dịch vụ pentest thì ngân sách đội lên quá cao. Nếu chỉ sử dụng ứng dụng bảo mật thông tin tự động hóa thì không đủ bảo vệ tính bảo đảm an toàn cho loại sản phẩm .
Một chương trình Bug Bounty sẽ là giải pháp trung gian tuyệt vời và hoàn hảo nhất. Nó được cho phép doanh nghiệp tự do lựa chọn khoanh vùng phạm vi thực thi, thời hạn đóng – mở chương trình sao cho tương thích với từng quy trình tiến độ tăng trưởng ứng dụng với ngân sách hài hòa và hợp lý .

Chương trình Bug Bounty tính phí dựa trên hiệu quả nhận được. Vì vậy, nếu bản update không tạo ra bất kể một lỗ hổng nào, doanh nghiệp sẽ không phải trả phí. Ngược lại, nếu có lỗ hổng nghiêm trọng, doanh nghiệp trả tiền cho một hiệu quả trong thực tiễn và xứng danh .Ông Nguyễn Hữu Trung – Sáng lập WhiteHub Bug Bounty.

5. Tính tùy biến cao

Các chương trình Bug Bounty được cho phép chủ chương trình tùy biến những thông số kỹ thuật cho tương thích với kinh tế tài chính, tình hình doanh nghiệp hiện tại :

  • Tùy chỉnh phạm vi kiểm thử (công khai hay bí mật).
  • Tùy chỉnh tổng ngân sách, tiền thưởng cho từng lỗi.
  • Lựa chọn phạm vi kiểm thử cho chương trình Bug
    Bounty (công khai, bán công khai, bí mật)
  • Lựa chọn chuyên gia kiểm thử (Giới hạn ở những
    chuyên gia tốt nhất).
  • Tích hợp báo cáo lỗ hổng vào các phần mềm làm việc
    phổ biến (trello, slack).

III. Các nền tảng Bug Bounty phổ biến

Xuất phát từ khó khăn vất vả của những doanh nghiệp trong việc lôi cuốn nhiều chuyên gia tài năng tham gia vào chương trình Bug Bounty, những nền tảng Bug Bounty thuộc bên thứ ba sinh ra .
Nền tảng Bug Bounty ( Bug bounty platform ) là những đối tác chiến lược bên thứ ba giúp những doanh nghiệp tổ chức triển khai và lôi cuốn nhiều chuyên gia bảo mật kĩ năng. Các nền tảng Bug Bounty xử lý 3 bài toán :

  • Giúp cho các startup và SME tiếp cận lượng chuyên gia có sẵn trên nền tảng thay vì phải tự gây dựng danh tiếng và tự thu hút chuyên gia.
  • Tạo sân chơi cho các nhà nghiên cứu bảo mật giao lưu, học hỏi, kiếm thêm thu nhập từ đam mê.
  • Giải quyết vấn đề về việc tổ chức Bug Bounty một cách chuyên nghiệp. Đảm bảo quyền lợi và sự riêng tư của cả doanh nghiệp và chuyên gia.

Dưới đây là những nền tảng Bug Bounty bên thứ 3 uy tín :

1. HackerOne

HackerOne là một trong những nền tảng Bug Bounty nổi tiếng nhất quốc tế. Công ty được xây dựng năm 2012 tại San Francisco. Là một trong những tên tuổi truyền kiếp và uy tín nhất trong ngành, HackerOne liên kết doanh nghiệp với hội đồng hacker mũ trắng và nhà nghiên cứu bảo mật thông tin trải qua những chương trình Bug Bounty và VDP. Tính tới năm 2018, mạng lưới hacker mũ trắng của HackerOne đã lên tới 200,000 người .
Một số người mua tiêu biểu vượt trội của HackerOne gồm có Bộ Quốc Phòng Mỹ, General Motors, Starbucks, UBER, Spotify, airbnb, Nintendo, WordPress, Snapchat, Twitter và nhiều tổ chức triển khai, doanh nghiệp khác .

2. Bugcrowd

Thành lập năm 2011 tại San Francisco, Bugcrowd là một trong những đơn vị chức năng uy tín giúp doanh nghiệp công bố chương trình Bug Bounty và lôi cuốn những chuyên viên kiểm thử. Công ty phân phối 4 dịch vụ dựa trên Crowdsourced Security, gồm có Bug Bounty, Vulnerability Disclosure, Next Gen Pentest, Bug Bash .
Bugcrowd là đối tác chiến lược bảo mật thông tin của nhiều tên thương hiệu lớn như Tesla, Mastercard, Motorola, Atlassian, hay Western Union .

3. WhiteHub

Ra mắt vào tháng 4/2019, WhiteHub là nền tảng tiên phong tại Nước Ta liên kết doanh nghiệp với chuyên gia bảo mật trải qua chương trình Bug Bounty. Tính tới tháng 8/2019, WhiteHub đã lôi cuốn được 500 chuyên gia bảo mật tham gia vào nền tảng, tiến hành Bug Bounty cho 20 công ty trong và ngoài nước, thuộc nhiều nghành nghề dịch vụ khác nhau như eCommerce, Fintech, OTA, SaaS, blockchain, v.v.

Đây là nền tảng Bug Bounty được tin yêu và sử dụng bởi những doanh nghiệp Việt đứng vị trí số 1 như VinGroup ( VinID ), Giaohangtietkiem, Vntrip, Luxstay, Sendo, Finhay, Getfly CRM .

“WhiteHub là một sản phẩm của công ty An toàn thông tin CyStack Việt Nam, được thành lập bởi nhóm chuyên gia ATTT có nhiều năm kinh nghiệm chuyên sâu và tâm huyết với ngành. Mong muốn của chúng tôi là đóng góp vào sự phát triển của ngành An ninh mạng Việt Nam. Qua đó, tạo động lực thúc đẩy nền kinh tế công nghệ cao, giúp doanh nghiệp có những bước đi vững vàng để vươn xa hơn nữa.”

Ông Nguyễn Hữu Trung – Founder WhiteHub Bug Bounty; CTO CyStack Vietnam.

Doanh nghiệp được cung ứng những công cụ thiết yếu để tổ chức triển khai chương trình Bug Bounty chuyên nghiệp và bài bản, chuyên nghiệp. Qua đó tiếp cận hội đồng 500 + chuyên gia bảo mật uy tín số 1 tại Nước Ta và trong khu vực để tìm lỗ hổng trong loại sản phẩm .
Lợi ích :

  • Kiểm thử bảo mật cho website, mobile app với cộng đồng 500+ chuyên gia an ninh mạng & pentester.
  • Phát hiện nhiều lỗ hổng bảo mật hơn, với chi phí thấp hơn.
  • Bảo mật thông tin chương trình, kiểm soát chất lượng chuyên gia.

Case Study :