Lời nói đầu
Tại công ty Cybozu, việc bảo vệ dữ liệu và mang lại một sản phẩm an toàn cho người dùng không chỉ là một nhiệm vụ, đó là cam kết cốt lõi trong mọi sản phẩm chúng tôi tạo ra. Nhiều bạn có thể đã biết, ngoài việc thực hiện Kiểm thử nội bộ với quy trình nghiêm ngặt, chúng tôi đang triển khai chương trình Cybozu Bug Bounty [1] hết sức sôi nổi. Đây là cách chúng tôi hợp tác với cộng đồng nghiên cứu bảo mật toàn cầu để liên tục tìm kiếm và vá các lỗ hổng, đảm bảo sản phẩm của mình ngày một an toàn hơn.
Nhưng trong thế giới số luôn biến động, chúng tôi tự đặt ra câu hỏi: "Chỉ như vậy đã đủ chưa?". Để thực sự xây dựng được niềm tin tuyệt đối nơi khách hàng và đối tác, để chất lượng bảo mật không chỉ là một tính năng mà là nền tảng của sản phẩm, chúng tôi tin rằng cần phải đi xa hơn nữa.
Đó là lý do tại sao, bên cạnh việc thực hiện Kiểm thử nội bộ (Internal Testing), chúng tôi đã và đang triển khai một chiến lược bảo mật sâu rộng khác, đó là Kiểm thử bên ngoài (External Testing). Mỗi phương pháp đều có đặc điểm riêng và mang lại giá trị khác nhau cho quá trình bảo vệ sản phẩm. Trong bài viết này, tôi sẽ chia sẻ một cách dễ hiểu về sự khác biệt cũng như cách Kiểm thử nội bộ (Internal Testing) và Kiểm thử bên ngoài (External Testing) được triển khai cùng nhau để nâng cao chất lượng bảo mật sản phẩm.
1. Kiểm Thử Bên Ngoài (External Testing)
Kiểm thử bên ngoài là hoạt động kiểm thử được thực hiện từ bên ngoài tổ chức, do bên thứ ba độc lập thực hiện, thường là các công ty chuyên về pentest, audit hoặc security assessment.
Mục tiêu là tập trung vào việc đánh giá hệ thống từ góc nhìn khách quan, như một bên thứ ba hoặc thậm chí như một hacker để xác nhận tính an toàn của sản phẩm trước khi phát hành rộng rãi hoặc khi cần đạt các chứng nhận quốc tế.
Chúng tôi thực hiện việc này như thế nào?
Một ví dụ điển hình và hiệu quả cho Kiểm thử bên ngoài là khi chúng tôi mời một công ty bảo mật thứ ba, hoàn toàn độc lập và có uy tín, để họ thực hiện kiểm thử xâm nhập vào hệ thống của chúng tôi.
-
Họ là ai? Đây là những chuyên gia hàng đầu, những người hiểu rõ về các kỹ thuật tấn công mới nhất. Họ có một cái nhìn toàn cảnh về các mối đe dọa mà có thể chúng tôi chưa lường hết được.
-
Họ làm gì? Giống như một chuyên gia an ninh được thuê để kiểm tra ngôi nhà của bạn, họ sẽ tiếp cận hệ thống của chúng tôi từ góc nhìn của một kẻ tấn công thực thụ trên Internet. Họ không có nhiều kiến thức nội bộ, không có "lối đi tắt". Họ sẽ thử mọi cách để xuyên thủng lớp phòng thủ bên ngoài của chúng tôi, từ website, máy chủ, cho đến các điểm kết nối mạng.
-
Tại sao lại cần thiết?
- Tính khách quan: Họ mang đến một "đôi mắt tươi mới", không bị ảnh hưởng bởi những quy trình hay suy nghĩ lối mòn nội bộ. Họ có thể chỉ ra những điểm yếu mà chính chúng tôi vô tình bỏ qua.
- Sự tin cậy: Việc một đơn vị uy tín bên ngoài xác nhận rằng hệ thống của chúng tôi an toàn mang lại một sự đảm bảo mạnh mẽ hơn nhiều so với việc chúng tôi tự nói về mình. Nó giống như việc một sản phẩm được cấp chứng nhận chất lượng bởi một tổ chức quốc tế.
2. Kiểm Thử Nội Bộ (Internal Testing)
Kiểm thử nội bộ là hoạt động kiểm thử bảo mật được tiến hành từ bên trong tổ chức. Phương pháp này thường do đội ngũ kỹ sư nội bộ, QA, hoặc Security team đảm nhiệm.
Mục tiêu là tập trung vào việc phát hiện lỗ hổng và rủi ro bảo mật trong quá trình phát triển, trước khi sản phẩm ra mắt, bên cạnh đó đảm bảo hệ thống tuân thủ tiêu chuẩn bảo mật nội bộ và giảm thiểu rủi ro ngay từ giai đoạn sớm.
Chúng tôi thực hiện việc này như thế nào?
Tại công ty chúng tôi, Kiểm thử nội bộ được thực hiện hiệu quả thông qua quy trình In-house Testing bởi chính đội ngũ chuyên gia bảo mật của công ty.
Đội ngũ "In-house" của chúng tôi là những người hiểu rõ cấu trúc của "sản phẩm" hơn ai hết. Nếu External Testing là bài kiểm tra từ bên ngoài, thì In-house Testing là quá trình tự "soi" mình một cách liên tục và nghiêm ngặt.
-
Chúng tôi là ai? Chúng tôi là những người đã xây dựng và vận hành hệ thống này. Chúng tôi hiểu rõ từng dòng code, từng cấu hình máy chủ, từng luồng dữ liệu. Chúng tôi biết chính xác "kho báu" - dữ liệu nhạy cảm của khách hàng - đang được cất giữ ở đâu và cần bảo vệ như thế nào.
-
Chúng tôi làm gì? Với lợi thế am hiểu sâu sắc đó, chúng tôi không chỉ kiểm tra các lỗ hổng thông thường. Chúng tôi giả định các kịch bản tấn công phức tạp hơn và liên tục rà soát, cũng như tự động hóa các quy trình bảo mật ngay từ khâu phát triển sản phẩm (DevSecOps).
-
Tại sao lại cần thiết?
- Chiều sâu và Tốc độ: Vì hiểu rõ hệ thống, chúng tôi có thể đi sâu vào những tầng phức tạp nhất mà các chuyên gia bên ngoài có thể mất nhiều thời gian mới tiếp cận được. Chúng tôi có thể vá lỗi và nâng cấp bảo mật một cách nhanh chóng, tích hợp an ninh vào vòng đời sản phẩm một cách liền mạch.
- Tính liên tục: Bảo mật không phải là một sự kiện diễn ra một lần. Đội ngũ nội bộ đảm bảo rằng việc kiểm tra bảo mật diễn ra hàng ngày, hàng giờ, mỗi khi có một sự thay đổi nhỏ trong hệ thống.
3. Sự khác nhau giữa External Testing và Internal Testing
| Tiêu chí | External Testing | Internal Testing |
|---|---|---|
| Người thực hiện | Bên thứ ba độc lập. | Đội ngũ nội bộ. |
| Thời điểm triển khai | Định kỳ, hoặc vào thời điểm trước khi release hay khi có bản cập nhật quan trọng. | Liên tục trong quá trình phát triển. |
| Mục tiêu chính | Đảm bảo tính minh bạch, xác nhận khách quan cho sản phẩm. | Phát hiện lỗi sớm, giảm chi phí khắc phục. |
| Lợi ích | Độ tin cậy cao, tăng uy tín, hỗ trợ tuân thủ tiêu chuẩn. | Chủ động, chi phí thấp, linh hoạt. Bên cạnh đó, có thể tận dụng mọi thông tin (như source code hoặc tài liệu, ...) để đảm bảo tính toàn diện |
| Hạn chế | Tốn kém, khó triển khai thường xuyên. | Có thể bỏ sót lỗ hổng do quen thuộc với hệ thống. |
4. Thực tế tại Cybozu: Kết hợp để tối ưu chất lượng sản phẩm
Tại công ty chúng tôi – một doanh nghiệp phát triển nền tảng công nghệ phục vụ hàng chục triệu người dùng – đội ngũ bảo mật nội bộ (Cy-PSIRT [2]) giữ vai trò chủ lực trong việc xây dựng, vận hành và liên tục nâng cao năng lực bảo mật cho toàn hệ thống. Bên cạnh đó, để tăng cường hiệu quả bảo vệ, chúng tôi chủ động kết hợp với các chương trình như Cybozu Bug Bounty, cùng các đợt External Testing định kỳ, nhằm tận dụng thêm các nguồn lực và chuyên môn từ bên ngoài, bổ trợ cho những nỗ lực của đội ngũ nội bộ.
Sử dụng chỉ một phương pháp là không đủ để xây dựng niềm tin bảo mật toàn diện. Các lớp kiểm thử này bổ sung lẫn nhau và nhờ sự kết hợp này, công ty chúng tôi đạt được:
- Phát hiện và khắc phục nhanh chóng các lỗ hổng bảo mật.
- Cải tiến liên tục các lớp bảo vệ hệ thống.
- Đáp ứng yêu cầu của khách hàng lớn và tổ chức quốc tế.
- Nâng cao chất lượng bảo mật của toàn bộ sản phẩm.
Kết luận
Xây dựng sản phẩm an toàn là một hành trình dài hơi, đòi hỏi sự kiên trì, đầu tư và tinh thần cầu thị. Việc công ty chúng tôi kết hợp Internal Testing, External Testing cùng với chương trình Cybozu Bug Bounty không chỉ giúp bảo vệ sản phẩm mà còn bảo vệ niềm tin từ người dùng và đối tác.
Chúng tôi muốn mọi khách hàng, từ người dùng cá nhân đến các đối tác doanh nghiệp lớn, đều có thể yên tâm rằng sản phẩm họ đang sử dụng không chỉ tốt về tính năng mà còn được bảo vệ bởi một chiến lược an ninh đa lớp, chủ động và toàn diện.
Hành trình bảo mật là một chặng đường dài, và chúng tôi tự hào đang đi trên đó bằng những bước chân vững chắc nhất. An toàn của bạn là ưu tiên hàng đầu, và chúng tôi sẽ không ngừng nỗ lực để xứng đáng với sự tin cậy đó.