Công cụ do sinh viên sáng tạo giúp doanh nghiệp phát hiện lỗ hổng bảo mật
Trước khi đến với buổi bảo vệ đồ án tốt nghiệp kỳ Summer 2019, ‘Giải pháp quản lý lỗ hổng bảo mật cho doanh nghiệp’ của nhóm 5 sinh viên Tổ chức giáo dục FPT đã được quét thử trên hệ thống của 3 doanh nghiệp và phát hiện tổng số hơn 200 lỗ hổng.
Sản phẩm “Giải pháp quản lý lỗ hổng bảo mật cho doanh nghiệp” của nhóm sinh viên FPT Edu được đánh giá là có độ khó cao, mang ý nghĩa thiết thực
Trong buổi bảo vệ đồ án tốt nghiệp kỳ Summer 2019 mới đây, 5 sinh viên chuyên ngành An toàn thông tin của Tổ chức Giáo dục FPT – FPT Edu đã chinh phục Hội đồng Phản biện đồ án bằng sản phẩm “Giải pháp quản lý lỗ hổng bảo mật cho doanh nghiệp”.
Xuất phát từ tình hình các vụ tấn công mạng ở Việt Nam và trên thế giới ngày một gia tăng, gây nhiều thiệt hại cho người sử dụng, nhóm sinh viên FPT Edu gồm Nguyễn Anh Việt (nhóm trưởng), Trần Anh Đức, Lê Đình Mạnh, Nguyễn Khắc Hùng và Nguyễn Đức Anh dưới sự hướng dẫn của giảng viên Hà Bách Nam đã đề xuất ý tưởng xây dựng một hệ thống quản lý các lỗ hổng bảo mật.
Theo chia sẻ của nhóm, trên thực tế, thị trường đã có nhiều giải pháp cho vấn đề này như thuê giải pháp bảo mật từ bên thứ 3, xây dựng chính sách bảo mật riêng hay thuê dịch vụ giám sát lỗ hổng bảo mật định kỳ… Tuy nhiên, các giải pháp này đều gặp phải các vấn đề về chi phí, nhân lực vận hành… gây nhiều khó khăn cho khách hàng, đặc biệt là đối tượng khách hàng doanh nghiệp.
Để khắc phục hạn chế đó, nhóm sinh viên FPT Edu đã xây dựng một nền tảng (platform) có khả năng kiểm soát các lỗ hổng bảo mật 24/7, hoạt động bền bỉ và dễ sử dụng. Đồng thời, nền tảng này cũng có khả năng cập nhập thường xuyên và mở rộng số lượng node để tăng hiệu suất của toàn bộ hệ thống một cách dễ dàng.
Video đang HOT
Lý giải thêm về cơ chế vận hành của giải pháp, nhóm sinh viên cho biết, sản phẩm có 1 máy chủ đóng vai trò Master, có chức quản lý/ phân chia các tác vụ cho những máy chủ đóng vai trò Agents. Bản thân các máy chủ Agents này sẽ được cài đặt các công cụ dò quét lỗ hổng tự động có sẵn trên thị trường như Nmap, Wappalyzer, Nikto, Acunetix, Nessus… Do mỗi công cụ được thiết kế bởi một nhà phát triển khác nhau nên nhóm lập trình để máy chủ Master có thể phân công tác vụ đi theo đúng luồng định sẵn, hoạt động ổn định và tạo ra tiêu chuẩn chung cho kết quả trả về từ các công cụ này.
Ngoài sử dụng các công cụ dò quét lỗ hổng tự động, nhóm sinh viên FPT Edu còn thiết lập cơ chế dò quét lỗ hổng bị động. Trong đó, các Agents sẽ so sánh thông tin được quét từ hệ thống với các cơ sở dữ liệu về lỗ hổng để đưa ra kết luận chung. Cơ sở dữ liệu cũng sẽ liên tục được cập nhật để đảm bảo nó luôn phát hiện sớm những lỗ hổng bảo mật mới nhất.
Bên cạnh đó, nhóm cũng xây dựng một giao diện Webportal giúp cho người dùng dễ dàng theo dõi, quản lí các lỗ hổng được quét ra bởi các công cụ ở trong hệ thống.
“Điểm mới của giải pháp là các công cụ sẽ được chia ra làm các stage (giai đoạn) và đầu vào của công cụ này phụ thuộc vào đầu ra của công cụ khác. Luồng chạy thực tế hơn giúp cho công cụ có được đầu vào chính xác để đưa tới một đầu ra chính xác”, đại diện nhóm sinh viên cho hay.
Giao diện bảng điều khiển hệ thống quản lý lỗ hổng bảo mật cho doanh nghiệp do nhóm sinh viên FPT Edu sáng tạo
Tuy nhiên, do chỉ là một nhóm nghiên cứu sinh viên, các thành viên thực hiện đồ án “Giải pháp quản lý lỗ hổng bảo mật cho doanh nghiệp” đã gặp không ít khó khăn trong quá trình thực hiện đồ án bởi những hạn chế về kiến thức và kỹ năng. Để khắc phục vấn đề này, nhóm sinh viên đã chủ động phân công các mảng nghiên cứu cho từng thành viên. Sau đó, cả nhóm họp lại và trao đổi để tất cả cùng hiểu rõ vấn đề. Nhóm cũng chủ động bắt tay vào làm đồ án từ rất sớm để kịp thời hoàn thiện sản phẩm của mình.
Đặc biệt, trước khi đến với buổi bảo vệ đồ án tốt nghiệp, nhóm đã đem sản phẩm quét thử trên hệ thống của 3 đơn vị CNTT tại Việt Nam và phát hiện từ 14 tới 150 lỗ hổng.
Đánh giá về đồ án của nhóm, Hội đồng Phản biện đồ án Học kỳ Summer 2019 của FPT Edu đều cho rằng đây là một giải pháp sáng tạo, có ý nghĩa thực tiễn nhưng cũng cần hoàn thiện thêm để thực sự hoạt động hiệu quả khi đưa vào sử dụng.
Chia sẻ về kế hoạch phát triển sản phẩm, sinh viên Nguyễn Anh Việt, Trưởng nhóm đồ án cho biết: “Sản phẩm của nhóm là một nền tảng (platform) có thể thêm các công cụ dò quét lỗ hổng tự động khác một cách dễ dàng, cho nên nếu doanh nghiệp nào cần thêm các công cụ khác thì đều có thể tự triển khai. Bởi thế, chúng tôi đã quyết định sẽ không thương mại hóa mà biến sản phẩm thành một mã nguồn mở (open-source) để tất cả mọi người tham khảo và phát triển. Như vậy, sản phẩm cũng sẽ giúp ích được cho nhiều người, nhiều doanh nghiệp hơn”.
Theo ICTNews
Phát hiện lỗ hổng iOS 13 cho phép truy cập danh bạ iPhone bị khóa
Theo The Verge, nhà nghiên cứu Jose Rodriguez đã phát hiện ra một lỗ hổng cho phép một người truy cập vào danh bạ của iPhone bằng cách bắt đầu cuộc gọi FaceTime.
Ảnh minh họa. (Nguồn: dailymail.co.uk)
Phiên bản beta cuối cùng của hệ điều hành iOS 13 của Apple đã bị phát hiện có một số lỗi khá lớn chỉ một tuần trước khi hệ điều hành này được thiết lập để phát hành trên các thiết bị hỗ trợ.
Theo The Verge, nhà nghiên cứu Jose Rodriguez đã phát hiện ra một lỗ hổng cho phép một người truy cập vào danh bạ của iPhone bằng cách bắt đầu cuộc gọi FaceTime.
Khi cuộc gọi được thực hiện, ông Rodriguez cho biết bằng việc sử dụng tính năng trợ năng qua giọng nói thông qua trợ lý ảo iPhone, Siri, tất cả các số liên lạc trong điện thoại có thể được truy cập, tiết lộ địa chỉ email, số điện thoại, tên và bất kỳ thông tin nào khác được lưu trữ trong danh bạ điện thoại.
Lỗ hổng này đã được ông Rodriguez thông báo với Apple vào tháng 7 sau khi kiểm tra các bản beta công khai của iOS 13, tương tự như lỗi được tìm thấy bởi nhà nghiên cứu này trong hệ điều hành iOS 12.1.
Mặc dù iOS 13 vẫn chưa được phát hành, nhưng bản beta của hệ điều hành mới đã phát hành trong nhiều tháng, có nghĩa là bất kỳ ai tải xuống các phiên bản sơ bộ này đều vô tình mang đến nguy cơ bảo mật với thiết bị của họ.
Theo ông Rodriguez, Apple đã thực hiện việc vá các lỗi bảo mật và sẽ phát hành bản vá đầy đủ trong phiên bản iOS 13.1, vào ngày 30/9.
Apple có khả năng chịu áp lực cao hơn để đảm bảo iOS 13 hoạt động trơn tru và quan trọng hơn là bảo mật, vì công ty này tiếp tục nhấn mạnh sự nhấn mạnh về quyền riêng tư và bảo mật.
iOS 13 được Apple quảng cáo sẽ tự hào về một số tính năng bảo mật mới so với các phiên bản hệ điều hành trước, bao gồm các tùy chọn dịch vụ vị trí mới cho phép người dùng chỉ cấp quyền cho ứng dụng một lần và tính năng đăng nhập ẩn danh có tên là "Sign in with Apple."./.
Theo viet nam plus
Sinh viên FPT giải bài toán quản lý không gian cho thuê bằng ứng dụng IoT Với mong muốn giải quyết những bất cập trong việc quản lý không gian cho thuê, nhóm sinh viên Tổ chức giáo dục FPT (FPT Edu) gồm Quách Hoành Sơn, Cù Xuân Bách, Ngô Văn Quân, Nguyễn Quang Kiên, Đỗ Văn Thông . Đã ứng dụng IoT để xây dựng hệ thống quản lý phòng thông minh. Nhóm sinh viên FPT Edu bảo...