VCSLab - Nền tảng công bố lỗ hổng bài bản dành cho cộng đồng nghiên cứu chuyên sâu

Từ những ngày đầu thành lập, Viettel Cyber Security luôn chú trọng đến công tác nghiên cứu lỗ hổng để liên tục cải tiến, phát triển hệ sinh thái các sản phẩm, dịch vụ an toàn thông tin. Việc hình thành VCSLab như là một lời khẳng định rằng đội ngũ chuyên gia của VCS sẽ thực hiện nghiên cứu lỗ hổng một cách bài bản, chuyên nghiệp và có tính tiếp nối giữa các lứa, lớp một cách có tổ chức.

Tại VCSLab, các lỗ hổng sau khi được phát hiện sẽ được các chuyên gia nghiên cứu, theo dõi và xử lý trên một hệ thống độc lập.

Quy trình chung sẽ gồm 3 giai đoạn chính: cảnh báo lỗ hổng cho đơn vị chủ quản, hỗ trợ đơn vị chủ quản khắc phục và cuối cùng là cảnh báo đến người dùng cuối. Các cảnh báo, thông tin chi tiết mô tả về lỗ hổng sẽ được khuyến nghị tới cộng đồng dưới dạng Advisory, nhằm đảm bảo rằng lỗ hổng được nhận thức đúng đắn về mức độ nghiêm trọng và được khắc phục rộng rãi.

Chính sách công bố lỗ hổng được VCSLab tuân thủ theo 3 nguyên tắc: Tôn trọng lỗ hổng, Tôn trọng luật lệ và Tôn trọng sản phẩm.

Ông Mai Xuân Cường, Trưởng phòng An ninh hệ thống ứng dụng - đội ngũ then chốt vận hành nền tảng VCSLab chia sẻ: "Chúng tôi là những hacker mũ trắng muốn góp sức mình cho cộng đồng.

Chúng tôi tôn trọng sản phẩm vì chúng tôi hiểu rằng giá trị cốt lõi của sản phẩm nằm trong chức năng mà sản phẩm đó cung cấp. Bảo mật là giá trị tăng thêm cho sản phẩm, các công bố lỗ hổng chỉ làm gia tăng giá trị của sản phẩm, không làm ảnh hưởng đến uy tín và hình ảnh của sản phẩm."

Việc chính thức định danh VCSLab khẳng định sẽ tạo ra môi trường nghiên cứu, học hỏi chuyên sâu, giao lưu, phát triển giữa các chuyên gia an ninh mạng, từ đó đẩy mạnh phát hiện và khắc phục những lỗ hổng trên không gian mạng, giúp người dùng tham gia, sử dụng Internet lành mạnh và an toàn hơn.

Nguồn nhân lực hàng đầu là giá trị cốt lõi tạo nên bề dày thành tích

Điều đặc biệt tại Viettel Cyber Security là bất kỳ cá nhân nào cũng được khuyến khích nghiên cứu và phát triển để trở thành 1 phần của VCSLab. Trong danh sách lỗ hổng được công bố, có những lỗ hổng bảo mật trên thiết bị mạng được phát hiện bởi một bạn chuyên trách hạ tầng, hay những lỗ hổng của Jenkins cũng do một bạn lập trình viên tìm ra, đây là tính mở và thu hút nhân tài tại VCSLab.

Đến nay, đội ngũ chuyên gia của Viettel Cyber Security đã phát hiện hơn 300 lỗ hổng Zero-day trong những nền tảng lớn như: Microsoft, Google, Facebook, Oracle, Dell,... Nhiều lỗ hổng được chính thức công bố trên VCSLab theo hình thức "Responsible Disclosure" - cho phép các đơn vị chủ quản nhận được cảnh báo khi phát hiện lỗ hổng.

Website công bố các lỗ hổng, bài trình bày, thành tựu của của đội ngũ nhân sự VCSLab

Những cá nhân điển hình như Ngô Anh Huy, Nguyễn Hồng Quang, Phạm Văn Khánh hay Nguyễn Tuấn Anh, Đào Trọng Nghĩa… được đông đảo cộng đồng bảo mật thế giới biết đến qua nhiều thành tích nổi bật.

Điển hình như Ngô Anh Huy chuyên gia an ninh mạng đã tìm ra hơn 40 lỗ hổng bảo mật trên Google, Oracle, Foxit... Phạm Văn Khánh với thành tích hơn 20 lỗ hổng Zero-day trên các nền tảng của Microsoft. Gần đây nhất là chuyên gia trẻ Nguyễn Tuấn Anh liên tục ghi tên mình vào danh sách MVP (Most Valuable Person) của nền tảng Bugcrowd và Đào Trọng Nghĩa, nhiều lần được Microsoft ghi nhận nhờ phát hiện kẽ hở nghiêm trọng của hệ điều hành Windows.

Chuyên gia Nguyễn Hồng Quang chia sẻ: "Môi trường tại Viettel Cyber Security luôn thúc đẩy, tạo điều kiện cho các nhà nghiên cứu có cơ hội chia sẻ tri thức về vấn đề an toàn thông tin tới cộng đồng nghiên cứu chuyên sâu, góp phần xây dựng và nâng cao nhận thức của và các đơn vị sử dụng phần mềm.

Việc VCSLab được hình thành đã tạo ra môi trường giúp các thành viên trong nội bộ công ty có cơ hội cùng nhau trao đổi và tương tác nhiều hơn, vừa nâng cao chất lượng chuyên môn, vừa có thể đào tạo các lớp nhân sự kế cận về an toàn thông tin, đặc biệt tạo cho mỗi cá nhân ý thức chủ động nghiên cứu và tìm kiếm những phương pháp mới hiệu quả, đóng góp nhiều giá trị hơn cho hệ sinh thái sản phẩm, dịch vụ của công ty và cho cộng đồng."

Việc định danh VCSLab một lần nữa khẳng định vị thế dẫn đầu của Viettel Cyber Security trong việc nghiên cứu, phát triển các giải pháp an toàn thông tin, đưa tri thức chuyên sâu vào trong từng sản phẩm, dịch vụ.