Chiều 27/8 vừa qua, FPT Jetking đã tổ chức Zoom Talk với chủ đề “Bảo mật Website & Web Application” thu hút gần 150 người tham gia. Chương trình có sự đồng hành chia sẻ từ Bộ ba chuyên gia An ninh mạng và người dẫn chuyện “vạn người mê”. Đây là một trong những Talkshow trải nghiệm từ “NÓI NHỎ, NÓI TO – Nhỏ tỏ cùng chia sẻ” là dự án cho đi bằng chia sẻ kiến thức & tri thức tới cộng đồng.
Bộ ba chuyên gia về chuyên ngành Quản trị Hệ thống và An ninh mạng Quốc tế đến từ FPT Jetking chính là những người thầy luôn chỉ dẫn và hỗ trợ nhiệt tình sinh viên trong mỗi giờ học: thầy Nguyễn Hoài Linh, thầy Nguyễn Siêu Đẳng và thầy Nguyễn Phát Tài. Chương trình còn có sự góp mặt của người dẫn chuyện “vạn người mê” là thầy Nguyễn Tuân – Giám đốc Đào tạo Chuyên ngành CNTT tại Viện Đào tạo Quốc tế FPT Hà Nội.
Các diễn giả đã lần lượt chia sẻ nhiệt tình về vai trò của Website đối với doanh nghiệp, hiện trạng trong việc bảo mật, mô hình hoạt động, các lỗ hổng thường gặp, phân tích và đánh giá lỗ hổng, các kỹ thuật đánh giá lỗ hổng và kiểm thử tấn công Website.
Với lối nói chuyện thân thiện và rất gần gũi với cuộc sống để đề cập chi tiết các vấn đề liên quan đến Bảo mật Website và Web Application, giúp những người tham gia không có kiến thức nền về Quản trị hệ thống và An ninh mạng cũng đều dễ dàng hiểu được.
Vậy bảo mật Website là gì và tại sao chúng ta phải bảo mật Website? Hãy cùng FPT Jetking tìm hiểu kỹ hơn về vấn đề này bạn nhé!
Vai trò của Website và tình hình bảo mật Website tại Việt Nam, trên thế giới
Hiện nay, rất nhiều doanh nghiệp kinh doanh trên nền tảng công nghệ, thế nên Website chính đóng vai trò là bộ mặt doanh nghiệp trên Iinternet. Nếu chúng ta không bảo mật Website thì có thể bị những người không có ý tốt tấn công, chiếm quyền điều khiển Website, đánh cắp thông tin khách hàng và doanh nghiệp. Điều này sẽ khiến công ty bị mất uy tín và khách hàng sẽ quay lưng đi.
Theo báo cáo an ninh Website, Việt Nam đứng thứ 18 trong số các quốc gia bị tấn công Website nhiều nhất thế giới. Hậu quả gây ra là nhiều doanh nghiệp bị mất uy tín, gián đoạn hàng loạt các tác vụ trong lúc kinh doanh, rò rỉ và mất cắp dữ liệu khách hàng, tốn rất nhiều chi phí để bảo trì và khắc phục.
Thầy Nguyễn Hoài Linh nhấn mạnh: “Internet ngày càng phát triển thì các mối đe dọa đến từ an ninh mạng ngày càng gia tăng, người Việt Nam cần phải ý thức hơn về những nguy cơ này”.
Phân tích và đánh giá các lỗ hổng của Website
Để tìm hiểu về việc làm thế nào để tấn công và phòng ngừa tấn công Website, thầy Nguyễn Phát Tài đã giải thích cho người tham dự về mô hình hoạt động của một Website bao gồm: Web Server, Database Server và Web Client. Trong đó, Database Server là một nơi mà các hacker có thể tấn công vào để có thể lấy cắp thông tin người dùng như địa chỉ, số tài khoản, mật khẩu,…
Có rất nhiều lỗ hổng mà hacker có thể tấn công vào Website như: Cross-Site Scripting, SQL Injection, Parameter Tampering, Cookie Poisoning, Database Server, Web Server, Buffer Overflow,… Nếu trong lúc lập trình mà không chú ý vấn đề bảo mật, hacker có thể lợi dụng điều đó để cài mã độc, chèn các câu lệnh vào bên trong lệnh truy vấn của Website để chiếm đoạt database hoặc quyền điều khiển Website.
Đối với một người quản trị và bảo mật Website, điều quan trọng là phải biết phân tích và đánh giá lỗ hổng Website để có thể đưa ra giải pháp bảo vệ và khắc phục lỗ hổng. Thầy Tài đã giới thiệu với người tham gia một chuẩn thường được nhiều người đang sử dụng để đánh giá các lỗ hổng Website hiện nay, đó là OWASP – Open Web Application Security Project.
Đây là dự án nguồn mở và bảo mật ứng dụng Website do nhiều chuyên gia về bảo mật trên thế giới chia sẻ kiến thức về lỗ hổng, mối đe dọa, tấn công và biện pháp đối phó tấn công Website. Ngoài ra, người tham gia còn được thầy giới thiệu thêm về chuẩn WASC-TC (Web Application Security Consortium – Threat Classification).
Các kỹ thuật đánh giả lỗ hổng, kiểm thử tấn công và giải pháp bảo mật Website
Ngoài việc bảo vệ dữ liệu người dùng thì thầy Nguyễn Siêu Đẳng cũng đưa ra nhiều tình huống để người tham gia có thể thấy được các hacker đánh cắp thông tin khác.
Thầy đã chọn một Website để làm ví dụ cho người tham gia về các bước đánh giá lỗ hổng như dùng công cụ để tiến hành đánh giá, quan sát tiến trình quét lỗ hổng và phân loại mức độ, sử dụng tool để kiểm thử tấn công, giải mã dữ liệu đã được mã hóa, trích xuất report lỗ hổng và đưa ra phương pháp bảo vệ.
Người tham gia đã được thầy Siêu Đẳng giới thiệu về cách thức vận hành, ưu điểm và nhược điểm của các biện pháp như Website Scanning, Malware Removal, Web Application Firewall, Vulnerability Patching, DDOS Protection, PCI Compliance.
Làm thế nào để có thể học quản trị hệ thống và an ninh mạng đúng cách?
Ngày nay các Web Application cũng chạy trên nền tảng Mobile Application, nên việc bảo mật ngày càng trở nên khó khăn và phức tạp hơn. Nếu có hiểu biết về quản trị hệ thống và an ninh mạng thì các bạn có thể giảm thiểu được các thiệt hại liên quan đến bảo mật Website.
Ai cũng có thể tự học lập trình và bảo mật tại nhà dù chưa có nền tảng, thế nhưng người học phải chọn đúng hướng để đi. Người học nên xem chia sẻ phương pháp học từ các chuyên gia sau đó tự học, nếu không người học sẽ mất thời gian lại không nhận được kết quả nhiều.
Thầy Đẳng chia sẻ rằng: “Bước đầu tiên chúng ta phải bảo mật được ở mức code, tức là các bạn phải có nền tảng để hiểu được một cái hệ thống sẽ bảo mật như thế nào. Sau đó mới nói đến việc quản trị hệ thống và an ninh mạng. Mình khuyên là nếu bạn nào đi theo hướng web thì nên đi đến các trung tâm để học sẽ tốt hơn”.
Cuối chương trình là phần hỏi đáp tương tác đầy hào hứng đến từ người tham gia. Các diễn giả đã trả lời trực tiếp ngay trong Zoom Talk khi có câu hỏi trong ô tin nhắn hoặc người tham gia bật micro để hỏi những vấn đề từ mất mã nguồn, giải giáp bảo mật Website cho đến việc truy ngược hacker tấn công vào hệ thống Website.
Bạn Alan Hoàng có đôi lời gửi đến các diễn giả: “Em cảm ơn tất cả các thầy và ban tổ chức chương trình hôm nay rất nhiều vì đã mang đến cho em nhiều kiến thức thú vị.” Và rất nhiều lời cảm ơn chân thành khác đến từ những người tham dự Zoom Talk kỳ này.
Hãy theo dõi fanpage cũng như Website của FPT Jetking để cập nhật thêm thông tin thêm thông tin về các buổi Talkshow theo chủ đề và hy vọng thông qua Zoom Talk “Bảo mật Website & Web Application”, các bạn đã cập nhật được những kiến thức hữu ích để áp dụng vào thực tế.
Còn nếu bạn cần tìm một trung tâm uy tín để học về Quản trị hệ thống và An ninh mạng thì hãy liên hệ FPT Jetking để được tư vấn thêm nhé!
| “NÓI NHỎ, NÓI TO” là một chuỗi talkshow chia sẻ, lan toả kiến thức, tri thức kiến thức, tri thức về đa lĩnh vực, các kiến thức trong sách vở, trường lớp tới những trải nghiệm thực tế. Mỗi tuần sẽ có khoảng 03 talkshow được diễn ra theo chủ đề khác nhau được tổ chức từ nay đến tháng 11/2021.
Với mong muốn ai cũng được tiếp nhận kiến thức & tri thức trong mùa Covid, cùng được trải nghiệm học tập online dù đang ở bất kỳ nơi đâu, Viện đào tạo quốc tế FPT (FAI) cùng các cán bộ, giảng viên, các khách mời, cộng sự và các đối tác tổ chức một chuỗi talkshow với tên gọi NÓI NHỎ, NÓI TO – “Nhỏ – to cùng chia sẻ” để lan tỏa kiến thức, tri thức về nhiều lĩnh vực từ Mỹ thuật Đa phương tiện, Công nghệ thông tin tới Tiếp thị số, các kiến thức trong sách vở, trường lớp tới những trải nghiệm thực tế. Cùng tinh thần Sharing & Giving, dự án NÓI NHỎ, NÓI TO – “Nhỏ – to cùng chia sẻ” có mục tiêu lan toả giá trị về cả tri thức lẫn tinh thần tích cực tới 4.500 người & dành cho những ai muốn học hỏi thêm kỹ năng mới, tìm hiểu một lĩnh vực mới hay nâng cấp thêm kiến thức của bản thân để sẵn sàng cho công việc sau khi dịch bệnh đã qua đi. |
Trúc Huyền
Tổ Chức Giáo Dục FPT – fpt.edu.vn
Hệ Thống Đào Tạo An Ninh Mạng Quốc Tế FPT Jetking – jetking.fpt.edu.vn
FPT Jetking là một trong số ít cơ sở hàng đầu đào tạo ngành an ninh mạng tại Việt Nam. FPT Jetking thuộc Viện Đào tạo quốc tế FPT, là đơn vị liên kết giữa tổ chức giáo dục FPT với Jetking Ấn Độ. FPT Jetking đào tạo chuyên sâu về quản trị hạ tầng an ninh mạng. Sinh viên tại đây có khả năng làm việc ngay sau khi tốt nghiệp trong những lĩnh vực đang là xu hướng mới, có nhu cầu nhân lực lớn trong ngành CNTT toàn cầu như an ninh mạng, quản trị mạng, quản trị hệ thống, điện toán đám mây…