Penetration testing

Trò chuyện chuyên gia

Penetration Testing (viết tắt Pentest) là một hình thức đánh giá mức độ an toàn của một hệ thống Công nghệ thông tin thông qua việc mô phỏng một cuộc tấn công thực tế được cho phép bởi tổ chức đó. Hiểu đơn giản, mục tiêu của Pentest là cố gắng xâm nhập vào hệ thống để phát hiện ra những điểm yếu tiềm tàng mà hacker có thể khai thác, từ đó đề xuất phương án khắc phục chúng để loại trừ khả năng bị tấn công trong tương lai.

Không bỏ lỡ bất kỳ lỗ hổng nào

Với Penetration Testing, doanh nghiệp không chỉ đánh giá được mức độ An toàn thông tin mà còn có thể phát hiện những lỗ hổng bảo mật nguy hiểm trên hệ thống. Điều này giúp đội ngũ CNTT nâng cao khả năng phòng thủ và giảm thiểu thiệt hại cho hệ thống.

Pentest as a Service

Kiểm thử xâm nhập Penetration Testing dưới dạng dịch vụ (PTaaS) là một nền tảng phân phối. Dịch vụ này cung cấp khả năng truy cập thường xuyên và tiết kiệm chi phí hơn khi làm đánh giá bảo mật, đây cũng là nền tảng cho phép cộng tác hiệu quả hơn giữa nhà cung cấp dịch vụ kiểm thử với các tổ chức. 

PTaaS được các tổ chức sử dụng để phát hiện và khắc phục các lỗ hổng ở mức độ thường xuyên. 

Lợi ích:

Tiết kiệm thời gian và tiền bạc

Xem thêm: So sánh PTaaS với Pentest truyền thống

Network Pen Test

Lợi ích:
Cung cấp khả năng phân tích, hiểu tình thế an ninh và kiểm soát kiểm soát cùng khả năng ngăn chặn trước các vi phạm trước khi chúng có thể xảy ra

Quy trình:
Sử dụng phương pháp kiểm tra bảo mật mã nguồn mở ISECOM v3.0 để đánh giá bảo mật và lỗ hổng trên hệ thống mạng và máy chủ. Quy trình đánh giá gồm 4 giai đoạn:
  1. Lập kế hoạch và khám phá
  2. Rà quét và đánh giá bảo mật
  3. Phân tích rủi ro
  4. Báo cáo

Web Application
Pen Test

Web Application Pen Test

Lợi ích:
Hình thức này giúp doanh nghiệp có được cái nhìn thực tế sâu sắc về các lỗ hổng của doanh nghiệp; Tách biệt các dữ liệu không đáng tin với các câu lệnh và truy vấn; Phát triển việc quản lý các kiểm soát xác thực và phiên một cách mạnh mẽ; Cải thiện khâu kiểm soát truy cập; khám phá ra các cách tấn công dễ bị thương tổn nhất từ một cuộc tấn công có thể được thực hiện và Tìm kiếm bất kỳ kẽ hở nào có thể dẫn đến việc đánh cắp các dữ liệu nhạy cảm.

Quy trình:
Kết hợp chương trình lập trình an toàn từ SEI (Software Engineering Institute  – Viện Công nghệ phần mềm) của  Đại học CMU -USA (Carnegie Mellon University) và Hướng dẫn đánh giá OWASP Code v2.0, bao gồm các bước:
  1. Khảo sát mục tiêu và thu thập thông tin
  2. Rà quét lỗ hổng bằng OWASP v2.0
  3. Xác minh
  4. Báo cáo
  5. Đánh giá lại

Mobile Application
Pen Test

Mobile Application Pen Test

Lợi ích:
Đánh giá thực tế các lỗ hổng bảo mật trên ứng dụng di động; Xác thực phương thức thực hành tốt nhất cho thiết kế an toàn; Đảm bảo cơ chế xác thực, cấp quyền và mã hoá mạnh mẽ; Tìm ra các kẽ hở của ứng dụng hoặc thiết bị di động nhằm tránh việc rò rỉ hoặc đánh cắp dữ liệu

Quy trình:
Kết hợp phương pháp OWASP Mobile Top 10, OWASP MSTG (Mobile Security Testing Guide) v1.2 và OWASP API Security Top 10 để đánh giá các lỗ hổng có thể xảy ra đối với các ứng dụng và máy chủ API kết nối với ứng dụng di động. Bao gồm các bước:

  1. Khảo sát mục tiêu và thu thập thông tin
  2. Rà quét lỗ hổng (Chỉ bằng phương pháp Hộp Đen và Hộp Xám)
  3. Xác minh
  4. Báo cáo
  5. Đánh giá lại

 

API Pen Test

Lợi ích:
Ngăn chặn các vi phạm dữ liệu, đánh cắp danh tính và các loại tấn công khác; Cải thiện tổng quan tính bảo mật của hệ thống

Quy trình:
Bằng việc sử dụng OWASP API Security Top 10 để đánh giá các lỗ hổng có thể xảy ra trên hệ thống máy chủ API, các bước gồm:
  1. Khảo sát mục tiêu và thu thập dữ liệu
  2. Rà quét lỗ hổng (Chỉ bằng phương pháp Hộp Đen và Hộp xám)
  3. Xác minh
  4. Báo cáo
  5. Đánh giá lại

 

Cloud Pen Test

Kiểm thử xâm nhập Cloud Pentest là quá trình phát hiện và khai thác các lỗ hổng trên nền tảng hạ tầng điện toán đám mây bằng việc mô phỏng các cuộc tấn công mạng có kiểm soát. Phương thức này được thực hiện theo các hướng dẫn nghiêm ngặt từ các nhà cung cấp dịch vụ Điện toán đám mây như AWS và GCP.

Khác biệt của Cloud Pentest và Penetration Testing là Penetration Testing là hình thức kiểm thử xâm nhập mà quá trình thử nghiệm tấn công bảo mật trên hệ thống, dịch vụ hoặc mạng lưới để tìm ra các điểm yếu bảo mật. Còn Cloud Pentest chỉ thực hiện cuộc tấn công mô phỏng vào các dịch vụ đám mây để kiểm tra tính bảo mật như:

  • Các lỗ hổng bảo mật trên điện toán đám mây phổ biến như: API không an toàn, cấu hình máy chủ sai, thông tin đăng nhập yếu, phần mềm đã cũ – lỗi thời, thực hành viết mã không an toàn
  • Các thách thức: Thiếu minh bạch, chia sẻ các tài nguyên, Hạn chế về chính sách, các nhà cung cấp dịch vụ điện toán đám mây (AWS, Azure, GCP)

OT/Scada Pentest

SCADA/ Dịch vụ kiểm thử xâm nhập OT của VSEC được thiết kế để nhận diện các lỗ hổng và các mối đe dọa tiềm ẩn đối với hệ thống điều khiển công nghiệp (ICS – Industrial Control System) và mạng công nghệ vận hành (OT – Operational Technology) của khách hàng. Chúng tôi sử dụng các kỹ thuật và công cụ tiên tiến để mô phỏng các cuộc tấn công trong thế giới thực, cung cấp cho khách hàng hiểu biết toàn diện về tính bảo mật của hệ thống cơ sở hạ tầng của doanh nghiệp.

Lợi ích:

  • Xác định các lỗ hổng và mối đe dọa tiềm ẩn đối với mạng ICS/OT trước khi chúng có thể bị khai thác bởi các tác nhân xấu
  • Hiểu rõ về tác động của một cuộc tấn công thành công vào các cơ sở hạ tầng quan trọng của doanh nghiệp
  • Hiểu rõ hiệu quả các biện pháp bảo mật hiện tại 
  • Cải thiện tính tuân thủ của doanh nghiệp với các tiêu chuẩn và quy định của ngành
Quy trình:

Kiểm thử xâm nhập SCADA/OT dựa trên các tiêu chuẩn và triển khai tốt nhất của ngành như NIST SP 800-82 và IEC 62445. Chúng tôi kết hợp phương pháp thủ công và tự động bao gồm:
  1. Thăm dò
  2. Rà quét lỗ hổng
  3. Khai thác
  4. Sau khai thác
  5. Báo cáo

Phương pháp

Đội ngũ chuyên gia của VSEC tuân thủ những phương pháp

Pentest hộp đen

Đánh giá từ bên ngoài vào, không được cung cấp thông tin gì ngoài những thứ đã được công khai. Đây là kiểu tấn công phổ biến nhất.

Pentest hộp xám

Được cung cấp một phần hoặc biết hạn chế thông tin về bên trong hệ thống.

Pentest hộp trắng

Đánh giá từ bên trong ra, được cung cấp toàn diện: Cung cấp toàn bộ thông tin về hệ thống/mạng như: Hạ tầng mạng, source code, chi tiết về địa chỉ IP, OS, chính sách,…

6 bước đánh giá Pentest được chúng tôi thực hiện tường minh

01 Khảo sát mục tiêu và thu thập thông tin
02 Dò quét điểm yếu
03 Xác minh lỗ hổng và tấn công kiểm thử
04 Đánh giá mức độ nguy hiểm
05 Báo cáo và khuyến nghị
06 Tái đánh giá
Download Case Study
Để lại thông tin để xem chi tiết các Case Study

Đội ngũ

Đội ngũ chuyên gia của VSEC 100% đạt chứng chỉ quốc tế về bảo mật, kinh nghiệm lên đến 15+ năm, thành công trong việc phát hiện CVE và nghiên cứu các lỗ hổng 0-day (những lỗ hổng phần mềm hoặc phần cứng chưa được biết đến và chưa được khắc phục) với điểm CVSS cao lên đến 9.1. Danh mục này bao gồm từ những phần mềm, nền tảng phổ biến như WordPress, Joomla, … cho đến các ứng dụng, hệ thống của các gã khổng lồ công nghệ như Microsoft, Oracle, …

Tài nguyên liên quan

Giám sát an toàn thông tin

Vadar

Nền tảng công nghệ giúp Giám sát ATTT của doanh nghiệp, được phát triển bởi đội ngũ kỹ sư của VSEC, một trong những nền tảng cốt lõi xây dựng nên dịch vụ Trung tâm giám sát ATTT – SOC.

Chi tiết
Trung tâm vận hành và giám sát ATTT

SOC

Trung tâm giám sát và vận hành an toàn thông tin là một giải pháp kết hợp hoàn hảo giữa 3 yếu tố chính trong bảo mật là Con người – Công nghệ – Quy trình,

Chi tiết
Bài viết liên quan

Blog/News

Tổng hợp các bài viết đa dạng như phân tích chuyên sâu, cảnh báo bảo mật,….Cập nhật các tin tức về lĩnh vực an toàn thông tin trong nước và quốc tế.

Chi tiết

Đăng ký thông tin để trải nghiệm dịch vụ của VSEC ngay hôm nay

Dùng thử
Trò chuyện chuyên gia
Đăng ký tải tài liệu

Điền thông tin bên dưới để nhận ngay tài liệu




    Your information is secured