Đánh giá an toàn thông tin tại công ty công nghệ

Tóm tắt

Khách hàng của chúng tôi hoạt động trong lĩnh vực kỹ thuật, chuyên nghiên cứu và cung cấp những sản phẩm robot và các thiết bị điều khiển động cơ phục vụ cho công nghiệp sản xuất chất bán dẫn. Vì đặc thù của ngành, mọi thông tin phải luôn được bảo mật tuyệt đối. Và dịch vụ đánh giá an toàn thông tin VCHECK của VSEC đã cho khách hàng thấy một cách trực quan nhất về nguy cơ xảy ra rủi ro bảo mật trên toàn hệ thống của khách hàng.

Về khách hàng

Khách hàng là công ty công nghệ cao lâu đời tại Việt Nam, thuộc tập đoàn công nghệ nổi tiếng thế giới với tổng giá trị tài sản trên 46 triệu USD và 100% vốn đầu tư nước ngoài. Sau hơn 20 năm hoạt động, khách hàng đã khẳng định được vị thế tại Việt Nam và giành được nhiều giải thưởng uy tín.

Thách thức

Với lĩnh vực sản xuất sản phẩm kỹ thuật, khách hàng phải liên tục nghiên cứu và vận hành các phương pháp khoa học kỹ thuật mới để sản xuất ra những sản phẩm công nghệ ngày một ưu việt. Do đó, khách hàng luôn phải có những ý tưởng mới nhằm sáng tạo và cải thiện sản phẩm.

Tuy nhiên, chính sự liên tục cập nhật và áp dụng các phương pháp mới như vậy khiến khách hàng nghi ngờ về độ an toàn và tính bảo mật về hệ thống của mình. Mặc dù khách hàng đã nhận được chứng chỉ quốc tế về an toàn thông tin nhưng không hiểu được bản chất và chưa thực hiện được quá trình ấy. Trên thực tế, đã có rất nhiều trường hợp kẻ xấu lợi dụng điều này tấn công vào hệ thống,
từ đó lấy cắp thông tin của các doanh nghiệp. Đây rõ ràng là một điểm yếu lớn và quan trọng mà khách hàng cần lưu ý.

Bên cạnh đó, hệ thống máy tính của khách hàng mặc dù không kết nối mạng nhưng vẫn liên kiết toàn bộ với nhau, khiến cho việc bị tấn công càng dễ dàng hơn.

Ngoài ra, đội ngũ kỹ thuật của khách hàng còn bị hạn chế về số lượng và chuyên môn, không đánh giá toàn diện được tính an toàn của các tiến bộ công nghệ cũng như các kiểm thử xâm nhập an toàn thông tin.

Giải pháp

Băn khoăn lúc này của khách hàng là mức độ an toàn của hệ thống. Vì vậy, khách hàng sử dụng dịch vụ đánh giá an toàn thông tin VCHECK của VSEC để kiểm tra và đánh giá hệ thống của mình. Dịch vụ VCHECK áp dụng hai loại dịch vụ đánh giá vào hệ thống của khách hàng:

Đối với website – Đánh giá từ bên ngoài (Black box): Dịch vụ tiến hành đánh giá tự động thông qua các công cụ: openVAS, OWASP ZAP,… Sau đó, các chuyên gia của VSEC đóng vai trò làm người tấn công, mô phỏng các kỹ thuật thực tế để cố gắng tìm ra lỗ hổng bảo mật của website và đánh giá mức độ an toàn của hệ thống.

Đối với máy chủ, thiết bị mạng và các phần khác – Đánh giá từ bên trong (White box): khách hàng cung cấp cho VSEC sơ đồ mạng, mã nguồn, thông tin hoặc quyền truy cập thiết bị. Các chuyên gia sẽ rà soát mã nguồn, tìm các lỗ hổng và giả lập đánh cắp thông tin từ hệ thống. Từ đó đánh giá mức độ an toàn của các thiết bị.

Sau khi đánh giá toàn bộ hệ thống, VSEC lập báo cáo và chuyển giao quá trình thực hiện cho khách hàng, đưa ra các đề xuất khắc phục và phương pháp phòng chống.

Các thông tin cung cấp:

  • 1 hệ thống chính
  • 44 thiết bị mạng
  • 4 sever

Kết quả sau thực hiện:

  • 19 ngày thực hiện
  • 100 lỗi được phát hiện với:
    • 70 lỗi rất nguy hiểm
    • 14 lỗi nguy hiểm
    • 16 lỗi trung bình

Lợi ích của dịch vụ kiểm thử bảo mật VCHECK

Triển khai nhanh gọn và Khách hàng không cần cung cấp nhiều thông tin
Rút ngắn thời gian khắc phục lỗ hổng an toàn thông tin
Giảm thiểu tổng chi phí sở hữu (TCO)
Kiện toàn hiện trạng bảo mật tổng thể

Hiệu quả sau sử dụng dịch vụ

Giảm thiểu chi phí đầu tư vào các thành phần trong toàn hệ thống.
Tránh được phần lớn các lỗ hổng đã được dịch vụ cảnh báo.
Giảm đáng kể thiệt hại về tài chính và thiết bị trong bảo mật thông tin.
Tiến độ công việc trong tổ chức được thực hiện một cách an tâm hơn.

Xem thêm các Case Study