Äánh giá an ninh từ bên ngoài tại công ty chăm sóc sức khá»e

Tổng quan

4 lá»— hổng rất nguy hiểm, 3 lá»— hổng nguy hiểm, 8 lá»— hổng tiá»m ẩn là những lá»—i được tìm thấy trong quá trình sá»­ dụng dịch vụ Pentest cá»§a VSEC áp dụng cho má»™t website chăm sóc sức khá»e nổi tiếng cá»§a Mỹ. Trong 2 tuần sau đó, tất cả các lá»—i này đã được các chuyên gia cá»§a VSEC khắc phục kịp thá»i và bàn giao lại cho khách hàng yên tâm tiếp tục kinh doanh….

Tháng 6 vừa qua, VSEC có nhận được má»™t liên hệ từ thành phố Washington, Mỹ. Má»™t doanh nghiệp muốn chúng tôi kiểm tra mức độ an toàn trên hệ thống website – nÆ¡i kinh doanh chính thức cá»§a hỠđể chắc chắn rằng má»i thông tin được bảo mật tuyệt đối và xác định mức độ rá»§i ro há» có thể gặp phải. Sau khi xem xét khái quát trang web và hệ thống cá»§a khách hàng, VSEC đã bắt tay thá»±c hiện nay lập tức!

VỠkhách hàng

Khách hàng cá»§a chúng tôi làm trong lÄ©nh vá»±c y tế, cung cấp các phương pháp chăm sóc sức khá»e bằng công nghệ thông minh và phù hợp vá»›i cuá»™c sống hiện đại. Vá»›i má»™t góc nhìn khác biệt, khách hàng đã chỉ ra rằng chăm sóc sức khá»e không phải chỉ quan tâm đến các vấn đỠvá» sức khá»e và các tác nhân gây hại mà phải quan tâm cả đến cả những nhân tố cùng khả năng tiá»m ẩn bên trong con ngưá»i. Äiá»u này đã thuyết phục và tạo được ấn tượng mạnh vá»›i rất nhiá»u ngưá»i, giúp hoạt động kinh doanh cá»§a khách hàng phát triển nhanh chóng. Hiện tại doanh thu cá»§a khách hàng đã lên tá»›i 17 triệu USD/ năm và giành được rất nhiá»u giải thưởng, tiêu biểu là Top 500 Doanh nghiệp phát triển vượt trá»™i do tạp chí Inc. bình chá»n năm 2016, Top 100 Doanh nghiệp tốt nhất để làm việc do tạp chí Seattle Business bình chá»n năm 2014-2016.

Thách thức

Trải qua 10 năm hoạt động, hiện tại khách hàng Ä‘ang lưu giữ má»™t lượng thông tin khổng lồ trên hệ thống cá»§a mình. Äó là khối tài sản quan trá»ng nhất cá»§a má»™t doanh nghiệp khi sá»­ dụng công nghệ làm công cụ chính trong kinh doanh. Mà website, nÆ¡i bất kỳ ai cÅ©ng có thể truy cập lại là cổng thông tin chính thức tá»›i kho dữ liệu đó. Vì vậy, việc thông tin có được an toàn hay không phụ thuá»™c trá»±c tiếp vào việc website cá»§a khách hàng được bảo vệ như thế nào.

Cùng vá»›i nghiên cứu thành công má»™t khía cạnh khác biệt vá» chăm sóc sức khá»e, khách hàng phải liên tục thá»±c hiện các nghiên cứu vá» tổ chức, vá» nhu cầu và mục tiêu cá»§a rất nhiá»u ngưá»i để cho ra Ä‘á»i từng chiến lược, chương trình chăm sóc sức khá»e phù hợp. Äiá»u này giúp khách hàng gây được nhiá»u chú ý, nhưng cÅ©ng có nghÄ©a sẽ ngày càng có nhiá»u những nhiá»u sá»± Ä‘e dá»a, tấn công dữ liệu cá»§a kẻ xấu hÆ¡n. Vì vậy, kiểm tra mức độ an toàn cá»§a website không chỉ tránh được việc bị lá»™ thông tin khách hàng cá»§a há», mà còn giúp bảo vệ nguồn tài nguyên cá»§a khách hàng, tránh bị kẻ xấu lạm dụng.

Thêm vào đó, khách hàng là doanh nghiệp có quy mô hoạt động vừa và nhá», nên nguồn nhân lá»±c còn bị hạn chế và không có nhiá»u kinh nghiệm vá» bảo mật thông tin. Nhận thấy những hiệu quả và sá»± hợp lý trong giá cả, khách hàng đã tìm kiếm và liên hệ vá»›i VSEC đăng ký sá»­ dụng dịch vụ kiểm thá»­ xâm nhập Pentest.

Ở nước sở tại, ngân hàng nhà nước cÅ©ng đã ban hành nhiá»u quy định chặt chẽ ràng buá»™c ngân hàng tuân thá»§ và đảm bảo an toàn thông tin ví dụ như BASEL, PCI/DSS...
Các nhân sá»± kỹ thuật kiêm nhiệm nhiá»u công việc khác nhau và khối lượng nhiá»u nên thông thưá»ng há» không đủ nguồn lá»±c và thá»i gian cÅ©ng như kỹ năng để thá»±c hiện việc đánh giá hay kiểm thá»­ an toàn thông tin.
Các quy định ngày càng cụ thể đòi há»i các ngân hàng phải tuân thá»§ đúng đắn và duy trì liên tục việc kiểm tra kiểm soát.

Giải pháp

VSEC tiến hành kiểm tra 3 cổng đăng nhập chính cá»§a khách hàng: cổng đăng nhập tài khoản website chính, cổng đăng nhập trung tâm quản lý ngưá»i dùng và cổng đăng nhập trang web đối tác há»— trợ. Vá»›i 3 cổng thông tin này, VSEC áp dụng phương pháp Black Box trong Pentest để đánh giá an ninh đối vá»›i hệ thống cá»§a khách hàng từ bên ngoài mà không cần biết trước thông tin vá» hệ thống. Cụ thể, các chuyên gia cá»§a VSEC đóng vai trò làm ngưá»i tấn công, mô phá»ng các kỹ thuật thá»±c tế để cố gắng tìm ra lá»— hổng bảo mật cá»§a website.

Sau 2 tuần kiểm thá»­, các chuyên gia đã tìm thấy tổng cá»™ng 15 lá»— hổng và khắc phục kịp thá»i tất cả. Kết thúc dịch vụ, VSEC lập báo cáo và chuyển giao quá trình thá»±c hiện cho khách hàng, đưa ra đỠxuất khắc phục cùng má»™t số phương pháp phòng chống.

Lợi ích của dịch vụ

Pentest được biết đến có rất nhiá»u lợi ích. Má»™t trong số đó là:

Triển khai nhanh gá»n và Khách hàng không cần cung cấp nhiá»u thông tin
Rút ngắn thá»i gian khắc phục lá»— hổng an toàn thông tin
Giảm thiểu tổng chi phí sở hữu (TCO)
Kiện toàn hiện trạng bảo mật tổng thể

Chính những Ä‘iá»u này đã kích thích khách hàng nghiên cứu, tìm hiểu, Ä‘i đến quyết định sá»­ dụng dịch vụ cá»§a VSEC. Và sau khi trá»±c tiếp sá»­ dụng, khách hàng thá»±c sá»± cảm thấy hài lòng vá» những hiệu quả mà Pentest mang lại như giảm thiểu được nhiá»u chi phí đầu tư trong hệ thống, tránh được phần lá»›n các lá»— hổng, giảm thiệt hại đáng kể và tiến độ công việc được thá»±c hiện thuận lợi hÆ¡n trước.

Xem thêm các Case Study