Äánh giá an ninh từ bên ngoài tại công ty chăm sóc sức khá»e

Tổng quan

4 lá»— hổng rất nguy hiểm, 3 lá»— hổng nguy hiểm, 8 lá»— hổng tiá»m ẩn là những lá»—i được tìm thấy trong quá trình sá»­ dụng dịch vụ Pentest của VSEC áp dụng cho má»™t website chăm sóc sức khá»e nổi tiếng của Mỹ. Trong 2 tuần sau đó, tất cả các lá»—i này đã được các chuyên gia của VSEC khắc phục kịp thá»i và bàn giao lại cho khách hàng yên tâm tiếp tục kinh doanh….

Tháng 6 vừa qua, VSEC có nhận được má»™t liên hệ từ thành phố Washington, Mỹ. Má»™t doanh nghiệp muốn chúng tôi kiểm tra mức Ä‘á»™ an toàn trên hệ thống website – nÆ¡i kinh doanh chính thức của hỠđể chắc chắn rằng má»i thông tin được bảo mật tuyệt đối và xác định mức Ä‘á»™ rủi ro há» có thể gặp phải. Sau khi xem xét khái quát trang web và hệ thống của khách hàng, VSEC đã bắt tay thá»±c hiện nay lập tức!

VỠkhách hàng

Khách hàng của chúng tôi làm trong lÄ©nh vá»±c y tế, cung cấp các phÆ°Æ¡ng pháp chăm sóc sức khá»e bằng công nghệ thông minh và phù hợp vá»›i cuá»™c sống hiện đại. Vá»›i má»™t góc nhìn khác biệt, khách hàng đã chỉ ra rằng chăm sóc sức khá»e không phải chỉ quan tâm đến các vấn Ä‘á» vá» sức khá»e và các tác nhân gây hại mà phải quan tâm cả đến cả những nhân tố cùng khả năng tiá»m ẩn bên trong con ngÆ°á»i. Äiá»u này đã thuyết phục và tạo được ấn tượng mạnh vá»›i rất nhiá»u ngÆ°á»i, giúp hoạt Ä‘á»™ng kinh doanh của khách hàng phát triển nhanh chóng. Hiện tại doanh thu của khách hàng đã lên tá»›i 17 triệu USD/ năm và giành được rất nhiá»u giải thưởng, tiêu biểu là Top 500 Doanh nghiệp phát triển vượt trá»™i do tạp chí Inc. bình chá»n năm 2016, Top 100 Doanh nghiệp tốt nhất để làm việc do tạp chí Seattle Business bình chá»n năm 2014-2016.

Thách thức

Trải qua 10 năm hoạt Ä‘á»™ng, hiện tại khách hàng Ä‘ang lÆ°u giữ má»™t lượng thông tin khổng lồ trên hệ thống của mình. Äó là khối tài sản quan trá»ng nhất của má»™t doanh nghiệp khi sá»­ dụng công nghệ làm công cụ chính trong kinh doanh. Mà website, nÆ¡i bất kỳ ai cÅ©ng có thể truy cập lại là cổng thông tin chính thức tá»›i kho dữ liệu đó. Vì vậy, việc thông tin có được an toàn hay không phụ thuá»™c trá»±c tiếp vào việc website của khách hàng được bảo vệ nhÆ° thế nào.

Cùng vá»›i nghiên cứu thành công má»™t khía cạnh khác biệt vá» chăm sóc sức khá»e, khách hàng phải liên tục thá»±c hiện các nghiên cứu vá» tổ chức, vá» nhu cầu và mục tiêu của rất nhiá»u ngÆ°á»i để cho ra Ä‘á»i từng chiến lược, chÆ°Æ¡ng trình chăm sóc sức khá»e phù hợp. Äiá»u này giúp khách hàng gây được nhiá»u chú ý, nhÆ°ng cÅ©ng có nghÄ©a sẽ ngày càng có nhiá»u những nhiá»u sá»± Ä‘e dá»a, tấn công dữ liệu của kẻ xấu hÆ¡n. Vì vậy, kiểm tra mức Ä‘á»™ an toàn của website không chỉ tránh được việc bị lá»™ thông tin khách hàng của há», mà còn giúp bảo vệ nguồn tài nguyên của khách hàng, tránh bị kẻ xấu lạm dụng.

Thêm vào đó, khách hàng là doanh nghiệp có quy mô hoạt Ä‘á»™ng vừa và nhá», nên nguồn nhân lá»±c còn bị hạn chế và không có nhiá»u kinh nghiệm vá» bảo mật thông tin. Nhận thấy những hiệu quả và sá»± hợp lý trong giá cả, khách hàng đã tìm kiếm và liên hệ vá»›i VSEC đăng ký sá»­ dụng dịch vụ kiểm thá»­ xâm nhập Pentest.

Ở nÆ°á»›c sở tại, ngân hàng nhà nÆ°á»›c cÅ©ng đã ban hành nhiá»u quy định chặt chẽ ràng buá»™c ngân hàng tuân thủ và đảm bảo an toàn thông tin ví dụ nhÆ° BASEL, PCI/DSS...
Các nhân sá»± kỹ thuật kiêm nhiệm nhiá»u công việc khác nhau và khối lượng nhiá»u nên thông thÆ°á»ng há» không đủ nguồn lá»±c và thá»i gian cÅ©ng nhÆ° kỹ năng để thá»±c hiện việc đánh giá hay kiểm thá»­ an toàn thông tin.
Các quy định ngày càng cụ thể đòi há»i các ngân hàng phải tuân thủ đúng đắn và duy trì liên tục việc kiểm tra kiểm soát.

Giải pháp

VSEC tiến hành kiểm tra 3 cổng đăng nhập chính của khách hàng: cổng đăng nhập tài khoản website chính, cổng đăng nhập trung tâm quản lý ngÆ°á»i dùng và cổng đăng nhập trang web đối tác há»— trợ. Vá»›i 3 cổng thông tin này, VSEC áp dụng phÆ°Æ¡ng pháp Black Box trong Pentest để đánh giá an ninh đối vá»›i hệ thống của khách hàng từ bên ngoài mà không cần biết trÆ°á»›c thông tin vá» hệ thống. Cụ thể, các chuyên gia của VSEC đóng vai trò làm ngÆ°á»i tấn công, mô phá»ng các kỹ thuật thá»±c tế để cố gắng tìm ra lá»— hổng bảo mật của website.

Sau 2 tuần kiểm thá»­, các chuyên gia đã tìm thấy tổng cá»™ng 15 lá»— hổng và khắc phục kịp thá»i tất cả. Kết thúc dịch vụ, VSEC lập báo cáo và chuyển giao quá trình thá»±c hiện cho khách hàng, Ä‘Æ°a ra Ä‘á» xuất khắc phục cùng má»™t số phÆ°Æ¡ng pháp phòng chống.

Lợi ích của dịch vụ

Pentest được biết đến có rất nhiá»u lợi ích. Má»™t trong số đó là:

Triển khai nhanh gá»n và Khách hàng không cần cung cấp nhiá»u thông tin
Rút ngắn thá»i gian khắc phục lá»— hổng an toàn thông tin
Giảm thiểu tổng chi phí sở hữu (TCO)
Kiện toàn hiện trạng bảo mật tổng thể

Chính những Ä‘iá»u này đã kích thích khách hàng nghiên cứu, tìm hiểu, Ä‘i đến quyết định sá»­ dụng dịch vụ của VSEC. Và sau khi trá»±c tiếp sá»­ dụng, khách hàng thá»±c sá»± cảm thấy hài lòng vá» những hiệu quả mà Pentest mang lại nhÆ° giảm thiểu được nhiá»u chi phí đầu tÆ° trong hệ thống, tránh được phần lá»›n các lá»— hổng, giảm thiệt hại đáng kể và tiến Ä‘á»™ công việc được thá»±c hiện thuận lợi hÆ¡n trÆ°á»›c.

Xem thêm các Case Study