VCHECK – gói dịch vụ tổng thể bao gồm tất cả các dịch vụ đánh giá an toàn thông tin mà VSEC cung cấp, sẽ đem đến sự hỗ trợ toàn diện cho hệ thống của bạn.

 

Quy trình gói dịch vụ:

1. Xác định mục tiêu

Trên cơ sở thống nhất giữa hai bên, VSEC sẽ lên kế hoạch thực hiện và xác định mục tiêu cần rà soát như liệt kê trong Phạm vi thực hiện.

2. Thu thập thông tin

Sau khi xác định mục tiêu, chúng tôi tiến hành tìm kiếm, thu thập toàn bộ các thông tin liên quan

3. Rà soát mục tiêu

Bước này thực chất sẽ tiến hành song song với bước trên. Tương ứng với mỗi thông tin thu thập từ mục tiêu, chúng tôi đưa ra các nguy cơ rủi ro có khả năng xảy ra tương ứng với mỗi thành phần đó. Quá trình rà soát mục tiêu chúng tôi sử dụng kết hợp nhiều công cụ: Nessus, Core Impact, NeXpose….

4. Xếp loại mức độ nguy hiểm lỗ hổng

Sau khi có danh sách các lỗ hổng chúng tôi tiến hành phân loại mức độ nguy hiểm để sắp xếp thứ tự ưu tiên cho việc xác minh. Thông thường các lỗ hổng thuộc 3 nhóm sau:

Phân loại Mô tả

Cao

Các rủi ro có thể dấn đến hệ thống, ứng dụng hay thông tin bị truy cập trái phép một cách trực tiếp. Ví dụ như, tràn bộ đệm, mật khẩu yếu hoặc không có mật khẩu,…

Trung bình

Các rủi ro có thể gián tiếp dẫn đến hệ thống bị tấn công, dữ liệu bị rò rỉ hoặc truy xuất ứng dụng trái phép. Ví dụ như, các hệ thống, ứng dụng bị tấn công từ chối dịch vụ, hay các thiết bị mạng bị lộ cấu hình,…

Thấp

Các nguy cơ này gồm các điều kiện không dẫn đến thông tin bị rò rỉ ngay lập tức hay gián tiếp tiếp bao gồm hệ thống, ứng dụng nhưng sẽ cung cấp thông tin có thể được dùng kết hợp với thông tin khác để tìm ra cách bao gồm hoặc truy cập trái phép vào một mạng lưới, hệ thống, ứng dụng hay thông tin.

5. Thử nghiệm tấn công và Xác Minh điểm yếu

Dựa trên danh sách phân loại, chúng tôi tiến hành xác minh các điểm yếu theo thứ tự lỗ hổng mức độ từ Cao đến Thấp. Bước này nhằm mục đích xác định chính xác các lỗ hổng nào thực sự gây ra rủi ro mất mát thông tin của khách hàng. Việc xác minh thực hiện dựa trên thỏa thuận của 2 bên để tránh ảnh hưởng đến hệ thống của khách hàng.

Quá trình xác minh phụ thuộc nhiều vào kinh nghiệm của các kĩ sư, đồng thời có sự hỗ trợ của các công cụ: Core Impact, metasploit….

6. Báo cáo khuyến nghị

Đến bước này, chúng tôi tập hợp đầy đủ các lỗ hổng và bằng chứng xác minh của công việc rà soát. Nhờ đó, chúng tôi xây dựng báo cáo hoàn chỉnh đưa ra khuyến nghị để khách hàng xử lý các lỗ hổng đó và có kế hoạch duy trì cũng như các giải pháp bổ sung để nâng cao khả năng bảo mật cho mục tiêu. Các lỗ hổng được đánh mã theo tiêu chuẩn được quốc tế thừa nhận rộng rãi

Báo cáo chia ra làm 2 mức:

– Báo cáo tổng hợp: Gồm những chỉ dẫn mức cao dành cho lãnh đạo, hỗ trợ đưa ra quyết định nhanh chóng.

– Báo cáo kĩ thuật chi tiết: Gồm những bước thực hiện, minh chứng tìm thấy phục vụ cho đội ngũ cán bộ kĩ thuật.

Tùy thuộc vào nhu cầu và quy mô hoạt động, bạn vẫn có thể lựa chọn riêng cho doanh nghiệp mình một trong những sản phẩm/dịch vụ chuyên biệt, phù hợp dưới đây:

Đánh giá ứng dụng

Đánh giá hệ thống mạng

Đánh giá người dùng

Các dịch vụ khác

VSEC thấu hiểu những thách thức của doanh nghiệp và sẵn sàng hỗ trợ!