Landing

Uncategorized

Overview

Agenda

Speaker

Contact

Register

Hack Hacker

Bằng chiến thuật phòng thủ đa chiều

Chủ động đương đầu với những “mối đe dọa” chắc chắn sẽ “đe dọa” đến sự ổn định của doanh nghiệp. 
Biến “các cuộc tấn công không thiện chí” thành “bài tập thực hành”

On Zoom - 10h00 - 11h30 ngày 11 tháng 7 năm 2023
Đăng ký
Đăng ký

Tổng quan

Không có giải pháp bảo vệ nào đủ hoàn hảo khi đối mặt với những khối óc thiên tài, và chúng ta không thể phủ nhận IQ của giới tin tặc.

“Hack Hacker” – Đi trước đón đầu, tư duy như một tin tặc để dựng lên bức tường phòng thủ “đa chiều” – chặn đứng mọi cánh cửa đã, đang, sẽ dẫn đường cho rủi ro xâm lấn vào hệ thống.

Chương trình được phối hợp giữa Công ty Cổ phần An ninh mạng Việt Nam (VSEC và Hiệp hội Internet Việt Nam (VIA)

lịch trình sự kiện

10h00-10h20

Giới thiệu chung về chương trình
Hướng dẫn truy cập link tài liệu

10h00-10h45

Topic 01: Giám sát và xử lý sự cố an toàn thông tin trong doanh nghiệp
Diễn giả: Vũ Thế Hải, Trưởng phòng Trung tâm SOC, VSEC

10h00-10h45

Topic 02: Red Team - Thực chiến phản ứng Hacker
Diễn giả: Bế Khánh Duy, Trưởng nhóm Dịch vụ Chuyên gia khu vực miền Nam, VSEC

11h00-11h15

Hỏi đáp

11h15-11h30

Quay số may mắn

Diễn giả

Hack Hacker
Speaker
Vũ Thế Hải
Trưởng phòng Trung tâm SOC - VSEC

Ông Vũ Thế Hải là chuyên gia trong lĩnh vực An toàn thông tin tại Việt Nam với hơn 10 năm hoạt động trong lĩnh vực này. Ông đã đảm nhiệm vai trò quản lý tại nhiều công ty công nghệ danh tiếng tại Việt nam và giữ vai trò Trưởng phòng Trung tâm giám sát và vận hành An toàn thông tin (SOC) tại Công ty Cổ phần An ninh mạng Việt Nam – VSEC từ năm 2020 đến nay.

Hack Hacker
Speaker
Bế Khánh Duy
Chuyên gia đánh giá bảo mật VSEC

Anh Bế Khánh Duy đã có hơn 5 năm trong lĩnh vực bảo mật thông tin cho các tổ chức, doanh nghiệp tại Việt Nam. Tại VSEC anh Duy là trưởng nhóm dịch vụ chuyên gia kiểm thử và đánh giá bảo mật, đảm nhiệm vị trí quan trọng trong đội ngũ Blue Team, Red Team

thông tin liên hệ

Mọi thông tin về chương trình vui lòng liên hệ: Ms.Uyen Luu – 0333.68.3353 – luutuuyen@vsec.com.vn

Đăng ký

Điền thông tin bên dưới để nhận ngay tài liệu






    Mọi thông tin của bạn đều được bảo mật


    Quản lý quyền không đúng cách dẫn đến leo thang đặc quyền trong Chamilo LMS

    VSEC - BLOG Bảo mật cho người mới

    Giới thiệu:

    Vào 04/22/2020 mình muốn tìm CVE cho bản thân, loay hoay một hồi thì chọn Chamilo LMS. Đây là lỗ hổng thứ hai được tôi tìm thấy trên Chamilo LMS 1.11.10, tôi đã rất kỳ vọng vào lỗ hổng này được chấm điểm cao, nhưng cái kết là Chamilo không biết cách để gán CVE cho tôi, so sad :3

    Tôi thường viết blog với phong cách vui vẻ, nghịch ngợm, nhưng hôm nay tôi sẽ thử viết theo thanh niên nghiêm túc style. Liên miên như người điên vậy đủ rồi, let’s exploit.

    Môi trường:

    Version tested: Chamilo LMS 1.11.10 for PHP 7.3.

    Web server: apache webserver-Apache/2.4.41 (Debian).

    Vấn đề: Cho phép người dùng có quyền Sessions administrator có thể tạo mới người dùng với quyền administrator.

    PoC:

    Bước 1: Đăng nhập với tài khoản ‘abcd’ với quyền Sessions administrator.

    Bước 2: Tạo một user mới có tên là ‘654’.

    Bước 3: Click vào button để edit ‘654’.

    Bước 4: Bật Burp Suite lên và click save. Sau đó, chỉnh sửa phần requet body như sau:

    Bước 5: Đăng nhập vào tài khoản ‘654’. BÙM!! Bây giờ ‘654’ là administrator.

    Okay, done!

    Cuối blog tôi muốn nói lời cảm ơn đến người bạn mới của tôi, Hoàng Kiên. Cậu ấy đã giúp đỡ tôi rất nhiều trong khi khai thác lỗ hổng này.

    VSEC chính thức ra mắt dịch vụ kiểm thử xâm nhập sâu RED TEAM

    VSEC - BLOG Redteam Confession

    Ngày 18/4 Công ty Cổ phần An ninh mạng Việt Nam VSEC ra mắt dịch vụ Kiểm thử xâm nhập sâu Red Team – đánh giá bảo mật dựa trên việc thực hiện hành vi tấn công bằng mọi cách nhằm xâm nhập vào hệ thống của doanh nghiệp như một tội phạm mạng.

    Theo định nghĩa của Computer Security Resource Center, NIST: Red Team là một nhóm được cấp quyền và tổ chức để mô phỏng một cuộc tấn công của đối thủ tiềm năng hoặc các khả năng khai thác chống lại một hệ thống an toàn thông tin của doanh nghiệp. Mục tiêu của Red Team là cải thiện an toàn thông tin mạng cho doanh nghiệp bằng việc minh họa các tác động của các cuộc tấn công thành công và minh họa những gì thực sự hoạt động cho đội ngũ phòng thủ (Blue Team) trong một môi trường hoạt động.

    Đội ngũ chuyên gia của VSEC đã thành công trong việc nghiên cứu, tìm kiếm các lỗ hổng Zero day (những lỗ hổng phần mềm hoặc phần cứng chưa được biết đến và chưa được khắc phục) từ những phần mềm phổ biến nhất như WordPress, Joomla, … cho đến các ứng dụng, hệ thống của các gã khổng lồ công nghệ như Microsoft,  Oracle, … đều đạt điểm CVSS cao.

    Theo đại diện VSEC, chính thức công bố cung cấp dịch vụ Kiểm thử xâm nhập sâu – Red Team đồng nghĩa với việc tại thời điểm hiện tại VSEC có đầy đủ năng lực về công nghệ, đội ngũ có chứng chỉ tiêu chuẩn quốc tế và kinh nghiệm thực tế tham gia vào việc đánh giá bảo mật uy tín, đáp ứng được mọi nhu cầu của mọi tổ chức, doanh nghiệp trong và ngoài nước.

    “Tại Việt Nam, không nhiều doanh nghiệp, tổ chức tự tin sử dụng Red Team vì còn e ngại về năng lực của đơn vị cung cấp trong nước cũng như rủi ro trong vấn đề dữ liệu. Việc VSEC chính thức công bố dịch vụ Kiểm thử xâm nhập sâu Red Team 2023 với phiên bản đầy đủ “Red Team full version” sẽ mang lại cái nhìn mới về năng lực bảo mật của các chuyên gia Việt Nam, hoàn toàn đáp ứng được những tiêu chuẩn quốc tế cao nhất”, ông Trương Đức Lượng, Chủ tịch HĐQT VSEC chia sẻ.

    So sánh Pentest và Redteam

     

    VSEC là nhà cung cấp dịch vụ Quản trị An toàn thông tin MSSP (Managed Security Service Provider) tiêu chuẩn quốc tế hoạt động từ năm 2003. Các dịch vụ của VSEC đáp ứng nhu cầu của tất cả các tổ chức và doanh nghiệp bất kể quy mô hay sự phức tạp của hệ thống hạ tầng công nghệ thông tin. VSEC đạt chứng nhận CREST (Tổ chức thẩm định, đánh giá và công nhận tiêu chuẩn dịch vụ An toàn thông tin của Anh Quốc) cho dịch vụ Đánh giá bảo mật Penetration Testing và SOC (Security Operation Center) năm 2021, 2022.

    Trong suốt 20 năm hoạt động, VSEC công bố đã phục vụ hơn 500 doanh nghiệp và tổ chức chính phủ. Là thành viên của các hiệp hội, tổ chức trong và ngoài nước như VNCert – Mạng lưới ứng cứu sự cố quốc gia, VNISA – Hiệp hội An toàn thông tin VN, Bộ tư lệnh 86, FS-ISAC (The Financial Services Information Sharing and Analysis Center), Blackpanda, RAPID7, Affinitas Global, CoreSecurity, RecordedFuture, …

    Download thông cáo: TẠI ĐÂY

    Xem thêm tại:

    Sử dụng Pentest hiệu quả – Chuyên gia VSEC nói gì?

    VSEC - BLOG Dành cho Chuyên gia kiểm thử

    Webinar: “Stay Ahead of Cyber Threats”

    Vào ngày 29/3, sự kiện “Stay Ahead of Cyber Threats” do Công ty Cổ phần An ninh mạng Việt Nam phối hợp cùng VNG Cloud tổ chức, đã diễn ra thành công và để lại nhiều ấn tượng tốt đẹp trong cộng đồng Tech và doanh nghiệp Việt Nam. Sự kiện quy tụ các speaker đến từ các đơn vị có tiếng trong ngành ATTT như Kaspersky, VNG Cloud, VSEC và Megazone Cloud. Bằng những chia sẻ đầy hữu ích của các diễn giả đầy kinh nghiệm trong ngành, webinar đã thu hút sự quan tâm của đông đảo hơn 450 người tham dự.

    Tại webinar lần này, anh Bùi Trung Thành – Solution Consultant của VSEC có chia sẻ phương thức mới giúp mọi người tối ưu chi phí đảm bảo an toàn thông tin. Phương thức cơ bản hay được sử dụng để đảm bảo ATTT cho ứng dụng là Pentest.

    PTaaS – Tối ưu chi phí và thời gian

    “Phần lớn các doanh nghiệp hiện nay không có một đội ngũ ATTT chuyên trách, các kỹ sư của doanh nghiệp chưa đủ kỹ năng cũng như kiến thức để thực hiện và đánh giá an toàn thông tin. Chính vì vậy, các doanh nghiệp thường sẽ lựa chọn đi thuê đơn vị ngoài để thực hiện đánh giá ATTT cho các ứng dụng của doanh nghiệp mình” – Anh Thành chia sẻ.

    Bên cạnh đó, những khó khăn, hạn chế của Pentest truyền thống như: thời gian, nguồn lực, kỹ năng … cũng được anh Thành phân tích cụ thể. Để giải quyết bài toán này, đại diện của VSEC đã chia sẻ về Pentest as a Service (PTaaS) – một phương thức pentest tối ưu, tuy không mới trên thế giới nhưng lại chưa phổ biến tại Việt Nam.

    PTaaS là là dịch vụ cung cấp nền tảng công cụ khai thác lỗ hổng tự động, kết hợp AI/ML để đơn giản hóa việc tìm kiếm, phân tích và báo cáo lỗ hổng, giúp rút ngắn quy trình thực hiện, tối ưu chi phí triển khai. Sự kết hợp của tự động hóa quy trình kỹ thuật, tri thức của các kỹ sư và trí tuệ nhân tạo của PTaaS sẽ giúp đảm bảo tối ưu các quá trình thực hiện của kỹ sư trong quá trình đánh giá một ứng dụng nào đó.

    Có thể thấy, PTaaS có thể giúp cho các doanh nghiệp thực hiện đánh giá ATTT tối ưu hơn so với việc thực hiện theo phương thức truyền thống, giảm chi phí và thời gian thực hiện đánh giá, phù hợp hơn với nhu cầu hiện tại của các doanh nghiệp.

    Đăng ký nhận gói ưu đãi 10% giá trị hợp đồng cho dịch vụ Pentest as a Service.

    Nâng cao năng lực nhân sự đảm bảo an toàn an ninh mạng lần 2 năm 2022 tại Tập đoàn Điện lực Việt Nam

    Sự kiện VSEC - BLOG

    Tiếp nối mục tiêu nâng cao năng lực an toàn an ninh mạng cho các cán bộ phụ trách CNTT – ATTT tại Tập đoàn điện lực Việt Nam, ngày 16/12 vừa qua, Công ty Cổ phần An ninh mạng Việt Nam (VSEC) cùng VNCert đã phối hợp cùng Tổng công ty điện lực Việt Nam tổ chức thành công chương trình diễn tập thực chiến, đảm bảo an toàn, an ninh mạng lần 2 năm 2022 tại Hội trường Sơn La, tòa nhà EVN, 11 Cửa Bắc.

    Vào đầu tháng 8/2022, Tập đoàn EVN đã tổ chức thành công hoạt động Diễn tập thực chiến an toàn an ninh mạng lần 1 năm 2022 với chủ đề “Đảm bảo an toàn thông tin cho hệ thống ERP”. Trong buổi diễn tập các đơn vị tham gia là các Tổng Công ty, các đơn vị thành viên, các nhà máy điện đã được tham gia xử lý tình huống mất an toàn thông tin thực tế trên hệ thống ERP. Các đội tham dự diễn tập đã thể hiện được các kỹ năng ATTT, thực hiện và tuân thủ các quy trình ứng cứu sự cố ATTT và quy trình tiếp nhận sự cố, hỗ trợ vận hành và các quy trình khác đảm bảo cung cấp dịch vụ an toàn, ổn định về dịch vụ cho hệ thống ERP của EVN.

    Tiếp nối mục tiêu nâng cao năng lực an toàn an ninh mạng cho các cán bộ phụ trách CNTT – ATTT tại Tập đoàn điện lực Việt Nam, VSEC và VNCert đã phối hợp cùng với Tập đoàn để tổ chức chương trình diễn tập thực chiến cấp Tập đoàn lần 2. Trong lần diễn tập này, Hệ thống thông tin tích hợp văn phòng điện tử được lựa chọn làm đối tượng thực hiện. Đây là ứng dụng quan trọng, được sử dụng xuyên suốt trong Tập đoàn cũng như các đơn vị thành viên.

    Phát biểu tại buổi diễn tập, ông Đào Hoàng Dương – Phó Trưởng Ban Viễn thông và Công nghệ thông tin EVN cho biết, trong những năm qua, cùng với sự lớn mạnh và ứng dụng CNTT trong công tác chuyển đổi số, EVN đã rất quan tâm đến hoạt động an toàn thông tin và chỉ đạo các đơn vị thực hiện nhiều công việc nhiệm vụ an toàn, an ninh thông tin.

    Ông Đào Hoàng Dương – Phó Trưởng Ban Viễn thông và CNTT EVN phát biểu khai mạc chương trình

    Ông Trương Đức Lượng – Đại diện Công ty Cổ phần An ninh mạng Việt Nam nhấn mạnh trong buổi diễn tập thực chiến: “Khi chúng ta đang ngồi đây thì hệ thống của chúng ta đang bị tấn công. Chính vì thế, an ninh mạng là một trong những hoạt động cực kỳ cần thiết và không thể bỏ khi chúng ta đưa vào vận hành hệ thống thông tin. 

    Ông Trương Đức Lượng – Chủ tịch HĐQT Công ty CP An ninh mạng Việt Nam (VSEC)

    Buổi diễn tập thực chiến được tổ chức theo hình thức trực tiếp và trực tuyến. Tại trụ sở EVN, có sự tham gia của 6 đội trực tiếp diễn tập thực chiến theo 3 kịch bản: Điều tra về chữ ký số; Điều tra về tấn công, khai thác lỗ hổng bảo mật hệ thống thông tin tích hợp văn phòng điện tử; Điều tra về nguyên nhân thất thoát dữ liệu.

    Không khí nghiêm túc và khẩn trương của buổi diễn tập

    Sau 5 giờ tập trung cao độ, buổi diễn tập thực chiến đã kết thúc thành công tốt đẹp, các đội thi cũng đã đạt được kết quả đáng ghi nhận. Các đơn vị tham gia bày tỏ sự hài lòng khi ghi nhận được thêm nhiều thông tin, kiến thức và kỹ năng hữu ích để ứng dụng triển khai cho các hoạt động đảm bảo an toàn, an ninh mạng tại đơn vị.

    BTC trao giải cho các đội thi

    Giải nhất thuộc về Tổng Công ty Điện lực TP.HCM 

    Chia sẻ thêm tại buổi diễn tập lần này, ông Trương Đức Lượng bày tỏ: “VSEC vinh dự khi được đồng hành cùng Tập đoàn Điện Lực Việt Nam từ những ngày đầu khi hình thức diễn tập mang tính chất mô phỏng và bây giờ là diễn tập thực chiến. Qua những lần diễn tập, chúng ta thấy được sự tiến bộ vượt bậc của đội ngũ nhân sự ATTT – đây cũng chính là những giá trị to lớn mà diễn tập đảm bảo an toàn, an ninh mạng mang lại.”

    Thiếu hụt nhân sự an ninh mạng – Cơ hội phát triển nghề nghiệp hấp dẫn

    VSEC - BLOG Xu hướng thế giới mạng

    Xây dựng đội ngũ chuyên gia về ATANM chất lượng cao được xem là một trong những trụ cột vững chắc để bảo đảm nền tảng ATANM quốc gia cũng như hiện thực hóa ước muốn Việt Nam trở thành cường quốc về an toàn thông tin (ATTT).

    Như Bộ trưởng Bộ Thông tin và Truyền thông (TT&TT) Nguyễn Mạnh Hùng đã từng chia sẻ: “Chúng ta phải xây dựng một đội ngũ chuyên gia về ATANM làm nòng cốt. Riêng về lĩnh vực ATANM thì chuyên gia giỏi và nền công nghiệp quan trọng ngang nhau. Ngoài doanh nghiệp (DN), ngoài công cụ thì cần phải có các cá nhân xuất sắc. Vì công cụ chỉ xử lý được các lỗ hổng đã biết. Những lỗ hổng chưa biết chỉ có các chuyên gia mới xử lý được”.

    Theo tổ chức chuyên nghiệp về an ninh mạng (ISC), nhu cầu về nhân lực an ninh mạng rất khốc liệt, đến nỗi sự thiếu hụt ước tính là hơn 2,7 triệu vai trò trên toàn cầu. Mặc dù con số này giảm so với năm ngoái là 700.000 người, nhưng vẫn tiếp tục chứng tỏ nhu cầu lớn chưa được đáp ứng về nhân lực an ninh mạng. Sự thiếu hụt lực lượng lao động này đặc biệt nghiêm trọng ở châu Á – Thái Bình Dương, ước tính cần khoảng 1,42 triệu nhân sự – mức thiếu lớn nhất so với bất kỳ khu vực nào trên thế giới. Tại Việt Nam, vấn đề này cũng không phải ngoại lệ. Theo Cục ATTT (Bộ TT&TT), nguồn nhân lực ATANM chưa đáp ứng được nhu cầu cả về số lượng và chất lượng, đặc biệt tại địa phương. Đến hết năm 2020, lực lượng dân sự về ATANM của Việt Nam ước tính 50.000 người, trong khi đến năm 2021 chúng ta sẽ cần khoảng 700.000 nhân lực. Do vậy, Việt Nam đang thiếu hụt nhân lực về ATANM.

    Nhu cầu đáng kể này tạo ra các cơ hội vô cùng tiềm năng cho các bạn đang theo đuổi lĩnh vực an ninh mạng với mức lương, đãi ngộ được đánh giá là một trong những ngành hấp dẫn nhất thị trường lao động hiện nay. Tuy nhiên, hành trình để theo đuổi con đường trở thành những kỹ sư, chuyên gia an ninh mạng cũng sẽ gặp không ít những khó khăn, thử thách.

    Trên thực tế các cuộc tấn công mạng trên thế giới cũng như ở Việt Nam thời gian vừa qua có quy mô, tính chất phức tạp, tinh vi với mức độ phá hoại ngày càng cao. Vì vậy, chất lượng nguồn nhân lực ATANM cũng là vấn đề cần được chú trọng. Có rất nhiều bạn trẻ có định hướng rẽ ngang sang ngành An ninh mạng hay thậm chí cả những bạn đang theo học và có đam mê với lĩnh vực này vẫn đang ở trong trạng thái mông lung về lộ trình và hướng đi phát triển bản thân trong ngành ATTT.

    Với mục tiêu giúp các bạn nhân sự trẻ trong ngành an ninh mạng có cái nhìn rõ nét về ngành, có hướng đi và động lực để theo đuổi con đường trở thành những chuyên gia an ninh mạng trong tương lai, Làng Công Nghệ An Toàn Không Gian Mạng (Cyber Security Technology Village) tổ chức Hội thảo: “Đào tạo An ninh mạng tại Việt Nam” nằm trong khuôn khổ chuỗi sự kiện TECHFEST 2022 được chủ trì bởi Bộ Khoa học và Công nghệ. Với sự tham gia chia sẻ của các chuyên gia an ninh mạng hàng đầu, đây chắc chắn sẽ là một sự kiện thực sự hữu ích và có ý nghĩa lớn đối với các bạn sinh viên, các nhân sự IT đang quan tâm đến lĩnh vực an ninh mạng.

    👉Đăng ký tham gia Hội thảo tại đây: https://forms.gle/obX1Ka6JgEgYfHgQ9