Tại sao các nhà cung cấp năng lượng cần dịch vụ an ninh mạng chất lượng?

VSEC - BLOG Bảo mật cho người mới

Tội phạm mạng và các hacker luôn tìm cách khai thác cơ sở hạ tầng và lỗ hổng bảo mật của doanh nghiệp, góp phần gây ra nhiều thách thức cho ngành năng lượng

Báo cáo Bảo mật của IBM mới đây cho biết ngành năng lượng của Vương quốc Anh đã là mục tiêu của 24% trong tổng số các cuộc tấn công mạng quan sát. Các lưới điện quốc gia rất mong manh đến mức mọi thứ có thể sụp đổ bất kỳ lúc nào, và mối đe dọa từ các cuộc tấn công mạng đối với hệ thống và cơ sở hạ tầng có thể gây ra thảm họa.

Những mối đe dọa mạng này có thể gây nghiêm trọng cho việc sản xuất, phân phối và chuỗi cung ứng năng lượng. Trung tâm An ninh Mạng Quốc gia (NCSC) đã khuyến nghị các nhà cung cấp năng lượng đầu tư vào các giải pháp bảo mật mạng tốt một cách chủ động thay vì đợi cuộc tấn công mạng xảy ra trước khi hành động. Vì các chi phí của các cuộc tấn công mạng có thể nên vào người tiêu dùng trong tương lai, bài viết này sẽ khám phá về các mối đe dọa mạng đối mặt với ngành năng lượng và tại sao các nhà cung cấp năng lượng cần có quy trình bảo mật mạng tốt nhất.

Tầm quan trọng của an ninh mạng trong ngành năng lượng

Tính quan trọng của cơ sở hạ tầng của ngành công nghiệp năng lượng, bao gồm lưới điện, đường ống dẫn và các hệ thống năng lượng khác, làm cho việc bảo mật mạng rất quan trọng đối với ngành này. Cuộc tấn công mạng có thể gây thiệt hại nghiêm trọng cho những hệ thống này, gây ra tình trạng mất điện kéo dài, việc xâm nhập dữ liệu và các cuộc tấn công ransomware, lỗ hổng chuỗi cung ứng và nguy cơ môi trường.

Vì lí do này, các nhà cung cấp năng lượng kinh doanh đã bắt đầu triển khai các biện pháp bảo mật mạng trong bối cảnh sự tăng cường số hóa của các quy trình kinh doanh. Chiến lược bảo mật mạng bao gồm cả các phương pháp phản ứng và các phương pháp tích cực.

Để ngăn chặn việc truy cập vào hệ thống, các biện pháp như tường lửa, hệ thống phát hiện xâm nhập và các biện pháp bảo mật nghiêm ngặt khác được triển khai. Ngoài ra, việc xác định và giảm thiểu các mối đe dọa mạng có thể đe dọa tính toàn vẹn của hệ thống là một phần của quy trình phản ứng trước các sự cố mạng.

Top các cuộc tấn công mạng vào ngành năng lượng

Cuộc tấn công mạng từ lâu đã tập trung vào ngành năng lượng. Ngành công nghiệp phải duy trì sự cảnh giác và tận dụng các tiến bộ công nghệ có sẵn để phát hiện và ngăn chặn các nỗ lực tấn công của các mối đe dọa mạng sau đây.

Tấn công Ransomware (Ransomware Attacks)

an ninh mạng

Cuộc tấn công ransomware đặt ra một mối đe dọa nghiêm trọng đối với ngành năng lượng. Cuộc tấn công ransomware có thể làm gián đoạn hoạt động của tổ chức năng lượng và việc giải quyết vấn đề có thể tốn kém. Cuộc tấn công ransomware vào hệ thống của một nhà cung cấp năng lượng có thể gây ra tác động thảm họa đối với mọi lĩnh vực và gia đình. Việc thiếu kế hoạch ứng phó sự cố có thể gây hại cho danh tiếng của tổ chức.

Một ví dụ về cuộc tấn công ransomware gần đây đã dẫn đến việc thanh toán 4,4 triệu đô la cho một nhóm không xác định được biết đến với cái tên DarkSide. Cuộc tấn công này đã dẫn đến việc tạm ngừng hoạt động của hệ thống Colonial Pipeline tại Hoa Kỳ. Hậu quả không chỉ gây ra các chi phí trực tiếp từ cuộc tấn công, mà còn gây ra tình trạng thiếu xăng và sự hoảng loạn trong công chúng chung quanh.

Để ứng phó hiệu quả với cuộc tấn công ransomware, các nhà cung cấp năng lượng và sản xuất năng lượng cần phải có một chiến lược ứng phó ransomware được định rõ. Chiến lược này nên bao gồm các bước để xác định các hệ thống bị ảnh hưởng, kiểm soát sự lan truyền của cuộc tấn công và khắc phục bất kỳ thiệt hại nào đã xảy ra.

Tấn công chuỗi cung ứng (Supply Chain Attacks)

Cuộc tấn công vào chuỗi cung ứng là khi các hacker truy cập vào mạng của một công ty thông qua một nhà cung cấp từ một tổ chức khác. Sử dụng virus hoặc phần mềm độc hại cho phép họ truy cập vào dữ liệu riêng tư như thông tin khách hàng và thông tin thanh toán. Sự phức tạp của việc vi phạm dữ liệu trong chuỗi cung ứng làm cho việc theo dõi cuộc tấn công trở nên khó khăn.

Cuộc tấn công vào chuỗi cung ứng mà đã đánh thức các tổ chức chính phủ và ngành công nghiệp năng lượng toàn cầu là cuộc tấn công vào chuỗi cung ứng SolarWinds vào năm 2021. SolarWinds đã trải qua một cuộc vi phạm bảo mật khi cá nhân không được ủy quyền truy cập vào mạng của họ và tận dụng phần mềm Orion, sử dụng nó để tiếp cận các hệ thống riêng tư trên toàn cầu. Kết quả của cuộc tấn công này, các công ty tại Hoa Kỳ và Vương quốc Anh đã phải đối mặt với các rắc rối với tổn thất doanh thu hàng năm lần lượt là 14% và 8%.

Như một phần của chiến lược quản lý rủi ro, các công ty năng lượng phải ưu tiên quản lý rủi ro chuỗi cung ứng. Bạn có thể đảm bảo rằng cơ sở hạ tầng bảo mật mạng của công ty bạn được phân tích kỹ lưỡng và các vấn đề được giải quyết khi đầu tư vào các biện pháp bảo mật mạng của bên thứ ba nghiêm ngặt hơn.

Sự thiếu hiệu quả của IAM (IAM Inefficiencies)

Hệ thống quản lý danh tính và truy cập (IAM – Identity and Access Management) có vai trò quản lý truy cập đến thông tin và hệ thống nhạy cảm, một chức năng bảo mật quan trọng. Mặc dù nó bảo vệ hệ thống khỏi hoạt động độc hại, nhưng các hacker có thể thực hiện các cuộc tấn công phức tạp hơn nhờ vào sự tiến bộ về công nghệ. Thật không may, nhiều doanh nghiệp để mình trở nên dễ bị xâm nhập một cách thảm hại bằng cách không nhanh chóng xác định và khắc phục nhược điểm hệ thống.

Ở Ukraine, lưới điện đã là mục tiêu của các cuộc tấn công malware vào năm 2015 và 2016. Ngoài việc đơn giản là tắt điện, các hacker cũng đã thử ngăn chặn máy tính quản lý lưới điện hoạt động. Điều này đã làm cho việc khôi phục nguồn điện nhanh chóng trở nên khó khăn hơn. Kết quả là có sự cố mất điện đáng kể ảnh hưởng trực tiếp đến cuộc sống con người.

Sự cố này đã minh họa những kết quả có thể xảy ra khi cơ sở hạ tầng quan trọng thiếu đi các giải pháp IAM đủ hiệu quả. Nó nhấn mạnh sự quan trọng của việc triển khai các biện pháp bảo mật mạnh mẽ để bảo vệ các hệ thống quan trọng.

Tấn công Phishing (Phising Attack)

Phishing, E-Mail, Network Security, Computer Hacker, Cloud Computing

Nhân viên trong lĩnh vực năng lượng là mục tiêu của các cuộc tấn công lừa đảo trên thiết bị di động tăng 161% trong năm 2020 và 2021. Mặc dù công nghệ dễ bị tổn thương và lỗi thời ảnh hưởng đến tất cả các ngành, nhưng lĩnh vực năng lượng lại có nguy cơ cao nhất. 

Các cuộc tấn công này vào nhân viên ngành năng lượng được thực hiện để xâm nhập vào bảo mật doanh nghiệp, đánh cắp thông tin bí mật và yêu cầu tiền. Để tránh bị tấn công mạng của loại này, các công ty năng lượng nên giáo dục nhân viên về các nguy cơ và cách nhận biết các email lừa đảo và tin nhắn văn bản để đối phó với các cuộc tấn công lừa đảo di động. Việc triển khai các biện pháp bảo mật như quản lý thiết bị di động là một cách khác để quản lý việc sử dụng thiết bị di động.

Kết luận

Các cuộc tấn công mạng đe dọa nghiêm trọng đối với mọi ngành công nghiệp, nhưng đặc biệt là đối với các tổ chức cơ sở hạ tầng quan trọng như những tổ chức hoạt động trong lĩnh vực Năng lượng. Các nhà cung cấp và cung cấp năng lượng nên thận trọng để nhận biết và quản lý các mối đe dọa mạng tiềm ẩn để ngăn ngừa những tác động tiêu cực thảm khốc của một cuộc tấn công mạng. Bảo mật và hoạt động kinh doanh của họ có thể được bảo vệ đáng kể bằng các thực hành an ninh mạng tốt, đảm bảo sự liên tục trong kinh doanh và mất mát tối thiểu về danh tiếng.

Tác giả: Bùi Thái Dương – VSEC

Điều tra nguyên nhân của 1 vụ tấn công mạng thông qua log file

VSEC - BLOG Bảo mật cho người mới

Kỳ này mình có nhận được yêu cầu phân tích file log để tìm ra nguyên nhân của 1 vụ tấn công vào Website của công ty sử dụng WordPress. Website bị hacker tấn công và xóa sạch dữ liệu.

Dưới đây là hình ảnh “1 góc” của file log.

Trong lần điều tra này, mình dùng SublimeText 3 và Google :v Bước đầu, mình đọc qua vài lần toàn bộ file log để nắm bắt cấu trúc về nội dung của file, nhìn chung file log này không dài (khoảng 4500 dòng) nên mình có thể dễ dàng nắm bắt. Sau khi đọc qua vài lần, mình note lại 1 số request “khác biệt” so với phần còn lại. Ngoài các request của các con bot, request đọc các bài viết của trang web, thì mình có liệt kê ra vài dấu hiệu ( theo mình là đáng ngờ). Tuy nhiên sau khi tra google 1 hồi thì những dấu hiệu đó không nói lên nhiều điều. Mình bắt đầu nghĩ tới việc, nếu website bị xóa toàn bộ database, thì sẽ có hành động gì đó liên quan tới “admin”, Ctrl + F và bắt đầu search.

OHh, 1 dòng khá là hay ho như hình dưới đây (có thể do lần đọc log mình đã bỏ qua chi tiết này):

Tới đây, mình tiếp tục search google về đoạn request trên thì phát hiện ra, đây chính là đoạn request độc hại nhắm tới lỗ hổng trong 1 plugin của WordPress có tên là “ThemeGrill Demo Importer”. Lỗ hổng này cho phép những kẻ tấn công xóa tất cả các bảng trong WordPress.

Request: “GET /wp-admin/admin-ajax.php?do_reset_wordpress=1 HTTP/1.1”

Thông tin thêm về lỗ hổng: By sending a call to /wp-admin/admin-ajax.php?action=anything&do_reset_wordpress=1, the database will be wiped and we will be logged in as “admin” if the “admin” user exists in the users table. Authentication is not required.

Từ những thông tin trên cùng với việc Website bị xóa toàn bộ bài viết, thì có thể kết luận: Nguyên nhân bị tấn công là do Website sử dụng phiên bản plugin ThemeGrill Demo Importer dính lỗ hổng. Hacker tận dụng lỗ hổng trong plugin này để gửi request độc hại xóa sạch bài viết của Website. Dưới đây là thông tin về bản patch (version 1.6.2) :

Ngoài ra, địa chỉ IP nguồn của cuộc tấn công vào website này( 107.180.225.158 ) cũng được chia sẻ trên internet, điều đó có nghĩa là hacker đã khai thác lỗ hổng này trên rất nhiều website WordPress sử dụng plugin ThemeGrill Demo Importer ( thời điểm giữa năm 2020).

Hướng khắc phục:

Block các địa chỉ IP nguồn của cuộc tấn công và tiến hành cập nhật plugin ThemeGrill Demo Importer lên phiên bản mới nhất.

Tác giả: Hoàng Đức Hoan – VSEC

[ Shodan ] – Công cụ tìm kiếm phục vụ cho bảo mật, hay con mắt của ác quỷ ?

Bảo mật cho người mới VSEC - BLOG

Shodan ( https://www.shodan.io/ ) là một công cụ tìm kiếm được thiết kế bởi nhà phát triển web John Matherly ( http://twitter.com/achillean ). Shodan là một công cụ tìm kiếm khác nhiều so với các công cụ tìm kiếm nội dung như Google, Yahoo hoặc Bing. Shodan là một công cụ tìm kiếm để tìm các thiết bị trực tuyến trên internet như: máy tính, server, webcam, các thiết bị routers… Nó hoạt động bằng cách quét toàn bộ các các thiết bị trên internet có mở cổng public ra internet và thực hiện phân tích các dấu hiệu được phản hồi về từ các thiết bị. Sử dụng thông tin đó, Shodan có thể cho bạn biết những thứ như máy chủ web (và phiên bản) nào phổ biến nhất hoặc có bao nhiêu máy chủ FTP ẩn danh tồn tại ở một vị trí cụ thể, hay trả về danh sách các camera có thể truy cập trực tuyến qua internet. Nói chung, với shodan bạn có thể tìm kiếm bất cứ thiết bị nào trên internet miễn là chúng đang có kết nối internet và mở cổng public.

Shodan được sử dụng hiệu quả trong việc kiểm thử bảo mật các thiết bị IOT (Internet Of Thing) qua việc phát hiện nhanh chóng các thiết bị đang trực tuyến và các thiết bị có tồn tại lỗ hổng bảo mật. Shodan hoạt động 24/7 nên dữ liệu của nó luôn được cập nhật một cách nhanh và chính xác nhất.

Với Shodan, các hacker thiên hướng tà đạo ( Black hat ) có thể tìm kiếm các mục tiêu để phục vụ cho việc hack ( hack dạo ). Bằng cách đọc các thông báo về các lỗ hổng mới xuất hiện, thường thì trong các thông báo sẽ đính kèm thêm thông tin của những phiên bản dịch vụ tồn tại lỗ hổng. Hacker dựa vào thông tin dịch vụ đó để tìm mục tiêu trên Shodan và tiến hành khai thác. Hoặc, cũng có thể dùng để xem trộm những camera mật khẩu yếu hoặc không mật khẩu,..

Đối với các chuyên gia bảo mật, Shodan trở thành một công cụ Infomation Gathering hữu hiệu dành cho công việc Pen Testing Applications, Pentest Server,… và nó cũng là kênh tham khảo hữu ích để thống kê, đánh giá các nguy cơ tiềm ẩn về bảo mật, nguy cơ bị tấn công bởi một lỗ hổng nào đó tại một khu vực nhất định . Ví dụ: Thống kê xem có khoảng bao nhiêu máy chủ có thể bị khai thác thông qua lỗ hổng HeartBleed (trái tim rỉ máu) tại Việt Nam?

=> Shodan hoàn toàn hợp pháp và không vi phạm luật. Về bản chất, shodan chỉ thu thập dữ liệu đã có sẵn trên internet và shodan chỉ đơn giản là báo cáo những gì nó tìm thấy. Tuy nhiên, người sử dụng có thể phạm pháp nếu như sử dụng những thông tin từ Shodan một cách bừa bãi, không kiểm soát!

Tác giả: Hoàng Đức Hoan – VSEC

TECHFEST 2023: The Vietnam-Japan Autumn School on Cyber Security

VSEC - BLOG Sự kiện

The Vietnam-Japan Autumn School on Cyber Security do Học viện Kỹ thuật Mật mã và Viện Khoa học và Công nghệ tiên tiến Nhật Bản phối hợp cùng Làng An toàn An ninh thông tin do VSEC là trưởng làng tổ chức định kỳ mỗi năm một lần dành cho sinh viên và học viên cao học. Nhà trường tạo ra một diễn đàn để cán bộ, giảng viên trao đổi các vấn đề nghiên cứu hiện tại cũng như các đề tài nghiên cứu khoa học tiềm năng. Nó cũng tạo cơ hội cho sinh viên học tập với các giáo sư và chuyên gia trong lĩnh vực trí tuệ nhân tạo và an ninh mạng. The Vietnam-Japan Autumn School on Cyber Security thu hút sự tham gia của các chuyên gia hàng đầu từ cả Việt Nam và Nhật Bản, cùng với sự hiện diện của các giáo sư và chuyên gia nổi tiếng trong lĩnh vực trí tuệ nhân tạo và an ninh mạng. Điều này tạo ra cơ hội học tập và trao đổi kinh nghiệm quý báu cho các sinh viên tham gia sự kiện.

1.Thời gian và địa điểm
  • Thời gian dự kiến: 3 ngày (15, 16, 17/10 – 2023).

  • Địa điểm: Tại Học viện Kỹ thuật Mật mã, 141 Chiến Thắng, Tân Triều, Thanh Trì, Hà Nội.

  • Link đăng ký: TẠI ĐÂY
2. Diễn giả

3. Lịch trình sự kiện

Ngày 1: Chủ nhật ngày 15 tháng 10 năm 2023

Thời gian Đề tài Diễn giả Vị trí
8:00 sáng – 9:00 sáng Đánh giá thiệt hại vùng bị ảnh hưởng bởi thiên tai bằng Radar khẩu độ tổng hợp Giáo sư Hidetomi Gokon Hội trường Học viện Kỹ thuật Mật mã
9:00 sáng – 10:00 sáng Kỹ thuật phần mềm đáp ứng Trí tuệ nhân tạo tại Phân tích phần mềm độc hại Giáo sư Mizuhito Ogawa Hội trường Học viện Kỹ thuật Mật mã
10:15 sáng – 11:15 sáng Khảo sát về hệ sinh thái ransomware Giáo sư Jean-Yves Marion Hội trường Học viện Kỹ thuật Mật mã
1:30 chiều – 2:30 chiều Ứng dụng kỹ thuật xác minh và tổng hợp chương trình vào bảo mật, từ không can thiệp đến ReDoS Giáo sư TachioTerauchi Hội trường Học viện Kỹ thuật Mật mã
2:30 chiều – 3:30 chiều Mật mã hậu lượng tử Giáo sư Eiichiro Fujisaki Hội trường Học viện Kỹ thuật Mật mã
3:45 chiều – 4:45 chiều Một cách tiếp cận điểm bằng chứng để xác minh chính thức giao thức bảo mật Giáo sư Kazuhiro Ogata Hội trường Học viện Kỹ thuật Mật mã

Ngày 2: Thứ Hai ngày 16 tháng 10 năm 2023

Thời gian Đề tài Diễn giả Vị trí
8:00 sáng – 9:00 sáng Khảo sát về hệ sinh thái ransomware Giáo sư Jean-Yves Marion Hội trường Học viện Kỹ thuật Mật mã
9:00 sáng – 10:00 sáng Đánh giá thiệt hại vùng bị ảnh hưởng bởi thiên tai bằng Radar khẩu độ tổng hợp Giáo sư Hidetomi Gokon Hội trường Học viện Kỹ thuật Mật mã
10:15 sáng – 11:15 sáng Kỹ thuật phần mềm đáp ứng Trí tuệ nhân tạo tại Phân tích phần mềm độc hại Giáo sư Mizuhito Ogawa Hội trường Học viện Kỹ thuật Mật mã
1:30 chiều – 2:30 chiều Một cách tiếp cận điểm bằng chứng để xác minh chính thức giao thức bảo mật Giáo sư Kazuhiro Ogata Hội trường Học viện Kỹ thuật Mật mã
2:30 chiều – 3:30 chiều Ứng dụng kỹ thuật xác minh và tổng hợp chương trình vào bảo mật, từ không can thiệp đến ReDoS Giáo sư TachioTerauchi Hội trường Học viện Kỹ thuật Mật mã
3:45 chiều – 4:45 chiều Mật mã hậu lượng tử Giáo sư Eiichiro Fujisaki Hội trường Học viện Kỹ thuật Mật mã
Ngày 3: Thứ Ba ngày 17 tháng 10 năm 2023
Thời gian Đề tài Diễn giả Vị trí
8:00 sáng – 9:00 sáng Kỹ thuật phần mềm đáp ứng Trí tuệ nhân tạo tại Phân tích phần mềm độc hại Giáo sư Mizuhito Ogawa Hội trường Học viện Kỹ thuật Mật mã
9:00 sáng – 10:00 sáng Khảo sát về hệ sinh thái ransomware Giáo sư Jean-Yves Marion Hội trường Học viện Kỹ thuật Mật mã
10:15 sáng – 11:15 sáng Đánh giá thiệt hại vùng bị ảnh hưởng bởi thiên tai bằng Radar khẩu độ tổng hợp Giáo sư Hidetomi Gokon Hội trường Học viện Kỹ thuật Mật mã
1:30 chiều – 2:30 chiều Mật mã hậu lượng tử Giáo sư Eiichiro Fujisaki Hội trường Học viện Kỹ thuật Mật mã
2:30 chiều – 3:30 chiều Một cách tiếp cận điểm bằng chứng để xác minh chính thức giao thức bảo mật Giáo sư Kazuhiro Ogata Hội trường Học viện Kỹ thuật Mật mã
3:45 chiều – 4:45 chiều Ứng dụng kỹ thuật xác minh và tổng hợp chương trình vào bảo mật, từ không can thiệp đến ReDoS Giáo sư TachioTerauchi Hội trường Học viện Kỹ thuật Mật mã

Chính sách bảo mật dữ liệu cá nhân

Uncategorized
  • Nguyên tắc chung
    • 1.1
      Chính Sách Bảo Mật Dữ Liệu Cá Nhân này (“Chính Sách Bảo Mật”) mô tả cách thức Công ty cổ phần an ninh mạng Việt Nam (“Công Ty”) thu thập, ghi, phân tích, xác nhận, lưu trữ, chỉnh sửa, công khai, kết hợp, truy cập, truy xuất, thu hồi, mã hóa, giải mã, sao chép, chia sẻ, truyền đưa, cung cấp, chuyển giao, xóa, hủy dữ liệu cá nhân hoặc các hành động khác có liên quan đến dữ liệu cá nhân của Khách Hàng (sau đây gọi chung là “Xử Lý”) khi Khách Hàng (i) mua sắm sản phẩm/hàng hóa, sử dụng dịch vụ, tiện ích tại địa điểm kinh doanh của Công Ty, (ii) truy cập, sử dụng các kênh tương tác thuộc quyền sở hữu, sử dụng hoặc quản lý của Công Ty, bao gồm nhưng không giới hạn ứng dụng di động, website vsec.com.vn và các trang mạng xã hội (như Facebook, Instagram, Twitter, Zalo…) và kênh chăm sóc Khách Hàng (như điện thoại, email hoặc phương tiện khác để liên hệ, trao đổi với Khách Hàng) (sau đây gọi chung là “Kênh Tương Tác”), hoặc (iii) tham gia các chương trình do Công Ty tổ chức hoặc các chương trình khác do Công ty tổ chức và triển khai tùy từng thời điểm) (“Chương Trình”) (sau đây gọi chung là (“Dịch Vụ”). Để làm rõ, dữ liệu cá nhân được hiểu là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự trên môi trường điện tử gắn liền với một con người cụ thể hoặc giúp xác định một con người cụ thể.
    • 1.2
      Công Ty đề cao, tôn trọng quyền riêng tư, bảo mật và an toàn dữ liệu cá nhân của Khách Hàng. Công Ty sẽ luôn nỗ lực bảo vệ dữ liệu cá nhân, quyền riêng tư của Khách Hàng thông qua các biện pháp bảo vệ dữ liệu cá nhân phù hợp với quy định của pháp luật Việt Nam và thỏa thuận giữa Công Ty với Khách Hàng và/hoặc bên thứ ba.
    • 1.3
      Chính Sách Bảo Mật là một phần các điều khoản và điều kiện chung của giao dịch mà Khách Hàng xác lập với Công Ty. Do đó, Khách Hàng lưu ý đọc kỹ tất cả điều khoản điều kiện trong Chính Sách Bảo Mật này và thường xuyên kiểm tra website của chúng tôi để cập nhật bất kỳ thay đổi nào mà Công Ty có thể thực hiện theo Chính Sách Bảo Mật của Công Ty. Nếu Khách Hàng chưa đủ 15 tuổi, vui lòng đảm bảo đã có sự đồng ý của cha, mẹ hoặc người giám hộ hợp pháp đối với việc cung cấp các dữ liệu cá nhân của Khách Hàng cho Công Ty và cho phép Công Ty xử lý dữ liệu cá nhân đó của mình; và người đồng ý và chấp thuận sẽ chịu ràng buộc theo Chính Sách Bảo Mật này và chịu trách nhiệm đối với hành vi của người chưa đủ 15 tuổi do mình giám hộ hợp pháp. Công Ty có quyền từ chối Khách Hàng dưới 15 tuổi tiếp cận các Kênh Tương Tác hoặc cung cấp Dịch Vụ liên quan trong trường hợp có căn cứ rằng Khách Hàng là cá nhân chưa đủ 15 tuổi chưa có được sự đồng ý và chấp thuận nói trên từ cha, mẹ hoặc người giám hộ hợp pháp.
    • 1.4
      Trong trường hợp Khách Hàng cung cấp cho Công Ty thông tin của bên thứ ba, Khách Hàng cam đoan và bảo đảm rằng Khách Hàng có và đã được sự đồng ý và chấp thuận của bên thứ ba đó và các chấp thuận khác theo quy định của pháp luật đối với việc Khách Hàng cung cấp dữ liệu cá nhân cho Công Ty và đối với việc Công Ty sử dụng các dữ liệu cá nhân đó theo quy định tại Chính Sách Bảo Mật này.
  • Xử Lý Dữ Liệu Cá Nhân
    • 2.1
      Các loại dữ liệu cá nhân mà Công Ty thu thậpĐể Công Ty có thể cung cấp Dịch Vụ hoặc xử lý các yêu cầu của Khách Hàng, Công Ty cần phải và/hoặc được yêu cầu phải thu thập dữ liệu cá nhân của Khách Hàng. Danh mục dữ liệu cá nhân có thể được thay đổi tùy thuộc từng Dịch Vụ hoặc từng thời điểm.

      • Dữ liệu cá nhân cơ bản bao gồm:
        • Họ, chữ đệm và tên khai sinh, tên gọi khác (nếu có);
        • Ngày, tháng, năm sinh; ngày, tháng, năm chết hoặc mất tích;
        • Giới tính;
        • Nơi sinh, nơi đăng ký khai sinh, nơi thường trú, nơi tạm trú, nơi ở hiện tại, quê quán, địa chỉ liên hệ;
        • Quốc tịch;
        • Hình ảnh của cá nhân (bao gôm cả hình ảnh, thông tin có được từ các hệ thống camera an ninh);
        • Số điện thoại, số chứng minh nhân dân, số định danh cá nhân, số hộ chiếu, số giấy phép lái xe, số biển số xe, số mã số thuế cá nhân, số bảo hiểm xã hội, số thẻ bảo hiểm y tế;
        • Tình trạng hôn nhân;
        • Thông tin về mối quan hệ gia đình (cha mẹ, con cái);
        • Thông tin về tài khoản số của cá nhân; dữ liệu cá nhân phản ánh hoạt động, lịch sử hoạt động trên không gian mạng;
        • Các thông tin khác giúp xác định Khách Hàng mà không thuộc dữ liệu cá nhân nhạy cảm theo quy định tại Chính Sách Bảo Mật này.
      • Dữ liệu cá nhân nhạy cảm bao gồm:
        • Quan điểm chính trị, quan điểm tôn giáo;
        • Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
        • Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
        • Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
        • Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
        • Thông tin về đời sống tình dục, xu hướng tình dục của cá nhân;
        • Dữ liệu về tội phạm, hành vi phạm tội được thu thập, lưu trữ bởi các cơ quan thực thi pháp luật;
        • Thông tin Khách Hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài, tổ chức cung ứng dịch vụ trung gian thanh toán, các tổ chức được phép khác, gồm: thông tin định danh Khách Hàng theo quy định của pháp luật, thông tin về tài khoản, thông tin về tiền gửi, thông tin về tài sản gửi, thông tin về giao dịch, thông tin về tổ chức, cá nhân là bên bảo đảm tại tổ chức tín dụng, chi nhánh ngân hàng, tổ chức cung ứng dịch vụ trung gian thanh toán;
        • Dữ liệu về vị trí của cá nhân được xác định qua dịch vụ định vị;
        • Dữ liệu cá nhân khác được pháp luật quy định là đặc thù và cần có biện pháp bảo mật cần thiết.
      • Dữ liệu liên quan đến website hoặc ứng dụng bao gồm:
        • Dữ liệu kỹ thuật (như địa chỉ IP, hệ điều hành, loại trình duyệt, cài đặt trình duyệt, cài đặt ngôn ngữ, ngày và giờ kết nối với website, thống kê sử dụng ứng dụng, cài đặt ứng dụng, ngày và giờ kết nối với ứng dụng và thông tin liên lạc kỹ thuật khác);
        • Tên tài khoản, mật khẩu;
        • Chi tiết đăng nhập bảo mật và dữ liệu sử dụng;
        • Dữ liệu khác liên quan đến website hoặc ứng dụng mà Công Ty thu thập được từ hoạt động mà Khách Hàng thực hiện trong phạm vi Dịch Vụ.
      • Cookies bao gồm:
        • Tập tin cookie;
        • Tập tin chỉ báo (web beacon);
        • Công cụ định danh quảng cáo;
        • Các phương pháp khác có liên quan đến việc sử dụng Kênh Tương Tác để nhận diện trình duyệt hoặc thiết bị của Khách Hàng hoặc để tìm hiểu thêm về sở thích, thói quen, xu hướng của Khách Hàng.
    • 2.2
      Mục đích Xử Lý dữ liệu cá nhân của Khách HàngCông Ty có thể Xử Lý dữ liệu cá nhân của Khách Hàng cho các mục đích dưới đây:

      • Cung cấp, duy trì và cải thiện Dịch Vụ:
        • Quản lý, vận hành và cung cấp các sản phẩm, dịch vụ, tiện ích, khuyến mại, ưu đãi cho Khách Hàng;
        • Xác thực danh tính, xác nhận giao dịch của Khách Hàng;
        • Thông báo cho Khách Hàng về những thay đổi đối với Dịch Vụ;
        • Cho phép tương tác giữa các Khách Hàng, giữa Khách Hàng với Công Ty hay giữa Khách Hàng với các đối tác Công Ty;
        • Thực hiện các hoạt động nội bộ cần thiết để cung cấp Dịch Vụ, bao gồm khắc phục các lỗi phần mềm và sự cố vận hành;
        • Liên lạc, hỗ trợ liên lạc với Khách Hàng và xử lý các yêu cầu hợp lệ của Khách Hàng liên quan đến Dịch Vụ.
        • Xử lý khiếu nại, tranh chấp có liên quan đến Dịch Vụ.
      • Nghiên cứu phát triển, tiếp thị và quảng bá:
        • Tiến hành các hoạt động nghiên cứu, phân tích, thử nghiệm và phát triển bao gồm nhưng không giới hạn phân tích dữ liệu, khảo sát, phát triển sản phẩm và dịch vụ và/hoặc tạo hồ sơ, thiết kế chân dung Khách Hàng để phân tích xu hướng Khách Hàng tiến hành các hoạt động trên các nền tảng của Công Ty, cải tiến các Dịch Vụ để nâng cao chất lượng, trải nghiệm của Khách Hàng, phát triển các tính năng, sản phẩm và dịch vụ mới, hướng tới đáp ứng tốt hơn các nhu cầu của Khách Hàng;
        • Truyền thông, quảng cáo, giới thiệu các sản phẩm, dịch vụ, tiện ích, khuyến mại, ưu đãi của Công Ty hoặc đối tác Công Ty tới Khách Hàng.
      • Tuân thủ nghĩa vụ pháp lý:

        Công Ty có nghĩa vụ pháp lý để thu thập, sử dụng hoặc lưu trữ dữ liệu cá nhân của Khách Hàng trong một số trường hợp nhất định, bao gồm khi được yêu cầu, được tư vấn, đề nghị bởi bất kỳ quy định pháp luật, văn bản dưới luật, văn bản; hoặc yêu cầu của chính phủ hay các cơ quan có thẩm quyền tại địa phương hoặc nước ngoài, yêu cầu của cơ quan nhà nước có thẩm quyền bao gồm nhưng không giới hạn nghĩa vụ công bố thông tin, báo cáo theo quy định pháp luật về khuyến mại, lưu trữ hồ sơ, kiểm toán, điều tra; và/hoặc nhằm mục đích giải quyết khiếu nại hoặc tranh chấp; tuân thủ các quyết định của tòa án hoặc trọng tài, văn bản hoặc yêu cầu của chính phủ hoặc quy định khác; thực thi điều khoản, điều kiện hoặc các thỏa thuận khác; và bảo vệ quyền hoặc tài sản của Công Ty trong trường hợp có khiếu nại hoặc tranh chấp.

      • Phòng chống gian lận, quản lý rủi ro và đảm bảo an toàn, an ninh:
        • Bảo vệ, ngăn chặn, xác định hành vi gian lận, lừa đảo, trục lợi, giả mạo, đánh cắp danh tính, tài khoản Khách Hàng và các hoạt động bất hợp pháp khác;
        • Phục vụ mục đích phòng, chống rửa tiền, chống tài trợ khủng bố, tuân thủ cấm vận hoặc gửi cho cơ quan nhà nước có thẩm quyền theo quy định từng thời kỳ;
        • Đoạn phim của máy quay giám sát (CCTV) tại địa điểm kinh doanh có thể được sử dụng cho các mục đích sau đây: (i) cho các mục đích đảm bảo chất lượng; (ii) cho mục đích an ninh công cộng và an toàn lao động; (iii) phát hiện và ngăn chặn việc sử dụng đáng ngờ, không phù hợp hoặc không được phép của các tiện ích, sản phẩm, dịch vụ; (iv) phát hiện và ngăn chặn hành vi phạm tội; và/hoặc (v) phục vụ hoạt động điều tra theo yêu cầu của cơ quan nhà nước có thẩm quyền.
      • Mục đích khác:

        Theo mục đích khác mà Công Ty thông báo cho Khách Hàng và được Khách Hàng đồng ý hoặc pháp luật liên quan có quy định cho phép.

    • 2.3
      Thu thập dữ liệu cá nhân của Khách HàngCông ty có thể thu thập trực tiếp hoặc gián tiếp dữ liệu cá nhân từ Khách Hàng, bao gồm nhưng không giới hạn:

      • Thông qua quan hệ được thiết lập giữa Công Ty và Khách Hàng trong quá trình thực hiện Dịch Vụ.
      • Từ bên thứ ba có quan hệ với Khách Hàng mà được Khách Hàng đồng ý cho phép thu thập, chia sẻ, cung cấp hoặc chuyển dữ liệu cá nhân của Khách Hàng.
      • Từ các cơ quan nhà nước có thẩm quyền theo quy định pháp luật;
      • Từ nguồn thông tin khác được Khách Hàng đồng ý hoặc pháp luật hiện hành cho phép.
    • 2.4
      Cung cấp, chia sẻ dữ liệu cá nhân của Khách HàngDữ liệu cá nhân của Khách Hàng là một phần quan trọng trong hoạt động của Công Ty, và chúng tôi không mua, bán dữ liệu cá nhân của Khách Hàng cho một bên khác. Công Ty chỉ chia sẻ dữ liệu cá nhân Khách Hàng, trong phạm vi cần thiết, với các đối tượng như được nêu dưới đây, theo Chính Sách Bảo Mật này. Các bên được chia sẻ dữ liệu cá nhân của Khách Hàng phải cam kết tuân thủ nghiêm ngặt các quy định của pháp luật và các quy định liên quan tại Chính Sách Bảo Mật này.

      • Nhân viên của Công Ty phục vụ cho các mục đích nêu tại Chính Sách Bảo Mật này;
      • Đối tác theo yêu cầu hoặc xác nhận của Khách Hàng, thông qua bất kỳ hình thức các phương tiện điện tử trên các Kênh Tương Tác hoặc các hình thức khác. Ví dụ, khi Khách Hàng yêu cầu một dịch vụ thông qua đối tác Công Ty hoặc tham gia chương trình khuyến mại, hưởng ưu đãi do đối tác Công Ty cung cấp, Khách Hàng đồng thời cũng đồng ý rằng Công Ty có thể chia sẻ dữ liệu cá nhân của Khách Hàng với các đối tác đó;
      • Công ty mẹ, công ty con, công ty liên kết của Công Ty hoặc thuộc nhóm công ty mà Công Ty là thành viên;
      • Cố vấn, chuyên gia, đại lý, đối tác, nhà thầu của đối tác, nhà cung cấp dịch vụ mà Công Ty đã có thỏa thuận về nghĩa vụ bảo mật dữ liệu cá nhân của Khách Hàng nhằm phục vụ các mục đích nêu tại Chính Sách Bảo Mật này. Chúng tôi xin làm rõ rằng nhằm phục vụ cho mục đích Xử Lý dữ liệu cá nhân của Khách hàng theo Chính Sách Bảo Mật này, dữ liệu cá nhân của Khách Hàng có thể được chúng cung cấp, chia sẻ và chuyển dữ liệu cá nhân của Khách Hàng đến nhà cung cấp dịch vụ nằm ngoài lãnh thổ Việt Nam hoặc được Xử Lý bởi các hệ thống tự động nằm ngoài lãnh thổ Việt Nam. Khi thực hiện việc chuyển dữ liệu cá nhân của Khách Hàng ra nước ngoài, chúng tôi sẽ yêu cầu bên tiếp nhận dữ liệu cá nhân của Khách Hàng thực hiện các biện pháp bảo mật, an toàn thông tin theo quy định pháp luật;
      • Người bán hoặc người mua tiềm năng và/hoặc đại diện của họ trong trường hợp Công Ty thực hiện việc mua, bán, sáp nhập, hoặc chuyển nhượng tất cả hoặc một phần doanh nghiệp hoặc tài sản của Công Ty.
      • Cơ quan nhà nước có thẩm quyền;
      • Trong các trường hợp khác, Khách Hàng sẽ nhận được thông báo khi dữ liệu cá nhân của Khách Hàng có thể được chia sẻ với bên thứ ba và Khách Hàng sẽ có quyền không chấp thuận việc chia sẻ dữ liệu cá nhân này.
    • 2.5
      Bảo vệ dữ liệu cá nhân của Khách Hàng

      • Công Ty cam kết Xử Lý dữ liệu cá nhân của Khách Hàng một cách an toàn, bảo mật và đảm bảo các quyền của Khách Hàng đối với hoạt động Xử Lý dữ liệu cá nhân theo quy định pháp luật hiện hành.
      • Công Ty sẽ nỗ lực thực hiện các biện pháp để bảo vệ dữ liệu cá nhân của Khách Hàng, bao gồm biện pháp bảo mật kỹ thuật và tổ chức thích hợp cùng các biện pháp khác để phòng ngừa, phát hiện, ngăn chặn, xử lý hành vi vi phạm liên quan đến dữ liệu cá nhân theo quy định của pháp luật.
      • Công Ty lưu ý rằng hoạt động trên không gian mạng luôn tồn tại rủi ro như gian lận, giả mạo, lừa đảo, sự tấn công hoặc xâm nhập trái phép của tin tặc (hacker), và theo đó Công Ty không thể đảm bảo tuyệt đối rằng dữ liệu cá nhân của Khách Hàng được chia sẻ bằng Internet sẽ luôn được bảo mật. Khi Khách Hàng sử dụng Internet để truyền tải dữ liệu cá nhân, Khách Hàng chỉ nên sử dụng các hệ thống an toàn để truy cập website, ứng dụng hoặc thiết bị. Khách Hàng có trách nhiệm bảo mật tài khoản, mật khẩu, thông tin xác thực truy cập của mình cho từng website, ứng dụng hoặc thiết bị an toàn và bí mật.
  • Quyền và nghĩa vụ của Khách Hàng liên quan đến dữ liệu cá nhân của Khách Hàng mà Công Ty thu thập
    • 3.1
      Khách Hàng có các quyền sau đây theo quy định tại Điều 9 Nghị định 13/2023/NĐ-CP ngày 17/04/2023 của Chính phủ về bảo vệ dữ liệu cá nhân (được hướng dẫn, sửa đổi, bổ sung, thay thế tại từng thời điểm):

      • Quyền được biết;
      • Quyền đồng ý;
      • Quyền truy cập;
      • Quyền rút lại sự đồng ý;
      • Quyền xóa dữ liệu;
      • Quyền cung cấp dữ liệu;
      • Quyền phản đối xử lý dữ liệu;
      • Quyền khiếu nại, tố cáo, khởi kiện;
      • Quyền yêu cầu bồi thường thiệt hại;
      • Quyền tự bảo vệ;
      • Các quyền có liên quan khác theo quy định của pháp luật.

      Khách Hàng có thể thực hiện các quyền của mình bằng cách liên hệ với Công Ty theo thông tin nêu tại Mục V của Chính Sách Bảo Mật để được hỗ trợ. Nhằm mục đích bảo mật, Khách Hàng có thể phải đưa ra yêu cầu của mình bằng văn bản hoặc sử dụng phương thức khác để chứng minh và xác thực danh tính của Khách Hàng.

    • 3.2
      Công Ty lưu ý rằng việc Khách Hàng rút lại sự đồng ý của mình, yêu cầu xóa và/hoặc thực hiện các quyền có liên quan khác đối với bất kỳ hoặc tất cả các dữ liệu cá nhân của Khách Hàng có thể ảnh hưởng đến giao dịch giữa Khách Hàng và Công Ty hoặc đối tác Công Ty. Theo đó, tùy trong từng trường hợp, Công Ty có thể xem xét và quyết định chấm dứt việc cung cấp các sản phẩm, dịch vụ, tiện ích, khuyến mại, ưu đãi của Công Ty và/hoặc đối tác Công Ty cho Khách Hàng.
    • 3.3
      Trong trường hợp Khách Hàng nhận thấy có hành vi xâm phạm hoặc vi phạm về xử lý dữ liệu cá nhân của mình, Khách Hàng có quyền yêu cầu Công Ty hỗ trợ xử lý, trong khả năng cho phép của Công Ty, nhằm ngăn chặn hoặc hạn chế tiết lộ dữ liệu cá nhân của Khách Hàng, trừ trường hợp luật có quy định khác.
  • Sửa đổi, bổ sung Chính Sách Bảo MậtCông Ty có quyền sửa đổi, cập nhật hoặc điều chỉnh các điều khoản của Chính Sách Bảo Mật này bất cứ lúc nào bằng cách công bố Chính Sách Bảo Mật cập nhật trên Kênh Tương Tác liên quan. Theo đó, chúng tôi khuyến nghị Khách Hàng nên truy cập và kiểm tra Kênh Tương Tác thường xuyên để cập nhật những thay đổi gần nhất. Việc Khách Hàng tiếp tục sử dụng Dịch Vụ sau khi có các sửa đổi, cập nhật hoặc điều chỉnh Chính Sách Bảo Mật này được xem là biểu thị sự chấp nhận các sửa đổi, cập nhật hoặc điều chỉnh đó.
  • Thông tin liên hệ Xử Lý dữ liệu cá nhân của Khách HàngNếu Khách Hàng có bất kỳ câu hỏi, yêu cầu, thắc mắc, khiếu nại nào liên quan đến dữ liệu cá nhân của Khách Hàng, vui lòng liên hệ với chúng tôi theo thông tin dưới đây (thông tin này có thể được thay đổi tùy từng thời điểm):

    Công ty Cổ phần An ninh mạng Việt Nam

    Địa chỉ: 206-02, tầng M, tòa N01A, Golden Land, 275 Nguyễn Trãi, Thanh Xuân, Hà Nội

    Tổng đài: 1800 2056

    Email: contact@vsec.com.vn

VSEC là MSSP duy nhất tại Việt Nam nằm trong Top 250 MSSPs toàn cầu do Cyberrisk Alliance công bố

VSEC - BLOG Nổi bật

Top 250 MSSPs năm 2023 là báo cáo nghiên cứu và xếp hạng thông qua cuộc khảo sát các MSSP trên toàn thế giới hàng năm lần thứ bảy của MSSP Alert được thực hiện từ tháng 4 cho đến tháng 8/2023. Theo báo cáo này, VSEC – Công ty Cổ phần An ninh mạng Việt Nam hiện là MSSP (Managed Security Service Provider) duy nhất của Việt Nam nằm trong danh sách 250 MSSP hàng đầu thế giới năm 2023, xếp hạng 154/250.

 

Nằm trong danh sách này đứng đầu là Deloitte của USA, tiếp theo là Telefonica Tech Inc, ECS Tech và Rapid 7 – Một trong các đối tác hàng đầu của VSEC tại Mỹ. Theo khảo sát các doanh nghiệp hoạt động trong lĩnh vực quản trị bảo mật chủ yếu nằm ở thị trường Châu Mỹ (66%), EMEA (17%) và Asia Pacific chỉ chiếm 5%.

Trong báo cáo tỷ lệ các cuộc tấn công an ninh mạng/sự cố bảo mật đã được các MSSP nhận diện hoặc kịp thời ngăn chặn giúp khách hàng trong năm 2023, cho thấy Phishing – Tấn công giả mạo vẫn là xu hướng/hình thức tấn công có tỷ trọng lớn nhất chiếm tới 95%, tiếp theo là các rủi ro từ các Lỗ hổng bảo mật (91%) và các Phần mềm độc hại (86%).

Báo cáo của MSSP Alert cũng chỉ ra tỷ lệ các nhà cung cấp dịch vụ quản trị bảo mật cung cấp dịch vụ Trung tâm Giám sát và Vận hành An toàn thông tin – SOC (Security Operation Center) đang vận hành theo mô hình SOC Completely in-house (hoàn toàn do nội bộ thực hiện) chủ yếu từ các MSSP lớn, trong khi các MSSP nhỏ hơn sẽ có xu hướng kết hợp hoặc thuê ngoài hoàn toàn mô hình SOC.

Xem báo cáo chi tiết tại ĐÂY

Đại diện VSEC cho biết mô hình SOC của VSEC được công nhận đáp ứng các tiêu chuẩn của CREST về SOC đầu tiên tại Việt Nam từ năm 2022, bên cạnh dịch vụ Đánh giá bảo mật (Penetration Testing). Đây là chứng nhận quốc tế quan trọng cho thấy chất lượng dịch vụ SOC cũng như Penetration Testing của VSEC được vận hành và đáp ứng được các tiêu chuẩn khắt khe trong cộng đồng an ninh mạng quốc tế.

Trong 20 năm hoạt động, VSEC được biết đến như là những người khai mở đầu tiên trong việc làm đánh giá bảo mật một cách bài bản từ năm 2003. Là đơn vị triển khai Trung tâm Cảnh báo An ninh thông tin đầu tiên tại Việt Nam và cũng là đơn vị bảo mật đầu tiên được thế giới biết đến khi lọt vào Top 6 Chung kết cuộc thi khởi nghiệp Start Jerusalem vào năm 2005. Việc nằm trong Top 250 MSSPs – Danh sách 250 Nhà cung cấp dịch vụ Quản trị Bảo mật hàng đầu thế giới tiếp tục khẳng định vai trò và năng lực của VSEC về việc Việt Nam hoàn toàn có thể mang đến các giải pháp, dịch vụ bảo mật có chất lượng tương đương thị trường nước ngoài.

 

Về CyberRisk Alliance:

CyberRisk Alliance là công ty hoạt động theo mô hình Kinh doanh thông minh hay còn gọi là trí tuệ doanh nghiệp (Business Intelligence) phục vụ cho cộng đồng an ninh mạng đang phát triển nhanh chóng và tăng trưởng cao nhằm cung cấp các thông tin, đào tạo và xây dựng cộng đồng cũng như truyền cảm hứng cho thị trường hoạt động một cách hiệu quả. Với các thông tin thu thập đáng tin cậy của CyberRisk Alliance bao gồm các nhà báo, nhà phân tích, những người có ảnh hưởng và các nhà hoạch định chính sách cũng như người thực hiện. Các thương hiệu CRA hiện có SC Media, Security Weekly, Channel E2E, MSSP Alert, InfoSec World, Identiverse, Cybersecurity Collaboration Forum, và các đơn vị nghiên cứu nằm trong hệ thống CRA Business Intelligence.

Nguồn: Theo MSSP Alert

Báo VNEconomy: https://vneconomy.vn/vsec-la-mssp-duy-nhat-tai-viet-nam-nam-trong-top-250-mssp-toan-cau-do-cyberrisk-alliance-cong-bo.htm

Penetration Testing và Vulnerability Assessment giống và khác gì nhau?

VSEC - BLOG Dành cho Chuyên gia kiểm thử

Trong vũ trụ từ điển về các hình thức đánh giá bảo mật thì Penetration Testing (Kiểm thử xâm nhập) và Vulnerability Assessment (Đánh giá lỗ hổng bảo mật) được coi là 2 kỹ thuật khá quen thuộc và điển hình hay được sử dụng nhiều nhất. Tuy về mặt chức năng, cách thức và kỹ thuật thực hiện có thể khác biệt nhưng về kết quả cuối cùng thì cả 2 hình thức này đều nhằm đến việc đánh gía được sức mạnh bảo mật của hệ thống.

Để làm rõ hơn cho doanh nghiệp trong việc lựa chọn hình thức đánh giá bảo mật nào phù hợp hơn cho mình, chúng tôi sẽ liệt kê một số điểm khác biệt cơ bản như bên dưới.

Thế nào là Vulnerability Assessment (Đánh giá lỗ hổng bảo mật) – Viết tắt là VA?

Đúng như tên gọi của nó, VA là hình thức đánh giá bảo mật mà thông qua hình thức này, doanh nghiệp có thể tìm ra được nhiều nhất các lỗ hổng có thể có. Bằng VA, tổ chức sẽ ứng phó được các cuộc tấn công mạng vào hệ thống nhờ vào việc nhận diện, phân loại và giải quyết các rủi ro bảo mật cùng hướng dẫn để giảm thiểu các rủi ro một cách tốt nhất.

Khuyến cáo: Đơn vị thực hiện VA có thể chưa có nhân sự chuyên môn hoặc hệ thống quản trị chưa được trang bị nhiều công cụ bảo mật, nhưng có thể đã xác định được mục tiêu rà soát các lỗ hổng trong hệ thống để có khuyến cáo phù hợp.

Hình thức VA cơ bản mà các đơn vị này thực hiện thường tập trung vào việc đánh giá bảo mật trên website, ứng dụng, … cho đến hạ tầng công nghệ thông tin của doanh nghiệp.

 

Tại sao cần đánh giá lỗ hổng bảo mật – Vulnerability Assessment?

Mọi chuyên gia an toàn thông tin đều khuyến nghị doanh nghiệp cần đánh giá VA càng sớm càng tốt vì hệ thống core value của doanh nghiệp cần được đảm bảo mức độ an toàn tối đa trước khi mở rộng hoặc nâng cấp theo tốc độ phát triển kinh doanh của đơn vị. Sau đây là 4 lý do cơ bản:

Thứ nhất, VA giúp xác định sớm các mối đe doạ và điểm yếu trong việc bảo mật hệ thống CNTT

Thứ hai, sau VA bộ phận CNTT sẽ cần cso các hành động khắc phục để thu hẹp các lỗ hổng và bảo vệ hệ thống thông tin nhạy cảm

Thứ ba, VA giúp doanh nghiệp áp dụng triển khai và đáp ứng các yêu cầu tuân thủ, và các quy định an ninh mạng hiện hành như HIPAA và PCI DSS

Thứ tư, VA giúp bảo vệ chống lại các vi phạm dữ liệu và truy cập trái phép

Chỉ khi doanh nghiệp có đội ngũ bảo mật hoặc quản trị thông tin chuyên biệt mới nên thực hiện Penetration Testing?

Không đúng hoàn toàn. Việc thực hiện Đánh giá kiểm thử thông qua các chuyên gia bảo mật sẽ là hình thức đánh giá đi khá sâu vào hệ thống CNTT của doanh nghiệp nhằm mục tiêu phát hiện ra những điểm yếu tiềm tàng và đánh giá được mức độ an toàn của hệ thống. Có nhiều mô hình và cách thức triển khai đánh giá bảo mật để doanh nghiệp lựa chọn để giảm thiểu rủi ro bẻ vỡ cấu trúc bảo mật của hệ thống như Pentest As A Service, Network Pentest, Web Application Pentest, Mobile Application Pentest, API Pentest, …

Trong đa số trường hợp, các doanh nghiệp cần kiểm tra năng lực phòng thủ của đội ngũ sẽ lựa chọn hình thức đánh giá bảo mật Penetration Testing thậm chí là Red Team (Đánh giá thâm nhập sâu) để kiểm tra khả năng của hệ thống lẫn trình độ chuyên môn của chính đội ngũ nhân sự.

Tuy nhiên, lựa chọn hình thức nào thì doanh nghiệp cũng đều cần đưa ra những mục tiêu rõ ràng, các nguyên tắc và giới hạn hình thức tấn công để đảm bảo quản trị được các rủi ro trong quá trình thực hiện đánh giá bảo mật.

IBM công bố đối tác chiến lược mới về bảo mật tại Việt Nam

Nổi bật

Hà Nội, ngày 25 tháng 8 năm 2023 – Tập đoàn công nghệ hàng đầu thế giới IBM đã chính thức công bố đối tác chiến lược mới trong lĩnh vực bảo mật tại sự kiện đầy mong đợi “IBM Security QRadar Suite – Dự đoán, ngăn chặn và ứng phó với các mối đe dọa An toàn thông tin và Truyền thông” diễn ra vào hôm nay tại Việt Nam. 

Sự kiện quan trọng “IBM Security QRadar Suite – Dự đoán, ngăn chặn và ứng phó với các mối đe dọa An toàn thông tin và Truyền thông” do IBM phối hợp cùng VSEC và nhà phân phối Tech Data tổ chức đã thu hút sự chú ý của các chuyên gia bảo mật, nhà quản lý rủi ro và lãnh đạo doanh nghiệp thuộc lĩnh vực Tài chính và Tập đoàn lớn tại Việt Nam. Trong bối cảnh ngày càng phức tạp và đa dạng của các mối đe dọa an toàn thông tin và truyền thông (ATTT), việc hợp tác đối tác chiến lược trong lĩnh vực bảo mật trở nên cấp bách hơn bao giờ hết. IBM đã chọn một đối tác uy tín và giàu kinh nghiệm để cùng hợp tác phát triển giải pháp bảo mật toàn diện, chất lượng cao nhằm đối phó hiệu quả với các mối đe doạ ATTT đang ngày càng tinh vi và phức tạp trong môi trường kỹ thuật số. 

Trung tâm giám sát điều hành an toàn, an ninh mạng (SOC) là một giải pháp hữu hiệu trong việc dự đoán, ngăn chặn và ứng phó với các mối đe dọa ATTT hiện tại trong doanh nghiệp, tổ chức. Theo số liệu thống kê, 63% tổ chức tìm kiếm cách thức cải thiện khả năng của SOC trong việc phát hiện và ngăn chặn. Thông qua việc cung cấp một nền tảng đồng nhất, đầy đủ các giải pháp công nghệ cần cho SOC, IBM Security QRadar Suite giúp các doanh nghiệp, tổ chức giải quyết bài toán về sự phức tạp trong công nghệ, giúp các kỹ sư tập trung chính vào hoạt động giám sát để đối phó với các mối nguy hiện đại. Dịch vụ giám sát điều hành an toàn, an ninh mạng trên nền tảng IBM Security Qradar Suite (hay còn gọi là Managed Qradar) là chìa khóa được VSEC cung cấp để giải quyết bài toán về Con người và Quy trình – thách thức rất lớn tại các tổ chức, doanh nghiệp hiện nay. 

Bà Ứng Thị Diệu Uyên – Giám đốc đối tác IBM, chia sẻ: ” IBM luôn tìm những đối tác có thể mang những dịch vụ “end to end” về an toàn thông tin, đặc biệt là trong lĩnh vực SOC tốt nhất và có đẳng cấp thế giới cho khách hàng. VSEC là một đơn vị lâu năm trong lĩnh vực MSSP như vậy. Quý khách có thể hoàn toàn tin tưởng 100% vào sự hợp tác của VSEC và IBM trong thời gian tới, sẽ mang đến những dịch vụ chất lượng để đảm bảo vệ an toàn thông tin cho doanh nghiệp của mình để ngày càng phát triển hơn”. 

Bà Ứng Thị Diệu Uyên – Giám đốc đối tác IBM (trái) và bà Phan Thị Hải Anh (phải) – Giám đốc Kinh doanh giải pháp IBM tại Tech Data trao hoa và kỷ niệm chương cho VSEC

Tại lễ công bố, ông Lê Đức Hợp – Giám đốc kinh doanh khu vực miền bắc Công ty Cổ phần An ninh mạng Việt Nam bày tỏ: “Trong quá trình phát triển của mình, VSEC không ngừng tìm kiếm các đối tác có thể cùng cộng hưởng giá trị với VSEC để đem lại giá trị dịch vụ tốt nhất và hiệu quả nhất cho khách hàng. Việc trở thành đối tác chiến lược của IBM sẽ khẳng định hơn vị thế của VSEC không chỉ trong thị trường Việt Nam mà còn trên thị trường quốc tế”. 

Có thể nói, sự kiện “IBM Security QRadar Suite” không chỉ giới thiệu các giải pháp tiên tiến, mà còn là nơi các chuyên gia và doanh nghiệp có cơ hội thảo luận, trao đổi và cập nhật kiến thức về tình hình bảo mật hiện tại và tương lai. 

Về IBM: 

IBM là một tập đoàn công nghệ toàn cầu định hình tương lai của doanh nghiệp thông qua việc kết nối thông tin, phân tích thông tin và ứng dụng trí tuệ nhân tạo để giải quyết các thách thức phức tạp của thế giới. Với hơn 100 năm kinh nghiệm, IBM đã và đang thúc đẩy sự đổi mới trong nhiều lĩnh vực, bao gồm công nghiệp, điều khiển giao thông, dược phẩm và năng lượng. IBM có mặt ở hơn 170 quốc gia trên toàn thế giới. 

 

Về VSEC: 

VSEC là Nhà cung cấp dịch vụ quản trị An toàn thông tin đầu tiên tại Việt Nam đạt được cả 2 chứng nhận quan trọng là CREST cho dịch vụ Trung tâm giám sát – vận hành An toàn thông tin và dịch vụ Đánh giá An toàn thông tin Pentest. Với 20 năm kinh nghiệm hoạt động trong lĩnh vực an ninh mạng, đã cung cấp dịch vụ ATTT cho hơn 1.000 tổ chức, doanh nghiệp trong nước và quốc tế, trong đó hơn 50% các ngân hàng tại Việt Nam đã lựa chọn sử dụng các dịch vụ bảo mật. 

Tại sao cần hợp tác với một nhà cung cấp dịch vụ kiểm thử xâm nhập đạt chứng nhận CREST?

Nổi bật Thông cáo - Tin tức VSEC - BLOG

Kiểm thử xâm nhập (Penetration Testing/Pentest) giúp doanh nghiệp tìm ra những điểm yếu, lỗ hổng trong hệ thống CNTT. Tuy nhiên, tiêu chí nào giúp doanh nghiệp biết được đơn vị cung cấp dịch vụ này đáng tin cậy và bảo mật trong chính quá trình thực hiện kiểm thử? Doanh nghiệp đạt chứng nhận quốc tế CREST có phải là lựa chọn tối ưu?

Một trong những cách hiệu quả nhất để đánh giá cũng như cải thiện tình hình bảo mật và khả năng phục hồi của các hệ thống doanh nghiệp trước các mối đe dọa hiện nay được ưa chuộng là hình thức kiểm thử xâm nhập (Penetration Testing/Pentest). Bằng việc mô phỏng các cuộc tấn công mạng có kiểm soát vào một tổ chức, pentesting có mục đích là xác định các lỗ hổng có khả năng bị những tin tặc ác ý khai thác.

Tuy nhiên, hiệu quả của hình thức kiểm thử này phụ thuộc rất nhiều vào khả năng chuyên môn của nhà cung cấp, và đây là lý do cho việc nên thuê một nhà cung cấp kiểm thử xâm nhập có chứng nhận CREST. Trong bài viết này, chúng ta sẽ cùng tìm hiểu tại sao các doanh nghiệp nên hợp tác với một nhà cung cấp dịch vụ bảo mật được CREST công nhận để đáp ứng nhu cầu kiểm thử xâm nhập của doanh nghiệp.

  1. CREST là gì? Tầm quan trọng của chứng nhận này trong ngành công nghiệp an ninh mạng?

CREST là một cơ quan kiểm định được quốc tế công nhận, nhằm xác thực khả năng, chuyên môn kỹ thuật và chất lượng dịch vụ cho các nhà cung cấp an ninh mạng và cá nhân hoạt động chuyên nghiệp trong lĩnh vực này.

CREST được thành lập từ năm 2006, có trụ sở tại Anh Quốc, ban đầu được biết đến là Council of Registered Ethical Security Testers (Hội đồng Các Chuyên Gia Kiểm Thử Bảo Mật Chân chính Đã Được Đăng Ký). Đây là một tổ chức chứng nhận phi lợi nhuận toàn cầu, đại diện cho ngành bảo mật thông tin kỹ thuật. CREST cung cấp một khung dịch vụ chuyên nghiệp được công nhận trong lĩnh vực an ninh mạng, đặc biệt là trong lĩnh vực kiểm thử xâm nhập. CREST đã và đang đặt ra một tiêu chuẩn vàng mới trong ngành công nghiệp an ninh mạng, đó là thiết lập một khung chương trình về trình độ và hành vi đạo đức mà tất cả các thành viên được chứng nhận đều phải tuân thủ. Để đạt được chứng nhận CREST, các nhà cung cấp dịch vụ an ninh mạng phải vượt qua một quy trình đánh giá nghiêm ngặt. Quy trình này bao gồm việc đánh giá kỹ càng các thủ tục kinh doanh và nhân sự, các phương pháp tư vấn và tiêu chuẩn cung cấp dịch vụ, cũng như các biện pháp bảo mật của nhà cung cấp. Điều này giúp tăng độ tin cậy, tính nhất quán và hiệu quả của các dịch vụ đối với nhà cung cấp khi đã đạt được chứng nhận của CREST.

Tổ chức này có hai loại chứng nhận khác nhau, dành cho cả nhà cung cấp và cá nhân cung cấp dịch vụ. Các lĩnh vực mà CREST chứng nhận bao gồm kiểm thử xâm nhập, ứng phó sự cố thông tin về mối đe dọa, đánh giá lỗ hổng, kiểm thử xâm nhập dựa trên thông tin tình báo và Trung tâm Vận hành An ninh mạng (SOC).

  1. Lợi ích của việc hợp tác với một Công ty kiểm thử xâm nhập được CREST chứng nhận

Việc lựa chọn một nhà cung cấp kiểm thử xâm nhập được CREST chứng nhận sẽ mang lại nhiều lợi ích cho doanh nghiệp của bạn, bao gồm: Chất lượng dịch vụ được đảm bảo; Chuyên môn kỹ thuật tiêu chuẩn quốc tế; Nâng cao sự hài lòng và niềm tin đối với khách hàng.

2.1. Chất lượng đảm bảo của dịch vụ kiểm thử xâm nhập

Bằng việc lựa chọn một nhà cung cấp dịch vụ bảo mật được chứng nhận kiểm thử xâm nhập CREST, các doanh nghiệp đã tự đảm bảo cho mình một thử nghiệm xâm nhập với chất lượng vượt trội.

Quy trình chứng nhận nghiêm ngặt mà CREST áp dụng vào các nhà cung cấp và các chuyên gia kiểm thử xâm nhập nhằm đảm bảo rằng họ duy trì các tiêu chuẩn cao nhất trong phương pháp thực hiện và cung cấp dịch vụ. Tiêu chuẩn nghiêm ngặt của CREST bao gồm các quy trình kiểm tra bảo mật tỉ mỉ, đi sâu vào cốt lõi của các lỗ hổng hệ thống, không bỏ sót bất cứ điều gì. Kết quả là một phương pháp kiểm thử xâm nhập toàn diện và hiệu quả, cho phép phân tích chuyên sâu và củng cố các điểm yếu.

Việc đảm bảo chất lượng này được áp dụng cho tất cả các lĩnh vực hoạt động của nhà cung cấp dịch vụ thuộc tổ chức CREST, không chỉ cung cấp các dịch vụ xuất sắc về mặt kỹ thuật mà đó còn là dịch vụ khách hàng tuyệt vời, giao tiếp chuyên nghiệp và các báo cáo được lưu trữ một cách cẩn thận.

2.2. Chuyên môn kỹ thuật tiêu chuẩn quốc tế

Một trong những yếu tố quan trọng phân biệt một nhà cung cấp dịch vụ bảo mật được chứng nhận bởi CREST là trình độ chuyên môn kỹ thuật cao mà họ sở hữu. Các đơn vị thành viên của CREST phải chứng minh rằng các chuyên gia bảo mật của họ không chỉ có kiến thức mà còn đứng đầu “cuộc chơi” về kỹ năng, kỹ thuật và sự nhạy bén trong ngành.

Theo trang đánh giá của CREST, cơ quan này cung cấp các kỳ thi chuyên nghiệp ở ba cấp độ khác nhau:

  • Kỳ thi cấp độ Thực hành viên CREST: Đây là các kỳ thi cơ bản dành cho các chuyên gia, và cá nhân đã làm việc trong lĩnh vực này trong khoảng 2.500 giờ, tương đương khoảng hai năm.
  • Kỳ thi đã đăng ký CREST: Đạt cấp độ này cho thấy bạn có chuyên môn trong công việc thuộc lĩnh vực kiểm thử an ninh thông tin. Theo như hướng dẫn, các chuyên gia tham gia kỳ thi này nên có ít nhất 6.000 giờ kinh nghiệm làm việc thường xuyên, tương đương khoảng ba năm hoặc hơn.
  • Kỳ thi cấp độ được Chứng nhận CREST: Kỳ thi này là mục tiêu cuối cùng của nhiều chuyên gia trong ngành, và dành cho những cá nhân có khoảng 10.000 giờ, tương đương năm đến sáu năm kinh nghiệm làm việc thường xuyên trong lĩnh vực an ninh mạng.

Điều này có nghĩa là khi bạn hợp tác với một nhà cung cấp dịch vụ kiểm thử xâm nhập đạt chứng nhận CREST, bạn đang có cơ hội tiếp cận với một đội ngũ chuyên gia hiểu biết sâu rộng về bối cảnh an ninh mạng. Những chuyên gia này sử dụng khả năng chuyên môn của họ để thực hiện việc kiểm thử xâm nhập nghiêm ngặt, xác định các lỗ hổng tiềm ẩn, phát hiện những rủi ro CNTT trong tổ chức của bạn và đề xuất các giải pháp phù hợp, hiệu quả nhằm tăng cường bảo mật cho hệ thống của bạn.

2.3. Nâng cao sự hài lòng và niềm tin đối với khách hàng.

Hợp tác với một nhà cung cấp dịch vụ kiểm thử xâm nhập đạt chứng nhận CREST cho các nhu cầu bảo mật mạng mang lại cho bạn mức tin tưởng và sự tự tin cao. Việc được CREST chứng nhận cho thấy cam kết tuân thủ đạo đức và tiêu chuẩn cao trong cung cấp dịch vụ, giúp bạn yên tâm khi đối diện với bối cảnh phức tạp của an ninh mạng.

Kết luận

Với bối cảnh các mối đe dọa liên tục biến đổi, doanh nghiệp phải chủ động tăng cường khả năng phòng thủ của mình. Chứng nhận CREST đại diện cho cam kết về sự xuất sắc trong lĩnh vực an ninh mạng. Bằng việc lựa chọn một Công ty thành viên CREST cho các dịch vụ an ninh mạng, doanh nghiệp được đảm bảo việc kiểm thử nghiêm ngặt, toàn diện, không để sót điểm nào. Hơn thế nữa, uy tín và sự tin cậy đi kèm với chứng nhận CREST sẽ góp phần tăng cường danh tiếng của doanh nghiệp và giúp củng cố niềm tin với các bên liên quan.

Về VSEC:

VSEC là Nhà cung cấp dịch vụ quản trị An toàn thông tin đầu tiên tại Việt Nam đạt được cả 2 chứng nhận quan trọng là CREST cho dịch vụ Trung tâm giám sát – vận hành An toàn thông tin và dịch vụ Đánh giá An toàn thông tin Pentest. Với 20 năm kinh nghiệm hoạt động trong lĩnh vực an ninh mạng, đã cung cấp dịch vụ ATTT cho hơn 1.000 tổ chức, doanh nghiệp trong nước và quốc tế, trong đó hơn 50% các ngân hàng tại Việt Nam đã lựa chọn sử dụng các dịch vụ bảo mật. 

VSEC cũng là thành viên, đối tác của các tổ chức bảo mật quốc tế như Black Panda, Recorded Future, Insights, Rapid7, Core Security, …, cùng với đội ngũ kỹ sư tâm huyết, có kinh nghiệm sở hữu hàng loạt chứng chỉ bảo mật quốc tế; VSEC đã tham gia vào nhiều dự án đóng góp lớn vào việc nghiên cứu, tìm ra nhiều lỗ hổng bảo mật của các hãng phần mềm lớn trên thế giới như: WordPress, Adobe, ManageEngine… 

Nguồn: Tổng hợp bài viết từ Ewelina Baran, title “Why should hire a CREST Penetration Testing Provider”

Thông cáo báo chí: VSEC chính thức ra mắt Dịch vụ Kiểm thử xâm nhập sâu

Thông cáo - Tin tức Nổi bật

Ngày 18/4 Công ty Cổ phần An ninh mạng Việt Nam VSEC ra mắt dịch vụ Kiểm thử xâm nhập sâu Red Team – đánh giá bảo mật dựa trên việc thực hiện hành vi tấn công bằng mọi cách nhằm xâm nhập vào hệ thống của doanh nghiệp như một tội phạm mạng.

Theo định nghĩa của Computer Security Resource Center, NIST: Red Team là một nhóm được cấp quyền và tổ chức để mô phỏng một cuộc tấn công của đối thủ tiềm năng hoặc các khả năng khai thác chống lại một hệ thống an toàn thông tin của doanh nghiệp. Mục tiêu của Red Team là cải thiện an toàn thông tin mạng cho doanh nghiệp bằng việc minh họa các tác động của các cuộc tấn công thành công và minh họa những gì thực sự hoạt động cho đội ngũ phòng thủ (Blue Team) trong một môi trường hoạt động.

Đội ngũ chuyên gia của VSEC đã thành công trong việc nghiên cứu, tìm kiếm các lỗ hổng Zero day (những lỗ hổng phần mềm hoặc phần cứng chưa được biết đến và chưa được khắc phục) từ những phần mềm phổ biến nhất như WordPress, Joomla, … cho đến các ứng dụng, hệ thống của các gã khổng lồ công nghệ như Microsoft,  Oracle, … đều đạt điểm CVSS cao.

Theo đại diện VSEC, chính thức công bố cung cấp dịch vụ Kiểm thử xâm nhập sâu – Red Team đồng nghĩa với việc tại thời điểm hiện tại VSEC có đầy đủ năng lực về công nghệ, đội ngũ có chứng chỉ tiêu chuẩn quốc tế và kinh nghiệm thực tế tham gia vào việc đánh giá bảo mật uy tín, đáp ứng được mọi nhu cầu của mọi tổ chức, doanh nghiệp trong và ngoài nước.

“Tại Việt Nam, không nhiều doanh nghiệp, tổ chức tự tin sử dụng Red Team vì còn e ngại về năng lực của đơn vị cung cấp trong nước cũng như rủi ro trong vấn đề dữ liệu. Việc VSEC chính thức công bố dịch vụ Kiểm thử xâm nhập sâu Red Team 2023 với phiên bản đầy đủ “Red Team full version” sẽ mang lại cái nhìn mới về năng lực bảo mật của các chuyên gia Việt Nam, hoàn toàn đáp ứng được những tiêu chuẩn quốc tế cao nhất”, ông Trương Đức Lượng, Chủ tịch HĐQT VSEC chia sẻ.

 

VSEC là nhà cung cấp dịch vụ Quản trị An toàn thông tin MSSP (Managed Security Service Provider) tiêu chuẩn quốc tế hoạt động từ năm 2003. Các dịch vụ của VSEC đáp ứng nhu cầu của tất cả các tổ chức và doanh nghiệp bất kể quy mô hay sự phức tạp của hệ thống hạ tầng công nghệ thông tin. VSEC đạt chứng nhận CREST (Tổ chức thẩm định, đánh giá và công nhận tiêu chuẩn dịch vụ An toàn thông tin của Anh Quốc) cho dịch vụ Đánh giá bảo mật Penetration Testing và SOC (Security Operation Center) năm 2021, 2022.

Trong suốt 20 năm hoạt động, VSEC công bố đã phục vụ hơn 500 doanh nghiệp và tổ chức chính phủ. Là thành viên của các hiệp hội, tổ chức trong và ngoài nước như VNCert – Mạng lưới ứng cứu sự cố quốc gia, VNISA – Hiệp hội An toàn thông tin VN, Bộ tư lệnh 86, FS-ISAC (The Financial Services Information Sharing and Analysis Center), Blackpanda, RAPID7, Affinitas Global, CoreSecurity, RecordedFuture, …

Download thông cáo: TẠI ĐÂY

Xem thêm tại:

  • Báo Vietnamnet: https://vietnamnet.vn/vsec-trien-khai-dich-vu-bao-mat-chuyen-sau-cho-doanh-nghiep-2133969.html
  • Báo Dân trí: https://dantri.com.vn/suc-manh-so/ra-mat-dich-vu-kiem-thu-xam-nhap-sau-red-team-20230419160124678.htm
  • Báo Mới: https://baomoi.com/vsec-trien-khai-dich-vu-bao-mat-chuyen-sau-cho-doanh-nghiep/c/45589171.epi
  • Báo Thanh niên: https://thanhnien.vn/vsec-trien-khai-dich-vu-danh-gia-phuong-thuc-bao-mat-chuyen-sau-185230417172647058.htm
  • Báo Nhịp sống số: https://nss.vn/vsec-hien-da-cung-cap-dich-vu-kiem-thu-xam-nhap-sau-red-team-28258.htm

Thông cáo báo chí: Vsec là Nhà cung cấp dịch vụ quản trị ATTT đầu tiên tại Việt Nam nhận CREST cho dịch vụ Trung tâm SOC

Thông cáo - Tin tức Nổi bật

THÔNG CÁO BÁO CHÍ

Vv: Công ty Cổ phần An ninh mạng Việt Nam là Nhà cung cấp dịch vụ quản trị An toàn thông tin đầu tiên tại Việt Nam đạt chứng nhận CREST cho dịch vụ Trung tâm giám sát – vận hành An toàn thông tin SOC

Kính gửi: Các cơ quan thông tấn báo chí

Ngày 19 tháng 8 năm 2022, CREST – tổ chức phi lợi nhuận trong việc thẩm định, đánh giá và công nhận tiêu chuẩn chuyên sâu trong lĩnh vực cung cấp dịch vụ An toàn thông tin đã chính thức xác nhận Công ty Cổ phần An ninh mạng Việt Nam đạt đủ điều kiện chứng nhận Externally Validated của CREST cho dịch vụ Trung tâm giám sát và vận hành ATTT SOC (Security Operation Center). Vào đầu tháng 1/2022, dịch vụ Đánh giá ATTT Pentest (Penetration Testing) của VSEC cũng đã nhận được chứng chỉ này.

Như vậy, VSEC là Nhà cung cấp dịch vụ quản trị An toàn thông tin đầu tiên tại Việt Nam đạt được cả 2 chứng nhận quan trọng là CREST cho dịch vụ Trung tâm giám sát – vận hành An toàn thông tin và dịch vụ Đánh giá An toàn thông tin Pentest. Đây là dấu mốc có ý nghĩa lớn đối với không chỉ riêng VSEC mà còn góp phần khẳng định chất lượng và sự phát triển của ngành An ninh mạng Việt Nam trên bản đồ thế giới.

Để đạt được chứng nhận này, các chuyên gia tại Trung tâm SOC – VSEC đã phải trải qua một quá trình đánh giá thường xuyên và nghiêm ngặt bởi các chuyên gia bảo mật quốc tế. Trong vòng 6 tháng làm việc cùng 2 vòng đánh giá là Nộp hồ sơ (Application Form) và Đánh giá (Audit), VSEC đã hoàn toàn đáp ứng được 6 nội dung với 28 tiêu chuẩn khó khăn mà CREST đưa ra là: Organisational Environment (Môi trường tổ chức), Consumer Requirements (Yêu cầu của người dùng), Technology & Tools (Công nghệ & Công cụ), Event Analysis (Phân tích sự kiện), Threat Intelligence & Situational Awareness (Nhận biết các tình huống và mối đe doạ) và Protect the SOC (Bảo vệ SOC).

Với việc sở hữu chứng nhận CREST, đồng nghĩa với việc VSEC đã được công nhận đạt các tiêu chuẩn quốc tế về năng lực chuyên gia, kinh nghiệm chuyên môn, khả năng công nghệ, các chính sách, quy trình, thủ tục và đạo đức nghề nghiệp liên quan đến việc cung cấp dịch vụ Trung tâm giám sát và vận hành SOC và dịch vụ Đánh giá An toàn thông tin Pentest.

Đại diện phía VSEC, Ông Trương Đức Lượng – Chủ tịch VSEC chia sẻ “Điều mà người Việt Nam chúng ta thường bị coi là yếu thế hơn các quốc gia khác là quy trình và tính tuân thủ. VSEC ngoài cam kết đem lại dịch vụ tốt nhất cho khách hàng thì việc có được chứng nhận CREST cũng là thể hiện mong muốn đây là công cụ đo lường để giúp nâng cao trình độ toàn diện cho các nhân sự trong lĩnh vực Pentest và SOC”. Việt Nam có thể tự hào rằng con người Việt Nam có thể đáp ứng và cung cấp những dịch vụ tốt nhất hoàn toàn theo tiêu chuẩn quốc tế. 

Thông tin về CREST:

https://www.crest-approved.org/

CREST là tổ chức phi lợi nhuận quốc tế đại diện cho ngành bảo mật toàn cầu được thành lập từ năm 2006, trụ sở tại Anh Quốc. CREST cung cấp các chứng chỉ được quốc tế công nhận cho các tổ chức cung cấp dịch vụ bảo mật thông tin và chứng chỉ chuyên nghiệp cho các cá nhân cung cấp dịch vụ đánh giá lỗ hổng bảo mật, kiểm thử thâm nhập, ứng phó sự cố mạng, thông tin mối đe dọa an ninh mạng, trung tâm hoạt động bảo mật (SOC), ….Với mục tiêu giúp tạo ra thế giới số an toàn cho tất cả mọi người bằng cách đảm bảo chất lượng của mỗi thành viên và cung cấp các chứng nhận chuyên nghiệp cho ngành an ninh mạng. Hiện CREST đã công nhận gần 300 doanh nghiệp hoạt động ở hàng chục quốc gia và hàng nghìn chuyên gia bảo mật trên toàn cầu. 

Thông tin về VSEC:

www.vsec.com.vn

Công ty cổ phần An ninh mạng Việt Nam với 20 năm kinh nghiệm hoạt động trong lĩnh vực an ninh mạng, đã cung cấp dịch vụ ATTT cho hơn 1.000 tổ chức, doanh nghiệp trong nước và quốc tế, trong đó hơn 50% các ngân hàng tại Việt Nam đã lựa chọn sử dụng các dịch vụ bảo mật. VSEC cũng là thành viên, đối tác của các tổ chức bảo mật quốc tế như Black Panda, Recorded Future, Insights, Rapid7, Core Security, …, cùng với đội ngũ kỹ sư tâm huyết, có kinh nghiệm sở hữu hàng loạt chứng chỉ bảo mật quốc tế; VSEC đã tham gia vào nhiều dự án đóng góp lớn vào việc nghiên cứu, tìm ra nhiều lỗ hổng bảo mật của các hãng phần mềm lớn trên thế giới như: WordPress, Adobe, ManageEngine… 

Liên hệ chi tiết:

Công ty Cổ phần An ninh mạng Việt Nam

Bà: Lưu Tú Uyên – Chuyên viên truyền thông

M : (+84) 333 68 3353 | T : (+84) 24 7308 2299

Email: luutuuyen@vsec.com.vn

Đào tạo an toàn thông tin – Bước tiến vững chắc trong bảo vệ an toàn an ninh thông tin

VSEC - BLOG Mới nhất Nổi bật

Trong bối cảnh ngày càng nhiều mối đe dọa về an toàn an ninh thông tin, Tổng Công Ty Phát Điện 2 theo chỉ đạo của Tập đoàn Điện lực Việt Nam đã phối hợp cùng Công ty Cổ phần An ninh mạng Việt Nam tổ chức thành công chương trình “Đào tạo an toàn an ninh thông tin năm 2023”. Đây là một bước tiến vững chắc trong bảo vệ an toàn an ninh thông tin của EVNGENCO2 trong quá trình chuyển đổi số hiện nay.

Chương trình “Đào tạo An toàn an ninh thông tin” với sự tham gia của hơn 20 CBNV phụ trách CNTT đến từ 13 đơn vị trực thuộc Tổng Công ty Phát điện 2

Chương trình “Đào tạo an toàn an ninh thông tin 2023” diễn ra từ 8/8 – 11/8/2023, tại Hội trường Thu Bồn của Công ty Thủy điện Sông Bung 2, Đà Nẵng với sự tham gia của hơn 20 cán bộ phụ trách ANTT, CNTT đến từ 13 đơn vị trực thuộc Tổng Công ty phát điện 2. Chương trình không chỉ đánh dấu sự quan tâm hàng đầu của Tổng Công Ty Phát Điện 2 đối với việc bảo vệ thông tin mạng một cách toàn diện, mà còn tạo nền tảng vững chắc cho nhân viên trong việc đối phó với các thách thức an ninh thông tin ngày càng tinh vi.

Phát biểu tại buổi lễ khai mạc, ông Trần Phan Vĩnh Huy – Phó trưởng ban Kinh doanh thị trường điện của EVNGENCO2 nhấn mạnh: “Trong kỷ nguyên số hiện nay, nhiệm vụ trọng tâm được đặt lên hàng đầu là vấn đề bảo mật và đảm bảo an toàn an ninh thông tin bởi vì tất cả các dữ liệu của doanh nghiệp, cơ quan Nhà nước không thể bị xâm nhập và đánh cắp. Chính vì vậy, theo chỉ đạo của Tập đoàn Điện lực Việt Nam, Tổng Công ty phát điện 2 đã tiến hành phối hợp cùng Công ty Cổ phần An ninh mạng Việt Nam tổ chức chương trình Đào tạo an toàn an ninh thông tin để cập nhật lại kiến thức cũng như những vấn đề mới về bảo mật an toàn thông tin trên thế giới và tại Việt Nam”. Đồng thời ông Huy cũng khẳng định vai trò của các thành viên tham dự khóa đào tạo lần này chính là một mắt xích quan trọng trong hệ thống của đơn vị mình trong việc đảm bảo an ninh, an toàn thông tin.

Chương trình Đào tạo an ninh thông tin năm 2023 của Tổng Công ty phát điện 2 diễn ra trong 4 ngày với 2 nội dung chính: Tìm hiểu những khía cạnh khác nhau từ những cuộc tấn công của đội ngũ Red Team và phương pháp điều tra số nâng cao.

Phần đầu tiên của chương trình đã tập trung vào việc hiểu rõ các khía cạnh khác nhau từ các cuộc tấn công của Red Team. Đội ngũ giảng viên đến từ phòng Dịch vụ chuyên gia của VSEC đã cập nhật các kiến thức chuyên sâu hơn về Red Team. Thông qua đó, các CBNV tham gia khóa đào tạo đã bước đầu tiếp cận với những kỹ thuật tấn công này. Bên cạnh đó, việc nắm vững kiến thức này sẽ giúp mọi người không chỉ có khả năng phát hiện sớm các dấu hiệu của cuộc tấn công mà còn có thể áp dụng những biện pháp bảo vệ hiệu quả để đối phó với những mối nguy hiểm tiềm ẩn.

Phần thứ hai của chương trình tập trung vào “Điều tra số nâng cao”, giúp nhân viên hiểu rõ cách tiếp cận và giải quyết các vụ việc an ninh thông tin một cách toàn diện. Thông qua việc sử dụng các công cụ phân tích số học và kỹ thuật, nhân viên đã được trang bị khả năng phân tích các vụ việc an ninh thông tin, từ việc xác định nguyên nhân cho đến việc đề xuất biện pháp cải thiện và làm báo cáo chuẩn.

“VSEC rất vinh dự khi được tiếp tục đồng hành cùng Tổng Công ty phát điện 2 trong chương trình Đào tạo ATTT năm nay. Khác với chương trình năm ngoái được tổ chức tại Hà Nội, nội dung của chương trình năm nay sẽ mang tính xu hướng và chuyên sâu hơn về các giải pháp an ninh mạng, phương pháp điều tra số và những kỹ thuật cơ bản để có thể xử lý khi gặp sự cố. Đây là một trong những kiến thức nền tảng cơ bản để trang bị cho chúng ta trong vấn đề bảo vệ an toàn thông tin khi đang ở giai đoạn chuyển đổi số hiện nay.” – Bà Huỳnh Thị Thu Hằng – Quản lý vùng VSEC chia sẻ.

Bà Huỳnh Thị Thu Hằng – Quản lý vùng Công ty Cổ phần An ninh mạng Việt Nam chia sẻ trong buổi khai mạc

Chương trình đào tạo an toàn an ninh thông tin tại Tổng Công Ty Phát Điện 2 đã thể hiện sự cam kết mạnh mẽ với việc bảo vệ thông tin mạng. Nhân viên không chỉ được trang bị kiến thức về các cuộc tấn công mạng mà còn có khả năng điều tra và giải quyết các vụ việc an ninh thông tin. Sự hợp tác giữa Tổng Công Ty Phát Điện 2 và Công Ty Cổ Phần An Ninh Mạng Việt Nam đã tạo ra một chương trình đào tạo có ý nghĩa thiết thực và mang tính thực tiễn, góp phần nâng cao khả năng ứng phó với các thách thức an ninh thông tin trong tương lai