Đánh giá bảo mật cần thiết cho những doanh nghiệp nào

VSEC - BLOG Dành cho Chuyên gia kiểm thử
Bước chân vào kỷ nguyên số, mối quan tâm hàng đầu của doanh nghiệp chính là bảo mật thông tin. Có thể nói, đánh giá bảo mật là việc quan trọng hàng đầu mà mọi doanh nghiệp muốn chuyển đổi số đều cần thực hiện, đặc biệt là các ngành hàng có giá trị cao, tốc độ tăng trưởng vượt trội và sở hữu số lượng dữ liệu thông tin khách hàng lớn.
Tiêu biểu là các doanh nghiệp thuộc 4 lĩnh vực sau:

Khối Tài chính – Ngân hàng

Năm 2020, có tới 23% các cuộc tấn công trên thế giới nhắm vào các tổ chức thuộc khối Tài chính – Ngân hàng (tăng 6% so với thống kê của NTT năm 2018). Các tổ chức này có xu hướng phát triển nhanh mạnh. Thế nhưng việc đầu tư để đảm bảo an toàn cho hệ thống cũng như các ứng dụng CNTT chưa tương xứng với tốc độ phát triển. Đặc biệt là mảng Fintech, lĩnh vực đang có tốc độ tăng trưởng vượt trội, sở hữu số lượng dữ liệu thông tin khách hàng lớn. Việc bị tấn công mạng sẽ gây ảnh hưởng nghiêm trọng tới hình ảnh, thương hiệu của tổ chức, doanh nghiệp – yếu tố quan trọng trong việc kinh doanh tài chính.

 

Khối Năng lượng – Sản Xuất

Gần 50% số lượng các cuộc tấn công trong năm 2020 liên quan tới việc chiếm quyền kiểm soát hệ thống vận hành công nghiệp OT đối với các đơn vị trong ngành năng lượng và ngành công nghiệp sản xuất. Đảm bảo an ninh năng lượng luôn là yêu cầu then chốt của mỗi chế độ nhà nước. Việc các đơn vị này bị tấn công hệ thống CNTT có thể dẫn những bất ổn cho an ninh quốc gia bởi sự ngưng trệ trong cung cấp năng lượng phục vụ đất nước.

 

Khối cơ quan tổ chức nhà nước

Đây là ngành có hiệu suất cập nhật công nghệ cao, sở hữu nhiều loại thiết bị và ứng dụng đa dạng về nghiệp vụ. Ngoài ra, số lượng thông tin khách hàng được lưu trữ và luân chuyển trong ngành này cũng là một con số đáng lưu ý. Đây là đối tượng mà hầu hết các tin tặc nhắm tới trong việc khai thác dữ liệu với mục đích phát tán, kinh doanh gây ảnh hưởng đến kinh tế và hình ảnh thương hiệu của doanh nghiệp.

 

Khối Thương mại – Dịch vụ

Với nhu cầu chuyển đổi số mạnh mẽ ở Việt Nam, các cơ quan nhà nước cũng chuyển dần sang mô hình chính quyền số – chính phủ điện tử. Đây là mục tiêu của những kẻ tấn công nhằm khai thác những thông tin nhạy cảm, thay đổi hay đăng tải các nội dung độc hại, làm tê liệt dịch vụ phục vụ nhân dân, gây thiệt hại về kinh tế, ảnh hưởng chính trị và an ninh quốc gia.

VSEC cung cấp dịch vụ đánh giá an toàn thông tin bao gồm đánh giá công nghệ, môi trường và con người. Với sự tham gia của những chuyên gia IT hàng đầu, VSEC sẽ giúp doanh nghiệp phát hiện ra những lỗi bảo mật dù nhỏ nhất, từ đó đưa ra tư vấn cũng như trực tiếp triển khai các biện pháp để nâng cao hệ thống bảo mật cho doanh nghiệp.

5 công cụ tìm kiếm subdomain để trợ giúp trong quá trình kiểm thử xâm nhập

VSEC - BLOG Dành cho Chuyên gia kiểm thử

Trong những năm gần đây việc tìm kiếm các subdomain (tên miền phụ) đã trở thành công việc quan trọng trong quá trình kiểm thử an toàn. Thông thường công việc này sẽ tốn khá nhiều thời gian và công sức. Tuy nhiên, cùng với sự phát triển của nền tảng công nghệ số đã cung cấp cho chúng ta các công cụ hữu hiệu. Bài viết này sẽ khái quát 5 công cụ tìm kiếm subdomain để trợ giúp trong quá trình kiểm thử xâm nhập.

Những phương pháp nổi bật trong việc tìm kiếm subdomain

Việc tìm kiếm subdomain giúp ích trong việc phân tích cơ sở hạ tầng tên miền của bất kỳ công ty nào. Chúng ta hãy cùng tìm hiểu những cách sử dụng phổ biến nhất hiện nay của các công cụ này là gì.

Kiểm tra DNS

Các cuộc tấn công DNS xảy ra ngày càng nhiều hơn, tuy nhiên các công ty vẫn chưa ý thức được sự nguy hiểm này. Rất ít các công ty thực hiện công việc kiểm tra DNS một cách thường xuyên mặc dù nó đem lại nhiều lợi ích hơn là có hại. Việc thực hiện kiểm tra DNS có thể tìm ra các lỗ hổng về DNS, cập nhật và vá chúng. Ngoài ra còn có thể tìm các subdomain không sử dụng, hoặc các subdomain chứa các lỗ hổng tiềm tàng.

Thông tin về tên miền.

Red teams thường sử dụng các công cụ tìm kiếm subdomain phục vụ cho các công việc điều tra infosec, thường bao gồm cả những kỹ thuật về OSINT. Các công cụ này phát hiện các thông tin bị lộ ra ngoài public như thông tin về người dùng, ứng dụng hay về các công nghệ đang được sử dụng trong hệ thống.

Rà soát lỗ hổng bảo mật

Một danh sách chứa đầy đủ các tên miền cùng với các tên miền phụ có thể mang lại nhiều lợi ích cho công việc rà soát lỗ hổng.

 

Cách hoạt động của công cụ tìm kiếm subdomain   

Sử dụng các công cụ tìm kiếm

Ta có thể sử dụng google để tìm kiếm các tên miền phụ của bất kỳ tên miền nào. Chỉ cần sử dụng dòng lệnh đơn giản như dưới đây:

site:vsec.com.vn -www

Câu lệnh trên có thể trả về toàn bộ các tên miền được Google đánh chỉ mục.

Phần lớn các công cụ hiện nay đều sử dụng các công cụ như Google, Bing như một built-in modules để trợ giúp trong việc tìm kiếm.

Sử dụng phương pháp bruteforce

Một vài công cụ sử dụng phương pháp này để gia tăng kết quả tìm kiếm được. Đây có thể không phải là cách nhanh nhất để tìm kiếm nhưng có thể nói rằng đây là cách chính xác nhất.

Thông tin về TLS/SSL

Chứng chỉ SSL / TLS không chỉ hữu ích để mã hóa dữ liệu được gửi và nhận giữa các trình duyệt và máy chủ mà còn hữu ích cho người kiểm thử

Subject Alternate Name (SAN) của chứng chỉ SSL / TLS có thể được sử dụng để lấy các thông tin về miền và tên miền phụ.

 

Top 5 công cụ tìm kiếm subdomain (terminal-based)

  1. AMASS

Được phát triển trên nền tảng Go lang, đây là một trong những công cụ hiệu quả nhất trong việc tìm kiếm số lượng lớn subdomain.

Amass sử dụng nhiều kỹ thuật tìm kiếm subdomain như scrapping, recursive bruteforce, reverse DNS sweeping và Machine Learning để có được kết quả tốt nhất.

Việc cài đặt Amass cũng khá đơn giản. Các hướng dẫn cài đặt và sử dụng đều có trên trang github: https://github.com/OWASP/Amass

Hoặc có thể cài đặt thông qua snap (có trên Kali Linux và các Linux Distros khác) thông qua lệnh: snap install amass

Sau khi cài đặt xong ta có thể sử dụng câu lệnh cơ bản dưới đây để tìm kiếm subdomain: amass enum -d example.com

Kết quả:

Hướng dẫn sử dụng: https://github.com/OWASP/Amass/blob/master/doc/user_guide.md

 

  1. SubBrute

Đây là một trong những công cụ có tốc độ nhanh nhất trong việc tìm kiếm subdomain. Một trong những tính năng nổi bật nhất chính là khả năng che giấu việc dò quét subdomain của công cụ này thông qua việc sử dụng các open resolvers làm proxy.

Công cụ này cũng có thể hoạt động như một DNS spider, liên tục liệt kê các bản ghi DNS.

SubBrute hỗ trợ lọc các bản ghi DNS. Ví dụ: nếu bạn chỉ cần lấy bản ghi TXT từ bất kỳ tên miền nhất định nào, bạn có thể sử dụng tùy chọn –type: ./subbrute.py -s google.names google.com –type TXT

Một điều tuyệt vời khác về SubBrute là nó có thể được tích hợp vào các file script bằng cách sử dụng hàm subbrute.run(). Ví dụ:

import subbrute

for d in subbrute.run (“yahoo.com”):

print(d)

Để sử dụng nâng cao, chỉ cần chạy: ./subbrute -h

 

  1. Sublist3r

Sublist3r là một công cụ dựa trên Python. Công cụ này được sử dụng rộng rãi bởi những người săn tiền thưởng lỗi, cũng như các đội màu xanh và đỏ trên toàn cầu để thu thập dữ liệu miền phụ.

Bằng cách truy vấn các công cụ tìm kiếm như Bing, Yahoo, Google, Baidu và các nguồn bên thứ 3 khác như cơ sở dữ liệu subdomain của Netcraft hoặc VirusTotal, nó có thể là một trong những công cụ hiệu quả nhất và nhanh nhất khi bạn muốn tìm tên miền phụ.

Yêu cầu tối thiểu của Sublist3r là phiên bản Python2 hoặc Python3.

Phiên bản Python 2: 2.7.x

Phiên bản Python 3: 3.4.x

Để bắt đầu, bạn cần sao chép repo Git, sau đó chạy cài đặt cho một số dependencies bằng pip: pip install -r request.txt

Hiện tại bạn đã có thể thực hiện các tác vụ tìm kiếm tên miền phụ: ./sublist3r.py -d example.com

Kết quả trả về:

Github: https://github.com/aboul3la/Sublist3r

 

4.DNSRecon

DNSRecon là một trong những script được viết bằng Python nổi tiếng trong các công cụ tìm kiếm subdomain

Nó hoạt động bằng cách kiểm tra tất cả các bản ghi NS để chuyển vùng AXFR và có thể rất hữu ích trong việc liệt kê DNS cho hầu hết mọi loại bản ghi, bao gồm MX, SOA, NS, TXT, SPF và SRV.

Nó cũng hỗ trợ kiểm tra Wildcard resolution và bruteforce các bản ghi loại A và AAAA sử dụng wordlist có sẵn. Nó cũng có thể truy vấn Google dorks để tìm miền phụ được lập chỉ mục bởi GoogleBot.

Sau khi tải xuống DNSRecon, bạn sẽ cần cài đặt một số package bắt buộc với pip:

pip install -r request.txt

Sau đó, bạn đã sẵn sàng chạy công cụ này: ./dnsrecon.py -d example.com

Kết quả:

Github: https://github.com/darkoperator/dnsrecon

 

5.AltDNS

AltDNS là một công cụ khám phá tên miền phụ dựa trên công việc với các thay đổi và hoán vị.

Bằng cách đặt wordlist của riêng bạn (hoặc sử dụng wordlist mặc định tại altdns/words.txt), cũng như sử dụng danh sách các miền phụ đã được xác nhận, bạn có thể chạy script để tạo ra các từ có thể có trong tên miền.

AltDNS bao gồm một tập dữ liệu gồm hơn 200 miền phụ có thể được sử dụng để tạo ra các miền phụ hợp lệ.

Sau khi clone git về, cài đặt các package yêu cầu thông qua pip:

pip install -r request.txt

Sau đó, bạn có thể chạy AltDNS:

./altdns.py -i subdomains.txt -o data_output -w words.txt -r -s results_output.txt

Lưu ý: subdomains.txt là danh sách miền phụ và words.txt là wordlist của AltDNS.

Kết quả

Con đường từ số 0 đến một pentester có tay nghề (Phần 1)

VSEC - BLOG Dành cho Chuyên gia kiểm thử

Có lẽ chủ đề này là chủ để mình khá ấn tượng và cũng là tháng 10, tháng mình cảm thấy ấm áp và nhiều hoài bão.

Đây là bài chia sẻ từ chính cá nhân mình và quan điểm cũng vậy nên nếu có ý kiến khác có thể gửi e-mail trao đổi nhé!

Mình xuất phát là dân CNTT, nhưng đam mê bảo mật.Trước mình là dân lập trình chính hiệu và có lẽ bạn thân mình và thầy giáo ở Bách Khoa Hà Nội đã thôi thúc mình tìm đến con đường này. Mình không biết gì về bảo mật, điều này là thật luôn. Thế là hồi năm ba đại học, ngành mình yêu cầu tham gia doanh nghiệp để thực tập thì được vào công ty của cô giáo hướng dẫn. Công ty này cũng làm về an toàn thông tin, nhưng 3 tháng ngắn ngủi thì mình chỉ học các thứ cơ bản của người hướng dẫn là DVWA (Damn Vulnerable Web App) để học và tấn công. Có lẽ là duyên nên giám đốc công ty cho mình đi làm thực tế để trải nghiệm. Ở đó, mình được làm quen với SIEM, tức là quản lý sự kiện bằng QRADAR, … cho một ngân hàng. Hằng ngày thì đến kiểm tra sự kiện, thấy bất thường thì gửi email cho cấp trên. Có lẽ hơi nhàm chán. Mình quyết định nghỉ việc, thực ra đúng là hết thời gian thực tập nên mình xin nghỉ. Thấy cũng là lúc cần học hỏi và trải nghiệm thực tế hơn nữa nên mình quyết tâm theo đuổi an toàn thông tin mà chả hiểu an toàn thông tin là làm gì?

 

Sau khi đọc và nghiên cứu thì mình thấy CNTT đã rộng, an toàn thông tin tuy hẹp hơn những cũng khá rộng. An toàn thông tin thì cũng chia làm nhiều mảng và khi mình đi xin thực tập tại công ty nơi mình đang làm thì được định hướng về pentest (Kiểm thử xâm nhập), sâu hơn là pentest website.

 

Trước hết thì cần hiểu pentest là gì đã? Pentest là viết tắt của Penetration Testing hiểu là “Đánh giá độ an toàn bằng cách mô phỏng tấn công vào hệ thống khi được cấp phép”. Đơn giản hơn là những pentester là có thể coi là những hacker mặc áo đen, đeo mặt nạ tấn công vào hệ thống. Có vẻ nói như này sẽ dễ hình dung hơn. Theo mình tìm hiểu thì pentest chia làm 3 lĩnh vực là :

  • Đánh giá cơ sở hạ tầng mạng: cấu trúc mạng,chính sách(Firewall),ghi log,VPN,Router,Switch,..
  • Đánh giá hệ thống máy chủ: cấu hình, cập nhật dịch vụ,vá lỗi, chính sách tài khoản và mật khẩu, chính sách ghi nhật ký, rà soát cấp quyền, khả năng dự phòng, cân bằng tải, cơ sở dữ liệu phân tán.
  • Đánh giá ứng dụng web: đánh giá các lỗ hổng như lỗi tràn bộ đệm, tấn công chèn câu lệnh SQL, XSS,… đánh giá kiểm tra mã nguồn web nhằm xác định các vấn đề về xác thực, cấp quyền, xác minh dữ liệu, quản lý phiên, mã hóa. – Cá nhân mình thấy nên để là Đánh giá ứng dụng nói chung là hợp lý vì ngoài web, còn các ứng dụng khác như mobile,…

 

Có 2 khái niệm mà có thể nhiều người vẫn hay nhầm lẫn là Lỗ hổng và Nguy cơ, mình xin chia sẻ luôn là :

  • Lỗ hổng-Vulnerability là những điểm yếu trong hệ thống có thể bị khai thác, lợi dụng để gây tổn hại cho hệ thống.
  • Nguy cơ-Threat là các hành vi tiềm ẩn khả năng gây hại cho hệ thống.

Vậy có những loại pentest nào?

  • Pentest hộp đen(Black box) :  Đây là kiểu đánh giá từ bên ngoài vào, không được cung cấp thông tin gì ngoài những thứ đã được công khai. Đây là kiểu tấn công phổ biến nhất.
  • Pentest hộp xám(Gray box): Sẽ được cung cấp một phần hoặc biết hạn chế thông tin về bên trong hệ thống
  • Pentest hộp trắng(White box): Đánh giá từ bên trong ra, được cung cấp toàn diện: Cung cấp toàn bộ thông tin về hệ thống/mạng như:Hạ tầng mạng,source code,chi tiết về địa chỉ IP,OS, chính sách,…

Kế tiếp mình sẽ nói về quy trình thực hiện một cuộc tấn công sẽ diễn ra như thế nào? Quy trình diễn ra gồm 3 giai đoạn:

 

Chuẩn bị tấn công:

  • Thăm dò thông tin
  • Quét, rà soát hệ thống

Thực thi tấn công:

  • Giành quyền truy cập
  • Duy trì truy cập

Xóa dấu vết

Đi sâu hơn là:

Reconnaissance/Footprinting (Thăm dò thông tin)

  • Là các hành vi mà kẻ tấn công thực hiện nhằm thu thập thông tin về hệ thống: người dùng, khách hàng, các hoạt động nghiệp vụ, thông tin về tổ chức…
  • Có thể lặp đi lặp lại một cách định kỳ đến khi có cơ hội tấn công dễ dàng hơn
  • Thăm dò chủ động: có tương tác với mục tiêu
  • Thăm dò bị động: không có tương tác với mục tiêu: Social Engineering
  • Công cụ tìm kiếm:Google, Shodan, Censys
  • Thông tin từ mạng xã hội: FB,Tweetter, Linkedin
  • Thăm dò hệ thống email: whois/smartwhois, Email Extracter
  • Thăm dò kết nối mạng: traceroute
  • Thông tin về DNS: dnsenum/nslookup/dnswatch.info
  • File robots.txt : Đây là tệp dùng để … Google nhé :::
  • whatweb
  • dns-enum
  • the harvester: thu thập emails, names, subdomains, IPs, and URLs
  • email extracter

 

Scanning (Quét, rà soát hệ thống)

  • Quét rà soát để xác định các thông tin về hệ thống dựa trên các thông tin thu thập được từ quá trình thăm dò
  • Kẻ tấn công có cái nhìn chi tiết hơn và sâu hơn về hệ thống: các dịch vụ cung cấp, các cổng dịch vụ đang mở, địa chỉ IP, hệ điều hành và phần mềm…
  • Trích xuất thông tin từ giai đoạn này cho phép kẻ tấn công lên kế hoạch chi tiết để thực hiện tấn công

 

Gaining Access (Giành quyền truy cập)

  • Lúc này kẻ tấn công có được những thông tin đã thu thập và thực hiện tấn công vào hệ thống để lấy quyền truy cập như sử dụng các lỗ hổng ở web như SQLi, RCE,…

Maintaining Access(Duy trì truy cập)

  • Khi đã dành quyền truy cập, kẻ tấn công sẽ sử dụng các kỹ thuật để duy trì truy cập mà không cần phải tấn công lại như tạo back-door, mở kết nối mạng,…

Clearing Tracks (Xóa dấu vết)

  • Đây là bước quan trọng để xóa dấu vết của mình khi đã đột nhập vào hệ thống để không ai phát hiện, có thể nói là khi cơ quan điều tra tìm kiếm thì sẽ rất khó nhận dạng ra bạn là ai, đã làm gì trên hệ thống đó là xóa log được ghi trên hệ thống,…

 

Có vẻ khá nhiều lý thuyết đúng không nào, nhưng nó là cánh cửa để tham gia vào con đường pentester.

Trở lại cá nhân mình, trước hết là mình tìm hiểu kỹ những nội dung kể trên.

Tiếp theo là chọn con đường, mình chọn con đường là pentest Ứng dụng: Website và Mobile.

Phần này mình trình bày về con đường là đánh giá ứng dụng website.

Khi mình tham gia thực tập tại công ty, mình được học đầu tiên là tìm hiểu về mạng là mô hình tham chiếu OSI và TCP/IP, tìm hiểu về quá trình bắt tay ba bước TCP, sử dụng công cụ Wireshark, nmap, hping. Đây là bước làm quen về mạng.

Đi sâu hơn về website thì cần hiểu về công nghệ website, Client, Server, giao thức HTTP, URL,URI, các header trong giao thức HTTP và dùng để làm gì?

Cuốn sách mình làm quen đầu tiên là :

“The Web Application Hacker’s Handbook”.

Lý thuyết thì nên kết hợp thêm thực hành là tự tìm hiểu và cài đặt môi trường như DVWA, BWAPP(Cái này mình thấy hay và độ khó nhiều hơn DVWA),… Cứ chiến hết BWAPP là bạn đã có kiến thức nền rồi đó, vì BWAPP theo tiêu chuẩn đánh giá OWASP, cái tên nổi tiếng là OWASP Top Ten, cố gắng tìm hiểu kỹ về các lab này và luôn đặt câu hỏi tại sao để hiểu sâu hơn nhé!

Nếu bạn không muốn xây dựng lab thì có thể học hỏi ở đây, có lab và có hướng dẫn, mình thấy cũng rất hay:

https://portswigger.net/web-security

Sau khi đã đủ kiến thức nền thì bạn có thể tham các cuộc thì CTF để mở rộng kỹ năng.

Riêng cá nhân mình thì mình dường như không tham gia CTF mà mình chuyển thẳng luôn là tìm bug bounty. Đây là chương trình trả thưởng khi mình tìm ra lỗi và báo cáo với họ. Cái này quan trọng nhất là “tiền”- điều mà thôi thúc mình chiến đấu. Đúng vậy, khi động lực lên cao, bạn sẽ cố gắng  và chiến đấu sẽ hết mình. Khi mới tham gia chương trình này thì nên chọn các mục tiêu dễ để học hỏi dần. Như mình thì ở công ty có chương trình này ở dạng private để mọi người tham gia. Ngoài ra ở Việt Nam mình cũng có các chương trình công khai, các bạn có thể tự tìm hiểu nhé. Còn mở rộng ra thế giới, chương trình rất nổi tiếng là :

https://hackerone.com/

https://www.bugcrowd.com/

Và điều nữa là nếu các bạn đọc các blog thì mình thường nói về CVE đúng không nào? CVE có lẽ nó là điều quá xa xỉ với cá nhân trước kia, nhưng mình đã vượt qua bản thân, trau dồi kiến thức để tìm kiếm nó. Tìm kiếm các open source để tự cài đặt và chạy nó. Quan trọng nhất là lựa chọn ngôn ngữ mình yêu thích, cá nhân mình thì là PHP,… với các CMS như WordPress, Joomla!, Drupal,…

Ngoài CVE, bạn có thể học nâng cao lên để tìm kiếm cho mình các chứng chỉ như OSCP,OSCE,AWAE,… hoặc tìm hiểu về các chứng chỉ khác như GPEN,…

Còn một nguồn tài liệu quý giá trên github là:

https://github.com/swisskyrepo/PayloadsAllTheThings

Có thể của mình ::))

https://github.com/HoangKien1020/pentest

Triển khai giám sát An toàn thông tin cho tập đoàn đa quốc gia

VSEC - BLOG Nghiên cứu điển hình

Khách hàng là một doanh nghiệp FDI, chi nhánh tập đoàn đa quốc gia trong lĩnh vực lắp ráp và sản xuất xe máy, ô tô. Chiếm thị phần trong tốp đầu các doanh nghiệp kinh doanh xe máy, ô tô tại thị trường Việt Nam.

Chịu các quy định chung về ATTT của Tập đoàn mẹ. Đang sử dụng dịch vụ giám sát các mối đe dọa bên ngoài (lộ lọt dữ liệu, phishing web, …), giám sát danh tiếng của nhà cung cấp quốc tế với chi phí lớn. Đang xây dựng đội ngũ phụ trách ATTT bản địa nên cần sự hỗ trợ lớn từ đối tác.

Cung cấp dịch vụ giám sát các mối đe dọa bên ngoài (lộ lọt dữ liệu, phishing web, …), giám sát danh tiếng. Phối hợp, trao đổi với khách hàng để liên tục tối ưu quá trình giám sát.

VSEC SOC phát hiện và thông báo kịp thời cho khách hàng về các thông tin website giả mạo, các thông tin lộ lọt dữ liệu của khách hàng được công bố, rao bán trên các dark web, dark forum. Cung cấp dịch vụ với chi phí hợp lý và chất lượng tương đương với các nhà cung cấp quốc tế. Hỗ trợ đội ngũ bản địa trong quá trình đảm bảo ATTT cho doanh nghiệp.

Giám sát an toàn thông tin cho tập đoàn tiên phong về đô thị xanh

VSEC - BLOG Nghiên cứu điển hình

Khách hàng là một doanh nghiệp FDI, chi nhánh tập đoàn đa quốc gia trong lĩnh vực lắp ráp và sản xuất xe máy, ô tô. Chiếm thị phần trong tốp đầu các doanh nghiệp kinh doanh xe máy, ô tô tại thị trường Việt Nam.

Chịu các quy định chung về ATTT của Tập đoàn mẹ. Đang sử dụng dịch vụ giám sát các mối đe dọa bên ngoài (lộ lọt dữ liệu, phishing web, …), giám sát danh tiếng của nhà cung cấp quốc tế với chi phí lớn. Đang xây dựng đội ngũ phụ trách ATTT bản địa nên cần sự hỗ trợ lớn từ đối tác.

Cung cấp dịch vụ giám sát các mối đe dọa bên ngoài (lộ lọt dữ liệu, phishing web, …), giám sát danh tiếng. Phối hợp, trao đổi với khách hàng để liên tục tối ưu quá trình giám sát.

VSEC SOC phát hiện và thông báo kịp thời cho khách hàng về các thông tin website giả mạo, các thông tin lộ lọt dữ liệu của khách hàng được công bố, rao bán trên các dark web, dark forum. Cung cấp dịch vụ với chi phí hợp lý và chất lượng tương đương với các nhà cung cấp quốc tế. Hỗ trợ đội ngũ bản địa trong quá trình đảm bảo ATTT cho doanh nghiệp.

Giám sát ATTT cho cơ quan quản lý thông tin đơn vị tỉnh của nhà nước

VSEC - BLOG Nghiên cứu điển hình

Khách hàng là một cơ quan phụ trách quản lý hệ thống website đại diện cho tiếng nói của nhà nước, thông báo và định hướng thông tin trên phạm vi toàn tỉnh. Sở hữu hệ thống hơn 150 website luôn hoạt động 24/7.

Số lượng website cần giám sát lớn. Nghiệp vụ đa dạng. Hệ thống kết nối rộng. Lưu lượng truy cập lớn. Các thông tin hiển thị bắt buộc phải đảm bảo tính chính xác và toàn vẹn tuyệt đối.

Cung cấp dịch vụ giám sát ATTT 24×7 cho hệ thống website quan trọng, cài đặt giám sát downtime 24/7 toàn bộ website, rà soát lỗ hổng định kỳ đưa ra khuyến nghị và phối hợp khắc phục. Phối hợp với cán bộ cơ sở khắc phục các lỗ hổng được phát hiện.

Khách hàng nâng cao khả năng quản lý và giám sát an toàn thông tin cho hệ thống website quan trọng. Giảm thiểu chi phí nhân sự đầu tư cho đội ngũ IT security và toàn bộ hệ thống vẫn được đảm bảo giám sát 24/7. Giảm thời gian phản ứng với những sự cố xảy ra.

Đáp ứng nhu cầu bảo mật thông tin cho tập đoàn năng lượng hàng đầu Việt Nam

VSEC - BLOG Nghiên cứu điển hình

Là một doanh nghiệp sản xuất năng lượng, thành viên của tập đoàn năng lượng hàng đầu Việt Nam. Hoạt động trong lĩnh vực trọng yếu quốc gia.

Hoạt động trong lĩnh vực trọng yếu quốc gia, sở hữu hệ thống cấp độ 4, chịu sự quy định về ATTT của cơ quan quản lý Nhà nước. Đội ngũ nhân sự chuyên trách về ATTT còn mỏng chưa đáp ứng được yêu cầu của các hoạt động đảm bảo ATTT

Đánh giá và rà soát toàn bộ hệ thống Công nghệ thông tin của đơn vị. Triển khai giám sát toàn bộ server, máy trạm, thiết bị mạng của đơn vị. Cảnh báo và phối hợp phân tích ngăn chặn các mối nguy ATTT.

Phát hiện các lỗ hổng trên hệ thống CNTT của khách hàng, từ đó đưa ra các khuyến nghị và hỗ trợ khách hàng triển khai giảm thiểu các nguy cơ ATTT. Giám sát ATTT 24/7 cho hệ thống CNTT của khách hàng, phát hiện kịp thời các sự cố ATTT để đưa ra các biện pháp xử lý phù hợp. Giúp khách hàng đáp ứng được các yêu cầu, quy định của cơ quan Nhà nước về đảm bảo ATTT trong các đơn vị hoạt động trong lĩnh vực trọng yếu quốc gia.

Giải pháp bảo mật cho tập đoàn tiên phong về đô thị xanh

Nghiên cứu điển hình VSEC - BLOG

Khách hàng của VSEC là một tập đoàn lớn sở hữu dự án khu đô thị xanh lớn nhất miền Bắc, ngoài ra doanh nghiệp này còn đầu tư đa ngành vào các lĩnh vực như giáo dục, y tế, nông nghiệp sạch, công nghệ cao, du lịch, vui chơi giải trí…
Đi cùng các hạng mục kinh doanh đa ngành nghề là bộ máy vận hành lớn với hơn 300 nhân sự và hệ thống CNTT quy mô lớn.

Thách thức đặt ra cho VSEC là cẩn đảm bảo hình ảnh của doanh nghiệp trên truyền thông trong khi doanh nghiệp hoạt động trong lĩnh vực bất động sản với rất nhiều dữ liệu nhạy cảm về khách hàng cần được bảo vệ. Doanh nghiệp chưa có đội ngũ nhân sự chuyên trách về ATTT, số lượng server và máy trạm lớn, nghiệp vụ đa dạng, hệ thống kết nối rộng, thường xuyên cập nhật nhiều ứng dụng mới vào hệ thống.

Với kinh nghiệm đa dạng suốt gần 20 năm qua, chúng tôi đã thực hiện các giải pháp bảo mật cho khách hàng như:
– Đánh giá và rà soát toàn bộ hạ tầng Công nghệ thông tin và các Ứng dụng hiện tại.
– Triển khai giám sát toàn bộ server và máy trạm của doanh nghiệp
– Cảnh báo và phối hợp phân tích ngăn chặn các mối nguy ATTT
– Khởi tạo trang quản trị tài khoản quản lý tổng hợp tất cả các thành phần được giám sát
– Xuất báo cáo định kỳ và tổng quan các sự kiện cảnh báo ATTT

Sau quá trình thực hiện Kiểm thử thâm nhập (Pentest) và phân tích hệ thống, đội ngũ chuyên gia của chúng tôi đã phát hiện các lỗ hổng trên hệ thống ứng dụng CNTT của khách hàng. Từ đó đưa ra các khuyến nghị và hỗ trợ khách hàng triển khai để giảm thiểu các nguy cơ ATTT, đảm bảo hình ảnh của khách hàng cũng như giảm thiểu tối đa các thiệt hại có thể xảy ra.

VSEC cung cấp giải pháp bảo mật cho tập đoàn đa quốc gia

Nghiên cứu điển hình VSEC - BLOG

Giao thông vận tại là ngành có ảnh hưởng lớn tới sự phát triển chung của kinh tế, do đó những sản phẩm dịch vụ thuộc ngành này là mục tiêu mà nhiều tội phạm và các tổ chức nguy hiểm nhắm tới. Khách hàng của chúng tôi là một doanh nghiệp FDI, là chi nhánh của một tập đoàn đa quốc gia trong lĩnh vực lắp ráp và sản xuất xe cơ giới, đặc biệt nổi tiếng với các sản phẩm xe máy, ô tô. Công ty hiện chiếm thị phần trong tốp đầu các doanh nghiệp kinh doanh xe máy, ô tô tại thị trường Việt Nam.

Do sự tác động từ tập đoàn mẹ nên doanh nghiệp có nhiều nguồn lực dành cho ATTT song chịu ảnh hưởng bởi các quy định chung về ATTT của Tập đoàn mẹ. Hiện doanh nghiệp đang sử dụng dịch vụ của các nhà cung cấp quốc tế với chi phí lớn, có kế hoạch xây dựng đội ngũ phụ trách ATTT bản địa nên cần sự hỗ trợ lớn từ đối tác trong nước. Sau quá trình phân tích thông tin.

VSEC đưa ra giải pháp cho khách hàng là dịch vụ đánh giá và kiểm thử xâm nhập ATTT cho toàn bộ hạ tầng hệ thống CNTT on-premise và on-cloud, và một số ứng dụng CNTT quan trọng.

Các chuyên gia của VSEC phát hiện các lỗ hổng trên hệ thống CNTT của khách hàng, giúp cung cấp bức tranh toàn diện về ATTT đối với khách hàng. Cung cấp dịch vụ với chi phí hợp lý và chất lượng tương đương với các nhà cung cấp quốc tế. Hỗ trợ đội ngũ bản địa trong quá trình đảm bảo ATTT cho doanh nghiệp.

Cung cấp giải pháp cho khách hàng ngành năng lượng

VSEC - BLOG Nghiên cứu điển hình

Các tổ chức ngành Sản xuất và Năng lượng luôn là đối tượng hàng đầu bị tin tặc nhắm đến, là một đơn vị thành viên của tập đoàn năng lượng hàng đầu Việt Nam – khách hàng lần này của VSEC cũng không ngoại lệ. Doanh nghiệp hoạt động trong lĩnh vực trọng yếu quốc gia, cung cấp, kinh doanh dịch vụ năng lượng điện tại khu vực các tỉnh Miền Bắc.

Một thách thức là doanh nghiệp sở hữu nhiều hệ thống CNTT theo cấp độ khách nhau, lại chịu sự quy định về ATTT của cơ quan quản lý Nhà nước, do đó việc thực hiện giải pháp ATTT sẽ có yêu cầu cao hơn hẳn so với các doanh nghiệp thông thường khác. Giống nhiều trường hợp tìm tới VSEC trước đây, đơn vị này cũng không có đội ngũ nhân sự chuyên trách về ATTT đủ mạnh để đáp ứng được yêu cầu của hoạt động đánh giá ATTT ở quy mô lớn. VSEC sẽ cần nghiên cứu và tư vấn các giải pháp cho doanh nghiệp lần này một cách cẩn thận.

Sau quá trình trao đổi với đơn vị và tham chiếu các quy định của cơ quan quản lý Nhà nước, VSEC đã tiến hành đánh giá và kiểm thử xâm nhập ATTT cho toàn bộ hạ tầng hệ thống CNTT cùng một số ứng dụng trọng yếu của đơn vị.

Sau một thời gian thực hiện các biện pháp đánh giá, chuyên gia của chúng tôi đã phát hiện nhiều lỗ hổng trên hệ thống CNTT của khách hàng, giúp cung cấp bức tranh toàn diện về ATTT đối với khách hàng. Dựa vào đó, đưa ra các khuyến nghị và hỗ trợ khách hàng triển khai để giảm thiểu các nguy cơ ATTT. Không chỉ đảm bảo hình ảnh của khách hàng mà còn giảm thiểu tối đa các thiệt hại có thể xảy ra cho doanh nghiệp.

Kiểm thử bảo mật cho một trong những ngân hàng TMCP đầu tiên tại Việt Nam

VSEC - BLOG Nghiên cứu điển hình

Khách hàng của VSEC là một trong những ngân hàng TMCP được cấp phép đầu tiên tại Việt Nam với gần 300 chi nhánh và PGD khắp cả nước. Những năm gần đây, doanh nghiệp này đang tích cực áp dụng chuyển đổi số trong hoạt động ngân hàng để cung cấp dịch vụ tốt nhất tới khách hàng cuối. Doanh nghiệp đã từng trải qua một sự cố về ATTT làm lộ lọt các dữ liệu quan trọng, do đó rất cần sự can thiệp của một giải pháp bảo mật hiệu quả.

Sau quá trình thu thập thông tin, chúng tôi nhận thấy một số đặc điểm đáng chú ý của doanh nghiệp như sau:
– Toàn bộ hệ thống CNTT chưa từng được kiểm tra, đánh giá ATTT một cách toàn diện.
– Đội ngũ nhân sự chuyên trách về ATTT còn mỏng chưa đáp ứng được việc triển khai đánh giá ATTT toàn diện cho hệ thống.
– Thiếu sự đánh giá khách quan về khả năng bảo mật từ bên ngoài.

VSEC tiến hành phân tính và thảo luận cùng doanh nghiệp hướng giải pháp hiệu quả và phù hợp nhất cho đơn vị. Theo đó, VSEC sẽ cung cấp dịch vụ đánh giá và kiểm thử xâm nhập ATTT – Pentest cho hệ thống CNTT của khách hàng. Các hạng mục tiến hành bao gồm các hệ thống máy chủ, thiết bị mạng, các ứng dụng bên trong và ứng dụng bên ngoài, các cơ sở dữ liệu quan trọng.

Với đội ngũ chuyên gia giàu kinh nghiệm, chúng tôi đã phát hiện các lỗ hổng trên hệ thống CNTT của khách hàng, giúp cung cấp bức tranh toàn diện về ATTT đối với khách hàng. Doanh nghiệp cũng nhận được sự hỗ trợ và tư vấn triển khai để giảm thiểu các nguy cơ ATTT, đảm bảo hình ảnh của khách hàng cũng như giảm thiểu tối đa các thiệt hại có thể xảy ra.

Dự án kiểm thử xâm nhập cho cơ quan nhà nước

Nghiên cứu điển hình VSEC - BLOG

Khách hàng của chúng tôi lần này là cơ quan quản lý Nhà nước về lĩnh vực ATTT, chịu trách nhiệm đưa ra các quy định, chính sách về ATTT. Đây cũng là đơn vị hỗ trợ các cơ quan Chính phủ, doanh nghiệp trong hoạt động đảm bảo ATTT.

Tuy là cơ quan Nhà nước nhưng đội ngũ chuyên gia ATTT còn mỏng, khó có thể đáp ứng nhu cầu thực hiện nhiều hạng mục công việc cùng lúc.
Bên cạnh đó đơn vị thiếu sự đánh giá khách quan từ đối tác bên ngoài để loại trừ các trường hợp thiếu sót do yếu tố chủ quan từ nhân viên trong nội bộ.

Với kinh nghiệm của mình, chúng tôi đã cung cấp dịch vụ đánh giá và kiểm thử xâm nhập cho hệ thống, ứng dụng của đơn vị. Từ đó đưa ra các khuyến nghị và giải pháp phù hợp nhất cho đơn vị. VSEC cùng phối hợp với đơn vị để triển khai các biện pháp giảm thiểu nguy cơ ATTT như Kiểm thử Pentest toàn hệ thống, ứng dụng,…

Sau quá trình làm việc, chúng tôi đã phát hiện kịp thời nhiều lỗ hổng, nguy cơ trên hệ thống, ứng dụng của đơn vị. Điều này giúp giảm thiểu nguy cơ bị tấn công, khai thác vào hệ thống, ứng dụng của đơn vị. Từ đó đảm bảo hình ảnh của cơ quan quản lý Nhà nước về ATTT, góp phần đảm bảo an ninh xã hội.