Bên cạnh các dịch vụ khác, Pentest đã trở thành một phần không thể thiếu trong hệ thống đảm bảo an toàn thông tin của nhiều tổ chức, doanh nghiệp.
1.VẬY PENTEST LÀ GÌ?
Kiểm thử xâm nhập là quá trình xác định sự tồn tại của lỗ hổng bảo mật trong hệ điều hành, ứng dụng, cơ sở dữ liệu, thiết bị mạng, chính sách… bằng cách đánh giá hệ thống bằng nhiều kỹ thuật. Đây là là giải pháp hiệu quả để bảo mật cho web, mobile app, network, IoT,… khỏi cuộc tấn công của tin tặc. Điều này cho phép các doanh nghiệp vá lỗ hổng kịp thời trước khi tin tặc khai thác chúng và gây thiệt hại về tiền bạc, danh tiếng cho tổ chức
2. TẠI SAO CÁC TỔ CHỨC, DOANH NGHIỆP CẦN PENTEST?
Pentest giúp các tổ chức, doanh nghiệp
- Phát hiện sớm lỗi thiết kế trong qua trình phát triển sản phẩm
- Phát hiện lỗi cấu hình sai, cấu hình yếu đẫn đến mất ATTT
- Phát hiện các lỗ hổng bảo mật đang hiện hữu trong Ứng dụng cũng như tài sản khác
- Tìm ra các điểm yếu trong Chính sách quản lý bảo mật ATTT
- Kiểm tra, đánh giá nhận thức của nhân viên đang làm việc về ATTT
3. QUY TRÌNH THỰC HIỆN
4. PHẠM VI DỊCH VỤ
- Đánh giá toàn diện hạ tầng CNTT theo TIA942, TCVN 9250
- Đánh giá tính tuân thủ chính sách ISO 27001
- Đánh giá ứng dụng (website), ứng dụng mobile, ứng dụng Desktop
- Đánh giá An toàn mạng: Mô hình vật lý, logic, cấu hình, chính sách..
- Đánh giá hệ thống: Linux server, Windowns Server, Database
- Đánh giá hệ thông kết nối không dây: Wireless, Blue tooth..
5. TIÊU CHUẨN ÁP DỤNG
VNCS Global tuân thủ các tiêu chuẩn quốc tế để thực hiện Pentest: OWASP, PCI DSS, ISO 27001, PTES, SAN, NIST 800-115, ISSAF, OSSTMM, …
6. KẾT QUẢ KHI SỬ DỤNG DỊCH VỤ
- Nắm bắt được tổng quan các vấn đề về ATTT đang tồn tại trong Công ty/Tổ chức
- Biết được chi tiết các điểm yếu, cấu hình lỗi cũng như các lỗ hổng bảo mật đang hiện hữu
- Phát hiện sớm các dấu hiệu về hành vi bất thường, các sự cố mất an toàn thông tin và các nguy cơ xảy ra sự cố mất an toàn thông tin.
- Điều tra bổ sung thông tin nhằm xác định mức độ chính xác, mức độ ảnh hưởng, các thông tin liên quan được sử dụng trong việc phản ứng với sự cố mất an toàn thông tin.
- Nâng cao khả năng phản ứng lại các sự cố mất an toàn thông tin, kịp thời ngăn chặn, giảm thiểu và khắc phục các rủi ro gây ra bởi sự cố mất an toàn thông tin.
- Nâng cao khả năng quản lý rủi ro, cũng như khả năng quản lý chính sách ATTT
- Phát hiện nhưng điểm yếu trong chính sách quản lý ATTT
- Nhận thức người dùng về ATTT được nâng cao
- Có các kế hoạch, phương án, giải pháp để khắc phục các lỗ hổng, điểm yếu bảo mật từ đó giúp hạn chế tối đa các rủi ro về ATTT
Hiện nay, VNCS Global là 1 trong 3 đơn vị đạt tiêu chuẩn TCCS02:2020 về dịch vụ Pentest do Hiệp hội ATTT Viêt Nam cấp. Với đội ngũ các chuyên gia hàng đầu có nhiều năm kinh nghiệm triển khai và đạt các chứng chỉ quốc tế như CEH, ECSA, GSEC, OSCP,… dịch vụ Pentest của VNCS Global được nhiều đơn vị lựa chọn để đánh giá hệ thống an toàn thông tin. Bên cạnh đó, công ty còn là đối tác của FireEye, Mandiant (tổ chức top 1 thế giới về các dịch vụ ATTT) và là đối tác chiến lược của các tổ chức ATTT hàng đầu Việt Nam.