TRANG CHỦ | An toàn thông tin

Dịch vụ kiểm tra đánh giá ATTT (Pentest)


Pentest là viết tắt của Penetration Testing – một hình thức đánh giá mức độ an toàn của một hệ thống IT thông qua việc mô phỏng một cuộc tấn công thực tế được cho phép bởi tổ chức đó.

Mục tiêu của Pentest là cố gắng xâm nhập vào hệ thống để phát hiện ra những điểm yếu tiềm tàng mà hacker có thể khai thác, từ đó đề xuất phương án khắc phục chúng để loại trừ khả năng bị tấn công trong tương lai.

 

1. Dịch vụ pentest tổng thể là gì?

Pentest tổng thể (Penetration Testing Audit Service) có thể hiểu là việc đánh giá khả năng chịu đựng những cuộc tấn công xâm nhập vào hệ thống mạng của tổ chức, doanh nghiệp, từ đó đưa ra những giải pháp khắc phục các lỗ hổng an ninh trên hệ thống để đảm bảo hệ thống luôn đứng vững trước mọi đợt tấn công thực sự của hacker.

Công việc thực hiện Pentest sẽ tiến hành như một cuộc mô phỏng Hacker có chuyên môn cao tấn công vào hệ thống để tìm ra các nguy cơ và lỗ hổng đang tồn tại trên các ứng dụng, thiết bị hoặc máy chủ từ đó tìm ra các lỗi đang tồn tại trên hệ thống, từ đó đưa ra phương án điều chỉnh nhằm hạn chế các nguy cơ tấn công và bảo vệ cho hệ thống luôn luôn được an toàn nhất.

2. Tại sao doanh nghiệp cần Pentest tổng thể?

Hiện nay tất cả các tổ chức, công ty đều sở hữu cho mình một hệ thống mạng nội bộ để liên kết các thiết bị lại với nhau, tăng sự tương tác giữa nhân viên và giúp nhà quản trị có thể quản trị toàn bộ hệ thống, tăng hiệu suất công việc. Ngoài ra, hầu hết các tổ chức doanh nghiệp đều có một Website để thể hiện hình ảnh của mình và thông tin đến người dùng.

Website không chỉ đại diện cho danh tiếng, uy tín của công ty, tổ chức mà còn là nơi thông tin đến người dùng, kết nối dữ liệu giá trị, nhạy cảm như thông tin nội bộ, thông tin tài chính, tài khoản ngân hàng, thẻ tín dụng. Mỗi Website luôn tồn tại những điểm yếu bảo mật nghiêm trọng mà tin tặc có thể lợi dụng khai thác. Đa phần trong số đó là những điểm yếu, lỗ hổng đã biết, đã được công bố và rất dễ dàng để có thể khai thác.

Về phía mạng nội bộ cũng tồn tại rất nhiều lỗ hổng bảo mật, nguyên nhân có thể do các Doanh nghiệp vẫn áp dụng các sản phẩm bảo mật đã lạc hậu, đồng thời sử dụng những thiết bị máy móc quá lỗi thời. Việc này không những làm giảm hiệu suất công việc mà còn có thể ẩn chứa những lỗ hổng dễ bị Hacker khai thác. Hacker có thể lợi dụng tấn công mạng nội bộ đánh cắp thông tin quan trọng của công ty, làm rối loạn quá trình sản xuất, kinh doanh của doanh nghiệp.

3. Lợi ích khi thực hiện Pentest tổng thể

Thực hiện Pentest tổng thể, doanh nghiệp bạn sẽ:

Phát hiện sớm nguy cơ, lỗ hổng trên các thiết bị và ứng dụng

Kịp thời ngăn chặn kẻ tấn công, khai thác điểm yếu

Có các phương án vá lỗ hổng kịp thời

Giảm thiểu những nguy cơ mất an toàn thông tin và sự cố tấn công mạng xảy ra

Nâng cao năng lực cạnh tranh của Doanh nghiệp so với các đơn vị khác. Đặc biệt là lĩnh vực kinh doanh về thương mại điện tử hay ngân hàng điện tử.

4. Các phương pháp Pentest

4.1. Hộp đen (Black box)

Kiểm thử xâm nhập từ bên ngoài vào (Black box Pentest): các cuộc tấn công sẽ được thực hiện mà không có bất kỳ thông tin gì về hệ thống, các Pentester sẽ đặt mình vào vị trí của những Hacker mũ đen và cố gắng bằng mọi cách để thâm nhập vào được hệ thống của khách hàng.

Pentester sẽ mô phỏng một cuộc tấn công thực sự vào hệ thống. Quá trình thử nghiệm bao gồm một loạt ứng dụng các lỗ hổng bảo mật của ứng dụng được xác định bởi OWASP và WASC, nhắm mục tiêu vào các lỗ hổng bảo mật nguy hiểm tiềm tàng trong ứng dụng của khách hàng . Quá trình thử nghiệm sẽ tiết lộ các lỗ hổng, mức độ thiệt hại và mức độ nghiêm trọng.

4.2. Hộp trắng (White box)

Kiểm thử xâm nhập từ bên trong ra (White box Pentest): là các thông tin về mạng nội bộ và thông tin từ bên ngoài sẽ được cung cấp bởi khách hàng và các Pentester sẽ đánh giá an ninh mạng dựa trên những thông tin đó.

Kết quả đánh giá từ kiểm thử hộp trắng toàn diện hơn hộp đen. Kiểm thử hộp trắng có thể bao gồm cả đánh giá nguy cơ tiềm ẩn từ mã nguồn hệ thống (đánh giá mã nguồn).

4.3. Hộp xám (Gray box)

Kiểm thử hộp xám (Gray-box hay Crystal-box): là việc giả định tin tặc được cung cấp tài khoản một người dùng bình thường và bắt đầu tấn công vào hệ thống như một nhân viên của doanh nghiệp.

5. Dịch vụ Pentest Audit của Thuan Thanh Tech

Thuan Thanh Tech là đơn vị hàng đầu tại Việt Nam về các giải pháp an ninh mạng toàn diện, trong đó có dịch vụ Pentest tổng thể. Với đội ngũ kỹ sư có hơn 10 năm kinh nghiệm nghiên cứu và làm việc chuyên sâu về Pentest, chúng tôi sẽ áp dụng quy trình Pentest theo chuẩn quốc tế: OWASP, NIST, PTES trong quá trình Pentest hệ thống cho quý khách.

Tùy theo hạng mục công việc, Thuan Thanh Tech sẽ sử dụng những quy trình và công cụ Pentest khác nhau. Chúng tôi sẽ tìm ra những lỗ hổng, các nguy cơ an ninh mà hệ thống mạng gặp phải. Hệ thống mạng bao gồm hệ thống website, hạ tầng mạng, thiết bị và ứng dụng của khách hàng.

Sau khi kết thúc quá trình Pentest, Thuan Thanh Tech sẽ gửi báo cáo đến khách hàng. Báo cáo bao gồm có các bản báo cáo tổng thể, chi tiết và hướng dẫn khắc phục.

6. Lý do bạn nên sử dụng dịch vụ Pentest Audit của Thuan Thanh Tech

6.1. Chuyên nghiệp

Thuan Thanh Tech đã triển khai Pentest cho rất nhiều tổ chức, doanh nghiệp lớn tại Việt Nam và trên thế giới.

6.2. Dịch vụ chuyên biệt cho từng hạng mục

Thuan Thanh Tech cung cấp các gói dịch vụ Pentest khác nhau dựa trên yêu cầu của khách hàng. Bao gồm Pentest hệ thống Website, Pentest mạng nội bộ, Pentest ứng dụng…

6.3. Có quy trình và phương pháp chuyên biệt

Quy trình và phương pháp tiến hành Pentest được thiết kế riêng theo từng lĩnh vực của khách hàng. Bao gồm: Ngân hàng, Tài chính, Y tế, Thương mại điện tử, Thanh toán Online…

6.4. Ứng dụng khoa học công nghệ vào Pentest

Thuan Thanh Tech là đơn vị tiên phong tại Việt Nam phát triển các công cụ tự động hóa rà quét lỗ hổng tấn công thử nghiệm và báo cáo tình trạng an ninh của toàn hệ thống. Mặt khác, để tăng hiệu quả của quá trình Pentest, các kỹ sư của chúng tôi sẽ tiến hành Pentest kỹ thuật trên tất cả các điểm yếu của hệ thống.