ĐÁNH GIÁ BẢO MẬT
How-safe-is-your-software-with-Penetration-Testing

Những hệ thống trọng yếu là nơi kẻ tấn công luôn nhắm đến nhằm đánh cắp tài khoản, trộm thông tin mật của tổ chức. Bạn muốn biết liệu hệ thống của bạn có khả năng bị tấn công hay không ? Liệu hệ thống của bạn có đủ sức chống chịu được các tấn công? Website của các bạn có thực sự an toàn hay có nhiều lỗ hổng?

Chất lượng dịch vụ

  • Tất cả quá trình đánh giá được thực hiện theo các tiêu chuẩn quốc tế về an toàn thông tin.
  • Việc đánh giá được thực hiện bởi các kỹ sư, chuyên gia trong đội tấn công (Attack team) của VNCS.
  • Với sự hỗ trợ của các chuyên gia đầu ngành đang công tác tại các tổ chức chính phủ, tài chính ngân hàng tại Việt Nam và các nước Đức, Israel, Malaysia, Nhật Bản, hệ thống sẽ được mổ xẻ ở mọi góc cạnh để tìm ra các kẻ hở nhỏ nhất nhưng không làm ảnh hưởng tới hệ thống đang chạy.
  • Cam kết giữ bí mật tuyệt đối các thông tin của khách hàng, không tiết lộ hoặc làm mất mát bất kỳ thông tin gì.
  • Dịch vụ bảo trì và hỗ trợ sẽ làm hài lòng tất cả khách hàng.

Penetration_testing

Phương pháp thực hiện

Mỗi gói dịch vụ sẽ được thực hiện theo các quy trình khác nhau. Phương pháp đánh giá và các công cụ sẽ được công bố sau quá trình đánh giá.

Nhiều phương pháp khác nhau và các công cụ nổi tiếng (5-20 công cụ/gói) sẽ được sử dụng để đánh giá sâu và phân tích mọi khía cạnh của hệ thống.

Quá trình tấn công thủ công (bằng tay) sẽ được thực hiện bởi các chuyên gia nhằm phát hiện các lỗ hổng còn lại và tận dụng khai thác tối đa các lỗ hổng.

Báo cáo sẽ được xây dựng dựa trên kết quả đánh giá chéo của tất cả các phương pháp trên và thẩm định lần cuối bởi các chuyên gia.

Có 2 loại báo cáo sẽ được đưa ra : Báo cáo cho lãnh đạo và báo cáo chi tiết kỹ thuật. Báo cáo cho lãnh đạo sẽ chỉ rõ hiện trạng hệ thống, các khuyến nghị nên thực hiện để nâng cao khả năng phòng thủ của hệ thống. Trong báo cáo kỹ thuật sẽ nêu chi tiết quá trình thực hiện, công cụ và kết quả chi tiết và khuyến nghị để thiết lập lại hệ thống ở mức bảo mật tốt nhất.

Hiện nay, Công ty chúng tôi cung cấp các gói dịch vụ sau :

Các gói dịch vụ

Mô tả chi tiết

Đánh giá hệ thống mạng 

– Đánh giá cấu trúc mạng. 

– Đánh giá các biện pháp bảo mật được thiết lập. 

– Đánh giá việc tuân thủ các tiêu chuẩn. 

– Đánh giá firewall ( Cấu hình, cấu trúc, quản trị, vá lỗi bảo mật, ghi nhật ký, chính sách, khả năng sẵn sàng…) 

– Đánh giá thiết bị phát hiện và phòng chống xâm nhập IPS ( Cấu hình, khả năng phát hiện xâm nhập, cấu trúc, quản trị, vá lỗi bảo mật, ghi nhật ký, chính sách, khả năng sẵn sàng…) 

– Đánh giá thiết bị VPN ( Cấu hình, quản trị, chính sách truy nhập, nhật ký…) 

– Đánh giá Router/ Switch (Cấu hình, xác thực, cấp quyền, kiểm soát truy nhập, nhật ký, chính sách lọc…) 

  

Đánh giá hệ thống máy chủ 

– Máy chủ Windows (Cấu hình hệ điều hành, cấu hình các dịch vụ, vá lỗi, chính sách tài khoản và mật khẩu, chính sách ghi nhật ký, rà soát cấp quyền…) 

– Máy chủ Linux ( Cấu hình hệ điều hành, vá lỗi, dịch vụ inetd, dịch vụ khởi động, tinh chỉnh nhân, nhật ký, phân quyền…) 

Đánh giá ứng dụng web 

– Đánh giá từ bên  ngoài: Kiểm tra khả năng tràn bộ đệm, SQL injection, Xss, upload, Url bypass và các lổ hổng ứng dụng khác 

– Đánh giá từ bên trong: Kiểm tra mã nguồn web nhằm xác định các vấn đề về xác thực, cấp quyền, xác minh dữ liệu, quản lý phiên, mã hóa…

 

Ngoài ra chúng tôi cũng cung cấp dịch vụ : Đánh giá hệ thống mạng không dây, Đánh giá khả năng bị tấn công từ chối dịch vụ, Đánh giá khả năng bị tấn công sử dụng kỹ năng xã hội, Đánh giá thiết bị và quá trình sao lưu phục hồi, Đánh giá hệ thống diệt virus, Đánh giá an toàn cơ sở dữ liệu và Đào tạo kỹ năng thực hiện đánh giá bảo mật.

Lưu ý: Đối với mỗi gói tên chúng tôi đều cung cấp 2 loại dịch vụ: Đánh giá từ bên ngoài (blackbox) và Đánh giá bên trong (whitebox).