Dịch vụ kiểm thử xâm nhập

Dịch vụ được Public ra Internet bao gồm: Web, Mobile, API, Email, …

Hệ thống mạng, máy chủ, máy trạm, thiết bị phòng thủ, hệ thống Active Directory

Các firmware, hệ thống IOT, Camera, SmartHomes

Hệ thống tự động hoá (audit)

Cloud Pentest

Kiểm thử an toàn mã nguồn

HPT cung cấp Dịch vụ Kiểm thử xâm nhập (Penetration Testing)
để giúp tổ chức và doanh nghiệp giải quyết những thách thức
về ATTT một cách hiệu quả và tiết kiệm.

Các nhóm dịch vụ chính

Giá trị mang lại


			Duy trì và đảm bảo uy tín trước khách hàng, đối tác và dữ liệu mật của doanh nghiệp, tổ chức.					Tìm ra lỗ hổng trước kẻ tấn công bên ngoài, giảm thiểu thiệt hại về tài sản thông tin, đảm bảo và duy trì hoạt động kinh doanh.

			Khai thác hiệu quả các giải pháp phòng thủ và tối ưu hiệu quả đầu tư CNTT.					Đáp ứng các yêu cầu đặc thù ngành hoặc các tiêu chuẩn quốc tế như PCIDSS, GDPR, ISO 27001.

Tiêu chuẩn quốc tế áp dụng

Phương pháp đánh giá

Pentest Web & Mobile

Danh mục công việc thực hiện trong việc đánh giá Web & Mobile:

	Danh mục công việc đánh giá Web			Danh mục công việc đánh giá Mobile

	Information Gathering			M1: Improper Platform Usage
	Thu thập thông tin ứng dụng			Kiểm tra an toàn sử dụng nền tảng
	Configuration and Deploy Management Testing			M2: Insecure Data Storage
	Kiểm tra việc quản lý cấu hình quản trị và triển khai			Kiểm tra an toàn lưu trữ dữ liệu
	Identity Management Testing			M3: Insecure Communication
	Kiểm tra khả năng quản lý định danh			Kiểm tra an toàn trao đổi dữ liệu
	Authentication Testing			M4: Insecure Authentication
	Kiểm tra phương thức xác thực			Kiểm tra cơ chế chứng thực
	Authorization Testing			M5: Insufficient Cryptography
	Kiểm tra phân quyền trên ứng dụng			Kiểm tra hiện thực an toàn cơ chế mã hóa
	Session Management Testing			M6: Insecure Authorization
	Kiểm tra phương thức quản lý phiên làm việc			Kiểm tra cơ chế xác thực/phân quyền
	Data Validation Testing			M7: Client Code Quality
	Kiểm tra tính hợp lệ của dữ liệu đầu vào			Kiểm tra an toàn mã xử lý ở thiết bị (client code)
	Error Handling			M8: Code Tampering
	Kiểm tra khả năng kiểm soát lỗi			Kiểm tra khả năng can thiệp mã thực thi
	Cryptography			M9: Reverse Engineering
	Kiểm tra về độ an toàn mã hóa/ mật mã học			Kiểm tra mức độ dịch ngược
	Business Logic Testing			M10: Extraneous Functionality
	Kiểm tra tính luận lý kinh doanh/ hoạt động nghiệp vụ			Kiểm tra các thư viện bên ngoài, giao tiếp với hệ thống, ứng dụng bên thứ ba
	Client-Side Testing
	Kiểm tra phía người dùng

Kết quả và giá trị mang lại của dịch vụ

Báo cáo chi tiết cung cấp cụ thể và thể hiện đầy đủ kết quả đánh giá đối với mỗi nội dung thực hiện đánh giá. Đối với mỗi lỗ hổng kỹ sư phát hiện báo cáo thể hiện rõ ràng và trực quan các nội dung:

Mô tả chi tiết lỗ hổng.

Chi tiết các bước thực hiện để khai thác thành công lỗ hổng.

Ảnh hưởng lỗ hổng đối với hệ thống.

Khuyến nghị khắc phục lỗ hổng.

Mức độ ảnh hưởng của mỗi lỗ hổng được tính chính xác dựa trên Hệ thống chấm điểm lỗ hổng bảo mật (Common Vulnerability Scoring System – CVSS) xây dựng trên nền tảng 6 tiêu chí:

Ba tiêu chí đầu tiên đánh giá khả năng bị khai thác của lỗ hổng, trong khi ba tiêu chí sau đánh giá tác động của lỗ hổng. Dựa trên nền tảng tính điểm CVSS kỹ sư xác định chính xác mức độ ảnh hưởng của mỗi lỗ hổng theo mỗi thang điểm tương ứng và thể hiện trực quan theo mức độ ảnh hưởng giảm dần của mỗi lỗ hổng trên báo cáo bao gồm Nghiêm trọng, Cao, Trung Bình và Thấp.

Pentest System/Network

Kiểm thử xâm nhập Hệ thống mạng được thực hiện bao gồm sự kết hợp của các quy trình đánh giá hệ thống quốc tế như ISSAF, OSSTMM, PTES và quy trình đánh giá bảo mật của ECCouncil được xây dựng từ phía đội ngũ đánh giá của HPT bao gồm các phạm vi cung cấp theo gói dịch vụ.

Kết luận

	Kiểm thử xâm nhập – Pentest – là quá trình mô phỏng lại toàn bộ quy trình, cách thức tấn công một hệ thống CNTT thông qua việc tạo ra các cuộc tấn công mạng theo kịch bản nhằm tìm ra lỗ hổng bảo mật mà tin tặc có thể khai thác để chiếm quyền kiểm soát, hoặc tấn công bằng Ransomware và tấn công có chủ đích.

	Bên cạnh việc tìm ra con đường có thể khai thác, bị tấn công sâu vào hệ thống, Pentest cũng phản ánh được hiệu quả của các công nghệ bảo mật trong hệ thống kèm theo việc chỉ ra sự tồn tại những lỗ hổng bảo mật trên chính các giải pháp phòng thủ đã trang bị.

	Dịch vụ pentest sẽ cung cấp cho tổ chức và doanh nghiệp bức tranh toàn cảnh những điểm yếu này để có phương án khắc phục kịp thời. Từ đó, doanh nghiệp có thể nâng cao hiệu suất làm việc của các công nghệ bảo mật, xây dựng lộ trình nâng cấp hệ thống bảo mật để có thể an tâm tập trung phát triển kinh doanh.

	Các hệ thống CNTT không thể duy trì tuyệt đối mức độ an toàn qua thời gian và luôn có những lỗ hổng, rủi ro có thể bị khai thác với sự phát triển của các hình thức tấn công mạng. Do đó, để hạn chế và giảm thiểu những rủi ro này, các tổ chức, doanh nghiệp cần định kỳ thực hiện pentest tối thiểu 06 tháng hoặc một năm với một nhà cung cấp dịch vụ chuyên nghiệp và độc lập.