Datasheet Dịch vụ kiểm tra, đánh giá An toàn thông tin Mạng của Viettel Cyber Secu

Viettel Pentest
Chủ nhật - 01/06/2025 23:19 Tác giả: Lượt xem: 4

Những hệ thống CNTT luôn tồn tại những điểm yếu bảo mật mà tin tặc có thể lợi dụng khai thác để phá hoại. Do đó, các tổ chức cần phải đi trướctin tặc một bước, cụ thể là tìm ra điểm yếu trong hệ thống CNTT của đơn vị và khắc phục những điểm yếu đó trước khi thực sự bị tấn công bởi tin tặc.
Tuy nhiên, việc đánh giá định kỳ hệ thống CNTT của một tổ chức rất phức tạp, và đòi hỏi tính khách quan cao nên các tổ chức đã hướng đến việc sử dụngcác Dịch vụ Kiểm định và Đánh giá ATTT của các tổ chức bên ngoài. Dịch vụ Kiểm tra và Đánh giá ATTT (Penetration Testing), hay còn gọi là Pentest, là hình thức kiểm tra hệ thống CNTT của khách hàng có thể bị tấn công hay không, bằng cách đóng vai tin tặc và giả lập các vụ tấn công thửnghiệm váo hệ thống của khách hàng.

Tổng quan

Trong thời đại phát triển của kỷ nguyên công nghệ 4.0, các thành phố ngày càng trở nên năng động, guồng quay của cuộc sống gắn liền vớisự phát triển của các hệ thống công nghệ thông tin (CNTT). CNTT cũng vì thế mà được áp dụng rộng rãi trong các tổ chức, doanh nghiệp đểphục vụ sự “năng động” đó và trở thành một phần không thể thiếu của các tổ chức, doanh nghiệp nhằm phục vụ nhu cầu truy cập thông tin tức thì, mọi nơi, mọi lúc, kể cả trong các nghiệp vụ quan trọng như tài chính, ngân hàng, hay thậm chí là chỉ huy điều khiển các hệ thống trọng yếu.
Chính vì lẽ đó, việc bảo vệ những hệ thống CNTT đang càng ngày càng trở nên quan trọng, đóng vai trò tiên quyết trong việc đảm bảo ATTT cho các tổ chức, doanh nghiệp.

Pentest là gì? Tại sao cần kiểm thử xâm nhập?
 

Sự cần thiết của kiểm tra và đánh giá ATTT

Những hệ thống CNTT luôn tồn tại những điểm yếu bảo mật tin tặc có thể lợi dụng khai thác để phá hoại. Do đó, các tổ chức cần phải đi trướctin tặc một bước, cụ thể tìm ra điểm yếu trong hệ thống CNTT của đơn vị khắc phục những điểm yếu đó trước khi thực sự bị tấn công bởi tin tặc.
Tuy nhiên, việc đánh giá định kỳ hệ thống CNTT của một tổ chức rất phức tạp, đòi hỏi tính khách quan cao nên các tổ chức đã hướng đến việc sử dụngcác Dịch vụ Kiểm định Đánh giá ATTT của các tổ chức bên ngoài. Dịch vụ Kiểm tra Đánh giá ATTT (Penetration Testing), hay còn gọi Pentest, là hình thức kiểm tra hệ thống CNTT của khách hàng có thể bị tấn công hay không, bằng cách đóng vai tin tặc và giả lập các vụ tấn công thửnghiệm váo hệ thống của khách hàng.
Các mục tiêu chính của dcch vụ Pentest bao gổm:
  • Xác định các điểm yếu bảo mật trong hệ thống.
  • Đưa ra những khuyến nghị phương pháp khắc phục cho các điểm yếu tìm ra trong quá trình pentest.
  • Kiểm tra các chính sách ATTT của tổ chức.
  • Đánh giá nhận thức của người dùng khi xảy ra tấn công mạng.
Thông thường, các thông tin về những điểm yếu bảo mật được xác định và khai thác qua quá trình pentest sẽ được tổng hợp cung cấp cho các tổchức nhằm hỗ trợ các tổ chức hoạch định các chiến lược và ưu tiên trong việc tăng cường an ninh bảo mật cho hệ thống CNTT của đơn vị.

 Phương pháp thực hiện

VCS cung cấp 2 loại hình triển khai Pentest là BLACKBOX và WHITEBOX:
 
    • BLACKBOX PENTEST: : phương pháp đánh giá ATTT bằng cách tiếp cận hệ thống CNTT của khách hàng từ bên ngoài Internet,không yêu cầu cung cấp thông tin nội bộ, thực hiện đánh giá như những tin tặc chỉ tìm ra lỗ hổng, không làm ảnh hưởng đến hệ thống của khách hàng.
    • WHITEBOX PENTEST: Khác với blackbox, whitebox yêu cầu khách hàng cung cấp những thông tin liên quan đến hệ thống CNTT nội bộ bên ngoài để thực hiện đánh giá như một người quản trị trong mạng, đánh giá nguy cơ tiềm ẩn từ mã nguồn hệ thống chỉ tìm ra lỗ hổng, không làm ảnh hưởng đến hệ thống của khách hàng.


Các dịch vụ chính

Dựa trên các tả lỗ hổng trong danh sách Top 10 do tổ chức OWASP đưa ra, VCS đã xây dựng các tiêu chí để xác định các lỗ hổng của một hệ thốngweb, bao gồm 7 mục chính:
  • Quản lý xác thực: Tránh các lỗ hổng gây mất tài khoản.
  • Quản lý phiên đăng nhập: Tránh lỗ hổng chiếm quyền đăng nhập.
  • Phân quyền: Tránh các lỗ hổng cho phép thực hiện chức năng không đúng quyền.
  • Tương tác với back-end: Tránh lỗ hổng gây thất thoát dữ liệu.
  • Kiểm soát dữ liệu đầu vào: Đảm bảo ATTT dữ liệu được đưa lên máy chủ.
  • Kiểm soát dữ liệu đầu ra: Đảm bảo ATTT cho người dùng.
  • Kiểm soát lỗ hổng 1-day của các thư viện, framework.
1 Bảng giá Dịch vụ kiểm tra đánh giá an toàn thông tin mạng Viettel

Quy trình thực hiện

Quy trình Đánh giá ATTT được thực hiện qua các bước sau:

BưỚc 1: Khách hàng gửi yêu cầu đánh giá.
BưỚc 2: VCS gửi lại kế hoạch đánh giá.
BưỚc 3: Khách hàng chuẩn bị môi trường đánh giá.
BưỚc 4: Viettel thực hiện đánh giá.
BưỚc 5: Viettel gửi kết quả đánh giá hướng dẫn khắc phục các lỗ hổng phát hiện được.
BưỚc 6: Khách hàng thực hiện khắc phục theo hướng dẫn và gửi yêu cầu đánh giá lại.

 

Quy trình kết thúc trong các trường hợp sau:

  • Kết quả đánh giá và đánh giá khắc phục không còn lỗi.

  • Sau 2 tuần, khách hàng không yêu cầu đánh giá lại các lỗi đã khắc phục.

  • ​​​​​​​Sau 2 lần đánh giá các lỗi khắc phục, khách hàng vẫn chưa hoàn thành khắc phục.

    Các giải thưởng đạt được:

    • Dịch vụ kiểm tra, đánh giá ATTT mạng của Công ty An ninh mạng Viettel vinh dự nhận được các giải thưởng danh tiếng, uy tín trên thế giới, tiêu biểu là Giải vàng cho “Dịch vụ Kiểm thử xâm nhập” do Cybersecurity Excellence Awards chứng nhận năm 2022, 2023 và Giải thưởng “Next-gen Penetration Testing” 2023 bởi tạp chí Cyber Defense chứng nhận.
    • Công ty An ninh mạng Viettel được chứng nhận “Nhà cung cấp dịch vụ quản an ninh mạng tốt nhất Việt Nam năm 2022 (Frost & Sullivan Asia Pacific Best Practices Awards) giải thưởng IT World Awards 2022.
    • Bên cạnh đó, công ty đã đạt được nhiều giải thưởng lớn trong nước như Chương trình Danh hiệu Sao Khuê 2022 của Hiệp hội Phần mềm Dịch vụ CNTT Việt Nam (VINASA), Chương trình danh hiệu “Chìa khoá vàng năm 2022” bởi Hiệp hội An toàn thông tin Việt Nam (VNISA), với sự bảo trợ của Bộ TT&TT.
    • Trong suốt quá trình hoạt động, Viettel đã nghiên cứu sở hữu khoảng 300 lỗ hổng zero-day trên nhiều nền tảng ứng dụng như Microsoſt, Zimbra, Facebook,Paypal,… Nhờ những kết quả quan trọng trong việc phát hiện nhiều lỗ hổng của nhiều ứng dụng được sử dụng rộng rãi trên thế giới, Công ty An ninh mạng Viettel đã được thị trường trong nước các nước lân cận công nhận đơn vị xuất sắc trong lĩnh vực Đánh giá, Giám sát Đảm bảo An toàn thông tin.

Liên Hệ Đăng Ký Dịch Vụ

Mr. Tống Anh Sơn - Account Manager
Mobile: 036.965.7724 (SĐT, Zalo, Telegram, Viber, Whatsapp)

Email: sonta5@viettel.com.vn

Website: https://viettel-idc.com.vn/ 

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết
Nhắn Zalo
Nhắn Zalo
Nhận ưu đãi
(+84) 36 965 7724
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây