DỊCH VỤ KIỂM TRA, ĐÁNH GIÁ AN TOÀN THÔNG TIN MẠNG - PENETRATION TESTING SERVICE – AN NINH MẠNG VIETTEL

26 Tháng M. hai, 2022 Tác giả: Lượt xem: 120

Dịch vụ Kiểm tra và Đánh giá ATTT (Penetration Testing), hay còn gọi ngắn gọn là Pentest, là hình thức kiểm tra hệ thống CNTT của khách hàng có thểbịtấn công hay không, bằng cách đóng vai tin tặc và giảlập các vụtấn công thử nghiệm váo hệ thống của khách hàng. Các mục tiêu chính của dịch vụ Pentest bao gồm:

- Xác định các điểm yếu bảo mật trong hệ thống.
- Đưa ra những khuyến nghị và phương pháp khắc phục cho các điểm yếu tìm ra trong quá trình pentest
- Xác định các điểm yếu bảo mật trong hệ thống.
- Đưa ra những khuyến nghị và phương pháp khắc phục cho doanh nghiệp

Kiểm tra toàn diện ứng dụng web, xác định các lỗ hổng bảo mật bằng cách rà quét trong hệ thống hoặc bằng một cuộc tấn công thật sự như những hacker thực hiện

DỊCH VỤ KIỂM TRA, ĐÁNH GIÁ AN TOÀN THÔNG TIN MẠNG (Penetration testing)

TỔNG QUAN

Trong thời đại phát triển của kỷ nguyên công nghệ 4.0, các thành phố ngày càng trở nên năng động, guồng quay của cuộc sống gắn liền với sựphát triển của các hệ thống công nghệ thông tin (CNTT). CNTT cũng vì thế mà được áp dụng rộng rãi trong các tổ chức, doanh nghiệp để phục vụsự “năng động” đó và trở thành một phần không thể thiếu của các tổ chức, doanh nghiệp nhằm phục vụ nhu cầu truy cập thông tin tức thì, mọi nơi, mọi lúc, kể cả trong các nghiệp vụ quan trọng như tài chính, ngân hàng, hay thậm chí là chỉ huy điều khiển các hệ thống trọng yếu.

Chính vì lẽ đó, việc bảo vệ những hệ thống CNTT đang càng ngày càng trởnên quan trọng, đóng vai trò tiên quyết trong việc đảm bảo ATTT cho các tổ chức, doanh nghiệp.

SỰ CẦN THIẾT CỦA VIỆC KIỂM TRA VÀ ĐÁNH GIÁ ATTT

Những hệ thống CNTT luôn tồn tại những điểm yếu bảo mật mà tin tặc có thể lợi dụng khai thác để phá hoại. Do đó, các tổ chức cần phải đi trước tin tặc một bước, cụ thể là tìm ra điểm yếu trong hệ thống CNTT của đơn vị và khắc phục những điểm yếu đó trước khi thực sự bị tấn công bởi tin tặc.

Tuy nhiên,việc đánh giá định kỳ hệ thống CNTT của một tổ chức rất phức tạp, và đòi hỏi tính khách quan cao nên các tổ chức đã hướng đên việc sử dụng các Dịch vụ Kiểm định và Đánh giá ATTT của các tổ chức bên ngoài.

Dịch vụ Kiểm tra và Đánh giá ATTT (Penetration Testing), hay còn gọi ngắn gọn là Pentest, là hình thức kiểm tra hệ thống CNTT của khách hàng có thểbịtấn công hay không, bằng cách đóng vai tin tặc và giảlập các vụtấn công thử nghiệm váo hệ thống của khách hàng. Các mục tiêu chính của dịch vụ Pentest bao gồm:

Xác định các điểm yếu bảo mật trong hệ thống.
Đưa ra những khuyến nghị và phương pháp khắc phục cho các điểm yếu tìm ra trong quá trình pentest
Xác định các điểm yếu bảo mật trong hệ thống.
Đưa ra những khuyến nghị và phương pháp khắc phục cho doanh nghiệp

Thông thường, các thông tin vềnhững điểm yếu bảo mật được xác định và khai thác qua quá trình pentest sẽ được tổng hợp và cung cấp cho các tổchức nhằm hỗ trợ các tổchức hoạch địnhcác chiến lược và ưu tiên trong việc tăng cường an ninh bảo mật cho hệ thống CNTT của đơn vị.

BLACKBOX PENTEST

Là phương pháp đánhgiá ATTT bằng cách tiếp cận hệthống CNTT của khách hàng từ bên ngoài Internet:

Không yêu cầu cung cấp thông tin nội bộ
Thực hiện đánh giá như những tin tặc.
Chỉ tìm ra lỗ hổng, không làm ảnh hưởng đến hệthống của khách hàng
Các thông tin lấy được trong quá trình khai thác chỉnhằm mục đích demo sẽ được hủy bỏ khi kết thúc quá trình đánh giá. Quá trình đánh giá sẽ tiết lộ các lỗ hổng, mức độ thiệt hại và mức độ nghiêm trọng.

WHITEBOX PENTEST

Khác với BLACKBOX, phương pháp đánh giá WHITEBOX yêu cầu khách hàng cung cấp những thông tin liên quan đến hệ thống CNTT nội bộ và bên ngoài để thực hiện đánh giá:

Thực hiện đánh giá như một người quản trị trong mạng.
Đánh giá nguy cơ tiềm ẩn từ mã nguồn hệthống
Chỉ tìm ra lỗ hổng, không làm ảnh hưởng đến hệ thống của khách hàng
Kết quả đánh giá sử dụng WHITEBOX toàn diện hơn BLACKBOX do có sự hiểu biết rõ ràng hơn về hệ thống CNTT của khách hàng.

QUY TRÌNH THỰC HIỆN

Quy trình Đánh giá ATTT được thực hiện qua các bước sau:

Bước 1:Khách hàng gửi yêu cầu đánh giá

Bước 2:Viettel gửi lại kế hoạch đánh giá

Bước 3:Khách hàng chuẩn bị môi trường đánh giá.

Bước 5:Viettel thực hiện đánhgiá.

Bước 6:Viettel gửi kết quả đánhgiá và hướng dẫn khắc phục các lỗ hổng phát hiện được.

Bước 7:Khách hàng thực hiện khắc phục theo hướng dẫn và gửi yêu cầu đánh giá lại

Quy trình kết thúc trong các trường hợp sau:

Kết quả đánh giá và đánh giá khắc phục không còn lỗi.
Sau 2 tuần, khách hàng không yêu cầu đánh giá lại các lỗi đã khắc phục.
Sau 2 lần đánhgiá các lỗi khắc phục, khách hàng vẫn chưa hoàn thành khắc phục.

CÔNG TY AN NINH MẠNG VIETTEL

Công ty An ninh mạng Viettel là đơn vịtrực thuộc Tập đoàn Công nghiệp - Viễn thông Quân đội,thực hiện nghiên cứu chuyên sâu và phát triển giải pháp ATTT, đồng thời cung cấp dịch vụ đảm bảo ATTT mạng cho các tổ chức, doanh nghiệp trong và ngoài nước.

Công ty đã thực hiện nghiên cứu, bổ sung và áp dụng các kỹ thuật ethical hacking đối với các ứng dụng CNTT nhằm phát hiện các lỗ hổng ATTT với mục đích mang đến khách hàng những dịch vụ ĐÁNH GIÁ AN TOÀN THÔNG TIN BLACKBOX VÀ WHITEBOX tối ưu,hiệu quả nhất.

Các dịch vụ chính:

Dựa trên các mô tả lỗ hổng trong danh sách Top 10 do tổ chức OWASP đưa ra, Viettel đã xây dựng các tiêu chí để xác định các lỗ hổng của một hệ thống web, bao gồm 7 mục chính:

Quản lý xác thực: Tránh các lỗhổng gây mất tài khoản
Quản lý phiên đăng nhập: Tránh lỗ các hổng chiếm quyền đăng nhập
Phân quyền: Tránh các lỗhổng cho phép thực hiện chức năng không đúng quyền
Tương tác với back-end: Tránh lỗ hổng gây thất thoát dữ liệu
Kiểm soát dữ liệu đầu vào: Đảm bảo ATTT cho các dữ liệu được đưa lên máy chủ
Kiểm soát dữ liệu đầu ra: Đảm bảo ATTT cho người dùng
Kiểm soát lỗ hổng 1-day của các thư viện, framework

PHƯƠNG PHÁP THỰC HIỆN

Viettel cung cấp 2 loại hình Pentest là BLACKBOX và WHITEBOX

CÁC GIẢI THƯỞNG ĐẠT ĐƯỢC

Trong suốt những năm vừa qua, đội ngũ cán bộ, chuyên gia của Công ty An ninh mạng Viettel đã nỗ lực không ngừng trong quá trình nghiên cứu và phát triển để cho ra đời những sản phẩm tối ưu nhất, phục vụ các nhu cầu về công tác đảm bảo an toàn thông tin của khách hàng trên khắp mọi miền của đất nước cũng như những khách hàng khác trong khu vực.

Trong suốt quá trình hoạt động, Viettel đã nghiên cứu và sở hữu khoảng 50 lỗ hổng zero-day trên nhiều nền tảng ứng dụng như Microsoft, Zimbra, Facebook, Paypal,…

Nhờ những kết quả quan trọng trong việc phát hiện nhiều lỗ hổng của nhiều ứng dụng được sử dụng rộng rãi trên thế giới, Công ty An ninh mạng Viettel đã được thị trường trong nước và các nước lân cận công nhận là đơn vị xuất sắc trong lĩnh vực Đánh giá, Giám sát và Đảm bảo An toàn thông tin.