Vulnerability Assessment
Hình thức này giúp tổ chức ứng phó bằng cách nhận diện, phân loại và giải quyết các rủi ro bảo mật và hướng dẫn để giảm thiểu các rủi ro này một cách tốt nhất.
Dịch vụ
Đánh giá bảo mật Website
Sử dụng các công cụ tự động như Acunetix, … để rà quét các ứng dụng trên website, thường từ bên ngoài để tìm kiếm các lỗ hổng bảo mật như Cross-site, SQL Injection, Command Injection, Path Traversal và các cấu hình máy chủ không an toàn.
Báo cáo: bao gồm các mức độ rủi ro, khuyến nghị cho từng lỗ hổng bảo mật
Đánh giá bảo mật hạ tầng CNTT
Sử dụng các công cụ tự động như Nessus Pro, Nmap, … để rà quét các cổng dịch vụ đang mở như SPTP, SMB, … để tìm các lỗi bảo mật công khai, các cấu hình bảo mật sai, …
Báo cáo: Bao gồm các mức độ rủi ro, khuyến nghị cho từng lỗ hổng bảo mật
Tại sao cần đánh giá VA
Xác định sớm các mối đe dọa và điểm yếu trong việc bảo mật hệ thống CNTT
Có các hành động khắc phục để thu hẹp các lỗ hổng và bảo vệ hệ thống thông tin nhạy cảm
Đáp ứng nhu cầu tuân thủ và các quy định an ninh mạng như HIPAA và PCI DSS
Bảo vệ chống lại các vi phạm dữ liệu và truy cập trái phép
Tại sao cần đánh giá VA
Xác định sớm các mối đe dọa và điểm yếu trong việc bảo mật hệ thống CNTT
Có các hành động khắc phục để thu hẹp các lỗ hổng và bảo vệ hệ thống thông tin nhạy cảm
Đáp ứng nhu cầu tuân thủ và các quy định an ninh mạng như HIPAA và PCI DSS
Bảo vệ chống lại các vi phạm dữ liệu và truy cập trái phép
Thế nào là một mối đe dọa
Sự cố có khả năng gây hại cho hệ thống
- Nhân viên thiếu trung thực
- Tội phạm mạng
- Chính phủ
- Khủng bố
- Báo chí
- Đối thủ cạnh tranh
- Thiên nhiên
Điểm yếu xác định có thể bị khai thác
- Lỗi phần mềm
- Quy trình còn thiếu sót
- Việc kiểm soát thiếu hiệu quả
- Lỗi phần cứng
- Thay đổi trong kinh doanh
- Hệ thống lỗi thời
- BCP (Business continuity plan) – chiến lược kinh doanh liên tục còn thiếu sót
- Sai sót do con người
Thiệt hại tiềm ẩn khi một mối đe dọa bị lỗ hổng khai thác
- Gián đoạn hoạt động kinh doanh
- Tổn thất tài chính
- Mất sự riêng tư cá nhân
- Mất sự tín nhiệm
- Phạt pháp lý
- Suy giảm tăng trưởng
- Giảm tuổi thọ máy
Sự cố có khả năng gây hại cho hệ thống
- Nhân viên thiếu trung thực
- Tội phạm mạng
- Chính phủ
- Khủng bố
- Báo chí
- Đối thủ cạnh tranh
- Thiên nhiên
Điểm yếu xác định có thể bị khai thác
- Lỗi phần mềm
- Quy trình còn thiếu sót
- Việc kiểm soát thiếu hiệu quả
- Lỗi phần cứng
- Thay đổi trong kinh doanh
- Hệ thống lỗi thời
- BCP (Business continuity plan) – chiến lược kinh doanh liên tục còn thiếu sót
- Sai sót do con người
Thiệt hại tiềm ẩn khi một mối đe dọa bị lỗ hổng khai thác
- Gián đoạn hoạt động kinh doanh
- Tổn thất tài chính
- Mất sự riêng tư cá nhân
- Mất sự tín nhiệm
- Phạt pháp lý
- Suy giảm tăng trưởng
- Giảm tuổi thọ máy
Các bước thực hiện
Nhận diện lỗ hổng
Phân tích
Đánh giá rủi ro
Khắc phục
Tài nguyên liên quan
Giải pháp tổng thể tìm kiếm, phát hiện và phối hợp xử lý các lỗ hổng bảo mật từ đó giúp doanh nghiệp khắc phục các điểm yếu và rủi ro ATTT không đáng có.
