Hình thức này giúp tổ chức ứng phó bằng cách nhận diện, phân loại và giải quyết các rủi ro bảo mật và hướng dẫn để giảm thiểu các rủi ro này một cách tốt nhất.
Dịch vụ
Đánh giá bảo mật Website
Sử dụng các công cụ tự động như Acunetix, … để rà quét các ứng dụng trên website, thường từ bên ngoài để tìm kiếm các lỗ hổng bảo mật như Cross-site, SQL Injection, Command Injection, Path Traversal và các cấu hình máy chủ không an toàn.
Báo cáo: bao gồm các mức độ rủi ro, khuyến nghị cho từng lỗ hổng bảo mật
Đánh giá bảo mật hạ tầng CNTT
Sử dụng các công cụ tự động như Nessus Pro, Nmap, … để rà quét các cổng dịch vụ đang mở như SPTP, SMB, … để tìm các lỗi bảo mật công khai, các cấu hình bảo mật sai, …
Báo cáo: Bao gồm các mức độ rủi ro, khuyến nghị cho từng lỗ hổng bảo mật
Tại sao cần đánh giá VA
Xác định sớm các mối đe dọa và điểm yếu trong việc bảo mật hệ thống CNTT
Có các hành động khắc phục để thu hẹp các lỗ hổng và bảo vệ hệ thống thông tin nhạy cảm
Đáp ứng nhu cầu tuân thủ và các quy định an ninh mạng như HIPAA và PCI DSS
Bảo vệ chống lại các vi phạm dữ liệu và truy cập trái phép
Tại sao cần đánh giá VA
Xác định sớm các mối đe dọa và điểm yếu trong việc bảo mật hệ thống CNTT
Có các hành động khắc phục để thu hẹp các lỗ hổng và bảo vệ hệ thống thông tin nhạy cảm
Đáp ứng nhu cầu tuân thủ và các quy định an ninh mạng như HIPAA và PCI DSS
Bảo vệ chống lại các vi phạm dữ liệu và truy cập trái phép
Thế nào là một mối đe dọa
Sự cố có khả năng gây hại cho hệ thống
Nhân viên thiếu trung thực
Tội phạm mạng
Chính phủ
Khủng bố
Báo chí
Đối thủ cạnh tranh
Thiên nhiên
+
Điểm yếu xác định có thể bị khai thác
Lỗi phần mềm
Quy trình còn thiếu sót
Việc kiểm soát thiếu hiệu quả
Lỗi phần cứng
Thay đổi trong kinh doanh
Hệ thống lỗi thời
BCP (Business continuity plan) – chiến lược kinh doanh liên tục còn thiếu sót
Sai sót do con người
=
Thiệt hại tiềm ẩn khi một mối đe dọa bị lỗ hổng khai thác
Gián đoạn hoạt động kinh doanh
Tổn thất tài chính
Mất sự riêng tư cá nhân
Mất sự tín nhiệm
Phạt pháp lý
Suy giảm tăng trưởng
Giảm tuổi thọ máy
Sự cố có khả năng gây hại cho hệ thống
Nhân viên thiếu trung thực
Tội phạm mạng
Chính phủ
Khủng bố
Báo chí
Đối thủ cạnh tranh
Thiên nhiên
Điểm yếu xác định có thể bị khai thác
Lỗi phần mềm
Quy trình còn thiếu sót
Việc kiểm soát thiếu hiệu quả
Lỗi phần cứng
Thay đổi trong kinh doanh
Hệ thống lỗi thời
BCP (Business continuity plan) – chiến lược kinh doanh liên tục còn thiếu sót
Sai sót do con người
Thiệt hại tiềm ẩn khi một mối đe dọa bị lỗ hổng khai thác
Gián đoạn hoạt động kinh doanh
Tổn thất tài chính
Mất sự riêng tư cá nhân
Mất sự tín nhiệm
Phạt pháp lý
Suy giảm tăng trưởng
Giảm tuổi thọ máy
Theo: Businesstechweekly.com
Các bước thực hiện
Nhận diện lỗ hổng
Mục tiêu bước 1 là liệt kê được danh sách toàn bộ các lỗ hổng của ứng dụng, máy chủ hoặc hệ thống khác thông qua các công cụ tự động hoặc theo cách thủ công.
01
Phân tích
Bước này cần xác định được nguồn gốc và nguyên nhân cốt lõi của các lỗ hổng đã được liệt kê trong bước 1
02
Đánh giá rủi ro
Phân loại mức độ, xếp hạng tính nghiêm trọng của từng lỗ hổng
03
Khắc phục
Thu hẹp các lỗ hổng bảo mật bằng danh mục hoạt động cụ thể và hiệu quả nhất mà nhóm thành viên bảo mật, vận hành và phát triển đưa ra để khắc phục và giảm thiểu thiệt hại của từng lỗ hổng
Giải pháp tổng thể tìm kiếm, phát hiện và phối hợp xử lý các lỗ hổng bảo mật từ đó giúp doanh nghiệp khắc phục các điểm yếu và rủi ro ATTT không đáng có.
Phương pháp đánh giá bảo mật được thực hiện bởi một nhóm được cấp quyền và tổ chức để mô phỏng một cuộc tấn công chống lại một hệ thống an toàn thông tin của doanh nghiệp.
Trang web này sử dụng cookie để cung cấp cho bạn trải nghiệm người dùng tốt hơn. Để biết thêm thông tin, hãy tham khảo Chính sách quyền riêng tư của chúng tôi