Vulnerability Assessment

Hình thức này giúp tổ chức ứng phó bằng cách nhận diện, phân loại và giải quyết các rủi ro bảo mật và hướng dẫn để giảm thiểu các rủi ro này một cách tốt nhất.

Dịch vụ

Đánh giá bảo mật Website

Sử dụng các công cụ tự động như Acunetix, … để rà quét các ứng dụng trên website, thường từ bên ngoài để tìm kiếm các lỗ hổng bảo mật như Cross-site, SQL Injection, Command Injection, Path Traversal và các cấu hình máy chủ không an toàn. 

Báo cáo: bao gồm các mức độ rủi ro, khuyến nghị cho từng lỗ hổng bảo mật

Đánh giá bảo mật hạ tầng CNTT

Sử dụng các công cụ tự động như Nessus Pro, Nmap, … để rà quét các cổng dịch vụ đang mở như SPTP, SMB, … để tìm các lỗi bảo mật  công khai, các cấu hình bảo mật sai, …

Báo cáo: Bao gồm các mức độ rủi ro, khuyến nghị cho từng lỗ hổng bảo mật

Tại sao cần đánh giá VA

Xác định sớm các mối đe dọa và điểm yếu trong việc bảo mật hệ thống CNTT

Có các hành động khắc phục để thu hẹp các lỗ hổng và bảo vệ hệ thống thông tin nhạy cảm

Đáp ứng nhu cầu tuân thủ và các quy định an ninh mạng như HIPAA và PCI DSS

Bảo vệ chống lại các vi phạm dữ liệu và truy cập trái phép

Tại sao cần đánh giá VA

Xác định sớm các mối đe dọa và điểm yếu trong việc bảo mật hệ thống CNTT

Có các hành động khắc phục để thu hẹp các lỗ hổng và bảo vệ hệ thống thông tin nhạy cảm

Đáp ứng nhu cầu tuân thủ và các quy định an ninh mạng như HIPAA và PCI DSS

Bảo vệ chống lại các vi phạm dữ liệu và truy cập trái phép

Thế nào là một mối đe dọa

Sự cố có khả năng gây hại cho hệ thống

  • Nhân viên thiếu trung thực
  • Tội phạm mạng
  • Chính phủ
  • Khủng bố
  • Báo chí
  • Đối thủ cạnh tranh
  • Thiên nhiên 
+

Điểm yếu xác định có thể bị khai thác

  • Lỗi phần mềm
  • Quy trình còn thiếu sót
  • Việc kiểm soát thiếu hiệu quả
  • Lỗi phần cứng
  • Thay đổi trong kinh doanh
  • Hệ thống lỗi thời
  • BCP (Business continuity plan) – chiến lược kinh doanh liên tục còn thiếu sót
  • Sai sót do con người
=

Thiệt hại tiềm ẩn khi một mối đe dọa bị lỗ hổng khai thác

  • Gián đoạn hoạt động kinh doanh
  • Tổn thất tài chính
  • Mất sự riêng tư cá nhân
  • Mất sự tín nhiệm
  • Phạt pháp lý
  • Suy giảm tăng trưởng
  • Giảm tuổi thọ máy

Sự cố có khả năng gây hại cho hệ thống

  • Nhân viên thiếu trung thực
  • Tội phạm mạng
  • Chính phủ
  • Khủng bố
  • Báo chí
  • Đối thủ cạnh tranh
  • Thiên nhiên 

Điểm yếu xác định có thể bị khai thác

  • Lỗi phần mềm
  • Quy trình còn thiếu sót
  • Việc kiểm soát thiếu hiệu quả
  • Lỗi phần cứng
  • Thay đổi trong kinh doanh
  • Hệ thống lỗi thời
  • BCP (Business continuity plan) – chiến lược kinh doanh liên tục còn thiếu sót
  • Sai sót do con người

Thiệt hại tiềm ẩn khi một mối đe dọa bị lỗ hổng khai thác

  • Gián đoạn hoạt động kinh doanh
  • Tổn thất tài chính
  • Mất sự riêng tư cá nhân
  • Mất sự tín nhiệm
  • Phạt pháp lý
  • Suy giảm tăng trưởng
  • Giảm tuổi thọ máy
Theo: Businesstechweekly.com

Các bước thực hiện

Nhận diện lỗ hổng

Mục tiêu bước 1 là liệt kê được danh sách toàn bộ các lỗ hổng của ứng dụng, máy chủ hoặc hệ thống khác thông qua các công cụ tự động hoặc theo cách thủ công.
01

Phân tích

Bước này cần xác định được nguồn gốc và nguyên nhân cốt lõi của các lỗ hổng đã được liệt kê trong bước 1
02

Đánh giá rủi ro

Phân loại mức độ, xếp hạng tính nghiêm trọng của từng lỗ hổng
03

Khắc phục

Thu hẹp các lỗ hổng bảo mật bằng danh mục hoạt động cụ thể và hiệu quả nhất mà nhóm thành viên bảo mật, vận hành và phát triển đưa ra để khắc phục và giảm thiểu thiệt hại của từng lỗ hổng
04

Tài nguyên liên quan

Sản phẩm

Giải pháp tổng thể tìm kiếm, phát hiện và phối hợp xử lý các lỗ hổng bảo mật từ đó giúp doanh nghiệp khắc phục các điểm yếu và rủi ro ATTT không đáng có.

Dịch vụ
Phương pháp đánh giá bảo mật được thực hiện bởi một nhóm được cấp quyền và tổ chức để mô phỏng một cuộc tấn công chống lại một hệ thống an toàn thông tin của doanh nghiệp.
Bài viết liên quan
Tổng hợp các bài viết đa dạng như phân tích chuyên sâu, cảnh báo bảo mật,….Cập nhật các tin tức về lĩnh vực an toàn thông tin trong nước và quốc tế.

Đăng ký thông tin để trải nghiệm dịch vụ của VSEC ngay hôm nay