Dịch vụ Đánh giá An toàn thông tin giúp đánh giá tổng thể về các khía cạnh từ hạ tầng mạng, ứng dụng, con người cho đến các quy trình vận hành để chỉ ra các điểm yếu của hệ thống.
Dịch vụ giúp phát hiện và loại bỏ những cấu hình, điểm yếu không an toàn khi triển khai cài đặt mới hệ thống, cũng như đối với các hệ thống đang vận hành nhằm tăng cường và bảo đảm an toàn cho hệ thống; tư vấn, khuyến nghị các biện pháp để nâng cao khả năng bảo mật cho hệ thống
Các dịch vụ Đánh giá An toàn thông tin gồm:
- Kiểm thử máy tính người dùng
- Kiểm thử hệ thống mạng
- Kiểm thử máy chủ
- Kiểm thử ứng dụng
- Đánh giá chính sách, tuân thủ An toàn thông tin
- Đánh giá nhận thức An toàn thông tin
Quy trình cung cấp dịch vụ kiểm thử xâm nhập
1. Dịch vụ Kiểm thử máy tính người dùng
Thực hiện kiểm tra việc triển khai các biện pháp, cơ chế, chính sách bảo mật trên máy tính người dùng và rà soát, gỡ bỏ các tiến trình độc hại (nếu có). Kiểm tra cấu hình máy tính theo các hạng mục:
- Update hệ điều hành, các bản vá lỗi của nhà sản xuất.
- Update Anti-virus & anti-malware.
- Kiểm tra chính sách tài khoản, chính sách mật khẩu, chính sách chia sẻ dữ liệu trên máy tính, chính sách kết nối wifi trên các máy xách tay.
- Các phần mềm cài đặt trên máy tính.
- Thiết lập Firewall trên máy tính.
2. Dịch vụ Kiểm thử hệ thống mạng
Thực hiện đánh giá mô hình mạng hiện tại của tổ chức, kiểm tra, rà soát các cổng đang mở, các kết nối, lỗ hổng trong cấu hình, chính sách thiết lập trên các thiết bị mạng của doanh nghiệp/tổ chức:
- Khảo sát mô hình mạng, đánh giá cấu trúc, kiến trúc mạng;
- Đánh giá các biện pháp bảo mật đang được thiết lập;
- Kiểm tra, đánh giá các thiết bị mạng (phiên bản, tính tương thích, tính phù hợp, cấu hình thiết bị, chính sách tài khoản – mật khẩu, thiết bị dự phòng, …);
- Đánh giá thiết bị, phần mềm bảo mật đang được triển khai trên hạ tầng mạng (Firewall, IDS/IPS, VPN, ... );
- Rà soát, phát hiện lỗ hổng bảo mật trên các thiết bị, cảnh báo và hỗ trợ khắc phục.
3. Dịch vụ Kiểm thử máy chủ
Rà soát, phát hiện các cổng đang mở, các dịch vụ, tiến trình, các lỗ hổng của hệ điều hành, các cấu hình trên máy chủ:
- Khảo sát và đánh giá an ninh chung đối với mỗi máy chủ;
- Đánh giá an ninh đối với hệ điều hành (kiểm tra bản cập nhật, bản vá lỗi, biện pháp bảo mật; kiểm tra, đối chiếu các thiết lập, cấu hình; kiểm tra các port đang mở, các dịch vụ chạy trên server; kiểm tra vấn đề truy cập hệ thống, xác thực; kiểm tra vấn đề bảo trì hệ thống, ...);
- Kiểm tra cấu hình đặc thù của từng hệ điều hành tương ứng;
- Đánh giá an ninh đối với cơ sở dữ liệu (kiểm tra các quyền truy cập và quản lý tệp tin, kiểm tra đăng nhập quản trị CSDL; kiểm tra các vấn đề chung liên quan đến CSDL; kiểm tra cấu hình CSDL; kiểm tra cấu hình SSL; kiểm tra vấn đề mã hóa, sao lưu; ... );
- Kiểm tra các cấu hình thiết lập chính sách về mật khẩu;
- Kiểm tra vấn đề truy cập và quản trị server từ xa;
- Kiểm tra việc ghi log;
- Đánh giá bảo mật của các dịch vụ môi trường (web, mail, FTP, ... );
4. Dịch vụ Kiểm thử ứng dụng
Rà soát các lỗ hổng, điểm yếu trong các hệ thống phần mềm, ứng dụng web, ứng dụng di động, firmware, … của khách hàng chủ quản. Tư vấn cho khách hàng các phương pháp lập trình phần mềm an toàn, cách bảo vệ mã nguồn phần mềm trước việc dịch ngược mã nguồn:
• Tham chiếu tới bộ tiêu chuẩn OWASP Web/Mobile Application Security Verification Standard, SANS TOP 25, Common Weakness Enumeration (CWE) trong việc đánh giá lỗ hổng trên hệ thống phần mềm, ứng dụng, firmware của khách hàng.
• Các hạng mục trong kiểm thử:
- Thu thập thông tin;
- Kiểm tra cấu hình;
- Kiểm tra phần xác thực;
- Kiểm tra quản lý phiên;
- Kiểm tra quá trình cấp quyền;
- Kiểm tra việc kiểm duyệt dữ liệu đầu vào;
- Tấn công từ chối dịch vụ;
- Đánh giá web services;
- Kiểm tra AJAX;
- Tư vấn, hỗ trợ khắc phục lỗ hổng bảo mật.
5. Dịch vụ Đánh giá chính sách, tuân thủ ATTT
Kiểm tra, đánh giá các chính sách về ATTT hiện tại của tổ chức so với các tiêu chuẩn quốc tế (ISO/IEC 27001, PCI-DSS, CSP, …), pháp luật hiện hành của Nhà nước; tư vấn, khuyến nghị bổ sung các chính sách mà tổ chức còn thiếu. Đánh giá mức độ tuân thủ các chính sách ATTT của người dùng trong tổ chức.
- Kiểm tra danh mục các chính sách bảo mật hiện có;
- Đánh giá từng chính sách bảo mật đang được áp dụng;
- Đánh giá các chính sách quản lý tài sản, thiết bị;
- Đánh giá các quy trình giám sát, phát hiện, xử lý, rà quét và quản lý các sự cố ATTT;
- Kiểm tra việc áp dụng của mỗi chính sách.
- Tư vấn, khuyến nghị bổ sung các chính sách còn thiếu.
6. Dịch vụ Đánh giá nhận thức ATTT
Dịch vụ đánh giá nhận thức ATTT của Trung tâm an toàn thông tin bao gồm 2 hình thức:
- Đánh giá nhận thức người dùng thông qua các câu hỏi quiz về các kiến thức, tình huống an toàn thông tin có thể gặp phải trong thực tế, từ đó đề xuất tổ chức các buổi đào tạo, huấn luyện, nâng cao nhận thức về ATTT của người dùng.
- Đánh giá chỉ số thực hành về nhận thức ATTT của người dùng thông qua hình thức phishing: Tư vấn thiết kế kịch bản phishing và triển khai các chiến dịch phishing người dùng nội bộ tổ chức/doanh nghiệp thông qua Email, SMS, Website độc hại, …
Kết quả đánh giá nhận thức ATTT của người dùng là sở cứ đáng tin cậy để tổ chức, doanh nghiệp lên kế hoạch triển khai đào tạo nhận thức ATTT cho cán bộ, nhân viên phù hợp, nâng cao khả năng phòng chống các tình huống gây mất ATTT thông thường.