Dịch vụ đánh giá điểm yếu ATTT và Thử nghiệm xâm nhập cho hệ thống Website/Cổng thông tin điện tử:

Misoft cung cấp dịch vụ kiểm tra, đánh giá điểm yếu/lỗ hổng ATTT cho hệ thống Website/Cổng thông tin điện tử theo cách chuyên nghiệp. Quy trình và phương pháp luận thực hiện dựa trên bộ tiêu chuẩn OWASP (v4), và NIST 800-115 (Technical Guide to Information Security Testing) kết hợp cùng các công cụ mạnh mẽ đáp ứng PCI DSS. Các chuyên gia Misoft thực hiện đánh giá thủ công với kinh nghiệm lâu năm kết hợp sử dụng các công cụ dò quét lỗ hổng bảo mật mạnh mẽ và kết hợp với đánh giá thủ công của chuyên gia. Quá trình đánh giá điểm yếu ATTT cho ứng dụng Web bao gồm các bước:

 

Bước 1: Thu thập thông tin

Thu thập tất cả thông tin liên quan đến mục tiêu cần đánh giá: Địa chỉ IP, URL cần đánh giá, thiết bị bảo vệ…

Ví dụ: Các thông tin cần thu thập:

 

Bước 2: Xác định điểm yếu, lỗ hổng bảo mật

Chuyên gia Misoft sẽ sử dụng những sản phẩm dò quét hàng đầu trên thế giới như:  Acunetix, WebInspect, App Scan, Burpsuite, ZAP, Netsparker... để tìm kiếm, xác định các điểm yếu như:

 

Bước 3: Thử nghiệm xâm nhập

Đây là quá trình quan trọng nhất của quá trình đánh giá điểm yếu ATTT theo phương thức thử nghiệm xâm nhập lỗ hổng bảo mật (Penetration Testing). Quá trình này có sự thực hiện trực tiếp thủ công của các chuyên gia Misoft thay vì chỉ sử dụng các công cụ dò quét tự động theo phương thức dò quét điểm yếu (Vulnerability Assessment)

Từ danh sách các lỗ hổng và điểm yếu bảo mật xác định được từ bước trước chúng tôi thực hiện thử nghiệm tấn công, khai thác vào các hệ thống có điểm yếu bảo mật. Công việc này được thực hiện với mục đích:

 

Bước 4: Tổng hợp kết quả và khuyến nghị khắc phục

Misoft sẽ tổng hợp lại tất các các thông tin thu thập được, nội dung của quá trình làm việc và kết quả thu được để đưa ra cho khách hàng báo cáo kết quả, đề xuất các phương án, giải pháp để khắc phục các lỗ hổng, điểm yếu bảo mật.