Penatration Testing là phương pháp đánh giá an toàn của hệ thống máy tính và mạng bằng cách mô phỏng tin tặc có tay nghề cao tấn công vào hệ thống để tìm ra các lỗi đang tồn tại trên các ứng dụng hoặc máy chủ nhằm hạn chế các cuộc tấn công.

Đối với các dịch vụ đánh giá điểm yếu ATTT bằng phương pháp thử nghiệm xâm nhập (Penetration Testing), ngoài việc sử dụng các công cụ dò quét tự động, quá trình đánh giá sẽ có sự tham gia thử nghiệm xâp nhập, tấn công của các chuyên gia Misoft. Quá trình này được thực hiện thủ công với sự giúp đỡ của một số công cụ phụ trợ nhằm xác định chuẩn xác sự tồn tại của điểm yếu, loại bỏ các kết quả sai của công cụ dò quét tự động. Đồng thời quá trình này cũng minh họa được chính xác nhất cách thức mà hacker khai thác điểm yếu trên hệ thống của khách hàng.

1. Sự cần thiết và mục tiêu của việc Đánh giá điểm yếu ATTT và thử nghiệm xâm nhập:

Hiện nay tình hình an ninh mạng trên thế giới nói chung và Việt Nam nói riêng vẫn có nhiều diễn biến phức tạp, những vụ tấn công mạng, đánh cắp thông tin người dùng trên quy mô lớn đã diễn ra và để lại hậu quả nghiêm trọng với các tổ chức, cá nhân. Các vấn đề về an toàn, an ninh mạng trở thành mối quan tâm chính của các nền kinh tế dựa trên công nghệ ngày nay. An toàn, an ninh mạng đã trở thành nhu cầu cốt lõi để cung cấp một xã hội bền vững và an toàn cho người dùng trực tuyến trong không gian mạng. Mối đe dọa an ninh mạng ngày càng gia tăng. An toàn, an ninh mạng bao gồm việc áp dụng và duy trì các quy trình liên quan đến việc phát hiện sớm các mối đe dọa mạng và giảm thiểu rủi ro, đây là điều kiện tiên quyết để áp dụng một hệ sinh thái máy tính bền vững có trách nhiệm bảo vệ hoạt động của các xã hội hiện đại dựa trên công nghệ.

Việc Đánh giá điểm yếu ATTT và thử nghiệm xâm nhập là cần thiết hơn bao giờ hết và là tâm điểm chính với sự bùng nổ của công nghệ thông tin. Sự bùng nổ của công nghệ thông tin mang lại cho chúng ta rất nhiều lợi ích về kinh tế - xã hội, trong đời sống hàng ngày nhưng bên cạnh những lợi ích mà nó mang đến lại là những rủi ro, mất mát cao trong việc đảm bảo an toàn thông tin mà đáng chú tâm nhất là các tổ chức tài chính, ngân hàng, các cơ quan chính phủ, các doanh nghiệp. Đánh giá điểm yếu ATTT và thử nghiệm xâm nhập là để rà soát được mức độ an toàn cho hệ thống, kiểm tra phân tích các mối đe dọa, các lỗ hổng dù là nhỏ nhất giúp hệ thống tránh nguy cơ xâm nhập trái phép của tin tặc nhằm mục đích xấu như lấy thông tin người dùng, thông tin về thẻ tín dụng các nguy cơ mất mát thông tin, dữ liệu nhạy cảm hay làm tê liệt hệ thống. Cần kịp thời rà soát, đánh giá ATTT cho hệ thống thông tin và ban hành quy chế, quy trình đảm bảo ATTT của đơn vị đồng thời với việc tổ chức giám sát ATTT và phát hiện sớm các nguy cơ bị tấn công để có biện pháp ứng phó thích hợp.

Qua việc tổng kiểm tra, các tổ chức sẽ đánh giá tổng thể mức độ an toàn thông tin mạng, kịp thời phát hiện và xử lý sự cố, lỗ hổng để ngăn chặn, bóc gỡ mã độc, giảm thiểu rủi ro cho hệ thống.

2. Phương thức thực hiện Đánh giá điểm yếu ATTT và thử nghiệm xâm nhập:

Blackbox: Các chuyên gia Misoft sẽ thực hiện tấn công vào hệ thống mục tiêu của khách hàng dưới góc nhìn của một hacker bên ngoài mà không được cung cấp các thông tin về hệ thống mục tiêu như nền tảng hệ thống, phiên bản ứng dụng, sơ đồ kiến trúc, tài khoản đăng nhập… nhằm mang lại kết quả khách quan nhất, phản ánh đúng một cuộc tấn công được thực hiện bởi hacker bên ngoài.

Graybox: Khách hàng sẽ cung cấp một số thông tin về hệ thống mục tiêu cho các chuyên gia Misoft để phục vụ quá trình Đánh giá, kiểm tra an ninh, kiểm thử xâm nhập. Hình thức này có lợi thế cho phép đánh giá được các vùng chức năng đòi hỏi phải đăng nhập mới có thể tiếp cận, kết quả Đánh giá, kiểm tra an ninh, kiểm thử xâm nhập sẽ đầy đủ hơn so với blackbox.

Whitebox: Các chuyên gia đánh giá sẽ được khách hàng cung cấp đầy đủ thông tin và được tiếp cận trực tiếp với về hệ thống, ứng dụng để thực hiện một đánh giá nhanh chóng, tổng thể và đầy đủ nhất.

3. Quy trình thực hiện Đánh giá điểm yếu và thử nghiệm xâm nhập:
 
Chú ý: 
Bước 2 đến Bước 5 thường được lặp lại để đạt được kết quả tối ưu.
Báo cáo ở Bước 6 bao gồm:
  • Thông tin chung của hệ thống
  • Mô tả chi tiết các lỗi gặp phải
  • Phân loại mức độ nghiêm trọng các lỗi phát hiện
  • Bằng chứng các lỗi
  • Khuyến nghị khắc phục các lỗ hổng được phát hiện
Các Bước có thể thay đổi (thêm bớt) để phù hợp tùy theo hệ thống cụ thể.
 

4. Các dịch vụ Đánh giá điểm yếu ATTT và thử nghiệm xâm nhậpj Misoft cung cấp bao gồm:
 

  • Dịch vụ đánh giá điểm yếu ATTT và Thử nghiệm xâm nhập cho hệ thống Website/Cổng thông tin điện tử
  • Dịch vụ đánh giá điểm yếu ATTT và Thử nghiệm xâm nhập cho hệ thống máy chủ (Windows, Linux, OS400, DB2,...
  • Dịch vụ đánh giá điểm yếu ATTT và Thử nghiệm xâm nhập cho hệ thống Cơ sở dữ liệu (Oracle, MSSQL, MySQL,...
  • Dịch vụ đánh giá điểm yếu ATTT và Thử nghiệm xâm nhập cho hệ thống mạng (Firewall, Router, Switch layer 3)
  • Dịch vụ đánh giá điểm yếu ATTT và Thử nghiệm xâm nhập cho ứng dụng di động (iOS, Android)
  • Dịch vụ giả lập tấn công Social Engineering
  • Dịch vụ đánh giá mức độ ATTT (miễn phí).

5. Giá dịch vụ cung cấp: