Đánh Giá Bảo Mật Mạng Lưới Điện Toán

Đánh Giá Bảo Mật Mạng Lưới Điện Toán

Đánh giá bảo mật mạng lưới điện toán là phương pháp thăm dò và xác định những điểm yếu an ninh bên trong mạng, mức độ thiệt hại khi chúng bị khai thác bởi các tác nhân mối đe dọa. Đánh giá bảo mật là một dịch vụ thẩm định không thể thiếu đối với mọi tổ chức, mọi lĩnh vực từ ngân hàng, tài chính, bảo hiểm, chính phủ, y tế, công nghiệp nặng …

Đánh giá bảo mật cần được thực hiện trước khi các tác nhân mối đe dọa như bọn tội phạm công nghệ cao hoặc những nhân viên bất mãn trong tổ chức thực hiện hành vi khai thác điểm yếu, từ thất thoát dữ liệu nhạy cảm cho đến mất mát tài chính, nghiêm trọng hơn còn có thể ảnh hưởng trực tiếp đến tính mạng con người, uy tín danh tiếng của các tổ chức.

Có rất nhiều lý do chứng minh cho thấy sự cần thiết, gần như là bắt buộc phải thực hiện đánh giá bảo mật đều đặn thường kỳ, đứng dưới góc độ của các tác nhân mối đe dọa, các tổ chức có thể xác định được những mối đe dọa mà tài sản thông tin trong tổ chức đang phải đối mặt, giúp tổ chức có thể định lượng rủi ro và cung cấp khả năng phân tích chi phí/lợi ích khi lựa chọn những giải pháp khắc phục và cung cấp một sự đầu tư hợp lý cho an toàn thông tin (ROSI).

Quy Trình Đánh Giá Bảo Mật Mạng Lưới Điện Toán của DNA

Thu Thập Thông Tin

Đây là giai đoạn tiến hành hoạt động thu thập thông tin (Reconnaissance) đối với mạng lưới điện toán của khách hàng, nhằm mục đích thu thập càng nhiều thông tin càng tốt, những thông tin thu thập sẽ được sử dụng trong giai đoạn thử nghiệm xâm nhập và giai đoạn khai thác lỗ hổng.

Giai đoạn này sẽ được bổ sung thêm các thông tin đã thu thập trong quá trình tiền khảo sát, nhằm đánh giá các mối đe dọa mà hệ thống mạng lưới điện toán đang phải đối mặt.


Ngoài ra, DNA sẽ tìm hiểu chi tiết về môi trường kỹ thuật, dựa trên giai đoạn thẩm định rủi ro định tính.

Sau đó DNA sẽ mô hình hóa các kịch bản đánh giá theo những gì DNA tin tưởng sẽ mang lại kết quả hữu ích nhất cho khách hàng, thông qua đó khách hàng sẽ biết được những giải pháp bảo mật nào là thiết thực nhất để khắc phục các điểm yếu an ninh của mình, sau khi đã tiến hành phân tích chi phí/lợi ích

Mô Hình Hóa Mối Đe Dọa – Thẩm Định Rủi Ro Định Tính

Đây là giai đoạn mô hình hóa các mối đe dọa, xác định bối cảnh an ninh hiện tại của khách hàng, dựa trên kỹ thuật đánh giá rủi ro định tính Delphi và phương pháp phỏng vấn Mặt-đối-Mặt.

Xác định rủi ro định tính và mô hình hóa các mối đe dọa chính là yêu cầu bắt buộc trong việc thực hiện đánh giá bảo mật mạng lưới điện toán.


Các tiêu chuẩn không sử dụng một mô hình cụ thể, mà thay vào đó chúng đòi hỏi mô hình phải được sử dụng phù hợp với tổ chức được đánh giá, dựa trên năng lực, các tác nhân mối đe dọa của tổ chức đó, cùng với khả năng áp dụng việc thẩm định, định kỳ trong tương lai.

Dò Quét

DNA sẽ chuẩn bị kế hoạch công việc chi tiết dựa trên các kịch bản rủi ro đã được xác định và các thông tin thu thập được trong giai đoạn đánh giá rủi ro định tính, phản ảnh trực tiếp nhu cầu của khách hàng.

Dò quét là quá trình tìm kiếm, phát hiện ra những lỗ hổng an ninh đang tồn tại trong mạng lưới và ứng dụng, có thể bị chiếm quyền kiểm soát bởi kẻ tấn công.


Những lỗ hổng này có thể xuất hiện ở bất kỳ đâu, từ máy tính cá nhân, máy chủ cho đến việc sai sót trong cấu hình dịch vụ, thiết bị, hoặc xuất phát từ việc thiết kế ứng dụng không an toàn.

Khai thác : Tự động hóa  Dựa trên kịch bản rủi ro Trình duyệt & Ứng dụng

Sau khi hoàn thành giai đoạn Dò quét lỗ hổng, DNA sẽ phân tích các kết quả mà DNA đã tìm thấy, sau đó xác định những lỗ hổng tiềm năng, khả năng có thể khai thác thành công những lỗ hổng đó.


Những phương pháp thử nghiệm này có thể gây ra gián đoạn dịch vụ. Do đó, những cuộc thử nghiệm này chỉ nên thực hiện trong môi trường được giám soát và kiểm soát kỹ càng, để giảm thiểu các tác động trực tiếp đến tổ chức, hoặc chỉ giới hạn đến mức PoC - Chứng minh thực nghiệm.


Hậu khai thác & Pivoting

Sau khi hoàn tất giai đoạn khai thác, DNA sẽ thử nghiệm khả năng kết nối vào mạng lưới điện toán thông qua các lỗ hổng, thử nghiệm kỹ thuật Pivoting vượt kiểm soát của hệ thống an ninh như Firewall, IPS, sau đó tiến hành thử nghiệm khả năng xóa bỏ dấu vết từ hệ thống cho đến ứng dụng.

DNA sẽ tiến hành giai đoạn Hậu Khai Thác trong phạm vi cho phép của khách hàng.

DNA sẽ tìm kiếm một vài chứng cứ chứng minh việc xâm nhập thành công, cũng như giả định mức độ thiệt hại khi một kẻ tấn công thực sự xâm nhập vào được bên trong mạng lưới điện toán, chẳng hạn như nghe lén đường truyền, cài đặt mã độc cửa hậu để có thể truy cập bí mật, tìm kiếm những tập tin tài liệu quan trọng trong hệ thống...


Pivoting là một kỹ thuật vô cùng độc đáo, bằng cách thỏa hiệp một trong các máy tính nằm sau thiết bị tường lửa, kẻ tấn công có thể mượn máy tính đó làm bàn đạp để tấn công các máy tính khác trong mạng lưới điện toán.

Trong kịch bản tấn công này, DNA sẽ sử dụng máy tính bị thỏa hiệp để định tuyến đường truyền, giả định kẻ tấn công từ môi trường Internet xâm nhập vào hệ thống bên trong.

Report

DNA sẽ cung cấp một bản báo cáo hoàn chỉnh bao gồm chi tiết những lỗ hổng mà DNA phát hiện được và khuyến nghị khắc phục. Bản báo cáo hoàn chỉnh sẽ bao gồm những hạng mục sau đây:

  •     Tóm tắt tổng quan
  •     Chi tiết những thử nghiệm đã được thực hiện
  •     Dữ liệu đầu ra hoặc kết quả của cuộc thử nghiệm
  •     Phân tích kết quả
  •     Đề xuất khuyến nghị và giải pháp, dựa trên mức độ ưu tiên trong cuộc thẩm định rủi ro, điều gì cần được xử lý, xử lý như thế nào và xử lý cái gì trước, chiến lược khắc phục ngắn hạn và dài hạn.

Tại sao chọn DNA

Đã đến lúc cần tiếp cận an toàn thông tin theo cách thức tổng thể, có nghĩa là tổ chức cần phải hiểu và triển khai chiến lược an ninh có chiến thuật và chiến lược bài bản, rõ ràng, ánh xạ đến quy trình và các mục tiêu kinh doanh, đảm bảo pháp lý của tổ chức.

Rất nhiều công ty đang hoạt động trong lĩnh an toàn thông tin có quan điểm tập trung quá nhiều vào vấn đề kỹ thuật, kết quả khiến cho an toàn thông tin bị cô lập và không thể tích hợp được đến mục tiêu và sứ mệnh chung của tổ chức.

An toàn thông tin không chỉ là Hackers và những vấn đề về kỹ thuật.

An toàn thông tin giờ đây là vấn đề kinh doanh và chúng ta cần những chuyên gia thực sự am tường, sâu sắc, hiểu rõ về kinh doanh, pháp lý, nhân sự, quản trị và cả kỹ thuật, để phát triển chiến lược an ninh, đo lường thẩm định hiệu quả, nâng cao nhận thức người dùng và cung cấp giải pháp chính xác đối với nhu cầu trong tổ chức của chúng ta.

DNA được thành lập từ những chuyên gia trong nhiều lĩnh vực khác nhau, từ chuyên ngành an toàn thông tin cho đến truyền thông, tài chính đầu tư và pháp lý, những người có bề dày kinh nghiệm và có thể hiểu được ATTT cần triển khai như thế nào để đạt được hiệu quả cao. Chúng tôi biết cách làm thế nào để có thể tích hợp ATTT vào trong tầm nhìn, sứ mệnh, quy trình, mục tiêu và mục đích kinh doanh hiện tại của khách hàng.


Liên hệ DNA

 

Mobile  +84 (28) 38 266 877
  +84 (28) 39 401 619

 

Location  DNA Headquarter
  60 Nguyễn Đình Chiểu

  F1 Rosana Tower, Quận 1
         TP.Hồ Chí Minh, Việt Nam