Giới thiệu Giải pháp ngăn ngừa thất thoát dữ liệu Safetica
Kiến trúc của Safetica
Tổng quan về tính năng
Safetica DLP có thể giúp doanh nghiệp như thế nào?
Safetica DLP cung cấp những gì?
Safetica mang đến những gì cho quản trị viên CNTT?
Danh sách các tính năng Safetica
Giới thiệu Giải pháp ngăn ngừa thất thoát dữ liệu Safetic
Phát hiện các mối đe dọa về bảo mật dữ liệu trong doanh nghiệp
Thiết lập chính sách bảo mật rõ ràng và đào tạo người dùng
Ngăn chặn dữ liệu nhạy cảm rời khỏi doanh nghiệp.
Safetica có thể biết khi nào ai đó có cơ hội với thông tin bí mật của bạn. Tùy thuộc vào chế độ nào Safetica đang hoạt động, nó có thể ngăn chặn rủi ro, thông báo cho quản trị viên hoặc nhắc nhở nhân viên của bạn về các nguyên tắc bảo mật của bạn. Khi bạn cần lấy một tài liệu nhạy cảm ra khỏi công ty của mình (như ổ USB), Safetica đảm bảo rằng nó được mã hóa. Vì vậy, không ai có thể có được dữ liệu của bạn trừ khi bạn cho phép nó. Bạn vẫn an toàn ngay cả khi ổ USB bị mất hoặc bị đánh cắp.
Safetica giữ cho dữ liệu được bảo vệ trên vô số kênh và nền tảng, đảm bảo dữ liệu của bạn được an toàn ở bất kỳ nơi nào dữ liệu nằm hoặc lưu chuyển.
Kiến trúc của Safetica
PC, máy tính xách tay, điện thoại và máy tính bảng với Safetica Client :Hoạt động được ghi lại và các chính sách được thi hành thông qua ứng dụng (tùy chọn ẩn khỏi người dùng).
Máy chủ và cơ sở dữ liệu: Dữ liệu được tự động chuyển từ máy trạm đến máy chủ khi kết nối với mạng.
Bảng điều khiển của người quản lý với các thiết lập cài đặt và thông tin về dữ liệu: Đây là nơi tất cả các cài đặt có thể được điều chỉnh. Tại đây bạn cũng có thể có được một hình ảnh của tất cả các dữ liệu được thu thập.
Tổng quan về tính năng
Bảo vệ dữ liệu
Ngăn chặn rò rỉ tập tin nhạy cảm
Phát hiện dữ liệu nhạy cảm dựa trên nội dung hoặc metadata
Quản lý truy cập ứng dụng và trang web
Kiểm soát đính kèm email nhạy cảm
Hạn chế sao chép và dán, in, chụp màn hình
Mã hóa toàn bộ đĩa
Chế độ im lặng, thông báo và hạn chế.
Kiểm toán an ninh
Kiểm toán tuân thủ quy định
Thông báo theo thời gian thực về sự cố bảo mật
Hoạt động với Office 365
Theo dõi các tập tin nhạy cảm
Tóm tắt hoạt động của ứng dụng và trang web
Theo dõi mạng, e-mail và in ấn
Tổng quan về hành vi người dùng.
Bảo mật thiết bị di động
Tổng quan về quản lý và bảo mật của thiết bị di động
Định vị thiết bị từ xa, khóa và xóa dữ liệu
Thiết lập từ xa các tài khoản công ty iOS và Android
Quản lý thiết bị
Kiểm soát hoàn toàn tất cả các thiết bị được kết nối
Mã hóa thiết bị
Hạn chế các thiết bị trái phép
Quản lý tất cả các thiết bị từ một nơi duy nhất.
Nền tảng Safetica
Cảnh báo tức thì được gửi qua email
Triển khai chỉ trong vài giờ
Bảng điều khiển quản trị web được thiết kế đẹp dễ sử dụng
Tích hợp với ActiveDirectory và SIEM
Cài đặt bảo mật cho công ty / bộ phận / nhân viên Xuất báo cáo sang PDF và XLS.
Safetica – Ngăn ngừa thất thoát dữ liệu
Bảo vệ tài liệu của doanh nghiệp
Đào tạo người dùng của doanh nghiệp
Tuân thủ các quy định.
Safetica là một phần mềm DLP (Ngăn ngừa thất thoát dữ liệu) thế hệ mới cho phép doanh nghiệp dễ dàng xác định các mối đe dọa đối với dữ liệu nhạy cảm của mình. Nhanh chóng để triển khai và ngay lập tức ngăn chặn các tệp quan trọng rời khỏi doanh nghiệp.
Safetica DLP có thể giúp doanh nghiệp như thế nào?
Bảo vệ dữ liệu ngay lập tức chỉ với 3 lần kích chuột : Bảo vệ các tập tin quan trọng của công ty mà không giới hạn hoạt động của công ty. Người quản trị có thể ngay lập tức tìm ra nơi xảy ra rò rỉ dữ liệu và rủi ro lớn nhất đối với công ty là gì. Triển khai Safetica DLP cung cấp cho người quản trị cái nhìn tổng quan ngay lập tức về tất cả các mối đe dọa đối với dữ liệu nhạy cảm của doanh nghiệp. Thiết lập các quy tắc bảo mật cơ bản chỉ trong vài phút.
Tuân thủ quy định : Đánh dấu các dữ liệu nhạy cảm và có thể rò rỉ ra khỏi doanh nghiệp và ngăn chặn các rò rỉ đó.Với Safetica DLP bạn có thể dễ dàng đáp ứng hầu hết các yêu cầu của tiêu chuẩn quốc tế và quốc gia. Với các tính năng nâng cao, bạn có sẽ chứng nhận GDPR, PCI-DSS, HIPAA hoặc ISO / IEC 27001.
Bảo mật đơn giản trên các thiết bị: Xem các hoạt động trên máy tính, máy tính xách tay và điện thoại di động của bạn trong một màn hình duy nhất. Safetica đơn giản để tìm hiểu và dễ dàng quản trị cho doanh nghiệp thấy mức độ an toàn dữ liệu.
Safetica DLP cung cấp những gì?
Giám sát dữ liệu
Đánh dấu dữ liệu công ty đang có
Ngăn chặn thất thoát dữ liệu qua các phương tiện thông dụng
Thiết lập quy trình làm việc cho dữ liệu đã được phân loại
Chế độ DLP linh hoạt
Kiểm toán và quản lý hoạt động của người dùng
Quản lý thiết bị, lưu trữ đám mây và in ấn
Mã hóa ổ đĩa
Hỗ trợ thiết bị di động
Cảnh báo và báo cáo.
Safetica mang đến những gì cho quản trị viên CNTT?
Triển khai nhanh và dễ dàng : Safetica có thể được triển khai nhanh và không ảnh hưởng đến hoạt động của công ty. Điều này rất quan trọng đối với các công ty thuộc mọi quy mô. Người quản trị sẽ thấy kết quả ngay sau khi triển khai và các thông báo sự cố nghiêm trọng nhất có thể được tự động gửi đến email của bạn.
Khám phá dữ liệu nhạy cảm :Người quản trị không cần phải biết dữ liệu nào là tài liệu quan trọng. Safetica giúp bạn xác định các vấn đề bảo mật tiềm ẩn bằng cách định vị các tệp tin và email có nội dung quan trọng để bạn có thể dễ dàng hạn chế dữ liệu rời khỏi công ty của mình. Chuẩn bị cho GDPR, HIPAA hoặc PCI DSS dễ dàng hơn.
Hỗ trợ mã hóa ổ đĩa : Cải thiện bảo mật các tập tin nhạy cảm bằng cách sử dụng mã hóa ổ đĩa cứng. Nếu máy tính xách tay hoặc đĩa flash USB của bạn bị mất, không ai có thể truy cập nội dung nhạy cảm của bạn nhờ mã hóa BitLocker.
Safetica Mobile: Cung cấp cho người quản trị một cách để bảo vệ các thiết bị di động của bạn. Điện thoại di động có thể được định vị dễ dàng vì vậy doanh nghiệp không cần phải lo lắng về việc thất lạc. Điện thoại hoặc máy tính bảng bị đánh cắp hay thất lạc có thể bị chặn và xóa từ xa, do đó làm cho chúng trở nên vô dụng đối với kẻ trộm. Người quản trị sẽ dễ dàng quản lý cả máy tính và điện thoại di động của doanh nghiệp ngay tại công ty.
Danh sách các tính năng Safetica
Demo Safetica NXT DLP:
Nếu bạn có nhu cầutriển khai hệ thống DLP cho doanh nghiệp của mình, vui lòng liên hệ Techworld để được tư vấn & báo giá mua bản quyền DLP cũng như dịch vụ triển khai với mức giá được hỗ trợ tốt nhất:
Email : kienlt@techworldvn.com Hotline : (84) 984352581/0983602220 Số 11 Hà Kế Tấn, Phương Liệt, Đống Đa, Hà Nội.
Dữ liệu là tài sản quan trọng của mọi doanh nghiệp. Khi dữ liệu nhạy cảm bị mất hoặc bị đánh cắp, danh tiếng, lợi thế cạnh tranh và lợi nhuận của công ty đều bị ảnh hưởng. Cũng có thể có trách nhiệm pháp lý phải đối mặt.
60% các công ty nhỏ phá sản sau khi vi phạm dữ liệu lặp đi lặp lại
Theo Liên minh An ninh mạng Quốc gia Hoa Kỳ ( US National Cyber Security Alliance), khoảng 60% doanh nghiệp nhỏ đóng cửa trong vòng sáu tháng sau khi rò rỉ dữ liệu lớn. Không chỉ các doanh nghiệp được quản lý chặt chẽ và nhạy cảm với dữ liệu, mà các công ty thuộc mọi quy mô và từ tất cả các ngành dọc đều phải đối mặt với vấn đề mất dữ liệu… Và tất cả chúng cần bảo vệ dữ liệu của mình khỏi bị mất và lạm dụng.
85% các công ty gặp phải vi phạm dữ liệu
$150.000 là chi phí trung bình của một vi phạm dữ liệu
80% dữ liệu bị đánh cắp hoặc bị mất là thông tin nhận dạng cá nhân của khách hàng
Trung bình 280 ngày để tìm và ngăn chặn vi phạm dữ liệu
60% doanh nghiệp nhỏ sẽ đóng cửa trong vòng sáu tháng do rò rỉ dữ liệu lớn.
Vậy dữ liệu quan trọng nhất trong doanh nghiệp là gì?
Dữ liệu nhận dạng cá nhân
Dữ liệu bán hàng, hợp đồng
Dữ liệu tài chính
Cơ sở dữ liệu khách hàng
Kế hoạch, chiến lược kinh doanh
Quy trình quản lý doanh nghiệp…
Có rất nhiều nguyên nhân làm rò rỉ dữ liệu của doanh nghiệp như sau
Bạn có bao giờ gửi email nhầm địa chỉ? Hay bị mất ổ USB? Rò rỉ dữ liệu có thể là ngẫu nhiên, nhưng đôi khi, thậm chí thường xuyên, dữ liệu bị rò rỉ có mục đích. Tất cả chỉ cần một nhân viên có ý định muốn sao chép dữ liệu ra bên ngoài.
Lập danh sách các quy tắc bảo mật dữ liệu là không đủ để phòng chống thất thoát dữ liệu ra bên ngoài. Doanh nghiệp sử dụng các giải pháp bảo mật dữ liệu đảm bảo các quy tắc được tuân thủ. Dữ liệu quan trọng của doanh nghiệp được bảo mật và các quy trình bảo mật được minh bạch.
Ngăn chặn mất mát dữ liệu (DLP) là gì?
Phòng chống mất dữ liệu (DLP) – đôi khi được gọi là ngăn chặn rò rỉ dữ liệu, ngăn ngừa mất thông tin và ngăn chặn đùn – là một chiến lược để giảm thiểu các mối đe dọa đối với dữ liệu quan trọng. DLP thường được triển khai như một phần của kế hoạch bảo mật dữ liệu tổng thể của doanh nghiệp.
Sử dụng nhiều công cụ phần mềm và thực tiễn bảo mật dữ liệu, DLP nhằm mục đích ngăn chặn truy cập trái phép vào thông tin nhạy cảm. Nó thực hiện điều này bằng cách phân loại các loại nội dung khác nhau trong một đối tượng dữ liệu và áp dụng các chính sách bảo vệ tự động.
Chiến lược DLP nhiều lớp đảm bảo thông tin nhạy cảm vẫn nằm sau tường lửa mạng. Tạo kế hoạch DLP cũng cho phép một tổ chức xem xét và cập nhật các chính sách lưu trữ và lưu giữ dữ liệu của mình để duy trì tuân thủ quy định.
Xu hướng làm việc tại nhà, cùng với các cuộc tấn công mạng tinh vi hơn, nhấn mạnh sự quan tâm ngày càng tăng đối với DLP. Công ty nghiên cứu Gartner ước tính rằng 90% các tổ chức đã triển khai ít nhất một hình thức DLP tích hợp vào năm 2021, tăng từ 50% vào năm 2017.
Hệ thống DLP hoạt động như thế nào ?
Mất dữ liệu có thể xảy ra bất cứ lúc nào dữ liệu nhạy cảm của bạn vô tình hoặc cố ý bị chia sẻ: email có tài liệu nhạy cảm được chuyển tiếp đến đối thủ cạnh tranh, máy tính xách tay có cơ sở dữ liệu công ty bị đánh cắp hoặc nhân viên bỏ đi với danh sách khách hàng toàn diện.
Phát hiện chủ yếu tập trung vào việc giám sát email đến, tìm kiếm các tệp đính kèm đáng ngờ và siêu liên kết cho các cuộc tấn công lừa đảo. Hầu hết các phần mềm DLP cung cấp cho các tổ chức tùy chọn gắn cờ nội dung không nhất quán để nhân viên kiểm tra thủ công hoặc chặn hoàn toàn.
Trong thời gian đầu của DLP, các nhóm bảo mật đặt ra các quy tắc xung quanh việc phát hiện và chặn, nhưng chúng rất đơn giản và thường bị phá vỡ. Phần mềm mới hơn sau này sử dụng trí tuệ nhân tạo dựa trên máy học, có thể tìm hiểu và cải thiện cách tiếp cận phát hiện và chặn theo thời gian.
Tại sao ngăn ngừa mất dữ liệu lại quan trọng?
Mất dữ liệu có thể dẫn đến tiền phạt nặng và có thể bị phạt hình sự. Nó cũng có thể ảnh hưởng tiêu cực đến hoạt động kinh doanh của một tổ chức và thậm chí mất cơ hội kinh doanh.
Năm 2017, thông tin cá nhân và tài chính của gần 150 triệu người đã bị đánh cắp từ cơ sở dữ liệu Equifax chưa được vá. Công ty đã không khắc phục lỗ hổng kịp thời, sau đó không thông báo cho công chúng về vi phạm trong nhiều tuần sau khi nó được phát hiện. Tháng 07/ 2019, cơ quan tín dụng này bị phạt 575 triệu USD.
Mất dữ liệu có thể khiến các giám đốc điều hành mất việc. Các giám đốc điều hành hàng đầu tại Target và Equifax đã từ chức sau những vi phạm dữ liệu lớn làm tổn thương công ty của họ và khiến họ phải trả hàng triệu USD tiền phạt.
Nếu tiền phạt không giết chết một doanh nghiệp, việc mất khách hàng và niềm tin của công chúng cũng có thể. Một báo cáo năm 2019 của Liên minh An ninh mạng Quốc gia Mỹ, dựa trên khảo sát của Zogby Analytics với 1.006 doanh nghiệp nhỏ với tối đa 500 nhân viên, cho thấy 10% công ty đã ngừng hoạt động sau khi bị vi phạm dữ liệu, 25% nộp đơn xin phá sản và 37% bị tổn thất tài chính.
Các kiểu ngăn ngừa mất dữ liệu là gì?
DLP mạng bao gồm một loạt các kỹ thuật bảo mật dữ liệu. Chúng bao gồm những điều sau đây:
Nhận dạng dữ liệu : DLP chỉ hữu ích nếu nó được cho biết những gì nhạy cảm và không nhạy cảm. Các doanh nghiệp nên sử dụng công cụ khám phá và phân loại dữ liệu tự động để đảm bảo xác định và phân loại dữ liệu đáng tin cậy và chính xác thay vì để con người quyết định.
Bảo vệ dữ liệu đang chuyển động : Dữ liệu được di chuyển khá nhiều trong nội bộ và các vi phạm bên ngoài thường dựa vào điều này để định tuyến lại dữ liệu. Phần mềm DLP có thể giúp đảm bảo rằng dữ liệu đang chuyển động không được định tuyến ở một nơi nào đó mà nó không nên đi.
Bảo vệ dữ liệu trên thiết bị lưu trữ : Kỹ thuật này bảo mật dữ liệu khi nó không di chuyển, chẳng hạn như nằm trong cơ sở dữ liệu, ứng dụng khác, kho lưu trữ đám mây, máy tính, thiết bị di động và các phương tiện lưu trữ khác.
DLP điểm cuối : Loại chức năng DLP này bảo vệ dữ liệu ở cấp thiết bị đầu cuối – không chỉ máy tính, mà cả điện thoại di động và máy tính bảng. Nó có thể chặn dữ liệu được sao chép hoặc mã hóa tất cả dữ liệu khi nó được chuyển.
Phát hiện rò rỉ dữ liệu : Kỹ thuật này liên quan đến việc thiết lập một đường cơ sở của hoạt động bình thường, sau đó tích cực tìm kiếm hành vi bất thường.
DLP đám mây : Các giải pháp DLP đã phát triển để quản lý và bảo vệ dữ liệu quan trọng trong các ứng dụng phần mềm dưới dạng dịch vụ và cơ sở hạ tầng dưới dạng dịch vụ.
Nếu bạn có nhu cầu triển khai hệ thống DLP cho doanh nghiệp của mình, vui lòng liên hệ TechWorld để được tư vấn & báo giá mua bản quyền DLP cũng như dịch vụ triển khai với mức giá được hỗ trợ tốt nhất :
Khi các mối đe dọa mạng không ngừng phát triển về mức độ phức tạp và khối lượng, cuộc chiến chống lại chúng có nghĩa là ‘lan rộng’ khả năng bảo vệ trên tất cả các hệ thống trong mạng công ty – máy chủ, cơ sở dữ liệu, dịch vụ, phần mềm đã cài đặt, v.v. Hơn nữa, cần chú ý đến việc đảm bảo rằng nhân viên của công ty hiểu và tuân theo các nguyên tắc an ninh mạng , và sẽ không (bỏ) cố ý xâm phạm an ninh mạng của công ty bằng các hành động của họ.
Tuy nhiên, các biện pháp an ninh mạng được áp dụng trong tổ chức có thể khác nhau tùy thuộc vào quy mô của công ty, khả năng tài chính của tổ chức đó, ngành mà tổ chức đó hoạt động (được quản lý hoặc không được quản lý), thông tin mà tổ chức phải xử lý trong quá trình hoạt động kinh doanh, v.v.
Công ty CP Thế Giới Công Nghệ Việt Nam chúng tôi đã cố gắng xác định ba cấp độ bảo vệ an ninh mạng chính. Tùy thuộc vào độ phức tạp của chúng, các cấp độ này có thể được thiết lập với sự hỗ trợ của bộ phận CNTT của công ty hoặc nhà cung cấp dịch vụ an ninh mạng.
Điểm mấu chốt của An ninh mạng Cấp độ 1 là đảm bảo bảo vệ mạng công ty khỏi các mối đe dọa mạng phổ biến nhất , ví dụ: các cuộc tấn công lừa đảo (các liên kết đến các trang web độc hại hoặc các bản tải xuống bị nhiễm vi-rút được đính kèm với email hoặc tin nhắn tức thời và được gửi đến nhân viên của công ty) và phần mềm độc hại (phần mềm độc hại truy cập vào mạng của công ty qua internet hoặc email và tồn tại dưới dạng phần mềm gián điệp, phần mềm tống tiền, phần mềm chiếm quyền điều khiển trình duyệt, v.v.).
Bảo vệ tối thiểu áp dụng cho các doanh nghiệp nhỏ hoạt động trong các ngành không theo quy định và có nguồn tài chính hạn chế nghiêm ngặt . Các công ty nhỏ và chưa được biết đến rộng rãi (ít nhất là chưa) không xử lý thông tin có giá trị đối với tin tặc (ví dụ: dữ liệu cá nhân của khách hàng như số thẻ tín dụng, mật khẩu, v.v.) khó có thể trở thành mục tiêu của các cuộc tấn công mạng tinh vi như DDoS (Phân tán Từ chối dịch vụ) hoặc lừa đảo trực tuyến.
Các biện pháp an ninh mạng tối thiểu cần thiết cho việc triển khai là bảo vệ tường lửa được định cấu hình thích hợp hoạt động cùng với phần mềm chống vi-rút được cập nhật thường xuyên. Tường lửa quét lưu lượng mạng để phát hiện các gói hoặc đoạn gói bất thường . Antivirus đảm bảo bảo vệ khỏi các mối đe dọa mạng như ransomware, worm, spyware, v.v. bằng cách kiểm tra từng tệp mà nhân viên mở hoặc tải xuống từ internet hoặc các nguồn khác.
Để áp dụng các biện pháp bảo mật này, không cần phải tổ chức một bộ phận an ninh mạng riêng biệt. Bộ phận CNTT của công ty có thể chịu trách nhiệm về việc này, vì việc triển khai bảo vệ tường lửa, cài đặt phần mềm chống vi-rút và liên tục duy trì hiệu suất của chúng không yêu cầu các kỹ năng liên quan đến an ninh mạng.
Tuy nhiên, mức độ bảo vệ của mạng công ty nên được kiểm tra thường xuyên. Thực hiện đánh giá tính dễ bị tổn thương và kiểm tra khả năng thâm nhập hàng năm là đủ cho một tổ chức nhỏ thực hiện hoạt động kinh doanh của họ trong một ngành không được quản lý. Các dịch vụ an ninh mạng này được thực hiện hàng năm sẽ không dẫn đến chi phí lớn cho một công ty có ngân sách hạn chế. Đồng thời, các hoạt động này có thể giúp quản trị viên hệ thống nhận biết được các điểm yếu bảo mật đang xảy ra bên trong hệ thống mạng của công ty.
An ninh mạng cấp độ 2 đảm bảo bảo vệ mạng công ty khỏi các cuộc tấn công không có mục tiêu , ví dụ: phần mềm độc hại được gửi đến một loạt địa chỉ email, tấn công giả mạo, gửi thư rác, v.v. Trong trường hợp này, mục tiêu của kẻ tấn công là lấy cắp bất kỳ thông tin có giá trị nào từ bất kỳ IP nào thông qua các điểm yếu bảo mật đã biết có thể tồn tại trong mạng công ty.
Khả năng các công ty vừa phải trở thành nạn nhân của các cuộc tấn công không nhắm mục tiêu là rất lớn. Vì các tổ chức như vậy không cần tuân thủ các tiêu chuẩn quy định, họ có thể bỏ qua các biện pháp an ninh mạng mạnh mẽ trong mạng của họ. Do đó, họ có thể dễ dàng thỏa hiệp.
Để đảm bảo bảo vệ nâng cao mạng công ty, ngoài các yếu tố bảo vệ tối thiểu – tường lửa và chống vi-rút – cần áp dụng thêm các thành phần sau:
Bảo mật email bao hàm nhiều kỹ thuật (quét email để tìm phần mềm độc hại, lọc thư rác, v.v.) để giữ cho thông tin công ty được bảo mật cả trong giao tiếp email ‘nội bộ’ và ‘bên ngoài’ khỏi bất kỳ cuộc tấn công mạng nào sử dụng email làm điểm vào (phần mềm gián điệp, phần mềm quảng cáo, vv.).
Phân đoạn mạng , ví dụ: phân đoạn mạng theo các phòng ban với các phân đoạn được kết nối qua tường lửa không cho phép mã độc hoặc các mối đe dọa khác di chuyển từ phân đoạn mạng này sang phân đoạn mạng khác. Hơn nữa, phân đoạn mạng ngụ ý tách các tài sản mạng lưu trữ dữ liệu của công ty khỏi các phân đoạn bên ngoài (máy chủ web, máy chủ proxy), do đó giảm nguy cơ mất dữ liệu.
Hệ thống phát hiện xâm nhập (IDS) và phòng chống xâm nhập (IPS) được sử dụng để xác định và ghi nhật ký thông tin về các sự cố bảo mật có thể xảy ra, chặn chúng trước khi chúng lây lan trên các môi trường mạng, v.v.
Các thành phần này có thể là các hệ thống độc lập hoặc có thể dùng các tính năng trên các hệ thống Tường lửa thế hệ hệ mới (NGFW) đã tích hợp đầy đủ, nếu sử dụng toàn bộ trên NGFW thì cần phải tính toán và lựa chọn các hệ thống NGFW đảm bảo hiệu năng sử dụng.
Để duy trì mức độ an ninh mạng này, một công ty cần các chuyên gia bảo mật thông tin chịu trách nhiệm phát hiện và quản lý các rủi ro an ninh mạng, phát triển các quy trình và chính sách bảo mật, v.v. Vì những mục đích này, công ty có thể sắp xếp bộ phận bảo mật thông tin của riêng họ hoặc chuyể犀利士5mgn sang một dịch vụ bảo mật được quản lý nhà cung cấp (MSSP).
Việc tổ chức một bộ phận an toàn thông tin riêng biệt đồng nghĩa với việc phải trả nhiều chi phí cho việc thuê một đội bảo mật có kinh nghiệm và mua các thiết bị và phần mềm cần thiết. Làm việc với MSSP là một giải pháp hiệu quả hơn về chi phí, cho phép một công ty duy trì sự tập trung vào các hoạt động kinh doanh chính. Tuy nhiên, công ty vẫn sẽ cần một nhân viên an ninh nội bộ để điều phối công việc với MSSP.
Để kiểm soát hiệu quả của việc bảo vệ an ninh mạng, một chiến lược bảo mật được thiết kế cẩn thận cần cung cấp cho việc đánh giá lỗ hổng bảo mật hàng quý và kiểm tra thâm nhập hàng năm để phát hiện, giảm thiểu và quản lý các rủi ro an ninh mạng. Một công ty quy mô như này, cần có chiến lược an ninh mạng vì nó tập trung vào việc bảo vệ mạng công ty, có tính đến việc nhân viên sử dụng thiết bị di động cá nhân và máy tính xách tay của họ cho mục đích kinh doanh (BYOD), sử dụng rộng rãi điện toán đám mây, v.v. và cung cấp hướng dẫn trực tiếp cho nhân viên của công ty về các hành vi bên trong mạng công ty.
Nhiệm vụ chính của An ninh mạng Cấp độ 3 là đảm bảo bảo vệ mạng công ty khỏi các cuộc tấn công có chủ đích . Loại tấn công mạng này (lừa đảo trực tuyến, lây lan phần mềm độc hại nâng cao, v.v.) ngụ ý các chiến dịch được phát triển cụ thể được tiến hành chống lại một tổ chức cụ thể.
Các công ty cỡ vừa và các doanh nghiệp lớn hoạt động trong các ngành được quản lý, ví dụ như ngân hàng hoặc chăm sóc sức khỏe, hoặc các cơ quan chính phủ thường trở thành nạn nhân của các cuộc tấn công có chủ đích. Điều này xảy ra vì tổ chức càng lớn và càng phải bảo vệ nhiều dữ liệu (dữ liệu cá nhân được quản lý, hồ sơ chăm sóc sức khỏe của bệnh nhân, thông tin tài khoản ngân hàng, v.v.) thì kết quả của các cuộc tấn công có chủ đích thành công càng hữu hình.
Các công ty hoạt động trong các lĩnh vực được quản lý nên chú trọng tối đa đến việc duy trì sự bảo vệ khỏi các mối đe dọa trực tuyến trong khi vẫn tuân thủ các quy định và tiêu chuẩn (HIPAA, PCI DSS, v.v.). Ngoài các thành phần bảo vệ tại Cấp độ 2, các thành phần an ninh mạng sau đây có thể giúp đóng tất cả các hướng tấn công có thể xảy ra:
Bảo mật điểm cuối. Phương pháp bảo mật này ngụ ý bảo vệ quyền truy cập của từng thiết bị (điện thoại thông minh, máy tính xách tay, v.v.) đến mạng công ty và do đó trở thành điểm vào tiềm ẩn cho các mối đe dọa bảo mật. Thông thường, bảo mật điểm cuối bao gồm việc cài đặt phần mềm bảo mật đặc biệt trên máy chủ quản lý trong mạng công ty, cùng với việc cài đặt phần mềm máy khách trên mỗi thiết bị. Sự kết hợp của các biện pháp này cho phép giám sát các hoạt động mà người dùng thực hiện khi truy cập mạng công ty từ xa từ điện thoại thông minh, máy tính bảng và các thiết bị khác của họ. Do đó, công ty có được khả năng hiển thị theo thời gian thực tốt hơn đối với toàn bộ các mối đe dọa bảo mật tiềm ẩn mà họ có thể phải đối phó.
Chống mất dữ liệu ( DLP ). Việc áp dụng biện pháp này là cực kỳ quan trọng trong một doanh nghiệp hoạt động trong lĩnh vực tài chính hoặc chăm sóc sức khỏe. Phần mềm DLP đảm bảo bảo vệ và ngăn chặn việc rò rỉ dữ liệu nhạy cảm, cá nhân và bí mật, chẳng hạn như số thẻ tín dụng của khách hàng, số an sinh xã hội, v.v. cung cấp cho quản trị viên DLP toàn quyền kiểm soát các loại dữ liệu có thể được chuyển ra bên ngoài mạng công ty. DLP có thể từ chối nỗ lực chuyển tiếp bất kỳ email doanh nghiệp nào bên ngoài miền công ty, tải tệp công ty lên kho lưu trữ đám mây mã nguồn mở, v.v.
Thông tin bảo mật và quản lý sự kiện ( SIEM ) . Các giải pháp SIEM theo dõi, thu thập, phân tích và báo cáo dữ liệu nhật ký và sự kiện về mọi hoạt động diễn ra trong môi trường CNTT, cho phép tránh các tình huống “Tôi không biết chuyện gì đã xảy ra” trong trường hợp mạng của công ty bị tấn công. Trong số các lợi ích của SIEM là tập trung dữ liệu nhật ký đã thu thập, cung cấp hỗ trợ để đáp ứng các yêu cầu của PCI DSS, HIPAA và các quy định khác, đảm bảo phản ứng sự cố trong thời gian thực.
Để vận hành đúng các giải pháp bảo mật đã đề cập, sự kết hợp giữa nỗ lực của một bộ phận bảo mật thông tin riêng biệt và sự trợ giúp của MSSP sẽ mang lại hiệu quả tốt nhất. Đối với nhiều công ty, việc cấp cho MSSP toàn quyền truy cập và kiểm soát dữ liệu nhạy cảm, thông tin nhận dạng cá nhân của khách hàng, v.v. có vẻ khá rủi ro, đặc biệt là từ quan điểm tuân thủ bảo mật. Tuy nhiên, việc ký SLA chi tiết với một công ty dịch vụ an ninh mạng và ủy thác một phần trách nhiệm bảo vệ mạng cho MSSP bên ngoài là có ý nghĩa. Nó cho phép các doanh nghiệp nhận được báo cáo và giám sát trạng thái an ninh 24/7, đồng thời giảm chi phí của họ về bảo vệ an ninh mạng.
Trong số các biện pháp an ninh mạng cần thiết là phát triển và duy trì chiến lược bảo mật, tiến hành đánh giá lỗ hổng bảo mật, sau đó là kiểm tra thâm nhập hàng quý ( nên thực hiện tốt hơn trước mỗi lần kiểm tra đánh giá để tuân thủ các tiêu chuẩn và quy định ), đảm bảo giám sát mối đe dọa liên tục và tổ chức phản ứng sự cố (IR).
Giám sát mối đe dọa bao gồm việc giám sát liên tục mạng công ty và các thiết bị đầu cuối (máy chủ, thiết bị không dây, thiết bị di động, v.v.) để tìm các dấu hiệu của các mối đe dọa an ninh mạng, ví dụ: xâm nhập hoặc các nỗ lực xâm nhập dữ liệu. Ngày nay, việc giám sát các mối đe dọa thậm chí còn trở nên quan trọng hơn với xu hướng các doanh nghiệp thuê nhân viên từ xa và áp dụng chính sách BYOD, điều này khiến việc bảo vệ dữ liệu của công ty và thông tin nhạy cảm có thêm rủi ro.
Ứng phó sự cố (IR) giải quyết các tình huống khi vi phạm bảo mật đã xảy ra. Do đó, một công ty cần một đội ngũ nội bộ hoặc thuê ngoài đặc biệt chuẩn bị cho các sự cố, sẵn sàng phát hiện các sự kiện thực tế, tìm ra nguyên nhân và ứng phó với các mối đe dọa an ninh mạng với thiệt hại ít nhất có thể và thời gian tối thiểu cần thiết để phục hồi sau cuộc tấn công. Hoạt động IR ngăn chặn các vấn đề nhỏ chuyển thành các vấn đề lớn hơn, chẳng hạn như vi phạm dữ liệu hoặc hệ thống ngừng hoạt động.
Các công ty nên đặc biệt chú ý đến việc bảo vệ tài sản đám mây của họ . Ngày nay, việc lưu trữ dữ liệu quan trọng của doanh nghiệp trên đám mây đã trở thành một thực tế phổ biến. Quyết định sử dụng điện toán đám mây có ý nghĩa vì nó cho phép doanh nghiệp tiết kiệm chi phí và tăng hiệu quả của hoạt động kinh doanh mà họ thực hiện.
Tuy nhiên, môi trường đám mây là các lĩnh vực tương đối mới đối với các nhóm bảo mật, những người cần tổ chức và duy trì các biện pháp an ninh mạng bên trong mạng công ty. Nó cũng dẫn đến những thách thức bảo mật mới, vì “bản chất đám mây” ngụ ý sự thiếu kiểm soát của các quản trị viên hệ thống đối với tài nguyên mà một công ty sử dụng và dữ liệu họ lưu trữ trên đám mây.
Các chuyên gia an ninh mạng áp dụng các chiến lược khác nhau để bảo vệ tài sản đám mây tùy thuộc vào mô hình đám mây.
Trong cả hai trường hợp, chiến lược an ninh mạng tương tự như cách tiếp cận để bảo mật một mạng công ty tại chỗ. Sự khác biệt nằm ở ‘yếu tố xa xôi.’ Nhiệm vụ chính của một công ty là chọn một nhà cung cấp IaaS / PaaS đáng tin cậy, có được các máy chủ trong đám mây mà họ cung cấp và thiết lập mức độ kiểm soát thích hợp đối với các máy ảo được cung cấp. Có những phương pháp hay nhất có thể được áp dụng để đảm bảo bảo mật IaaS / PaaS, ví dụ: đảm bảo mã hóa thích hợp dữ liệu được lưu trữ và gửi tới đám mây của bên thứ ba, giám sát lưu lượng mạng để tìm các hoạt động độc hại, thường xuyên tiến hành sao lưu dữ liệu, v.v.
Một số nhà cung cấp giải pháp IaaS hoặc PaaS cũng cung cấp cho khách hàng của họ các dịch vụ an ninh mạng ‘tích hợp sẵn’ nhưng đó không phải là một thực tế phổ biến. Ví dụ: Microsoft Azure cung cấp cho khách hàng nhiều cách khác nhau để bảo vệ khối lượng công việc trên đám mây, bảo mật ứng dụng khỏi các lỗ hổng phổ biến, v.v. Amazon Web Services (AWS) đại diện cho một nhà cung cấp dịch vụ đám mây khác cung cấp cho khách hàng của họ các biện pháp bảo mật đám mây được áp dụng (xây dựng- trong tường lửa, khả năng mã hóa, v.v.), dịch vụ đánh giá bảo mật để phát hiện điểm yếu an ninh mạng, quản lý danh tính và quyền truy cập để xác định quyền truy cập của người dùng vào tài nguyên AWS, v.v.
Trong trường hợp này, nhà cung cấp SaaS chịu trách nhiệm xây dựng, lưu trữ và bảo mật phần mềm mà họ cung cấp. Tuy nhiên, một số công ty vẫn còn một số việc phải làm để đảm bảo tính bảo mật của giải pháp. Họ cần tập trung vào việc quản lý quyền truy cập vào các ứng dụng cho nhân viên của họ có tính đến các phòng ban họ làm việc, vị trí của họ, v.v. Vì vậy, nhiệm vụ chính của các nhân viên an ninh của công ty là thiết lập quyền kiểm soát truy cập của người dùng, tức là cấu hình các cài đặt. một cách chính xác.
Office 365 đại diện cho một ví dụ về giải pháp đám mây với bảo mật nhiều lớp . Các tính năng an ninh mạng được tích hợp trong nó cho phép giám sát liên tục các trung tâm dữ liệu, xác định và ngăn chặn các nỗ lực nguy hiểm để truy cập thông tin cá nhân hoặc thông tin nhạy cảm, mã hóa dữ liệu được lưu trữ và truyền đi, sử dụng bảo vệ chống vi-rút và chống thư rác để giữ an toàn trước các mối đe dọa an ninh mạng đến mạng công ty từ bên ngoài, vân vân.
An ninh mạng của công ty không phải là thứ có thể được tổ chức theo một khuôn mẫu chung phù hợp như nhau cho bất kỳ công ty nào. Việc lựa chọn các hoạt động an ninh mạng phải phụ thuộc vào quy mô của một công ty, ngân sách của họ và lĩnh vực họ hoạt động.
Để đảm bảo bảo vệ không gian mạng của một mạng công ty nhỏ, nếu không cần thiết phải bảo mật dữ liệu cá nhân hoặc tài chính của khách hàng, áp dụng bảo vệ tường lửa và chống vi-rút có thể là khá đủ. Tuy nhiên, nếu một công ty có vị trí tương đối quan trọng trong khu vực họ hoạt động và có thể dễ dàng trở thành mục tiêu của các cuộc tấn công mạng, họ phải sẵn sàng mở rộng các biện pháp an ninh mạng và áp dụng bảo mật email, phân đoạn mạng, bảo mật điểm cuối, v.v. Cài đặt DLP và Hệ thống SIEM cũng có thể trở thành việc cần làm, đặc biệt là đối với các tổ chức thực hiện các hoạt động của họ trong các ngành được quản lý.
Để duy trì mức độ an ninh mạng đã chọn, một công ty nên tiến hành đánh giá lỗ hổng bảo mật và kiểm tra khả năng thâm nhập một cách thường xuyên.
Nhược điểm của Penetration Testing, Crowdsourced Penetration Testing xu thế mới trên thế giới
Các phương pháp kiểm thử xâm nhập
Các loại kiểm thử xâm nhập
Quy trình thực hiện xâm nhập
Phương pháp và tiêu chuẩn kiểm thử xâm nhập
1. Định nghĩa Penetration Testing ?
Penetration Testing (còn được gọi là kiểm tra xâm nhập hoặc tấn công hợp pháp) là một quá trình có hệ thống để thăm dò các lỗ hổng trong mạng và ứng dụng của tổ chức.
Về cơ bản, đây là một hình thức tấn công có kiểm soát – ‘những kẻ tấn công’ thay mặt tổ chức để tìm và kiểm tra các điểm yếu mà bọn tội phạm có thể khai thác, chẳng hạn như:
Cấu hình không phù hợp hoặc không phù hợp.
Các lỗi phần cứng hoặc phần mềm đã biết và chưa biết.
Những điểm yếu trong hoạt động trong các quy trình hoặc các biện pháp đối phó kỹ thuật.
Những người kiểm tra xâm nhập có kinh nghiệm bắt chước các kỹ thuật được sử dụng bởi bọn tội phạm mà không gây ra thiệt hại. Điều này cho phép bạn giải quyết các lỗi bảo mật khiến tổ chức của bạn dễ bị tấn công.
Ở đây có một số khái niệm mọi người cần nắm được để hiểu rõ hơn về công việc kiểm thử xâm nhập này. Kết quả kiểm thử được ghi lại và cung cấp trong một báo cáo toàn diện cho quản lý điều hành của và chuyên viên kỹ thuật của hệ thống:
Vulnerabilities: Vulnerabilities là lỗ hổng bảo mật trong một phần của phần mềm, phần cứng hoặc hệ điều hành, cung cấp một khả năng để tấn công hệ thống. Một lỗ hổng có thể đơn giản như mật khẩu yếu hoặc phức tạp như lỗi tràn bộ đệm hoặc các lỗ hổng SQL injection.
Exploits: Là quá trình khác thác lỗ hổng bảo mật thông qua việc dựa vào các điểm yếu, sự cố hay lỗ hổng của phần mềm nhằm mục tiêu gây ra các hoạt động bất thường của ứng dụng theo ý của kẻ tấn công. Những hành động đó có thể bao gồm các hành động leo thang đặc quyền, một cuộc tấn công từ chối dịch vụ, đánh cắp các thông tin nhạy cảm …
Payloads: Là các đoạn mã hay một phần của phần mềm được sử dụng trong quá trình khai thác lỗ hổng (exploit).
Security Audit: Kiểm tra bảo mật bằng cách kiểm tra xem tổ chức có tuân theo một tập hợp các chính sách và quy trình bảo mật tiêu chuẩn không.
Kiểm thử xâm nhập thủ công và kiểm thử xâm nhập tự động:
Kiểm thử xâm nhập thủ công
Kiểm thử xâm nhập tự động
Kiểm tra thủ công yêu cầu các chuyên gia thành thạo chạy các bài kiểm tra
Các công cụ kiểm tra tự động cung cấp các báo cáo rõ ràng với các chuyên gia ít kinh nghiệm hơn
Kiểm tra thủ công yêu cầu Excel và các công cụ khác để theo dõi nó
Trong Thử nghiệm thủ công, các kết quả mẫu khác nhau giữa các thử nghiệm
Trong trường hợp Kiểm tra tự động, kết quả không khác nhau giữa các bài kiểm tra
Người dùng nên ghi nhớ việc dọn dẹp bộ nhớ
Kiểm tra Tự động sẽ có các bản dọn dẹp toàn diện
2. Tại sao thử nghiệm xâm nhập lại quan trọng?
Các lỗ hổng an ninh mạng mới được xác định – và bị bọn tội phạm khai thác – hàng tuần. Chủ động xác định chúng là điều cần thiết để bảo mật cho tổ chức của bạn.
Chỉ một cuộc kiểm tra xâm nhập được thực hiện bởi một chuyên gia bảo mật được đào tạo mới có thể giúp bạn hiểu đúng về các vấn đề bảo mật mà tổ chức của bạn phải đối mặt.
Để tự bảo vệ mình, các tổ chức nên thường xuyên tiến hành các bài kiểm tra xâm nhập để:
Xác định các lỗi bảo mật để bạn có thể giải quyết chúng hoặc triển khai các biện pháp kiểm soát thích hợp.
Đảm bảo các biện pháp kiểm soát bảo mật hiện có của bạn có hiệu lực (ví dụ như Firewall, Endpoint Security/ WAF…).
Đảm bảo với khách hàng và các bên liên quan rằng dữ liệu của họ đang được bảo vệ.
Củng cố niềm tin cho khách hàng, đối tác và nhà đầu tư.
Khi nào tổ chức nên thực hiện kiểm tra xâm nhập:
Khi có thay đổi trong cơ sở hạ tầng thông tin của tổ chức
Khi có các vấn đề bảo mật liên quan đến các thành phần hệ thống được công bố
Khi có các phần mềm mới được cài đặt hay cập nhật
Khi có thay đổi về mặt chính sách
Kiểm tra định kỳ ngay cả khi không có sự thay đổi hay gặp các vấn đề bảo mật để đảm bảo hệ thống luôn được an toàn.
Là một phần của chiến lược quản lý rủi ro an ninh mạng.
3. Nhược điểm của Penetration Testing, Crowdsourced Penetration Testing xu thế mới trên thế giới
Mặc dù, kiểm thử xâm nhập là một giải pháp hiệu quả để chống lại các cuộc tấn công mạng có chủ đích. Dưới đây là một số mặt hạn chế của Kiểm thử xâm nhập:
Chi phí cao: Đối với dịch vụ kiểm thử thông thường, doanh nghiệp sẽ phải trả phí theo giờ hoặc ngày công làm việc của pentester, và chi phí này không hề thấp. Thực tế nhiều doanh nghiệp có nhu cầu bảo mật web app, mobile app nhưng việc chi một khoản tiền quá lớn cho kiểm thử là một rào cản.
Thiếu tính đa dạng: Thông thường đội ngũ kiểm thử chỉ bao gồm tối đa 3-5 người, và họ thường kiểm tra theo một quy trình có sẵn, lặp đi lặp lại. Trong khi tin tặc ngoài thực tế không bị bó buộc vào bất kỳ một quy trình nào, và số lượng kẻ xấu là rất nhiều.
Khó tích hợp nền tảng: Các kiểm thử thông thường sẽ tạo ra một báo cáo dài với các lỗ hổng được liệt kê. Không có sự tích hợp nào trong vòng đời phát triển phần mềm, và điều này làm tăng thêm chi phí hoạt động và làm chậm tốc độ của cả việc khắc phục và phát triển ứng dụng.
Kiểm tra không kỹ càng : Với nguồn nhận lực hạn chế và chi phí lương các chuyên gia cao, các bên tư vấn thường sẽ chạy dịch vụ cho nhiều dự án khác nhau và luôn phải chịu áp lực nặng nề trong việc làm báo cáo kiểm thử. Điều này làm giảm thời gian kiểm thử thực tế và dẫn đến việc thường xuyên tái sử dụng các kết quả cũ từ các thử nghiệm trước đó để làm báo cáo. Điều này sẽ dẫn đến ứng dụng mục tiêu có nhiều phần chưa được kiểm thử và xuất hiện các điểm mù – có thể tồn tại lỗ hổng nhưng không được tìm kiếm triệt để.
Có một xu thế kiểm thử xâm nhập mới đang được áp dụng rộng rãi để khắc phục các vấn đề tồn tại này đó là “Kiểm thử xâm nhập cộng đồng – Crowdsourced Penetration Testing). Với phương thức kiểm thử xâm nhập cộng đồng, các tổ chức có thể tiếp cận hàng trăm chuyên gia bảo mật, pentester hay hacker mũ trắng để tìm lỗi cho sản phẩm/ hệ thống. Hơn nữa, mô hình tính phí Bug bounty (trả tiền theo lỗi) cho phép tổ chức tối ưu hiệu quả đầu tư với cùng mức chi phí so với phương thức Kiểm thử xâm nhập truyền thống.
4. Các phương pháp kiểm thử xâm nhập
White box(Hộp trắng): Trong hình thức kiểm thử hộp trắng, các chuyên gia kiểm thử được cung cấp đầy đủ thông tin về đối tượng mục tiêu trước khi họ tiến hành kiểm thử. Những thông tin này bao gồm: địa chỉ IP, sơ đồ hạ tầng mạng, các giao thức sử dụng, hoặc source code.
Gray box (Hộp xám): Kiểm thử hộp xám là hình thức kiểm thử mà pentester nhận được một phần thông tin của đối tượng kiểm thử, ví dụ URL, IP address,… nhưng không có hiểu biết đầy đủ hay quyền truy cập vào đối tượng.
Black box (Hộp đen): Kiểm thử hộp đen là hình thức kiểm thử xâm nhập dưới góc độ của một hacker trong thực tế. Với hình thức này, các chuyên gia kiểm thử không nhận được bất kỳ thông tin nào về đối tượng trước khi tấn công. Các pentester phải tự tìm kiếm và thu thập thông tin về đối tượng để tiến hành kiểm thử. Loại hình pentest này yêu cầu một lượng lớn thời gian tìm hiểu và nỗ lực tấn công, nên chi phí không hề rẻ.
Ngoài ra, còn có các hình thức kiểm thử xâm nhập khác như: double-blind testing, external testing, internal testing, targeted testing tuy nhiên chúng không phổ biến tại Việt Nam và chỉ được sử dụng với nhu cầu đặc thù của một số doanh nghiệp.
Việc lựa chọn phương pháp kiểm thử (White/Gray/Black Box) do tổ chức quyết định, dựa vào yêu cầu, mục đích, thời gian và khả năng tài chính của tổ chức đó. Trong khi kiểm tra bằng phương pháp Blackbox đem lại đánh giá chính xác về khả năng tấn công của những hacker thực sự thì Whitebox đem lại lợi thế về thời gian, quyền truy cập hệ thống cũng như những hiểu biết chính xác về hệ thống, từ đó tìm ra các điểm yêu tồn tại trên hệ thống. Lập kế hoạch kiểm tra cẩn thận và hiểu biết về các ràng buộc kiểm tra là cần thiết khi có giới hạn thời gian và nguồn lực để kiểm tra được tiến hành. Dựa vào lợi thế của các phương pháp, tổ chức cần đưa ra kế hoạch và lựa chọn phương pháp phù hợp.
5. Các loại kiểm thử xâm nhập
Các loại kiểm thử xâm nhập khác nhau sẽ tập trung vào các khía cạnh khác nhau của của tổ chức của bạn và tập trung vào ranh giới ngăn cách mạng của bạn với Internet.
Kiểm thử xâm nhập cơ sở hạ tầng (mạng)
Các lỗ hổng cơ sở hạ tầng bao gồm hệ điều hành và kiến trúc mạng không an toàn, chẳng hạn như:
Các sai sót trong các Server và Host;
Các điểm truy cập không dây và tường lửa bị định cấu hình sai; và
Các giao thức mạng không an toàn (các quy tắc quản lý cách các thiết bị như modem, bộ chuyển mạch và bộ định tuyến giao tiếp với nhau).
Các bài kiểm thử xâm nhập mạng nhằm xác định và kiểm tra các lỗi bảo mật này.
Các loại kiểm thử xâm nhập cơ sở hạ tầng:
– Kiểm thử xâm nhập cơ sở hạ tầng bên ngoài (External network)
Kiểm thử xâm nhập bên ngoài xác định và kiểm tra các lỗ hổng bảo mật có thể cho phép kẻ tấn công truy cập từ bên ngoài mạng.
– Kiểm thử xâm nhập cơ sở hạ tầng nội bộ (Internal network)
Các bài kiểm thử xâm nhập nội bộ tập trung vào những gì kẻ tấn công có quyền truy cập bên trong có thể đạt được. Một bài kiểm tra nội bộ nói chung sẽ:
Kiểm tra từ quan điểm của cả người dùng được xác thực và không được xác thực để đánh giá khả năng khai thác;
Đánh giá các lỗ hổng ảnh hưởng đến các hệ thống có thể truy cập bằng ID đăng nhập được ủy quyền và nằm trong mạng; và
Kiểm tra các cấu hình sai có thể cho phép nhân viên truy cập thông tin và vô tình làm rò rỉ thông tin trực tuyến.
– Kiểm thử xâm nhập mạng không dây
Nếu bạn sử dụng công nghệ không dây, chẳng hạn như Wi-Fi, bạn cũng nên xem xét các thử nghiệm xâm nhập mạng không dây.
Bao gồm các:
Xác định mạng Wi-Fi, bao gồm lấy dấu vân tay không dây, rò rỉ thông tin và rò rỉ tín hiệu;
Xác định điểm yếu mã hóa, chẳng hạn như bẻ khóa mã hóa, đánh hơi không dây và chiếm quyền điều khiển phiên;
Xác định các cơ hội xâm nhập mạng bằng cách sử dụng điểm truy cập không hợp lệ hoặc trốn tránh các biện pháp kiểm soát truy cập mạng không dây; và
Xác định danh tính và thông tin đăng nhập của người dùng hợp pháp để truy cập các mạng và dịch vụ riêng tư khác.
Kiểm thử xâm nhập ứng dụng web (Web Application)
Các bài kiểm tra ứng dụng web tập trung vào các lỗ hổng như lỗi mã hóa hoặc phần mềm phản hồi các yêu cầu nhất định theo những cách không mong muốn.
Bao gồm các:
Kiểm tra xác thực người dùng để xác minh rằng các tài khoản không thể xâm phạm dữ liệu;
Đánh giá các ứng dụng web để tìm các lỗi và lỗ hổng bảo mật, chẳng hạn như XSS (cross-site scripting) hoặc SQL injection;
Xác nhận cấu hình an toàn của trình duyệt web và xác định các tính năng có thể gây ra lỗ hổng bảo mật; và
Bảo vệ an toàn máy chủ cơ sở dữ liệu và bảo mật máy chủ web.
Các điểm yếu bảo mật trong web thông dụng: (Theo OWASP TOP 10 2017):
Injection: Các lỗi về tiêm nhiễm mã độc hại
Broken Authentication: Phá vỡ cơ chế xác thực
Sensitive Data Exposure: Lộ lọt các thông tin nhạy cảm
ML External Entities (XXE): Lỗi liên quan đến xử lý XML
Broken Access Control: Phá vỡ cơ chế phân quyền truy cập
Security Misconfiguration: Cấu hình bảo mật không đúng
Insecure Deserialization: Cơ chế deserialization thiếu an toàn
Using Components with Known Vulnerabilities: Sử dụng các thành phần chứa lỗ hổng
Insufficient Logging & Monitoring: Ghi nhật ký và giám sát không đầy đủ
Mobile Device Penetration Testing
Kiểm thử xâm nhập thiết bị di động sẽ cho tổ chức biết được các điểm yếu bảo mật trong việc sử dụng thiết bị di động, ứng dụng di dộng. Quy trình kiểm thử xâm nhập thiết bị di động sẽ bao gồm các phần chính sau:
Kiểm tra xâm nhập phần cứng thiết bị di động
Kỹ thuật dịch ngược Hệ điều hành/ ảnh thiết bị di động
Phân tích ứng dụng được cài đặt sẵn trong điện thoại di động và kiểm thử ứng dụng (Ứng dụng gốc_Native apps, Ứng dụng di động web_Mobile web apps và Ứng dụng lai_Hybrid apps)
Các bản vá mới nhất và các lỗ hổng đã biết.
Cloud Penetration Testing
Kiểm thử xâm nhập đám mây (Cloud) được thiết kế để đánh giá điểm mạnh và điểm yếu của hệ thống đám mây nhằm cải thiện tình trạng bảo mật tổng thể của nó.
Thử nghiệm xâm nhập đám mây giúp:
Xác định rủi ro, lỗ hổng và kẽ hở
Tác động của các lỗ hổng có thể khai thác
Xác định cách tận dụng bất kỳ quyền truy cập nào có được thông qua khai thác
Cung cấp thông tin khắc phục rõ ràng và có thể hành động
Cung cấp các phương pháp hay nhất để duy trì khả năng giám sát.
Mô hình chia sẽ trách nhiệm trong việc kiểm tra xâm nhập đám mây:
Các mối đe dọa bảo mật đám mây phổ biến nhất
Thử nghiệm xâm nhập đám mây có thể giúp ngăn chặn các loại mối đe dọa bảo mật đám mây phổ biến nhất sau:
Cấu hình sai
Vi phạm dữ liệu
Phần mềm độc hại / Ransomware
Các lỗ hổng
Các mối đe dọa APT
Xâm phạm chuỗi cung ứng
Mối đe dọa nội bộ
Thông tin nhận dạng và thông tin xác thực yếu
Quản lý truy cập yếu
Giao diện và API không an toàn
Sử dụng hoặc Lạm dụng Dịch vụ Đám mây Không thích hợp
Các dịch vụ chia sẻ / Mối quan tâm về công nghệ.
Kiểm thử xâm nhập kỹ thuật xã hội
Khi các biện pháp bảo mật kỹ thuật được cải thiện, bọn tội phạm ngày càng sử dụng các cuộc tấn công kỹ thuật xã hội như lừa đảo , xâm phạm email doanh nghiệp để truy cập các hệ thống mục tiêu.
Vì vậy, cũng giống như bạn nên kiểm tra các lỗ hổng công nghệ của tổ chức của mình, bạn cũng nên kiểm tra tính nhạy cảm của nhân viên đối với lừa đảo và các cuộc tấn công kỹ thuật xã hội khác.
Các vấn đề thường gặp phải:
Truy cập vào các đường link, email độc hại
Trở thành nạn nhân của tấn công lừa đảo (phishing) qua email, điện thoại
Để lộ thông tin nhạy cảm cho người lạ
Cho phép người lạ, không có thẩm quyền kết nối USB vào máy trạm.
6. Quy trình thực hiện xâm nhập
Có nhiều phương pháp và cách tiếp cận khác nhau khi nói tới quy trình kiểm thử xâm nhập. Tuy nhiên chúng đều theo một tư duy chung gồm 4 bước cơ bản như sau:
Bước 1: Lập kế hoạch (Planning Phase)
Phạm vi & Chiến lược của nhiệm vụ được xác định
Các tiêu chuẩn, chính sách bảo mật hiện có được sử dụng để xác định phạm vi.
Bước 2: Thu thập thông tin (Discovery Phase)
Thu thập càng nhiều thông tin càng tốt về hệ thống bao gồm dữ liệu trong hệ thống, tên người dùng và thậm chí cả mật khẩu.
Quét và thăm dò vào các cổng
Kiểm tra lỗ hổng của hệ thống
Quá trình này ảnh hưởng to lớn đến kết quả kiểm thử của chuyên gia. Nếu thu thập thông tin chính xác sẽ giúp rút ngắn thời gian kiểm thử đi nhiều lần.
Bước 3: Thực hiện tấn công (Attack phase)
Ở giai đoạn này, các chuyên gia thực hiện kiểm tra và khai thác lỗ hổng như một hacker thực sự để có quyền truy cập được vào hệ thống/ứng dụng:
Thực hiện khai thác lỗ hổng, thực nghiệm (POC)
Khi phát hiện lỗ hổng nghiêm trọng cần báo cho chủ dịch vụ, không thực hiện phá hay khai thác thông tin khi không được phép.
Bước 4: Báo cáo (Reporting Phase)
Một báo cáo phải chứa các phát hiện lỗ hổng chi tiết
Rủi ro về các lỗ hổng được tìm thấy và Ảnh hưởng của chúng
Khuyến nghị và giải pháp, nếu có.
7. Phương pháp và tiêu chuẩn kiểm thử xâm nhập
Hiện nay, 5 phương pháp luận và tiêu chuẩn phổ biến hàng đầu:
1. OSSTMM
2. OWASP
3. NIST
4. PTES
5. ISSAF
(Nguồn: Sưu tầm trên Internet và TW biên soạn)
Vui lòng liên hệ với chúng tôi để nhận được tư vấn tốt nhất !
