GIỚI THIỆU VỀ DỊCH VỤ

Website là thành phần cực kỳ quan trọng với mỗi công ty, tổ chức. Website không chỉ đại diện cho danh tiếng, uy tín của công ty, tổ chức mà còn là điểm kết nối tới những thành phần, dữ liệu cực kỳ giá trị, nhạy cảm như thông tin nội bộ công ty, thông tin tài chính, thông tin tài khoản ngân hàng, thẻ tín dụng.

Website luôn tồn tại những điểm yếu bảo mật nghiêm trọng mà tin tặc có thể khai thác thành công. Đa phần trong số đó là những điểm yếu đã biết, đã được công bố và rất dễ dàng để khai thác.

Lợi ích khi tấn công thành công một website là quá lớn: tài chính, bôi nhọ danh tiếng, bàn đạp tấn công mục tiêu khác hay đơn giản hơn là chứng tỏ bản thân.

Công ty Misoft cung cấp dịch vụ đánh giá điểm yếu An toàn thông tin trên Website của khách hàng bao gồm đánh giá ứng dụng Web và máy chủ Web.

Lợi ích khi sử dụng dịch vụ

• Phát hiện sớm điểm yếu trên ứng dụng web và máy chủ web.
• Kịp thời can thiệp, ngăn chặn kẻ tấn công khai thác điểm yếu .
• Kịp thời khắc phục điểm yếu.
• Duy trì, nâng cao uy tín, danh tiếng của công ty, tổ chức.
• Có cái nhìn tổng quan về hiện trạng bảo mật của website.

Tính năng của dịch vụ

Một trong những biện pháp tốt nhất khi đánh giá điểm yếu trên website là thử nghiệm tấn công xâm nhập website đó. Các chuyên gia Misoft sẽ sử dụng công cụ, kỹ thuật và tư duy như kẻ tấn công để thử nghiệm xâm nhập vào hệ thống website của khách hàng nhưng không gây ra ảnh hưởng, tổn thương tới hệ thống.

Dịch vụ của chúng tôi bao gồm:

Đánh giá điểm yếu ATTT trên ứng dụng Web

– Quy trình đánh giá sử dụng phương thức theo chuẩn OWASP (Open Web Application Security Project) bao gồm các tháo tác chính sau:

• Thu thập thông tin.
• Đánh giá cấu hình
• Đánh giá quản lý định danh
• Đánh giá quá trình xác thực
• Đánh giá quá trình phân quyền
• Đánh giá quản lý phiên
• Đánh giá quá trình kiểm tra dữ liệu đầu vào
• Đánh giá độ an toàn của mã hóa
• Đánh giá hoạt động nghiệp vụ

– Tấn công, thâm nhập thử hệ thống dựa trên các điểm yếu tìm kiếm được từ các công cụ cũng như quá trình tìm kiếm thủ công của các chuyên gia.

– Thực hiện đánh giá trên các ứng dụng web phổ biến: ASP, ASP.NET, PHP, JSP,…

– Thực hiện đánh giá trên các mã nguồn nền tảng ứng dụng phổ biến: Drupal, Joomla, Dot Net Nuke,…

– Chuyên gia Misoft thực hiện đánh giá thủ công với sự hỗ trợ bởi các công cụ hàng đầu trong tìm kiếm, phát hiện điểm yếu ứng dụng web: HP WebInspect, IBM AppScan, Acunetix Web Vulnerability Scanner.

– Lập báo cáo, phân tích chi tiết điểm yếu: mức độ nguy hiểm, tác động tới hệ thống khách hàng.

– Báo cáo theo chuẩn: PCI DSS, SANS,…

– Đưa ra khuyến nghị khắc phục điểm yếu.

Đánh giá điểm yếu ATTT trên máy chủ Web

– Thực hiện đánh giá trên nhiều hệ điều hành khác nhau như Microsoft Windows, Unix, Cisco, Linux, Apple Macintosh, VMWare,…

– Sử dụng các công cụ bảo mật hàng đầu: McAfee Vulnerability Manager (Foundstone), Nexpose Enterprise Edition, Nessus,…

– Phát hiện những bản vá lỗi, hotfix mà server cũng như các ứng dụng chưa thực hiện vá

– Phát hiện điểm yếu liên quan đến cấu hình, chính sách của server: cho phép truy cập nặc danh (anonymous), bật WebDAV, phân quyền không an toàn,…

– Phát hiện mã độc trên hệ thống máy chủ.

– Phát hiện điểm yếu liên quan đến mật khẩu: không đặt mật khẩu, mật khẩu yếu, dễ đoán,…

– Lập báo cáo, phân tích chi tiết điểm yếu: mức độ nguy hiểm, tác động tới hệ thống khách hàng

– Đưa ra khuyến nghị khắc phục điểm yếu.