Mục lục bài viết || Contents of the article

    Trong thời đại công nghệ 4.0, doanh nghiệp cần đặc biệt chú trọng hoạt động đánh giá an ninh website. Bởi hiện nay, website đang là mục tiêu tấn công chính của tin tặc. 

    1. Tại sao doanh nghiệp cần đánh giá an ninh website?

    danh-gia-an-ninh-website

    Trong thời đại công nghệ thông tin, bất cứ doanh nghiệp nào cũng sở hữu ít nhất một website. Đây là nơi lưu giữ nhiều thông tin quan trọng của doanh nghiệp và khách hàng. Vì vậy, website nghiễm nhiên trở thành mục tiêu tấn công chính của tin tặc. Dưới đây là một số ví dụ về việc website bị tấn công. 

    • Website ngân hàng: Hiện nay, đã có nhiều trường hợp tin tặc giả mạo website ngân hàng, sau đó lừa người dùng chuyển tiền cho chúng.
    • Website thương mại điện tử: Ngay cả công ty thương mại điện tử lớn nhất thế giới – Amazon cũng đã từng bị tin tặc giả mạo. 
    • Website giáo dục: Năm 2015 đánh dấu với vụ việc “hàng loạt website có tên miền .edu.vn” đã bị tin tặc làm tê liệt kéo dài.
    • Website của các doanh nghiệp khác: Lợi dụng các lỗ hổng bảo mật, tin tặc sẽ ăn cắp dữ liệu, thay đổi giao diện, phá hỏng website…

    2. Khi nào doanh nghiệp cần đánh giá an ninh website?

    Ngoài những tính năng bảo mật được các nhà phát triển website cài đặt sẵn thì doanh nghiệp cần cài thêm những công cụ, phần mềm khác để bảo vệ cho website. Ví dụ: đối với Website WordPress, doanh nghiệp có thể cài thêm plugin Ithemes. 

    tan-cong-mang-2-2

    Kể cả doanh nghiệp của bạn chưa bị tấn công thì việc bảo mật hệ thống website ngay lúc này là vô cùng cần thiết. Lý do bởi hậu quả mà mất dữ liệu gây ra là vô cùng nặng nề. Điển hình như vụ mã độc tống tiền WannaCry đầu tháng 5 năm 2017, có những doanh nghiệp mất tới vài chục tỉ để chuyển tiền cho hacker và nâng cấp hệ thống.

    3. Dịch vụ đánh giá an ninh website của SecurityBox 

    Thường xuyên rà quét lỗ hổng website là sự lựa chọn thông minh giúp thương hiệu của doanh nghiệp phát triển bền vững. Đối với các ngành như thương mại điện tử, ngân hàng, nếu không thường xuyên quét lỗ hổng của website thì rủi ro mất dữ liệu khách hàng là rất lớn.

    Mặc dù biết việc bảo mật website là cần thiết và cấp thiết nhưng một số đơn vị vẫn còn phân vân lựa chọn dịch vụ bảo mật nào. Ví dụ như: dịch vụ đánh giá an ninh website như thế nào là chất lượng; doanh nghiệp làm sao để hạn chế tối đa nguy cơ tin tặc tấn công; nên sử dụng dịch vụ thuê ngoài hay tự xây dựng đội ngũ nhân sự an ninh mạng….

    Một số doanh nghiệp đã xây dựng bộ phận an ninh, bảo mật riêng. Tuy nhiên, phần lớn vẫn chưa đạt kết quả như kỳ vọng. Các sự cố tấn công mạng vẫn diễn ra, vẫn có mã độc mới xâm nhập vào hệ thống. Đó là lý do tại sao cần tới những đơn vị lớn như SecurityBox. Từ việc rà quét chi tiết lỗ hổng website, SecurityBox sẽ đánh giá được thực trạng an ninh website và đưa ra những giải pháp phòng chống hiệu quả nhất.

    3.1. Đối tượng sử dụng

    Dịch vụ đánh giá an ninh website của SecurityBox dành cho mọi tổ chức và doanh nghiệp; đặc biệt cần thiết với những doanh nghiệp trong lĩnh vực thương mại điện tử, giao dịch trực tuyến, ngân hàng, bảo mật dữ liệu…

    3.2. Tiêu chuẩn kiểm thử lỗ hổng bảo mật website SecurityBox áp dụng

    Dưới đây là những tiêu chuẩn kiểm tra lỗ hổng bảo mật website quốc tế mà SecurityBox đang áp dụng:

    • OWASP (Open Web Application Security Project)
    • OSSTMM (Open Source Security Testing Methodology Manual) – Kiểm thử theo phương thức mã nguồn mở
    • PTF (Penetration Testing Framework) – Rà quét lỗ hổng bảo mật hệ thống
    • ISSAF (Information Systems Security Assessment Framework) – Đánh giá Bảo mật Hệ thống Thông tin
    • PCI DSS (Payment Card Industry Data Security Standard) – Tiêu chuẩn bảo mật dành cho thẻ thanh toán

    3.3. Phương pháp kiểm thử xâm nhập website SecurityBox áp dụng 

    Để kiểm thử mức độ an toàn của một website, chúng ta có thể thực hiện bằng 2 cách: tấn công từ bên ngoài vào bên trong hệ thống hoặc tấn công từ bên trong hệ thống mạng nội bộ.

    Tấn công từ bên trong hệ thống

    SecurityBox sẽ tiến hành thâm nhập toàn bộ hệ thống thông qua bộ lưu trữ mật khẩu của website, tấn công từ mạng xã hội….

    Tấn công từ bên ngoài hệ thống

    Trong trường hợp này, SecurityBox sẽ giả lập vai trò là tin tặc để thâm nhập vào hệ thống thông qua wifi, internet…, host, IDS, tường lửa….

    3.4. Các công cụ kiểm thử website SecurityBox áp dụng 

    Các công cụ mà SecurityBox dùng đề rà quét, đánh giá website như: Veracode, Vega, Burp Suite, NetSparker, Arachni, Acunetix, ZAP và nhiều công cụ khác.

    • Burp Proxy, ZAP, Firefox add-on CacheViewer2. Các công cụ này được dùng để kiểm tra lịch sử tìm kiếm của người dùng, rà quét mật khẩu, kiểm tra http, https…
    • Burp Proxy, ZAP. Công cụ giúp kiểm tra lỗi XSS, CSS injection, lỗi điều hướng, lôi trong javascript, kiểm thử tin nhắn của website, đánh giá mức độ bảo mật của ứng dụng.

    3.5. Quy trình dịch vụ đánh giá bảo mật website của SecurityBox

    Bước 1: Khảo sát

    SecurityBox sẽ khảo sát toàn bộ hệ thống website của doanh nghiệp để thu thập thông tin cơ bản, chuẩn bị cho bước 2. 

    Bước 2: Xây dựng kịch bản đánh giá 

    Bước 3: Đánh giá sơ bộ

    SecurityBox sẽ dùng công cụ để rà quét toàn bộ hệ thống website của doanh nghiệp. Các đối tượng được rà quét bao gồm website chính và các website site con. Các website con có thể kể đến như: blog, website wordpress, diễn đàn…

    Bước 4: Đánh giá chi tiết

    Các kỹ sư của SecurityBox sẽ thực hiện tấn công từ bên trong và bên ngoài hệ thống website của doanh nghiệp; từ đó đưa ra những giải pháp và tư vấn thiết thực.

    Bước 5: Gửi báo cáo chi tiết tới khách hàng

    Mọi thông tin về lỗ hổng bảo mật, mức độ rủi ro, virus, mã độc, phương án phòng tránh sẽ được SecurityBox trình bày rõ ràng, đơn giản, dễ hiểu nhất.

    Nếu doanh nghiệp muốn tìm hiểu về dịch vụ, hãy để lại thông tin để được SecurityBox hỗ trợ!

    Bài viết đề xuất || Recommended
    Nhằm giúp doanh nghiệp hiểu rõ hơn về SOC và biết cách đầu tư SOC hiệu quả, SecurityBox biên soạn tài liệu chi tiết về vấn đề này. Tài liệu được trích...
    Tài liệu | 16/04/2021
    Lỗ hổng bảo mật có thể xuất hiện bất cứ lúc nào trên hệ thống mạng nội bộ. Qua các lỗ hổng này, tin tặc có thể đi vào hệ thống để lấy cắp...
    Trong Quý I/2021, tình hình an ninh mạng diễn biến rất phức tạp. Trong bài viết dưới đây, hãy cùng SecurityBox tìm hiểu thực trạng tấn công mạng và giải pháp...