Thách thức

Truy cập trái phép vào tài nguyên của công ty bằng cách sử dụng các lỗ hổng hiện tại và mới là một mối quan tâm an ninh nghiêm trọng

Truy cập trái phép vào tài nguyên của công ty bằng cách sử dụng các lỗ hổng hiện tại và mới là một mối quan tâm an ninh nghiêm trọng. Xác minh rằng các ứng dụng, mạng và hệ thống mới và hiện tại có dễ bị ảnh hưởng bởi nguy cơ bảo mật là chìa khóa để giải quyết những lỗ hổng này trước khi chúng có thể được sử dụng bởi những người sử dụng trái phép. Mặc dù đánh giá này rất “nhạy cảm” để xác định khoảng cách và lỗ hổng trong mạng của doanh nghiệp, cần phải kiểm tra thêm để cho thấy kẻ tấn công có thể truy cập vào môi trường của doanh nghiệp như thế nào và sử dụng các hệ thống đó làm cơ sở cho các cuộc tấn công sâu hơn vào mạng

Giải pháp

Thiết lập riêng biệt cho từng tổ chức/ doanh nghiệp

VietSunshine thiết lập các bài kiểm thử xâm nhập riêng biệt cho từng tổ chức/ doanh nghiệp. Phương pháp của Vietsunshine được thực hiện bởi các nhóm kiểm tra an ninh hàng đầu của ngành, tận dụng các chiến thuật độc quyền và thông tin tình báo riêng. Cả kiểm thử  và kiểm thử xâm nhập nâng cao được thiết kế để cho thấy kẻ tấn công có thể truy cập trái phép vào môi trường của bạn bằng cách thỏa hiệp các hệ thống trong phạm vi và làm nổi bật các cơ hội xoay vòng từ các thiết bị bị xâm nhập. Dựa trên những phát hiện này, VietSunshine sẽ thảo luận với tất cả các đối tượng có liên quan và cung cấp một cách thức tương ứng cho cả lãnh đạo và đối tượng kỹ thuật.

Một số khách hàng tiêu biểu

Kiểm tra bảo mật ứng dụng web

MỤC TIÊU

  • Tìm ra các lỗ hổng tiềm tàng trong ứng dụng web như: Cross Site Scripting, Remote Code Execution, SQLi, Privileges Escalation, Business Logic…. để đưa ra cảnh báo và khuyến nghị sửa chữa trước khi bị tấn công.

TIÊU CHUẨN

  • Owasp Testing Guide v4 (mobile)
  • Owasp Top 10 (web)

CÔNG CỤ

  • Burpsuite Professional: ứng dụng java chuyên dùng để kiểm thử xâm nhập ứng dụng web.
  • IBM AppScan: công cụ quét lỗi ứng dụng web tự động.
  • Sqlmap: công cụ tự động quét lỗi sql injection.
  • SoapUI: công cụ chuyên dùng kiểm tra bảo mật web service.
  • Owasp Zap: công cụ mã nguồn mở chuyên dùng kiểm thử xâm nhập web do tổ chức owasp phát triển.
LIÊN HỆ NGAY

Kiểm tra bảo mật ứng dụng di động

MỤC TIÊU

  • Kiểm tra bảo mật toàn diện của ứng dụng di động cả 2 phía client và server.

TIÊU CHUẨN

  • Phương pháp kiểm tra an ninh mã nguồn mở thủ công (OSSTMM)
  • Theo tài liệu kiểm tra bảo mật ứng dụng di động của OWASP Mobile Top 10

CÔNG CỤ

  • Burpsuite Professional: ứng dụng java chuyên dùng để kiểm thử xâm nhập phía server.
  • Genymotion: chương trình giả lập thiết bị android.
  • XCode: môi trường phát triển tích hợp ứng dụng của apple.
  • Java Tool: apktool, jadx chương trình dịch ngược mã nguồn android.
  • Jeb2: ứng dụng debug cho android.
  • IDA: chương trình dịch ngược mã nguồn.
LIÊN HỆ NGAY

Kiểm tra bảo mật mạng và hệ thống

MỤC TIÊU

  • Phát hiện các lỗ hổng bảo mật tiềm tàng trong mạng và hệ thống.
  • Giúp hệ thống vận hành ổn định an toàn.
  • Giảm thiểu tối đa các thiệt hại do mất an toàn thông tin gây ra.

CÔNG CỤ

  • Network Mapper (nmap)
  • Wireshark
  • Network Miner professional
  • Nessus professional
  • Metasploit framework
  • Burp suite
LIÊN HỆ NGAY

Ứng cứu và điều tra sự cố bảo mật

MỤC TIÊU

  • Xác định nguồn tấn công, khoanh vùng, đề xuất phương án ứng phó và thu thập – phân tích dữ liệu phục vụ điều tra.

 

LIÊN HỆ NGAY

CÁC CHỨNG CHỈ VỀ BẢO MẬT

Các chuyên gia bảo mật của VSS được đào tạo bài bản theo các giáo trình và các chuẩn chuyên về kiểm tra thâm nhập uy tín.

chứng chỉ về bảo mật

PHÁT HIỆN VÀ CÔNG BỐ BỞI TEAM PENTEST VIETSUNSHINE

GIẢI THƯỞNG

Là một trong những thành viên của team Injocker10K, Tham dự và nhận giải nhì trong cuộc thi HITB GSEC 2017 Singapore

HITB GSEC 2017 singapore

Nghiên cứu Hệ thống QUY TRÌNH CHUẨN QUỐC TẾ

Tư vấn tư pháp QUY TRÌNH CHUẨN QUỐC TẾ

ĐÁNH GIÁ AN NINH MẠNG QUY TRÌNH CHUẨN QUỐC TẾ

Báo cáo tư vấn QUY TRÌNH CHUẨN QUỐC TẾ

Bảo hành bảo trì QUY TRÌNH CHUẨN QUỐC TẾ

 PHƯƠNG PHÁP THỰC HIỆN

Kiểm tra bảo mật (Pentest) được thực hiện theo 3 phương pháp:

  • Black Box Testing: Không được cung cấp bất cứ thông tin nào về mục tiêu
  • Gray Box Testing: Được cung cấp một phần thông tin về mục tiêu
  • White Box Testing: Được cung cấp đầy đủ thông tin về mục tiêu.

quy trình thực hiện pentest