THÁCH THỨC

Truy cập trái phép vào tài nguyên của doanh nghiệp/tổ chức thông qua các lỗ hổng bảo mật đã biết và chưa biết là một mối đe doạ an ninh nghiêm trọng.

Khi bị tôi phạm mạng xâm nhập các doanh nghiệp/tổ chức sẽ phải đối mặt với sự gián đoạn kinh doanh, niềm tin của khách hàng – đối tác, án phạt của các cơ quan thực thi phát luật…gây ra thiệt hại vô cùng lớn.

 

Cybersecurity Ventures dự báo, đến năm 2021, thiệt hại do tội phạm mạng gây ra hàng năm sẽ lên tới 6 nghìn tỷ USD, vượt xa tổn thất hàng năm do thiên tai.

GIẢI PHÁP

Các chuyên gia pentest của VietSunshine Pentest Team sẽ thiết lập các bài kiểm thử xâm nhập riêng biệt cho từng tổ chức/doanh nghiệp.

Dịch vụ pentest của Vietsunshine được thực hiện bởi các chuyên gia an ninh hàng đầu của ngành, tận dụng các chiến thuật độc quyền và thông tin tình báo riêng để mang lại hiệu quả cao nhất cho doanh nghiệp/tổ chức.

 

Pentest (kiểm thử thâm nhập) là phương pháp đánh giá tính bảo mật của hệ thống máy tính hoặc mạng bằng cách mô phỏng cuộc tấn công từ nguồn độc hại.

  • Tìm ra lỗ hổng trước tội phạm mạng hoặc các đối tượng có ý đồ xấu.
  • Đưa ra ý kiến cho những người ra quyết định về sự cần thiết phải hành động.
  • Bằng chứng thực tế về nhu cầu hành động.
  • Báo cáo về vấn đề cho cấp quản lý.
  • Đánh giá hiệu quả của các biện pháp bảo mật.
  • Training cho các nhân viên IT.
  • Khám phá ra các “khoảng trống” trong tuân thủ.
  • Kiểm tra các công nghệ mới.
  • Áp dụng thực tiễn tốt nhất bằng cách tuân thủ các quy định pháp luật.

VietSunshine Pentest Team

Pentester

Thành tích/Giải thưởng

  • Penetration Testing for many organizations such as banks, government, e-commerce Business
  • First prize with NAVI Team in “Vietnamese Student with Information Security – 2013” Competition
  • Chứng chỉ OSCP (Offensive Security Certified Professional, Certificate ID: OS-101-23065)
  • Offensive Security Web Expert (OSWE)

Lĩnh vực phụ trách

  • Web Security
  • Mobile Security
  • System & Network Security
  • Software exploitation
  • Malware analyst
  • Forensic

Pentester

Thành tích/Giải thưởng

  • Bug hunter at HackerOne and some public programs such as Paypal, Google,…
  • Top 100 Google Hall of Fame (2016-2018)
  • Top 5 Grab Hall of Fame
  • Top 50 Uber Hall of Fame
  • Oracle Hall of Fame
  • Nokia Hall of Fame
  • Bosch Hall of Fame
  • SAP Hall of Fame

Lĩnh vực phụ trách

  • Web Security
  • Mobile Security
  • System & Network Security
  • Software exploitation
  • Malware analyst
  • Forensic

Pentester

Thành tích/Giải thưởng

  • Runner-up, WhiteHat Grand Prix 2016
  • First Prize, WhiteHat 2017
  • Runner-up, HITB GSEC CTF Singapore 2017
  • First Prize, Viettel Mates CTF competition 2017
  • Top 1 Vietnam, WhiteHat Grand Prix competition 2018
  • Chứng chỉ bảo mật OSCP (Offensive Security Certified Professional, Certificate ID: OS-101-52166)
  • OSCE (Offensive Security Certified Expert, Certificate ID: OS-CTP-040092)

Lĩnh vực phụ trách

  • Web Security
  • Mobile Security
  • Network Security
  • Software exploitation
  • Malware analyst

Pentester

Thành tích/Giải thưởng

  • Penetration Testing for many organizations such as banks, government, e-commerce Business
  • Offensive Security Certified Professional (OSCP)

Lĩnh vực phụ trách

  • Web security
  • Mobile security
  • Network Penetration Testing

Pentester

Thành tích/Giải thưởng

  • Penetration Testing for many organizations such as banks, government, e-commerce Business

Lĩnh vực phụ trách

  • Web security
  • Mobile security

Pentester

Thành tích/Giải thưởng

  • Penetration Testing for many organizations such as banks, government, e-commerce Business

Lĩnh vực phụ trách

  • Web security
  • Mobile security
  • Malware Analysis

Thành tích/Giải thưởng

  • Penetration Testing for many organizations such as banks, government, e-commerce Business
  • Certified Ethical Hacker

Lĩnh vực phụ trách

  • Web Security
  • IT Security
  • Audit Network
  • Penetration Testing

NHỮNG LỖ HỔNG ĐƯỢC PHÁT HIỆN, CÔNG BỐ VÀ CÁC GIẢI THƯỞNG CỦA

  VIETSUNSHINE PENETRATION TESTING TEAM 

  • CVE-2020-4789, CVE-2020-26693, CVE-2020-27862, CVE-2020-27863, CVE-2021-31673, CVE-2021-31674, CVE-2021-34827, CVE-2021-34829, CVE-2021-34830, CVE-2021 27248, CVE-2022-27461, CVE-2022-28448, CVE-2022-28449, CVE-2022-28450, CVE-2022-28451
  • Bug hunter on Hackerone
  • Zero-Day trên ứng dụng Grab Taxi, Uber
  • Zero-Day trên các dịch vụ của Google (thứ hạng #102 trong hàng ngàn hacker).
  • Ngô Quốc Huy (aka Severus)
    – IBM Product Security Incident Response – July 2022 (https://www.ibm.com/blogs/psirt/ibm-acknowledgement/)
    – RedHat Vulnerability Acknowledgements – 2022 (https://access.redhat.com/articles/66234)

GIẢI THƯỞNG

Là một trong những thành viên của team Injocker10K, Tham dự và nhận giải nhì trong cuộc thi HITB GSEC 2017 Singapore

HITB GSEC 2017 singapore

Xếp hạng thứ 5 toàn thế giới và số 1 Việt Nam tại sự kiện The WhiteHat Grand Prix 2018 Global Cyber Security Competition

Xếp hạng thứ 5 toàn thế giới và số 1 Việt Nam tại sự kiện The WhiteHat Grand Prix 2018 Global Cyber Security Competition

Giải Bounty cho việc phát hiện lỗ hổng ứng dụng Grab

Giải Bounty cho việc phát hiện lỗ hổng ứng dụng Grab

Giải Google Vulnerability Reward Program

Giải Google Vulnerability Reward Program và các CVE

——————————————————————————————————————————————————-

NHỮNG DỊCH VỤ PENTEST PHỔ BIẾN

types of penetration testing

  1. Network Service Tests: Loại pentest này là yêu cầu phổ biến nhất của khách hàng. Nó nhằm mục đích khám phá các lỗ hổng và lỗ hổng trong cơ sở hạ tầng mạng.
  2. Web Application Tests: Là một bài kiểm tra mang tính nhắm mục tiêu cụ thể và mạnh mẽ hơn. Các lĩnh vực như ứng dụng web, trình duyệt và các thành phần của chúng như ActiveX, Applet, Plug-in, Scriptlets nằm trong phạm vi của loại pentest này.
  3. Client Side Tests: Mục tiêu của các thử nghiệm này là xác định chính xác các mối đe dọa bảo mật xuất hiện tại địa phương (local). Ví dụ, có thể có một lỗ hổng trong ứng dụng phần mềm chạy trên máy trạm người dùng mà hacker có thể dễ dàng khai thác.
  4. Wireless Network Tests: Thử nghiệm này dự định phân tích các thiết bị không dây được triển khai trên site của khách hàng. Danh sách các thiết bị bao gồm các thiết bị như máy tính bảng, máy tính xách tay, máy tính xách tay, iPod, điện thoại thông minh, v.v.
  5. Social Engineering Tests: Loại thử nghiệm này cũng là một phần quan trọng của thử nghiệm thâm nhập. Nó mở đường cho việc xác minh “Human Network” của một tổ chức. Các pentester sẽ bắt chước các cuộc tấn công mà một nhân viên công ty có thể gặp phải để bắt đầu một vi phạm.

Nghiên cứu Hệ thống QUY TRÌNH CHUẨN QUỐC TẾ

Tư vấn tư pháp QUY TRÌNH CHUẨN QUỐC TẾ

Đánh giá kiểm thử QUY TRÌNH CHUẨN QUỐC TẾ

Báo cáo tư vấn QUY TRÌNH CHUẨN QUỐC TẾ

Bảo hành bảo trì QUY TRÌNH CHUẨN QUỐC TẾ

 PHƯƠNG PHÁP THỰC HIỆN PENTEST

Kiểm tra bảo mật (Pentest) được thực hiện theo 3 phương pháp:

  • Black Box Testing: Không được cung cấp bất cứ thông tin nào về mục tiêu
  • Gray Box Testing: Được cung cấp một phần thông tin về mục tiêu
  • White Box Testing: Được cung cấp đầy đủ thông tin về mục tiêu.

quy trình thực hiện pentest