Dịch vụ kiểm thử xâm nhập

HPT cung cấp Dịch vụ Kiểm thử xâm nhập (Penetration Testing)
để giúp tổ chức và doanh nghiệp giải quyết những thách thức
về ATTT một cách hiệu quả và tiết kiệm.
Các nhóm dịch vụ chính
Dịch vụ được Public ra Internet bao gồm: Web, Mobile, API, Email, … Hệ thống mạng, máy chủ, máy trạm, thiết bị phòng thủ, hệ thống Active DirectoryCác firmware, hệ thống IOT, Camera, SmartHomes

Hệ thống tự động hoá (audit) 

Cloud Pentest 

Kiểm thử an toàn mã nguồn
Giá trị mang lại

Duy trì và đảm bảo uy tín trước khách hàng, đối tác và dữ liệu mật của doanh nghiệp, tổ chức.

Tìm ra lỗ hổng trước kẻ tấn công bên ngoài, giảm thiểu thiệt hại về tài sản thông tin, đảm bảo và duy trì hoạt động kinh doanh

Khai thác hiệu quả các giải pháp phòng thủ và tối ưu hiệu quả đầu tư CNTT. 

Đáp ứng các yêu cầu đặc thù ngành hoặc các tiêu chuẩn quốc tế như PCIDSS, GDPR, ISO 27001






Tiêu chuẩn quốc tế áp dụng

Phương pháp đánh giá



Pentest Web & Mobile
Danh mục công việc thực hiện trong việc đánh giá Web & Mobile:
Danh mục công việc đánh giá WebDanh mục công việc đánh giá Mobile 
Information Gathering

M1: Improper Platform Usage 

Thu thập thông tin ứng dụng 

Kiểm tra an toàn sử dụng nền tảng 

Configuration and Deploy Management Testing 

M2: Insecure Data Storage 

Kiểm tra việc quản lý cấu hình quản trị và triển khai 

Kiểm tra an toàn lưu trữ dữ liệu 

Identity Management Testing 

M3: Insecure Communication 

Kiểm tra khả năng quản lý định danh 

Kiểm tra an toàn trao đổi dữ liệu 

Authentication Testing 

M4: Insecure Authentication 

Kiểm tra phương thức xác thực 

Kiểm tra cơ chế chứng thực 

Authorization Testing 

M5: Insufficient Cryptography 

Kiểm tra phân quyền trên ứng dụng 

Kiểm tra hiên thực an toàn cơ chế mã hóa 

Session Management Testing 

M6: Insecure Authorization 

Kiểm tra phương thức quản lý phiên làm việc 

Kiểm tra cơ chế xác thực/phân quyền 

Data Validation Testing 

M7: Client Code Quality 

Kiểm tra tính hợp lệ của dữ liệu đầu vào 

Kiểm tra an toàn mã xử lý ở thiết bị (client code) 

Error Handling 

M8: Code Tampering 

Kiểm tra khả năng kiểm soát lỗi 

Kiểm tra khả năng can thiệp mã thực thi 

Cryptography 

M9: Reverse Engineering 

Kiểm tra về độ an toàn mã hóa/ mật mã học 

Kiểm tra mức độ dịch ngược 

Business Logic Testing 

M10: Extraneous Functionality 

Kiểm tra tính luận lý kinh doanh/ hoạt động nghiệp vụ 

Kiểm tra các thư viện bên ngoài, giao tiếp với hệ thống, ứng dụng bên thứ ba 

Client-Side Testing 


Kiểm tra phía người dùng


Kết quả và giá trị mang lại của dịch vụ
Báo cáo chi tiết cung cấp cụ thể và thể hiện đầy đủ kết quả đánh giá đối với mỗi nội dung thực hiện đánh giá. Đối với mỗi lỗ hổng kỹ sư phát hiện báo cáo thể hiện rõ ràng và trực quan các nội dung:

Mô tả chi tiết lỗ hổng.

Chi tiết các bước thực hiện để khai thác thành công lỗ hổng.


Ảnh hưởng lỗ hổng đối với hệ thống.


Khuyến nghị khắc phục lỗ hổng.



Mức độ ảnh hưởng của mỗi lỗ hổng được tính chính xác dựa trên Hệ thống chấm điểm lỗ hổng bảo mật (Common Vulnerability Scoring System – CVSS) xây dựng trên nền tảng 6 tiêu chí:
Ba tiêu chí đầu tiên đánh giá khả năng bị khai thác của lỗ hổng, trong khi ba tiêu chí sau đánh giá tác động của lỗ hổng. Dựa trên nền tảng tính điểm CVSS kỹ sư xác định chính xác mức độ ảnh hưởng của mỗi lỗ hổng theo mỗi thang điểm tương ứng và thể hiện trực quan theo mức độ ảnh hưởng giảm dần của mỗi lỗ hổng trên báo cáo bao gồm Nghiêm trọng, Cao, Trung Bình và Thấp
Pentest System/Network
Kiểm thử xâm nhập Hệ thống mạng được thực hiện bao gồm sự kết hợp của các quy trình đánh giá hệ thống quốc tế như ISSAF, OSSTMM, PTES và quy trình đánh giá bảo mật của ECCouncil được xây dựng từ phía đội ngũ đánh giá của HPT bao gồm các phạm vi cung cấp theo gói dịch vụ
Kết luận
Kiểm thử xâm nhập – Pentest – là quá trình mô phỏng lại toàn bộ quy trình, cách thức tấn công một hệ thống CNTT thông qua việc tạo ra các cuộc tấn công mạng theo kịch bản nhằm tìm ra lỗ hổng bảo mật mà tin tặc có thể khai thác để chiếm quyền kiểm soát, hoặc  tấn công bằng Ransomware và tấn công có chủ đích. 

Bên cạnh việc tìm ra con đường có thể khai thác, bị tấn công sâu vào hệ thống, Pentest cũng phản ánh được hiệu quả của các công nghệ bảo mật trong hệ thống kèm theo việc chỉ ra sự tồn tại những lỗ hổng bảo mật trên chính các giải pháp phòng thủ đã trang bị.
Dịch vụ pentest sẽ cung cấp cho tổ chức và doanh nghiệp bức tranh toàn cảnh những điểm yếu này để có phương án khắc phục kịp thời. Từ đó, doanh nghiệp có thể nâng cao hiệu suất làm việc của các công nghệ bảo mật, xây dựng lộ trình nâng cấp hệ thống bảo mật để có thể an tâm tập trung phát triển kinh doanh.
Các hệ thống CNTT không thể duy trì tuyệt đối mức độ an toàn qua thời gian và luôn có những lỗ hổng, rủi ro có thể bị khai thác với sự phát triển của các hình thức tấn công mạng . Do đó, để hạn chế và giảm thiểu những rủi ro này, các tổ chức, doanh nghiệp cần định kỳ thực hiện pentest tối thiểu 06 tháng hoặc một năm với một nhà cung cấp dịch vụ chuyên nghiệp và độc lập