Đánh giá bảo mật là đánh giá toàn diện về tình hình an ninh của một công ty, ngụ ý:
- Kiểm tra các lớp bảo mật khác nhau: chính sách, quy trình, công nghệ, con người.
- Kiểm tra tất cả các thành phần trong môi trường CNTT: mạng, ứng dụng, dịch vụ email, v.v.
- Áp dụng các kỹ thuật đánh giá khác nhau: kiểm toán, quét, kiểm tra, phỏng vấn.
- Sử dụng các cách tiếp cận khác nhau để đánh giá bảo mật: các công cụ tự động và xác nhận thủ công.
- Kiểm tra sự tuân thủ bảo mật dữ liệu với các tiêu chuẩn và quy định: HIPAA, PCI DSS and PCI SSF, GLBA, SOC 2, GDPR.
Các tiêu chuẩn đánh giá bảo mật
Đánh giá bảo mật là một dịch vụ tổng hợp chuyên môn về an ninh mạng mà chúng tôi cung cấp. Trong dịch vụ này, chúng tôi cung cấp:
Đánh giá rủi ro CNTT
Để đánh giá các rủi ro CNTT, chúng tôi:
- Xác định các lỗ hổng bảo mật trong các chính sách và thủ tục, môi trường CNTT, hành vi của con người.
- Xác định các mối đe dọa bảo mật gây ra bởi các lỗ hổng được phát hiện: đánh cắp dữ liệu, lây lan phần mềm độc hại, chiếm đoạt tài khoản, v.v.
- Đánh giá khả năng xảy ra và mức độ nghiêm trọng của các hậu quả tiềm ẩn trong trường hợp bị khai thác lỗ hổng.
Đánh giá sự tuân thủ
Để giúp các công ty xác định các lỗ hổng và tăng cường sự tuân thủ của họ, chúng tôi:
- Đánh giá các biện pháp kiểm soát an ninh hiện có so với các tiêu chuẩn liên quan, ví dụ: HIPAA, PCI DSS/PCI SSF, GDPR.
- Đánh giá nhận thức của nhân viên về các tiêu chuẩn và quy định áp dụng.
- Cung cấp hướng dẫn khắc phục để quản lý rủi ro tuân thủ.
- Giúp thu hẹp khoảng cách về tuân thủ, ví dụ: thiết kế và triển khai kiến trúc mạng tuân thủ các tiêu chuẩn bắt buộc, di chuyển sang compliant cloud, thiết lập cơ chế mã hóa dữ liệu.
Kiểm tra xâm nhập
Chúng tôi mô phỏng các cuộc tấn công trong thực tế để tìm ra các lỗ hổng và cố gắng xâm nhập hệ thống thông qua:
- Các mạng nội bộ.
- Các hệ thống có thể truy cập công khai chẳng hạn như ứng dụng dành cho khách hàng, hệ thống IoT, dịch vụ email.
- Các cơ sở hạ tầng truy cập từ xa.
Social engineering testing
Để kiểm tra khả năng đối mặt của nhân viên với các cuộc tấn công social engineering, chúng tôi giả lập:
- Phishing scam – email độc hại được gửi cho nhiều nhân viên.
- Spear phishing – email nhắm đến các nhân viên cụ thể (ví dụ: giữ quyền truy cập vào thông tin bị hạn chế).
- Whaling – email nhắm mục tiêu đến giám đốc điều hành.
- Vishing – các cuộc gọi thao túng.
- Smishing – tin nhắn văn bản di động thao túng.
Security audit
Chúng tôi kiểm tra tính hiệu quả của các biện pháp kiểm soát an ninh tại chỗ:
- Technology controls, chẳng hạn như cấu hình bảo mật của phần cứng và phần mềm, các công cụ bảo mật.
- Process controls, ví dụ: giám sát an ninh, phản ứng sự cố và khôi phục hệ thống.
- People controls: nhận thức về an ninh của nhân viên.
Đánh giá lỗ hổng bảo mật
Chúng tôi phát hiện các lỗ hổng bằng cách quét:
- Network, ví dụ: máy chủ, máy trạm, thiết bị giao diện mạng.
- Applications: ứng dụng web, thiết bị di động và máy tính để bàn.
- Databases.