FCQ sở hữu đội ngũ chuyên gia nhiều năm kinh nghiệm trong lĩnh vực An toàn thông tin, được đào tạo bài bản trong lĩnh vực an toàn thông tin đi kèm đó là các chứng chỉ bảo mật từ các tổ chức nổi tiếng EC-Council, OffSec…
Chất lượng dịch vụ vượt trội
Tất cả quá trình đánh giá được thực hiện theo các tiêu chuẩn quốc tế về an toàn thông tin. Việc đánh giá được thực hiện bởi các kỹ sư, chuyên gia trong đội tấn công (Red team) của FCQ.
Cam kết giữ bí mật tuyệt đối các thông tin của khách hàng, không tiết lộ hoặc làm mất mát thông tin khách hàng.
Dịch vụ bảo trì và hỗ trợ sẽ làm hài lòng khách hàng.
Phương pháp thực hiện nhanh chóng và hiệu quả
Mỗi gói dịch vụ sẽ được thực hiện theo các quy trình khác nhau. Phương pháp đánh giá và các công cụ sẽ được công bố sau quá trình đánh giá.
Nhiều phương pháp khác nhau và các công cụ nổi tiếng (5-20 công cụ/gói) sẽ được sử dụng để đánh giá sâu và phân tích mọi khía cạnh của hệ thống.
Quá trình tấn công thủ công (bằng tay) sẽ được thực hiện bởi các chuyên gia nhằm phát hiện các lỗ hổng còn lại và tận dụng khai thác tối đa các lỗ hổng.
Báo cáo sẽ được xây dựng dựa trên kết quả đánh giá chéo của tất cả các phương pháp trên và thẩm định lần cuối bởi các chuyên gia.
Có 2 loại báo cáo sẽ được đưa ra, báo cáo cho lãnh đạo và báo cáo chi tiết kỹ thuật:
- Báo cáo cho lãnh đạo sẽ chỉ rõ hiện trạng hệ thống, các khuyến nghị nên thực hiện để nâng cao khả năng phòng thủ của hệ thống.
- Báo cáo kỹ thuật sẽ nêu chi tiết quá trình thực hiện, công cụ và kết quả chi tiết và khuyến nghị để thiết lập lại hệ thống ở mức bảo mật tốt nhất.
Tùy chọn các gói dịch vụ:
- Kiểm tra đánh giá ứng dụng web.
- Kiểm tra đánh giá ứng dụng mobile và các ứng dụng desktop.
- Kiểm tra đánh giá hệ thống cơ sở dữ liệu.
- Kiểm tra đánh giá hệ thống máy chủ dịch vụ.
- Kiểm tra đánh giá thiết bị mạng và bảo mật.
- Kiểm tra đánh giá hệ thống mạng không dây.
- Kiểm tra đánh giá ATTT tổng thể.
PenTest là viết tắt của Penetration Testing (Pen Testing – Kiểm thử thâm nhập). Đây là một kiểu của Security Testing, dùng để phát hiện ra các lỗ hổng, rủi ro hay mối đe dọa bảo mật mà các hacker có thể khai thác trong ứng dụng phần mềm, mạng hay ứng dụng web. Mục đích của PenTest là xác định và kiểm tra tất cả lỗ hổng bảo mật có thể có trong phần mềm.
Lỗ hổng bảo mật (Vulnerability) dùng để chỉ những rủi ro bảo mật, chẳng hạn như các hacker có thể làm gián đoạn hay giành được quyền truy cập vào hệ thống hoặc bất kỳ dữ liệu nào bên trong. Các lỗ hổng thường xuất hiện tình cờ trong giai đoạn triển khai và phát triển phần mềm. Một số lỗ hổng phố biến gồm: lỗi thiết kế, lỗi cấu hình, lỗi phần mềm… PenTest phụ thuộc vào hai cơ chế: Vulnerability Assessment và Penetration Testing (gọi chung là VAPT).
Các lĩnh vực tài chính như Ngân hàng, Ngân hàng đầu tư, Sở giao dịch chứng khoán…luôn muốn dữ liệu được bảo mật và cần audit Pentest thường xuyên để có thể đảm bảo an ninh tối đa.
Nếu hệ thống phần mềm đã bị tấn công, tổ chức cần xác định xem có còn mối đe dọa nào tồn tại trong hệ thống không. Từ đó giảm thiểu khả năng bị tấn công trong tương lai.
Chủ động audit Pentest chính là cách hiệu quả nhất để chống lại các hacker.
PenTest thường được phân loại dựa trên phạm vi tấn công. Ngoài ra nó còn phụ thuộc vào việc các tổ chức có muốn mô phỏng cuộc tấn công bởi một nhân viên, Network Admin (Internal Sources) hay bởi External Sources. Có ba loại PenTest khác nhau:
1. Black Box Testing
2. White Box Penetration Testing
3. Grey Box Penetration Testing
Đối với Black Box Testing, tester sẽ không hề biết gì về hệ thống sắp được test. Tester chỉ có nhiệm vụ thu thập các thông tin về mạng hay hệ thống mục tiêu.
Trong hình thức White Box Penetration Testing, tester thường được cung cấp đầy đủ thông tin về mạng hoặc hệ thống sẽ được test. Trong đó bao gồm địa chỉ IP, mã nguồn, chi tiết về hệ điều hành… Đây có thể được xem như một cuộc mô phỏng tấn công bởi bất kỳ Internal Source nào.
Với Grey Box Penetration Testing, tester sẽ được cung cấp một phần thông tin về hệ thống. Đây có thể được xem như là một cuộc tấn công từ hacker bên ngoài, đã truy cập vào được các tài liệu cơ sở hạ tầng mạng của tổ chức.
