Cổng dịch vụ Trustwave Managed Security Testing (MST)

Cổng dịch vụ Trustwave Managed Security Testing (MST) là nơi cung cấp tương tác và giúp bạn nhận biết và tham khảo chuyên sâu về các rủi ro an ninh và yếu điểm bảo mật nhằm giảm thiểu các rủi ro và nguy cơ. Trustwave là hãng bảo mật duy nhất cung cấp đủ dải các công cụ và phương tiện phục vụ quá trình đánh giá rủi ro của một hệ thống CNTT, bao gồm: databases, networks và applications, đi từ rà soát tự động đến kiểm thử thủ công. Trustwave MST hỗ trợ bạn trả lời những câu hỏi sau đây:
– Những tải sản IT trong hệ thống CNTT của bạn?
– Những tài sản nào tồn tại lỗ hổng an ninh và tại sao?
– Những lỗ hổng an ninh này có thể bị khai thác không, và nếu có, hậu quả là gì?
– Bạn có thể chấp nhận những rủi ro mà những lỗ hổng an ninh này mang lại không?
– Làm sao để tận dụng thời gian và tài nguyên hiệu quả nhất để phản ứng và khắc phục rủi ro?

I. Lợi ích
Trustwave MST là cửa hàng liên kết một cửa cung cấp dịch vụ rà soát tự động và kiểm thử thủ công dành cho databases, networks và applications với các lợi ích như sau:
– Dễ dàng mở rộng theo nhu cầu: Bạn dễ dàng mở rộng phạm vi rà soát tự động và kiểm thử thủ công với các mức độ chuyên sâu tùy chọn dành cho databases, networks và applications dựa trên nhu cầu thực tế. Bạn cũng có thể điều chỉnh ngay khi phát hiện tài sản mới hay khi nhu cầu của bạn thay đổi. Các phiên rà soát và kiểm thử có thể đặt lịch trước hoặc thay đổi theo kế hoạch đột xuất mà không ảnh hưởng đến toàn bộ tiến trình giám sát an ninh.
– Ra quyết định khả thi với tài nguyên được phân bổ: Tham khảo chuyên sâu về các mục tiêu có khả năng bị tấn công, các lỗ hổng bảo mật tồn tại bên trong các mục tiêu và xác định mức độ nghiêm trọng sẽ giúp bạn ra quyết định kịp thời và tập trung nguồn lực khắc phục những lỗ hổng bảo mật nghiêm trọng nhất.
– Đơn giản hóa quản lý an ninh thông qua portal hợp nhất: Với Trustwave MST, một cổng console duy nhất sẽ giúp bạn hiển thị toàn bộ quá trình và kết quả rà soát tự động và kiểm thử thủ công đối với tài sản IT của mình. Bạn có thể chuẩn hóa quá trình rà soát và kiểm thử thường xuyên với báo cáo hợp nhất.
– Dễ dàng tăng cường nhân sự và tài nguyên nội bộ: Chúng tôi có thể hỗ trợ nhu cầu rà soát và kiểm thử theo yêu cầu của bạn. Bạn muốn giao cho nhân viên của mình thực hiện hoặc chúng tôi có thể làm thay theo ủy quyền của bạn.
– Phân bổ chi phí theo kế hoạch: Phương pháp dự toán ngân sách trong Trustwave MST sẽ giúp bạn ra hạn mức và không bội chi theo kế hoạch ngân sách. Khi hạn mức ngân sách được phân bổ trong portal, đội IT của bạn sẽ lựa chọn các mục tiêu cần rà soát và kiểm thử trong hạn mức ngân sách đó.

II. Danh mục
Hiển thị tổng thể và chi tiết toàn bộ tài sản trong hệ thống CNTT là một thách thức. Bạn cần có công nghệ đặc thù để đảm bảo đánh giá chính xác, chuyên sâu database, ứng dụng của mình và tránh các cảnh báo thiếu và nhầm đối với các rủi ro. Cung cấp thông tin về một rủi ro tồn tại trong phạm vi hệ thống CNTT của chính bạn cũng rất quan trọng, được thực hiện bằng cách xác định phương thức hacker có thể chiếm các quyền truy nhập và những loại dữ liệu có thể bị khai thác. Mặc dù rà soát và kiểm thử là hai khái niệm luôn song hành, bạn cần nắm rõ sự khác biệt giữa chúng:
– Rà soát – Vulnerability scanning là một quá trình tự động nhằm đánh giá một hệ thống CNTT trước các rủi ro an ninh đã được công bố hoặc lỗi cấu hình, đồng thời ra báo cáo về khả năng khai thác. Rà soát có thể được thực hiện với databases, networks và applications. Dựa trên nguồn lực của mình, bạn có hai lựa chọn rà soát:
a. Tự rà soát (Self-Service Scans) – Bạn lập lịch, cấu hình và tự vận hành phiên rà soát. Kết thúc phiên rà soát, bạn nhận được kết quả thô từ các công cụ rà soát và bạn phải tự thuyết minh kết quả.
b. Ủy quyền rà soát (Managed Scans) – Các chuyên gia Trustwave SpiderLabs nhận ủy quyền từ bạn và thực hiện vận hành phiên rà soát. Kết thúc phiên ra soát, bạn sẽ nhận được kết quả kèm báo cáo thuyết minh.
– Kiểm thử thủ công – Penetration testing là một quá trình thủ công. Các chuyên gia kiểm thử (penetration testers) sử dụng các công cụ để kiểm tra, phát hiện và tìm cách xâm nhập hệ thống từ các lỗ hổng bảo mật nhằm đánh giá mức độ rủi ro đối với hệ thống từ lỗ hổng bảo mật được phát hiện

Các loại hình rà soát tự động và kiểm thử thủ công của Trustwave MST

33

A. Rà soát tự động
Trustwave MST cho bạn cái nhìn tổng quan về bức tranh an ninh bảo mật bằng cách rà soát toàn bộ tài sản IT trong hệ thống qua rà soát databases, networks và applications:
– Database Scans – Bảo vệ dữ liệu tại nơi lưu trữ
– Network Scans – Gia cố cơ sở hạ tầng CNTT
– Application Scans – Đảm bảo an ninh ứng dụng

Database Scans – Bảo vệ dữ liệu tại nơi lưu trữ
Các chuyên gia an ninh dữ liệu Trustwave SpiderLabs tiến hành rà soát và đánh giá các rủi ro an ninh tồn tại trên Microsoft SQL Server, Oracle, Sybase, MySQL, IBM DB2 and Hadoop data stores. Trong chu kỳ 12 tháng, Trustwave sẽ rà soát nhắc lại 4 lần nhằm cung cấp dữ liệu cập nhật về các rủi ro liên quan đến database. Các chuyên gia Trustwave sẽ sử dụng công nghệ của chúng tôi để xác định các rủi ro an ninh, lỗi cấu hình, các sự kiện không mong muốn và vấn đề truy nhập. Những thông tin này sẽ giúp bạn phòng chống các truy nhập trái phép và đảm bảo dữ liệu được bảo mật.
Rà soát ủy quyền (managed scan) xác định và đánh giá database theo các thông lệ, cung cấp đầy đủ thông tin về các lỗ hổng an ninh, lỗi cấu hình và quyền truy nhập.

Network Scans – Gia cố cơ sở hạ tầng CNTT
Khách hàng có thể lựa chọn rà soát tự động hay kiểm thử thủ công chuyên sâu đối với mạng nội bộ và khu vực DMZ. Với 4 lần rà soát trong chu kỳ 12 tháng, các chuyên gia Trustwave SpiderLabs cấu hình và thuyết minh đánh giá an ninh hệ thống network của bạn nhằm:
– Phát hiện các hệ thống trên network
– Phát hiện các dịch vụ trên network
– Xác định các lỗ hổng an ninh liên quan
– Hạn chế lỗi sai xác thực
– Báo cáo có ưu tiên các rủi ro an ninh có thể bị khai thác

Application Scans– Đảm bảo an ninh ứng dụng
Trustwave cung cấp phương pháp rà soát Dynamic Application Security Testing (DAST) qua cổng Trustwave MST. Công nghệ rà soát dựa trên hành vi cung cấp dịch vụ phát hiện rủi ro an ninh với kết quả nhanh chóng và hiệu quả. Với 128 chỉ mục, dịch vụ rà soát ứng dụng cung cấp tỷ lệ phát hiện rủi ro an ninh ứng dụng cao nhất trong ngành, với năng lực lượng hóa rủi ro ứng dụng.
Khách hàng có thể lựa chọn dịch vụ tự rà soát DAST hoặc ủy quyền rà soát DAST. Với dịch vụ tự rà soát, bạn có thể hoàn toàn chủ động số lượng lần rà soát vì đây là dịch vụ từ nền tảng cloud. Trong trường hợp sử dụng dịch vụ ủy quyền DAST, các chuyên gia Trustwave SpiderLabs sẽ thực hiện cấu hình từ xa, rà soát và báo cáo cho bạn. Số phiên rà soát trong 12 tháng khi thực hiện ủy quyền là 5 lần.

B. Kiểm thử thủ công
Kiểm thử là một công đoạn thủ công được các hacker mũ trắng từ Trustwave SpiderLabs danh tiếng thực hiện nhằm phát hiện khả năng khai thác các rủi ro an ninh từ hệ thống để tấn công hệ thống hoặc đánh cắp dữ liệu. Khi thực hiện kiểm thử, bạn ủy quyền cho chuyên gia sử dụng các công nghệ tương tự như của hacker để tấn công hệ thống và ứng dụng. Tác nghiệp này sẽ giúp bạn nhìn rõ hơn những rủi ro mà bạn chưa từng biết đến.
Trustwave MST cung cấp các mức độ kiểm thử khác nhau theo yêu cầu của doanh nghiệp. Trustwave MST cho phép bạn lựa chọn mức độ kiểm thử dựa trên mục đích, ngân sách và giá trị của tài sản IT với 4 mức độ (tier) như sau:
– Tier 1 Basic Threat Test – kiểm thử cơ bản
– Tier 2 Opportunistic Threats Test – kiểm thử cơ hội
– Tier 3 Targeted Threats Test – kiểm thử mục tiêu
– Tier 4 Advanced Threats Test – kiểm thử nâng cao
Mỗi mức độ kiểm thử được cộng thêm 4 phiên rà soát tự động ứng dụng theo thông lệ

Mô tả mức độ kiểm thử

34

i. Phương pháp
Phương pháp của Trustwave MST gồm 3 bước cơ bản:
1. Rà soát và thăm dò
2. Kiểm thử thủ công
3. Báo cáo

1. Rà soát và thăm dò
Quy trình bắt đầu bằng việc thăm dò. Bước đầu tiên của quy trình là phát hiện các tài sản IT cần được rà soát và kiểm thử. Đây là giai đoạn thu thập thông tin khi xác định các mục tiêu và quyết định đối tác được kiểm thử, đối với cả ứng dụng và network.
Khi một ứng dụng được kiểm thử cần phải hiểu được cấu trúc của ứng dụng, thông tin chi tiết của ứng dụng phải rõ ràng và cấu trúc thông tin của ứng dụng cần phải được xác định.
Khi kiểm thử một network, việc rà soát các port sẽ được tiến hành trước tiên nhằm xác định các dịch vụ sẽ được kiểm thử. Khi hoàn tất quá trình rà soát và thăm dò cũng là lúc bắt đầu quá trình kiểm thử thủ công.

2. Kiểm thử thủ công
Mục đích của việc kiểm thử thủ công là xác định các lỗ hổng an ninh tồn tại tồn tại trên ứng dụng và network được kiểm thử và tìm cách khai thác – hành vi này được gọi là hacker “đạo đức”. Với kiểm thử thủ công, bạn ủy quyền cho các chuyên gia SpiderLabs tấn công ứng dụng và network theo các công nghệ và hành vi của hacker nhằm:
– Khai thác hệ thống
– Xác định rủi ro
– Xác nhận rủi ro
– Cố gắng khai thác dữ liệu
– Thực hiện đảm bảo kết quả (QA)
Khi xác định được các rủi ro nghiêm trọng, bạn sẽ được cảnh báo. Khi các tester hoàn thành báo cáo, kiểm soát chất lượng sẽ kiểm tra và xác nhận báo cáo.

3. Báo cáo
Báo cáo được gửi cho khách hàng qua TrustKeeper® MST portal. Trong suốt quá trình kiểm thử, bạn sẽ luôn theo dõi được kết quả và tiến trình. Kết quả và bằng chứng sẽ được gửi kèm báo cáo qua cổng MST portal.

ii. Các loại dịch vụ
Bốn cấp độ kiểm thử cho phép Trustwave cung cấp các dịch vụ sau:
– External Network Testing
– Internal Network Testing
– Application Testing

External Network Testing

35
Internal Network Testing

36
Application Testing

37

III. Tiến hành
Với phương pháp rà soát và thăm dò, dự toán chi phí củaTrustwave MST sẽ giúp khách hàng kiểm soát phạm vi và chi phí dễ dàng và chính xác. Bạn quyết định ngân sách kiểm thử và đưa phạm vi kiểm thử lên MST. Ngân sách sẽ được trừ lùi cho đến khi về 0 và bạn có thể bổ sung thêm ngân sách để tiếp tục kiểm thử các hạng mục bổ sung.
1. Hạn mức ngân sách được bổ sung vào tài khoản MST của bạn căn cứ vào số tiền bạn thanh toán.
2. Bạn đưa phạm vi kiểm thử và mức độ kiểm thử lên MST.
3. Số dư tài khoản sẽ được trừ lùi dựa theo giá công bố trước.
4. Bạn đặt lịch kiểm thử.
5. Chuyên gia SpiderLabs tiến hành.
6. Báo cáo kết quả
7. Bạn nhận và quản lý kết quả từ MST.
8. Bạn có thể yêu cầu bổ sung và test lại nếu có nhu cầu.

Trustwave cung cấp thêm 2 lựa chọn bổ sung cho khách hàng trong dịch vụ đánh giá rủi ro an ninh, bao gồm:

1. Đánh giá cấu trúc an ninh
2. Chiến lược phòng thủ giai đoạn 5 – 10 năm kế tiếp