Trong tiền bối chuyển đổi số đang diễn ra hàng ngày, hàng giờ, các doanh nghiệp cũng không ngừng áp dụng nhiều công nghệ mới để chuyển mình theo dõi tốc độ phát triển của trường thị. Hệ thống công nghệ thông tin (CNTT) càng mở rộng đồng nghĩa với hạ tầng CNTT càng trở nên phức tạp, trải dài từ IoT thiết bị, OT đến các hệ thống triển khai trên nền tảng điện toán đám mây. This is vô tình làm gia tăng rủi ro về công ty mạng theo cấp số nhân.
Thay vì phòng thủ bằng những lúc biện pháp bảo mật thụ động, đã đến khi doanh nghiệp Việt Nam cần “đảo ngược thế cờ”, đưa ra những nước đi chủ động trong công việc bảo vệ và đánh giá hiệu quả của hạ tầng bảo mật đầu tư. Các lỗ hổng bảo mật cần được nhanh chóng nhận diện để đưa ra phương pháp bảo vệ trước khi doanh nghiệp trở thành nạn nhân của công ty mạng, hệ thống bảo mật luôn ở trạng thái tốt nhất. Nhiều doanh nghiệp đã tìm được lời giải cho bài toán này từ hội thảo trực tuyến “Đón đầu nguy cơ, giảm thiểu rủi ro từ các cuộc tấn công mạng cùng Viettel Cyber Security” do Công ty An ninh mạng Viettel (Viettel Cyber Security – VCS) tổ chức.
Nắm bắt động chủ thế giới trước mạng công nghệ nguy hiểm
Tại Hội thảo, ông Mai Xuân Cường, Giám đốc An ninh Hệ thống ứng dụng – VCS đã có bài chia sẻ về Pentest hệ sinh thái của VCS. This is the anformed check in rating as An toàn thông tin cho hệ thống của khách hàng có thể có vấn đề, nguy cơ về ATTT hay không, bằng cách đóng vai kẻ gian tin và giả thiết lập công việc kiểm tra vào hệ thống của khách hàng hang.
To create other and have the best point to the khái niệm Pentest đã quen thuộc với thị trường, VCS đã thực hiện cuộc “Công nghiệp hóa” Pentest với sự chuẩn hóa, đồng bộ tại 3 khía cạnh: Quy trình – Công tool – Con người, cho phép các tổ chức, doanh nghiệp triển khai dịch vụ ở quy định số lượng lớn với chất lượng đồng đều, chuẩn hóa tính toán, kiểm tra nguồn nhân lực và đề cao tính chuyên nghiệp.
Về quy trình, VCS tiến hành chuẩn hóa danh mục công việc cũng như danh mục lỗ hổng, bảo mật không bị loại bỏ bất kỳ lỗ hổng nào trên các ứng dụng lớp của khách hàng. Đồng thời, VCS đã áp dụng quy trình lên nền tảng xPentest có kết quả cao khả năng biến đổi, nhằm kiểm tra chất lượng đầu ra, tối ưu hóa kết quả và cho phép người dùng quản lý vòng đời lỗ hổng chuyên nghiệp. Điểm khác biệt lớn nhất tại hệ thống sinh thái Pentest của VCS chính là đội ngũ nhân sự chuyên nghiệp chất lượng cao được “chuẩn hóa” thông qua các chứng chỉ và kết quả nghiên cứu được ghi nhận cộng đồng quốc tế như: OSCP, OSWE , PortSwigger, CVE, BugBounty…
Tăng tốc phát triển và ra mắt phần mềm an toàn theo xu hướng mới
Cũng trong tiền cảnh báo phải cạnh tranh về tốc độ ra mắt sản phẩm mới theo yêu cầu của thị trường, các doanh nghiệp Việt Nam đang ứng dụng hai xu hướng mới: DevOps và CI / CD Cloud. If xu hướng DevOps cho phép doanh nghiệp có thể thu hồi khoảng cách giữa giai đoạn phát triển (Dev) và vận hành (Ops), đồng thời rút ngắn thời gian phát hành và giúp phần mềm thích ứng nhanh với nhu cầu thị trường, thì CI / CD Cloud giúp doanh nghiệp điều chỉnh mô hình linh hoạt, tự động hóa và tiết kiệm chi phí.
This hai format tuy nhiên đều gây tác động không nhỏ tới cách thức triển khai Pentest của doanh nghiệp.
Help doanh nghiệp có thể yên tâm ứng dụng xu hướng mới, đồng thời ATTT yếu tố bảo đảm trong mỗi sản phẩm, phần mềm ra mắt thị trường, VCS xây dựng và phát triển hai giải pháp theo 2 xu hướng mới: Dịch vụ Bảo mật toàn diện ứng dụng (Devsec) và Dịch vụ Đánh giá hệ thống ATTT Cloud (Public Cloud Security Audit).
“DevSec is a ATTT too a đưa vào phần mềm phát triển đời sống, công việc phát triển, vận hành và bảo mật thành một chu trình đóng kín, không tách rời”, ông Cường cho biết.
Đối với Devsec giải pháp, VCS hướng tới khả năng phát triển tự động khai báo “cổng bảo mật” (Security Gate), đồng thời thực hiện pentest kỳ để tối ưu hóa đánh giá và kiểm tra, không ảnh hưởng đến tiến trình dự án. Cùng với đó, giải pháp của VCS sẽ thực hiện đánh giá các biện pháp an toàn bảo mật được áp dụng tại tổ chức, xác định các vấn đề mà tổ chức đang gặp phải, từ đó tư vấn và điều chỉnh chu trình Devsec phù hợp với mục tiêu kinh doanh của tổ chức.
Theo dõi xu hướng chuyển đổi dữ liệu và hạ tầng lên đám mây, dịch vụ đánh giá hệ thống ATTT Đám mây sở hữu tính năng quét hệ thống ngay từ bên ngoài giúp phát hiện các lỗ hổng, đồng thời kiểm tra cấu hình, kiểm tra tự động theo danh sách kiểm tra chuẩn quốc tế và đưa ra các vấn đề phục hồi thông qua cuối cùng của báo cáo. Public Cloud Security Audit được xây dựng dựa trên các cách tiếp cận tiêu chuẩn trên thế giới, bao gồm cả công việc “chuẩn hóa” nhân sự thực hiện. Giải pháp cho phép doanh nghiệp mặc dù không thể thâm nhập sâu vào đám mây hệ thống như sử dụng hệ thống máy chủ, vẫn có thể kiểm tra, đánh giá ATTT một cách hiệu quả.
Với hệ thống sinh thái giải pháp dịch vụ đánh giá ATTT trên CNTT hệ thống cũng như trên hạ tầng Cloud của Viettel Cyber Security, doanh nghiệp hiện nay có thể nhận diện và xử lý những mạng công cụ tấn công một cách chủ động, tự tin phá hủy mạnh mẽ trong siêu kết nối kỷ nguyên.
Đặng Nhung