3. Enterprise Network Infratructures
Website công ty :
- Là bộ mặt của công ty, là nơi giao tiếp với
khách hàng, văn phòng ảo trên internet, lưu
giữ rất nhiều thông tin quan trọng về khách
hàng,công ty....
Hệ thống Domain quản trị công ty :
- Xương sống của công ty, tập trung mọi thông
tin quan trọng nhất về công ty, nhân viên,
chiến lược phát triển và đầu tư......
www.itas.vn
4. Enterprise Network Infratructures
( cont.)
Hệ thống mail server :
- Là nguồn thông tin của công ty giao tiếp với
khách hàng và nhân viên, tập trung các thông
tin về kế hoạch và dự án của công ty.
Hệ thống Wifi :
- Là mạng nội bộ của công ty, cung cấp khả
năng kết nối tới mạng nội bộ trong công ty
www.itas.vn
5. Enteprise Network Attacks
Các công ty có thể bị tấn công từ các hướng
sau:
- Bên ngoài : từ đối thủ cạnh tranh, hacker
nhằm thu thập thông tin, gây mất uy tín của
công ty.
- Bên trong : từ nhân viên trong công ty nhằm
trục lợi cá nhân, quyền lợi.
www.itas.vn
6. Company Outside Attacks
Website attacks : Sql Injection, Cross-site-
scripting, Directory Traversal, PHP include....
DNS attacks: DNS zone transfer, DNS Cache
snooping, DNS cache poisoning....
Mail Server attacks : Weak password, Spam
mail, Phising mail....
Wifi attacks : Authentication Attack, Sniffer,
MitM attack.....
www.itas.vn
7. Company Outside Attacks(cont.)
Host and Network attacks : proxy attack,
gateway attacks, firewall bypass....
Information gathering : username, passwork
information about network,system…
DoS and DDoS
www.itas.vn
8. Company Inside Attacks
Gathering Information : username, sid, GPO...
Escala Privileges: Admin local, Admin Domain
Sniffer/MitM: sensitivi information, password...
Snooping attacks: hide one’s true indentity
Session Hijacking: take over control user
session
Evading Firewall/IDS/IPS
............................
www.itas.vn
10. How to make more Security ?
Định hướng cụ thể về bảo mật
Sử dụng các công nghệ và thiết bị về bảo mật
Hệ thống nhân viên IT giỏi chuyên môn
Định kỳ kiểm tra về bảo mật
Tổ chức thường xuyên các hình thức giáo dục
cho nhân viên hiểu biết về cách bảo mật
www.itas.vn
11. Our Security Services
Penetration Testing packages
Web Application Security
- Web Application Penetration Testing
- Source Code Analyze
Audit and Monitor package
Trainning package
Computer Forensic
www.itas.vn
12. Penetration Testing Packages
Penetration Testing : là gói kiểm tra về mức độ
bảo mật của công ty từ đó đưa ra các khuyến
cáo cụ thể về security. Các bước tiến hành :
- Black-box : thực hiện các kiểu tấn công như
một hacker tự do, không có hiểu biết về cơ cấu
của công ty
- Grey-box : tương tự như black-box nhưng có
hiểu biết nhất định về công ty (tương tự như
đối thủ, đối tác, khách hàng....)
www.itas.vn
13. Penetration Testing Packages
(cont.)
White-box : thực hiện tấn công với vai trò và
quyền hạn như nhân viên của công ty
Mục tiêu : Web server, web application,
external và internal services (dns, ftp, mail,
domain,radius...... )
Lợi ích của gói Penetration Testing : giúp công
ty tìm ra các điểm yếu về security của chính
mình và các cách khắc phục các điểm yếu đó
www.itas.vn
14. Web Application Security
Web Application Penetration Testing :
- Thực hiện kiểm tra bảo mật website bằng
cách thực hiện tấn công vào website và web
server như hacker tự do từ đó đưa ra các
khuyến cáo về các lỗ hổng tìm thấy.
Lợi ích của gói Web Application Penetration
Testing : giúp công ty tìm ra các điểm yếu về
security của website công ty và các cách khắc
phục các điểm yếu đó
www.itas.vn
15. Web Application Securitỵ(cont.)
Web Application Source Code Analyze :
- Công ty ITAS cung cấp sản phẩm CxSuite và
dịch vụ của Công ty CheckMarx
(http://www.checkmarx.com/)
- Lợi ích của gói Source code Analyze : các
công ty có thể tự kiểm tra về mặt bảo mật cho
website không phụ thuộc vào các bên thứ ba
www.itas.vn
16. Audit and Monitor Packages
Audit – Monitor packages : gói kiểm tra và
giám sát .
- Audit : kiểm tra trực tiếp tất cả các dịch vụ
tại công ty với hiểu biết như một hacker và
admin .
- Monitor : giám sát hệ thống về security, thiết
lập hệ thống theo dõi để ngăn chặn hoặc tự
động cảnh báo khi xuất hiện các cuộc tấn công
www.itas.vn
17. Audit and Monitor Packages(cont.)
Các công việc khác kèm theo :
- Theo dõi thông tin về các kiểu tấn công và
các bug mới (Zero-day attacks)cập nhật từ các
forum hacker trong và ngoài nước.
- Định kỳ tổ chức các cuộc kiểm tra black-box
Lợi ích của gói Audit – Monitor : định hướng
cụ thể về phương thức security để đảm bảo về
security của công ty luôn ở mức cao nhất, tiết
kiệm chi phí và nhân lực của công ty
www.itas.vn
18. Trainning Packages
Trainning packages : đào tạo và chuyển giao
các kỹ thuật về security dựa theo thực trạng và
yêu cầu của công ty, thực hiện trainning cho
nhân viên về bảo mật.
Lợi ích của gói Trainning : công ty có thể tự
đảm bảo về security với nhân lực của chính
mình, tránh sự can thiệp quá sâu vào hệ thống
từ các bên.
www.itas.vn
19. Computer Forensics Packages
Computer Forensics packages : tùy theo nhu
cầu của công ty trong các sự việc cụ thể để
phát hiện, điều tra, theo dõi, ngăn chặn các
thiệt hại có thể xảy ra.
www.itas.vn