Presentation by our CEO, Trung Nguyen, at FIDO APAC Summit 2023, in which he talks about the transition from password communication to passwordless using modern password managers

From Password to Passwordless

Báo cáo An ninh Website 2019 của CyStack nhằm sẽ cung cấp cho bạn những thông tin chi tiết về mức độ và xu hướng tấn công mạng năm 2019, từ đó đưa ra giải pháp phù hợp để cải thiện hệ thống bảo mật thông tin của doanh nghiệp.

Web Security Report 2019

Tài liệu mô phỏng một chiến dịch tấn công APT (Advanced Persistent Threat) được lên kế hoạch kỹ lưỡng, nhằm xâm nhập lâu dài vào hệ thống doanh nghiệp để do thám, đánh cắp thông tin hoặc phá hoại.

Tài liệu sẽ mô tả chi tiết tình huống xảy ra và các bước xử lý:
• Xác định sự cố
• Ngăn chặn lây lan
• Loại bỏ mã độc
• Khôi phục hệ thống

Chúng tôi hi vọng với tài liệu này, bạn sẽ hiểu rõ cơ chế và rủi ro của APT để chủ động thiết kế hệ thống phòng thủ nhiều lớp, phát hiện sớm và giảm thiểu tổn thất.

Kịch bản 4: Tấn công có chủ đích APT

Tài liệu kịch bản mô phỏng tình huống hacker sử dụng email giả mạo để lừa nhân viên cung cấp thông tin truy cập hệ thống nội bộ, từ đó đánh cắp dữ liệu quan trọng của doanh nghiệp.

Tài liệu sẽ mô tả chi tiết tình huống xảy ra và các bước xử lý:
• Xác định sự cố
• Ngăn chặn lây lan
• Loại bỏ mã độc
• Khôi phục hệ thống

Chúng tôi hi vọng với tài liệu này, bạn sẽ có cơ sở để xây dựng kế hoạch ứng phó với tấn công phishing và nâng cao nhận thức bảo mật cho nhân sự trong doanh nghiệp.

Kịch bản 2: Đánh cắp dữ liệu
qua tấn công phishing

Tài liệu kịch bản tấn công ransomware giả định trong tình huống mọi tập tin của doanh nghiệp đều bị hacker chiếm giữ với mã độc tống tiền.

Tài liệu sẽ mô tả chi tiết tình huống xảy ra và các bước xử lý:
• Xác định sự cố
• Ngăn chặn lây lan
• Loại bỏ mã độc
• Khôi phục hệ thống

Chúng tôi hi vọng với tài liệu này, bạn sẽ có cơ sở để xây dựng quy trình phòng chống và ứng phó với mã độc tống tiền ransomware một cách chủ động.

Kịch bản 1: Tấn công
Ransomware trong mạng nội
bộ 

Tài liệu mô phỏng tình huống dữ liệu nhạy cảm của doanh nghiệp bị rò rỉ bởi một nhân viên nội bộ, vô tình hoặc cố ý, thông qua các kênh không kiểm soát.

Tài liệu sẽ mô tả chi tiết tình huống xảy ra và các bước xử lý:
• Xác định sự cố
• Ngăn chặn lây lan
• Loại bỏ mã độc
• Khôi phục hệ thống

Chúng tôi hi vọng với tài liệu này, bạn sẽ có góc nhìn thực tế để triển khai các biện pháp quản trị rủi ro nội bộ và bảo vệ dữ liệu một cách toàn diện.

Kịch bản 5: Mối đe dọa nội bộ và rò rỉ dữ liệu

An toàn thông tin là một trong những yếu tố quan trọng hàng đầu trong việc bảo vệ dữ liệu của tổ chức và cá nhân trước các mối đe dọa trong không gian số. Việc tuân thủ các tiêu chuẩn quốc tế như ISO/IEC 27001:2022 không chỉ đảm bảo bảo mật toàn diện mà còn giúp doanh nghiệp xây dựng lòng tin với khách hàng và đối tác

Tài liệu này cung cấp một danh sách chi tiết các biện pháp kiểm soát an toàn thông tin theo tiêu chuẩn ISO/IEC 27001:2022, giúp doanh nghiệp của bạn dễ dàng theo dõi, đánh giá và áp dụng các giải pháp bảo mật tối ưu.

Checklist Các biện pháp kiểm soát an toàn thông tin

Tài liệu mô phỏng tình huống hacker khai thác lỗ hổng SQL Injection trong một ứng dụng web của doanh nghiệp để truy xuất, thay đổi hoặc xóa dữ liệu trong hệ thống.

Tài liệu sẽ mô tả chi tiết tình huống xảy ra và các bước xử lý:
• Xác định sự cố
• Ngăn chặn lây lan
• Loại bỏ mã độc
• Khôi phục hệ thống

Chúng tôi hi vọng với tài liệu này, bạn sẽ có cơ sở để đánh giá và tăng cường bảo mật cho các ứng dụng web, hạn chế nguy cơ từ các lỗ hổng phổ biến như SQL Injection.

Kịch bản 3: Tấn công SQL Injection vào ứng dụng web

Checklist chi tiết để theo dõi, quản lý và kiểm kê toàn bộ tài sản CNTT và thiết bị điểm cuối (máy tính, laptop, thiết bị di động, server, v.v.) trong hệ thống. Đảm bảo mọi thiết bị đều được ghi nhận, cấu hình đúng và được bảo vệ.

Template 1: Quản lý tài sản và Kiểm kê thiết bị Endpoint (Endpoint Inventory & Asset Management)

Trong thời đại mà dữ liệu trở thành “vàng số”, nhiều doanh nghiệp đang đầu tư mạnh vào hệ thống công nghệ để bảo vệ dữ liệu. Nhưng trên thực tế, một trong những nguyên nhân phổ biến nhất của các sự cố rò rỉ dữ liệu lại đến từ chính nhân sự nội bộ – nhân viên lạm dụng quyền truy cập, sao chép dữ liệu trái phép, hoặc mang theo dữ liệu khi nghỉ việc.

Đây không còn là rủi ro tiềm ẩn – mà là vấn đề đã và đang diễn ra tại nhiều doanh nghiệp Việt Nam, đặc biệt trong các lĩnh vực sử dụng nhiều dữ liệu khách hàng như tài chính, công nghệ, bất động sản, thương mại điện tử,...

Checklist này được xây dựng để giúp các doanh nghiệp nhận diện, đánh giá và thiết lập hệ thống kiểm soát nhân sự hiệu quả, từ đó ngăn chặn nguy cơ thất thoát dữ liệu ngay từ bên trong.

Tài liệu phù hợp với:
• Các doanh nghiệp đang thu thập, lưu trữ và xử lý dữ liệu khách hàng
• Các công ty đang đối mặt với tình trạng nhân viên “mang dữ liệu đi”
• Bộ phận Nhân sự, IT, và An ninh thông tin cần phối hợp xây dựng chính sách kiểm soát nội bộ
• Doanh nghiệp cần chuẩn bị cho việc tuân thủ các quy định pháp luật như Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.

Tải ngay checklist để:
• Chủ động phát hiện điểm yếu trong quản trị nhân sự liên quan đến dữ liệu
• Bảo vệ tài sản số trước những rủi ro “âm thầm” nhưng cực kỳ nguy hiểm
• Xây dựng văn hoá bảo mật trong tổ chức một cách thực tiễn và bền vững

[Checklist] Biện pháp kiểm soát nhân sự để ngăn chặn rủi ro lộ lọt dữ liệu 

Truyền thông thường tập trung vào các vụ tấn công mạng nhắm vào tập đoàn lớn và chính phủ. Tuy nhiên, các doanh nghiệp vừa và nhỏ (SME) cũng dễ bị tổn thương không kém.

Trên thực tế, luôn có nhiều vụ tấn công ransomware và đánh cắp dữ liệu nhắm trực tiếp vào SME với hậu quả nặng nề. Trong khi các tập đoàn lớn thường có thể đủ khả năng để nhanh chóng khắc phục thiệt hại sau một vụ tấn công mạng, các doanh nghiệp vừa và nhỏ thì không. Với độ rủi ro cao như vậy, họ không thể xem nhẹ vấn đề an ninh mạng.

Dù chỉ là một bước đơn giản, việc trả lời các câu hỏi kiểm tra bảo mật (cybersecurity checklist) sau đây có tác dụng rất lớn đến việc bảo mật cho các doanh nghiệp SME. Danh sách này giúp doanh nghiệp hệ thống hóa các biện pháp kiện toàn hệ thống từ mọi phương diện, từ đó giảm thiểu rủi ro bị tấn công.

[Checklist] 100 câu hỏi kiểm tra bảo mật cho doanh nghiệp vừa và nhỏ

Trong bối cảnh kinh doanh hiện đại đầy biến động, việc quản lý rủi ro và đảm bảo tuân thủ các quy định là yếu tố then chốt để duy trì sự ổn định và phát triển bền vững của doanh nghiệp. Để hỗ trợ các tổ chức trong thách thức này, CyStack đã phát triển tài liệu chuyên biệt: "Tự đánh giá mức độ quản trị, quản lý rủi ro và tuân thủ".

Tài liệu này là công cụ  được thiết kế để cung cấp cho doanh nghiệp khả năng nhanh chóng tự đánh giá mức độ tuân thủ của mình đối với khung quản trị, quản lý rủi ro và tuân thủ (GRC) một cách hiệu quả.

Tài liệu tập trung vào ba trụ cột chính của GRC:
    ◦ Quản trị (Governance): Đánh giá các cơ chế quản lý, quy trình ra quyết định và trách nhiệm giải trình trong doanh nghiệp.
    ◦ Quản lý rủi ro (Risk Management): Hướng dẫn doanh nghiệp nhận diện, phân tích, đánh giá và kiểm soát các rủi ro tiềm ẩn có thể ảnh hưởng đến mục tiêu kinh doanh.
    ◦ Tuân thủ (Compliance): Đánh giá khả năng của doanh nghiệp trong việc đáp ứng các yêu cầu pháp luật, quy định ngành, tiêu chuẩn nội bộ và các cam kết khác.

Checklist Tự đánh giá mức độ Quản trị, Rủi ro và Tuân thủ (GRC) 

Checklist cung cấp quy trình và tiêu chí để xác định, đánh giá, ưu tiên và khắc phục các lỗ hổng bảo mật thông qua việc quản lý và áp dụng các bản vá hệ thống, ứng dụng kịp thời.

Template 4: Quản lý bản vá và Lỗ hổng bảo mật

Checklist chi tiết giúp hướng dẫn các bước triển khai, cấu hình và duy trì hiệu quả các giải pháp chống virus và phần mềm độc hại. Đảm bảo các biện pháp phòng ngừa được áp dụng để bảo vệ hệ thống khỏi các mối đe dọa phổ biến và mới nổi.

Template 2: Antivirus & Malware Prevention

Checklist hướng dẫn xây dựng và triển khai các chương trình đào tạo định kỳ nhằm nâng cao nhận thức về các mối đe dọa an ninh mạng, các chính sách bảo mật và trách nhiệm của từng nhân viên trong việc bảo vệ thông tin.

Template 10: Đào tạo và nâng cao nhận thức an ninh mạng cho nhân viên (User Awareness & Training)

Checklist hướng dẫn các biện pháp bảo vệ dữ liệu xuyên suốt vòng đời của nó, bao gồm ngăn chặn mất mát dữ liệu (DLP), sao lưu thường xuyên và kế hoạch phục hồi sau thảm họa để đảm bảo tính sẵn sàng và toàn vẹn của dữ liệu.

Template 7: Bảo mật dữ liệu

Checklist cung cấp các biện pháp và cấu hình cần thiết để bảo vệ hệ thống email khỏi các cuộc tấn công lừa đảo (phishing), mã độc và thư rác, đồng thời bảo vệ các ứng dụng và trang web khỏi các lỗ hổng và tấn công mạng.

Template 8: Email và Bảo mật website

Checklist đưa ra các hướng dẫn chi tiết để thiết lập cấu hình an toàn cho hệ điều hành, ứng dụng, thiết bị mạng và các hệ thống khác. Mục tiêu là giảm thiểu bề mặt tấn công và tuân thủ các tiêu chuẩn bảo mật.

Template 5: Cấu hình bảo mật (Secure Configuration)

Checklist đưa ra quy chuẩn cho việc chuẩn bị, phát hiện, phân tích, ngăn chặn, khắc phục và phục hồi sau các sự cố bảo mật. Bao gồm các bước điều tra số để thu thập bằng chứng và hiểu rõ nguyên nhân gốc rễ.

Template 9: Ứng phó sự cố & Điều tra số (Incident Response and Forecsics)

Checklist để đánh giá việc tuân thủ các quy định, tiêu chuẩn ngành (ví dụ: ISO 27001, GDPR) và các chính sách nội bộ. Bao gồm các hoạt động kiểm thử bảo mật như đánh giá lỗ hổng (vulnerability assessment) và kiểm thử xâm nhập (penetration testing) để xác định điểm yếu.

Template 11: Tuân thủ và Kiểm thử bảo mật (Compliance & Auditing)

Checklist giúp thiết lập và duy trì các chính sách, quy trình và công nghệ để quản lý danh tính người dùng, xác thực, ủy quyền và kiểm soát quyền truy cập tài nguyên một cách an toàn và hiệu quả.

Template 6: Quản lý danh tính và truy cập (Identity & Access Management)

Checklist tập trung vào việc triển khai và tối ưu hóa các giải pháp phát hiện và phản hồi nâng cao tại điểm cuối (EDR) hoặc mở rộng (XDR). Hướng dẫn cách giám sát, phát hiện, phân tích và phản ứng với các mối đe dọa phức tạp trên các thiết bị.

Template 3: Endpoint Detection & Response (EDR/XDR)

Checklist này giúp các nhóm kỹ thuật và quản lý đánh giá mức độ sẵn sàng, an toàn và tuân thủ của hệ thống AI nội bộ, đảm bảo:
- AI phục vụ đúng mục tiêu kinh doanh
- Quy trình vận hành AI minh bạch, có kiểm soát
- Tuân thủ các yêu cầu pháp lý như Nghị định 13, GDPR, ISO,…
- Giảm rủi ro đạo đức, bảo mật và pháp lý do AI gây ra



[Template] Bộ tiêu chuẩn đạo đức và an toàn AI trong doanh nghiệp

Tài liệu này sẽ giúp các CTO, CISO, trưởng nhóm bảo mật của các doanh nghiệp và startup Việt Nam hiểu rõ lợi ích - rủi ro của mô
hình Pentest với nguồn lực cộng đồng, nắm được quy trình triển khai chương trình trao thưởng Bug Bounty; và hơn hết, có được chiến lược tối đa hóa hiệu quả bảo mật cho tổ chức khỏi các mối đe dọa trên internet.

Crowdsourced Penetration Testing 101: "Hack To Unhack”

Bài trình bày của anh Trung Nguyễn, CEO CyStack về cách tiếp cận phát hiện lộ lọt dữ liệu bằng Threat Intelligence tại Hội nghị giao ban Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia Việt Nam năm 2023

Phát hiện lộ lọt dữ liệu từ nguồn dữ liệu tình báo an ninh mạng

Explore security risks from common cloud computing services like AWS, Azure, and GCP

Security in the age of cloud services

Đây báo cáo định kỳ hàng quý được thực hiện bởi CyStack nhằm đánh giá mức độ và xu hướng tấn công mạng nhắm vào website trên toàn cầu trong quý 3/2019.

Báo cáo An ninh Website Q3/2019

Tài liệu này hướng dẫn doanh nghiệp các biện pháp về pháp lý để tuân thủ Nghị định 13 về bảo vệ dữ liệu cá nhân, đồng thời giúp doanh nghiệp tìm lời giải cho bài toán về các giải pháp hỗ trợ tuân thủ một cách hiệu quả.

Tài liệu tập trung vào khía cạnh Pháp lý, một trong 2 thành tố quan trọng (Pháp lý và Công nghệ) để đảm bảo tuân thủ Nghị định 13 một cách đầy đủ nhất.

Các nội dung chính bao gồm:
• Hiểu rõ các yêu cầu pháp lý theo Nghị định 13.
• Hướng dẫn tuân thủ Nghị định 13 cho doanh nghiệp
• Quy trình thực hiện tuân thủ
• Các giải pháp hỗ trợ doanh nghiệp tuân thủ Nghị định 13

Checklist Hướng dẫn tuân thủ Pháp lý Nghị định 13/2023/NĐ-CP

On October 12, Mr. Trung Nguyen - CEO & Founder of CyStack gave a speech in session 9: Scaling up for Efficiencies in Trade Facilitation, Safety and Security. With the topic "Cybersecurity Strategies in Cross-Border Trade", Mr. Trung pointed out the potential risks of cyber attacks targeting cross-border logistics, e-commerce and financial companies. Thereby, Mr. Trung gave accurate measures for the participants to envision a professional and comprehensive process against cyber threats in Customs.

Cybersecurity Strategies in Cross-Border Trade

Tài liệu này sẽ phân tích những thách thức bảo mật mà các công ty Thương mại điện tử ở Việt Nam đang gặp phải và đưa ra giải pháp xử lý rủi ro an ninh mạng cho ngành công nghiệp tỷ đô này.

Giải pháp bảo mật thương mại điện tử

Ebook này sẽ cung cấp cho bạn những thông tin về:
• Crowdsourced Security (Bảo Mật Cộng Đồng) là gì?
• Tại sao cần Bảo Mật Cộng Đồng?
• Ưu điểm của Bảo Mật Cộng Đồng so với các phương pháp bảo mật khác?
• Làm sao để ứng dụng phương pháp Bảo Mật Cộng Đồng cho doanh nghiệp?

Tổng quan về Crowdsourced Security

Trong thời đại công nghệ liên tục phát triển và đổi mới, việc bảo mật dữ liệu cá nhân đã trở thành một ưu tiên cấp thiết đối với tổ chức và quốc gia trên toàn cầu.
Tại Việt Nam, Chính phủ đã ban hành Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân, hay Nghị định 13, do Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao chịu trách nhiệm quản lý. Văn bản chính thức có hiệu lực kể từ ngày 01/07/2023.
Tuy nhiên, điều này đặt ra những thách thức cho CTO, CIO và CISO với những câu hỏi như “Cần phải bắt đầu từ đâu?” hay “Doanh nghiệp của tôi đã tuân thủ đầy đủ các quy định chưa?”.
Tài liệu này cung cấp khung đánh giá tuân thủ bảo mật tại doanh nghiệp do CyStack phát triển, trong đó bao gồm các hoạt động bảo vệ dữ liệu và tuân thủ Nghị định 13.

Checklist Nghị định 13

Cuốn ebook này sẽ giúp các CEO sẽ hiểu rõ hơn về tình hình an ninh mạng doanh nghiệp tại Việt Nam, từ đó đưa ra biện pháp phòng thủ phù hợp, giúp doanh nghiệp phát triển an toàn và bền vững trước vô vàn rủi ro của mạng internet thời kỳ 4.0.

11 rủi ro bảo mật trong doanh nghiệp

Tài liệu này sẽ cung cấp cho bạn những thông tin về:
• Thực trạng tình hình an ninh website năm 2019
• Chiến lược bảo mật website toàn diện cho doanh nghiệ
• Dịch vụ bảo mật website từ CyStack

Bảo mật website A-Z: Từ chiến lược đến thực thi

Tìm kiếm một dịch vụ Pentest tốt là điều không hề đơn giản đối với mỗi doanh nghiệp. Checklist này là 11 yếu tố cơ bản mà các CTO cần biết khi để lựa chọn một đơn vị cung cấp dịch vụ pentest phù hợp.

11 điều cần biết khi thuê dịch vụ kiểm thử pentest

Đây là checklist mà mọi SaaS CTOs và trưởng nhóm bảo mật có thể sử dụng để tăng cường bảo mật cho sản phẩm của mình. Chúng tôi hi vọng bạn có thể tìm được những quy tắc và
biện pháp bảo mật phù hợp với doanh nghiệp của mình thông qua tài liệu này.

Thư Viện