ĐƯỢC TIN TƯỞNG BỞI CÁC DOANH NGHIỆP HÀNG ĐẦU
8+
năm kinh nghiệm
600+
khách hàng được bảo vệ trên cả Web2 và Web3
200.000+
mối đe doạ được ngăn chặn
5.000+
tài sản số được bảo vệ (websites, ứng dụng, hợp đồng thông minh...)
24/7
liên tục giám sát và phản hồi
Kiểm thử thâm nhập (Pentest) là gì?
Kiểm thử thâm nhập (pentest) là quá trình chuyên gia bảo mật mô phỏng tấn công thực tế để phát hiện lỗ hổng trong hệ thống, ứng dụng, và mạng lưới của bạn trước khi tin tặc ra tay.
Pentest thiếu chuyên sâu dẫn đến chủ quan và tăng nguy cơ bị tấn công
Thiếu chuyên môn
dẫn đến bỏ sót các mối đe dọa và khiến doanh nghiệp đứng trước nguy cơ bị tấn công.
Phương pháp lạc hậu
bỏ qua các vector tấn công quan trọng như web app, API, cloud và mobile, tạo ra lỗ hổng bảo mật.
Báo cáo không rõ ràng
dễ gây nhiễu vì thiếu hệ thống phân loại CVSS, phân tích tấn công, và hướng khắc phục cụ thể.
Tuân thủ kém
có thể dẫn đến phạt nếu kiểm thử không đạt chuẩn ISO 27001, SOC 2, PCI-DSS, HIPAA, hoặc GDPR.
CyStack đóng vai hacker để phát hiện rủi ro và đưa ra giải pháp rõ ràng
Chuyên gia bảo mật
với hơn 8 năm kinh nghiệm giúp các doanh nghiệp đầu ngành phát hiện lỗ hổng trước khi bị tấn công.
Phương pháp tiên tiến
áp dụng các tiêu chuẩn như MITRE ATT&CK, OWASP, và NIST để đảm bảo kiểm thử toàn diện.
Báo cáo dễ thực thi
xếp hạng rủi ro theo điểm số CVSS hướng dẫn khắc phục chi tiết, và hỗ trợ kiểm tra lại nếu cần.
Đảm bảo tuân thủ
các tiêu chuẩn chất lượng toàn cầu như ISO 27001, SOC 2, PCI-DSS, HIPAA, và GDPR.
Quy trình kiểm thử
Bước 1
Khách hàng đăng ký dịch vụ
Bước 2
CyStack gửi báo giá
Bước 3
CyStack tiến hành đánh giá
Bước 4
CyStack gửi báo cáo và hướng khắc phục
Bước 5
CyStack tiến hành đánh giá lại
Bước 6
CyStack cấp chứng nhận và hỗ trợ sau dự án
Phạm vi, quá trình, và kết quả
kiểm thử xâm nhập bởi CyStack
Các đối tượng đánh giá
CyStack tiến hành đánh giá ứng dụng web, API, cloud, thiết bị di động, hạ tầng nội bộ...
- giúp bạn xác định phạm vi kiểm thử phù hợp.
Ứng dụng
Web
Ứng dụng
Web
Dành cho: Website, nền tảng SaaS, cổng khách hàng
Phạm vi tài sản: Tên miền, tên miền phụ, thành phần front-end & back-end
Mối đe dọa: Chiếm quyền tài khoản, gian lận thanh toán, rò rỉ dữ liệu
APIs
& Dịch vụ Web
APIs
& Dịch vụ Web
Dành cho: Dịch vụ web, backend di động, tích hợp đám mây
Phạm vi tài sản: Điểm cuối API, cơ chế xác thực, giao thức trao đổi dữ liệu
Mối đe dọa: Truy cập trái phép, rò rỉ dữ liệu, giao tiếp API không an toàn
Hạ tầng
Cloud
Hạ tầng
Cloud
Dành cho: AWS, Azure, Google Cloud, môi trường hybrid hoặc on premises
Phạm vi tài sản: Máy ảo, lưu trữ, chính sách IAM, cơ sở dữ liệu, thành phần mạng
Mối đe dọa: Rò rỉ dữ liệu, sai cấu hình, chiếm đoạt tài khoản đám mây
Ứng dụng
di động
Ứng dụng
di động
Dành cho: Ứng dụng iOS & Android (người dùng và doanh nghiệp)
Phạm vi tài sản: Tệp nhị phân ứng dụng, API, quy trình xác thực
Mối đe dọa: Rò rỉ dữ liệu, lưu trữ không an toàn, truy cập trái phép
Network
& Hạ tầng CNTT
Network
& Hạ tầng CNTT
Dành cho: Mạng văn phòng, trung tâm dữ liệu, hệ thống CNTT doanh nghiệp
Phạm vi tài sản: Tường lửa, router, VPN, thiết bị nội bộ
Mối đe dọa: Truy cập trái phép, phần mềm độc hại, di chuyển ngang
Mạng
không dây
Mạng
không dây
Dành cho: Mạng Wi-Fi doanh nghiệp, thiết bị IoT
Phạm vi tài sản: Điểm truy cập Wi-Fi, SSID, giao thức mã hóa, thiết bị kết nối
Mối đe dọa: Nghe lén, truy cập trái phép, điểm truy cập giả mạo
Blockchain
& Hợp đồng thông minh
Blockchain
& Hợp đồng thông minh
Dành cho: Nền tảng DeFi, ví tiền điện tử, chợ NFT
Phạm vi tài sản: Mã hợp đồng thông minh, mã blockchain, khóa mã hóa
Mối đe dọa: Lỗ hổng hợp đồng thông minh, rò rỉ khóa bí mật, lỗ hổng giao dịch
IoT & Hệ thống điều khiển công nghiệp (ICS)
IoT & Hệ thống điều khiển công nghiệp (ICS)
Dành cho: Thiết bị thông minh, hệ thống điều khiển công nghiệp, ATM, hệ thống tự động hóa
Phạm vi tài sản: Firmware nhúng, giao diện phần cứng, đơn vị điều khiển mạng
Mối đe dọa: Tấn công từ xa, tấn công firmware, gián đoạn vận hành
Bảo mật danh tính
& Quyền truy cập
Bảo mật danh tính
& Quyền truy cập
Dành cho: Active Directory, giải pháp SSO, hệ thống xác thực
Phạm vi tài sản: Tài khoản người dùng, luồng xác thực, chính sách quyền truy cập
Mối đe dọa: Chiếm đoạt định danh, lộ thông tin xác thực, truy cập trái phép
Tấn công tâm lý
& An ninh vật lý
Tấn công tâm lý
& An ninh vật lý
Dành cho: Nhận thức bảo mật nhân viên, kiểm soát truy cập vật lý
Phạm vi tài sản: Hệ thống email, quyền truy cập nhân viên, kiểm soát vật lý
Mối đe dọa: Lừa đảo, giả mạo, tấn công nội bộ, vi phạm bảo mật vật lý
Bảo mật bên thứ ba
& Chuỗi cung ứng
Bảo mật bên thứ ba
& Chuỗi cung ứng
Dành cho: Nhà cung cấp, tích hợp SaaS, nền tảng bên ngoài
Phạm vi tài sản: Ứng dụng bên thứ ba, tích hợp API, thông tin chia sẻ
Mối đe dọa: Nhà cung cấp bị xâm phạm, rò rỉ dữ liệu, lỗ hổng từ bên thứ ba
Phương thức kiểm thử
Bạn có thể chọn một trong 3 phương thức là Hộp đen, Hộp xám, hoặc Hộp trắng
tùy theo mức độ truy cập và độ sâu phân tích mong muốn.
Hộp Đen
Mô phỏng hacker bên ngoài chưa có thông tin về an ninh nội bộ
Hộp Xám
Mô phỏng mối đe dọa nội gián
hoặc người dùng bị xâm phạm
Hộp Trắng
Cung cấp quyền truy cập đầy đủ để phân tích bảo mật sâu
Các lỗ hổng nghiêm trọng được kiểm tra
Dưới đây chỉ là một số lỗ hổng phổ biến mà chúng tôi kiểm tra. CyStack kết hợp công cụ tự động, phân tích chuyên sâu, và mô phỏng tấn công thực tế để phát hiện các điểm yếu tiềm ẩn và giúp bạn nâng cao phòng thủ.
Rủi ro: Truy cập trái phép, rò rỉ dữ liệu.
Rủi ro: Mất dữ liệu, chiếm quyền hệ thống.
Rủi ro: Chiếm quyền hệ thống, rò rỉ dữ liệu.
Rủi ro: Nhiễm mã độc, chiếm quyền hệ thống.
Rủi ro: Chiếm đoạt tài khoản, rò rỉ dữ liệu.
Rủi ro: Chiếm mạng, phát tán ransomware.
Pentest thế hệ mới - Nhanh chóng, chính xác, hiệu quả
Kết quả bàn giao
Câu hỏi thường gặp
Vì sao nên chọn CyStack?
Khác với các dịch vụ pentest truyền thống chỉ cung cấp báo cáo tĩnh và trao đổi thiếu đồng bộ, nền tảng bảo mật CyStack giúp theo dõi lỗ hổng theo thời gian thực, phân loại rủi ro theo hệ thống, hợp tác liền mạch giữa nhóm bảo mật và nhóm phát triển.
Chúng tôi tuân thủ các tiêu chuẩn và phương pháp bảo mật hàng đầu thế giới như OWASP, NIST, CVSS, và Bugcrowd VRT - từ đó cung cấp các phân tích bảo mật rõ ràng, dựa trên dữ liệu thực tế.