OWASP là gì?

Sự xuất hiện của các lỗ hổng trong các cổng giao thức kết nối với bên ngoài như các trình duyệt Web, giao thức RDP và FTP, nền tảng WMI của windows; chèn ứng dụng quét tài khoản đánh cắp thông tin được lưu trữ trên trình duyệt web (thông tin tài khoản ID, mất khẩu Password, và các thông tin cá nhân khác,..). Đã tạo ra cơ hội cho các cuộc tấn công mạng, đe dọa tính toàn vẹn và bảo mật của hệ thống. OWASP ra đời như một nỗ lực toàn cầu để giải quyết vấn đề này và cung cấp sự hỗ trợ hiệu quả cho các giải pháp bảo mật của các tổ chức hàng đầu.

OWASP là một tiêu chuẩn toàn cầu để phục vụ việc kiểm thử xâm nhập – Penetration Testing (Pentest) được dễ dàng hơn. Do tổ chức: Open Web Application Security Project (OWASP) đề xuất.êu chuẩn OWASP giúp cho các chuyên gia kiểm thử (pentester):

Kiểm tra bảo mật thông tin khi chia sẻ dữ liệu ra bên ngoài qua các cổng giao thức như RDP và FTP, quét các provider đang sử dụng nền tảng WMI của window
Bảo mật thông tin được lưu trữ trên trình duyệt web: ngăn chặn (Blacklist/whitelist) IP, phần mềm ứng dụng và website không đáng tin..., ngăn chặn sự xâm nhập trái phép một cách chi tiết, hiệu quả.

Máy tính đồng bộ MCC Việt Nam đạt tiêu chuẩn OWASP

MCC Việt Nam đạt chứng nhận an toàn bảo mật thông tin OWASP 2021 theo giấy phép số 493/GP-BTTTT - Pentest bởi VNPT.

Giao diện Tiếng Anh/ Tiếng Việt trên phần mềm MCSafe đạt tiêu chuẩn OWASP - Cấp phép theo số 493/GP BTTTT

Giao diện chức năng chính của phần mềm MCSafe theo chuẩn OWASP

Giao diện Chức năng System Audit, Password Stealer, Bruteforce Detection, Settings Self Defense... trên MCSafe.

Pentest bởi VNPT - Phần mềm MCSafe giải quyết ngăn chặn những lỗ hổng bảo mật trên máy tính an toàn trên không gian mạng. 

Phần mềm MCSafe theo chuẩn OWASP pentest bởi VNPT cấp phép bởi BTTTT

VNPT là đơn vị thực hiện pentest MCSafe định kỳ Theo giấy phép số 493/GP-BTTTT 

VNPT Technology đã hợp tác với các đơn vị tiên phong trong lĩnh vực an toàn bảo mật thông tin như Công ty An ninh an toàn thông tin CMC, một trong những đơn vị tiêu biểu đạt Giải thưởng Doanh nghiệp bảo mật tiêu biểu khu vực Châu Á Thái Bình Dương; tham gia vào kiểm định và đánh giá tính an toàn và bảo mật của Hệ thống máy tính đồng bộ MCC. Sau cùng thì hệ thống đã trải qua rất nhiều bước kiểm định nghiêm ngặt từ khâu nghiên cứu phát triển, tới khâu nghiệm thu và đánh giá tính an toàn, bảo mật thông tin và đạt chứng chỉ Tiêu chuẩn OWASP.

Lợi ích của Pentest theo chuẩn OWASP là gì?

Pentest theo chuẩn OWASP mang lại các lợi ích quan trọng cho doanh nghiệp, bảo vệ người dùng an toàn thông tin khi chia sẻ dữ liệu ra bên ngoài qua các cổng giao thức như RDP và FTP, bảo mật thông tin được lưu trữ trên trình duyệt web, ngăn chặn sự xâm nhập trái phép... đặc biệt là những công ty phát triển ứng dụng web nội bộ và / hoặc sử dụng các ứng dụng chuyên dụng do bên thứ ba phát triển.

Pentest giúp ích gì cho người dùng trên không gian mạng?

• Xác định và giải quyết các lỗ hổng trước khi hacker có cơ hội khai thác.
• Giảm nguy cơ vi phạm dữ liệu cũng như thiệt hại và gián đoạn dịch vụ.
• Cung cấp tổng quan, độc lập về hiệu quả của các biện pháp kiểm soát bảo mật và đảm bảo tốt hơn cho việc tuân thủ PCI DSS, ISO 27001 và GDPR.
• Giúp cải thiện các hoạt động phát triển phần mềm và đảm bảo chất lượng bằng cách cung cấp thông tin chi tiết về các rủi ro an ninh mạng.
• Giúp quyết định sáng suốt hơn về các khoản đầu tư bảo mật trong tương lai.

Khi nào cần pentest theo tiêu chuẩn OWASP?

Các doanh nghiệp phát triển, sử dụng ứng dụng giao tiếp ra bên ngoài qua không gian mạng, nên tiến hành kiểm tra ít nhất mỗi năm một lần. Tuy nhiên, điều này nên được thực hiện thường xuyên hơn khi phát hành các bản cập nhật phần mềm lớn hoặc thực hiện các thay đổi đáng kể đối với cơ sở hạ tầng. Pentest thường xuyên là bắt buộc để tuân thủ các quy định với PCI DSS và ISO 27001, đồng thời cũng được khuyến cáo rõ ràng trong Chỉ thị GDPR và NIS.

11 tính năng an toàn, bảo mật thông tin của MCSafe theo chuẩn OWASP (Update tháng 1 năm 2024) 

1. Application Control
2. Bruteforce Detection
3. Password Stealer
4. System Audit
5. Backup
6. Setting Backup
7 Setting Application Control
8. Setting Bruteforce Detection
9. Settings Password Stealer
10. Settings Self Defense
11 Quét WMI, Task Scheduler

Những tính năng an toàn bảo mật trên phần mềm MCSafe nhằm xác định và giải quyết các lỗ hổng trước khi hacker có cơ hội khai thác.

1. Application Control

- Hiển thị các truy cập vào website, chạy các ứng dụng bị cấm và user thực hiện hành vi đó theo khoảng thời gian nhất định.

2. Bruteforce Detection

- Hiển thị các hành vi tấn công vét cạn mật khẩu và các IP nguồn thực hiện theo khoảng thời gian nhất định
- Phạm vi giám sát là dịch vụ RDP và FTP trên Windows
- Cho phép unblock/whitelist các nguồn tấn công (người dùng có quyền admin ứng dụng)

3. Password Stealer

- Hiển thị các hành vi đánh cắp mật khẩu trên trình duyệt và các nguồn thực hiện theo khoảng thời gian nhất định
- Phạm vi là các website phishing và extension có dấu hiệu lấy cắp mật khẩu người dùng lưu trên trình duyệt.
- Cho phép unblock/whitelist các website, extension tin tưởng (người dùng có quyền admin ứng dụng)

4. System Audit

- Hiển thị thông tin tác động như restore, whitelist, unblock các tính năng khác cũng thông tin chi tiết và người dùng thực hiện.

5. Backup

- Hiển thị toàn bộ các bản sao các tài liệu được giám sát bị sửa/xóa đã lưu trữ trên thiết bị. Cho phép xóa hoặc xóa toàn bộ các bản sao lưu trên thiết bị (người dùng có quyền admin ứng dụng)

6. Setting Backup

- Cho phép cấu hình các vị trí giám sát (mặc định là folder Documents của mỗi user)
- Cho phép cấu hình các loại file cần giám sát (Word/Excel/PowerPoint)
- Cho phép cấu hình các hành vi cần giám sát (Sửa/xóa)
- Cho phép cấu hình folder hoặc file không thực hiện giám sát.

7. Setting Application Control

- Cho phép cấu hình các website, ứng dụng không được phép sử dụng trên thiết bị

8. Setting Bruteforce Detection

- Cho phép cấu hình các giao thức muốn giám sát tán công vét cạn mật khẩu (RDP, FTP)
- Cho phép cấu hình các IP, dải mang muốn whitelist

9. Settings Password Stealer

- Cho phép cấu hình các website, extension không thực hiện cảnh báo khi phát sinh các đấu hiệu đánh cắp mật khẩu

10. Settings Self Defense

- Cho phép cấu hình mật khẩu để có quyền admin ứng dụng thực hiện các hành động unblock, whitelist, delete và tắt ứng dụng.

11. Quét WMI, Task Scheduler

- Cho phép cấu hình đặt lịch thời gian quét các provider đang sử dụng nền tảng WMI của window

- Rà quét, phát hiện và lưu trữ lịch sử các provider đã cài đặt trên window sử dụng nền tảng WMI

12. Backup Report

- Hiển thị các hành vi sửa/xóa các file được giám sát trên hệ thống và user thực hiện hành vi đó theo khoảng thời gian nhất định (ngày, tháng, năm hoặc khoảng thời gian cụ thể)
- Cho phép khôi phục các file về trạng thái trước khi sửa/xóa (độc lập với file hiện tại trên thiết bị không ghi đè)
- Cho phép xóa các bản sao lưu (người dùng có quyền admin ứng dụng)

Tiêu chuẩn bảo mật quốc tế OWASP đảm bảo bảo mật thông tin toàn diện 

Tham khảo 

1. Home Vision - IP Camera đạt Tiêu chuẩn bảo mật OWASP

2. Máy tính đồng bộ MCC Việt Nam đạt tiêu chuẩn OWASP

Máy tính đồng bộ MCC Việt Nam sử dụng phần mềm An toàn thông tin theo tiêu chuẩn OWASP 2021 được cấp phép theo số 493/GP BTTTT (Bộ thông tin truyền thông)  

"MCSafe đưa máy tính MCC Việt Nam - An toàn trên không gian mạng"