91% các cuộc tấn công bắt đầu từ email lừa đảo (phishing).
Phishing Simulation kiểm soát, dựa bằng chứng, nhận diện rủi ro hành vi thực tế, cung cấp dữ liệu khắc phục. Báo cáo đánh giá rủi ro theo phòng ban giao trong 7-12 ngày.
Liên hệ ngay
Thực trạng
Bạn đầu tư vào tường lửa (firewall) và bảo vệ điểm cuối (endpoint protection). Nhưng yếu tố con người lại chưa được kiểm tra.
Thống kê
91% các cuộc tấn công mạng bắt đầu bằng email lừa đảo (phishing) (Deloitte, 2024).
3,4 tỷ email lừa đảo (phishing) được gửi đi mỗi ngày (AAG IT, 2024).
60% nhân viên nhấp vào các liên kết lừa đảo (phishing link) mà không qua đào tạo (Proofpoint, 2024).
4,9 triệu USD là chi phí trung bình của một vụ vi phạm dữ liệu do lỗi con người gây ra (IBM Security, 2024).
Khoảng trống
Các khóa đào tạo nhận thức bảo mật chung chung hàng năm chỉ cho nhóm của bạn biết về sự tồn tại của phishing. Chúng không chỉ ra phòng ban nào thực sự dễ bị tấn công, cá nhân nào có rủi ro cao nhất, hay liệu khóa đào tạo của bạn có mang lại hiệu quả đo lường được hay không.
Kiểm toán viên cần dữ liệu hành vi. Không phải một chứng chỉ hoàn thành khóa học.
Những gì bạn sẽ biết
Chỉ số Rủi ro Tổ chức (Organisational Risk Quotient): mức độ dễ bị tấn công chính xác của đội ngũ nhân sự, theo từng phòng ban và vai trò.
Tỷ lệ nhấp (click rate), gửi thông tin đăng nhập (credential submission) và thực thi tệp đính kèm (attachment execution) được theo dõi cho từng cá nhân.
Phòng ban và vai trò nào có rủi ro cao nhất.
Các chỉ số tương tác chi tiết (granular interaction metrics) cho thấy ai đã tương tác, ở mức độ nào và khi nào.
Lộ trình Đào tạo Nâng cao Nhận thức Bảo mật (Security Awareness Training Roadmap) được ưu tiên.
Các khuyến nghị cụ thể theo vai trò mà đội ngũ nhân sự (HR) và bảo mật của bạn có thể hành động ngay lập tức.
Bảng điều khiển Rủi ro Cấp cao (Executive Risk Dashboard) với so sánh hiệu suất trước và sau (benchmarking).
Sẵn sàng trình bày trước Ban Giám đốc và sẵn sàng kiểm toán ngay từ ngày đầu tiên.
Quy trình thực hiện
Xác định phạm vi
Xác định phạm vi mục tiêu, xác nhận danh sách nhân viên, thống nhất về các vector tấn công và liên hệ khẩn cấp.
Thiết kế chiến dịch
Các mẫu spear-phishing, cổng thu thập thông tin đăng nhập (credential harvesting portals) và kịch bản whaling được xây dựng tùy chỉnh cho tổ chức của bạn.
Thực hiện mô phỏng trực tiếp
Chiến dịch được kiểm soát thực hiện trên tất cả các nhóm mục tiêu. Mọi tương tác đều được ghi lại.
Báo cáo
Báo cáo đánh giá rủi ro theo phòng ban, Bảng điều khiển Rủi ro Cấp cao (Executive Risk Dashboard) và Lộ trình Đào tạo Khắc phục (Remediation Training Roadmap) được bàn giao.
Phạm vi
Bao gồm các hạng mục
Các chiến dịch spear-phishing mô phỏng được thiết kế riêng cho từng phòng ban.
Đánh giá thu thập thông tin đăng nhập (credential harvesting) với các cổng giả mạo thực tế.
Nhắm mục tiêu cấp điều hành (whaling) cho các phòng ban Tài chính, Nhân sự và C-Suite.
Theo dõi mức độ tương tác hành vi: nhấp vào liên kết, thực thi tệp đính kèm, nhập dữ liệu.
Báo cáo Thông tin Tình báo Rủi ro Con người (Human Risk Intelligence Report) với Chỉ số Rủi ro theo phòng ban (departmental Risk Quotient).
Tỷ lệ nhấp (click-rate) và các chỉ số tương tác cho từng cá nhân.
Lộ trình Đào tạo Khắc phục (Remediation Training Roadmap) được ưu tiên.
Bảng điều khiển Rủi ro Cấp cao (Executive Risk Dashboard) để báo cáo Ban Giám đốc.
Không bao gồm các hạng mục
Thực hiện đào tạo nhận thức bảo mật (chúng tôi cung cấp lộ trình, không trực tiếp thực hiện).
Kiểm thử xâm nhập kỹ thuật (xem Kiểm thử Xâm nhập Ứng dụng Web).
Giám sát liên tục (xem Đánh giá và Quản lý lỗ hổng bảo mật).
Tấn công phi kỹ thuật (social engineering) ngoài email (vật lý, điện thoại, SMS).
Ai thực hiện công việc
Phước Phạm - Kỹ sư Bảo mật
Chuyên gia Kiểm thử Xâm nhập (Penetration Testing) & Nghiên cứu Lỗ hổng (Vulnerability Research). Chuyên gia Red Team với chứng nhận OSWE và cấp độ 4 Synack Red Team, tập trung vào bảo mật ứng dụng web và nghiên cứu CVE.
Chuyên môn
Kiểm thử xâm nhập ứng dụng web: các phương pháp white-box, grey-box và black-box. Nghiên cứu lỗ hổng và phát hiện CVE. Đánh giá mã nguồn an toàn trong Java, .NET, PHP và JavaScript. Kiểm thử bảo mật API và các kịch bản lạm dụng logic nghiệp vụ. Phát triển khai thác Proof-of-concept và hướng dẫn khắc phục.
Kinh nghiệm ngành
Chính phủ. Ngân hàng. Công nghệ Doanh nghiệp. SaaS.
Thành tích
Cấp độ 4 Synack Red Team với các phát hiện lỗ hổng nghiêm trọng nhất quán. Dẫn dắt các đánh giá bảo mật white-box cho các ứng dụng ngân hàng quy mô quốc gia với không có phát hiện nghiêm trọng nào sau khi khắc phục. Đã xác định và công bố có trách nhiệm nhiều CVE.
Tại sao chọn Gradion
Thiết kế riêng cho từng khách hàng, không phải giải pháp có sẵn
Mọi mẫu phishing, cổng thông tin đăng nhập và kịch bản tấn công whaling đều được xây dựng riêng cho ngành, hệ thống công cụ và hồ sơ nhân viên của bạn. Chúng tôi không sử dụng các chiến dịch chung chung, lặp lại.
Thông tin chuyên sâu về hành vi, không chỉ là tỷ lệ click vào
Chúng tôi không chỉ dừng lại ở kết quả đạt/không đạt. Các báo cáo của chúng tôi cho thấy ai đã click vào, khi nào, tại sao và mức độ tương tác sâu đến đâu. Đây là dữ liệu thông minh về rủi ro con người có thể hành động, không phải chỉ là những con số thống kê.
Minh chứng sẵn sàng cho kiểm toán
Bảng điều khiển rủi ro cấp điều hành (Executive Risk Dashboard) và Lộ trình đào tạo khắc phục (Remediation Training Roadmap) được chấp nhận làm bằng chứng cho các tiêu chuẩn NIS2, ISO 27001, SOC 2 và báo cáo cấp hội đồng quản trị.
Chiến dịch mô phỏng tấn công Phishing
Giá cố định. Không phát sinh thêm. Không chi phí ẩn.
Tiêu chuẩn
Chiến dịch mô phỏng tấn công phishing toàn diện. Mẫu tùy chỉnh. Thời gian thực hiện: 7-12 ngày.
- Mẫu spear-phishing tùy chỉnh
- Đánh giá khả năng thu thập thông tin đăng nhập
- Nhắm mục tiêu cấp điều hành (tấn công whaling)
- Chấm điểm rủi ro theo phòng ban
- Bảng điều khiển rủi ro cấp điều hành
- Lộ trình đào tạo khắc phục
Các câu hỏi thường gặp
Chúng tôi đã thực hiện đào tạo về nhận thức bảo mật hàng năm. Dịch vụ này có còn phù hợp không?
Các khóa đào tạo nhận thức bảo mật hàng năm chung chung không cho bạn biết phòng ban nào dễ bị tấn công hay liệu khóa đào tạo của bạn có hiệu quả hay không. Mô phỏng của chúng tôi cung cấp dữ liệu hành vi, loại bằng chứng mà kiểm toán viên của bạn thực sự muốn thấy.
Điều này có gây hoảng loạn hay làm giảm tinh thần nhân viên không?
Tất cả các mô phỏng đều mang tính giáo dục và không mang tính răn đe. Khi một nhân viên nhấp vào, họ sẽ nhận được một thông báo hỗ trợ ngay lập tức. Các tổ chức triển khai đúng cách sẽ thấy mức độ tương tác được cải thiện, chứ không bị ảnh hưởng tiêu cực.
Chúng tôi là một đội ngũ nhỏ. Dịch vụ này có đáng giá không?
Các cuộc tấn công phishing không phân biệt quy mô công ty. Các đội ngũ nhỏ hơn thường có ít khả năng dự phòng hơn để đối phó với việc rò rỉ thông tin đăng nhập. Dịch vụ bắt đầu từ EUR 5.999 và có thể áp dụng cho số lượng nhân viên chỉ từ 20 người.
Các mô phỏng này có thực tế đến mức nào?
Rất thực tế. Các mẫu được thiết kế để phản ánh chính xác ngành, công cụ nội bộ và các mẫu giao tiếp của bạn. Đây chính là điểm mấu chốt: nếu phishing chung chung có thể lừa được nhân viên, thì các cuộc tấn công có mục tiêu cũng sẽ làm được điều tương tự.
Các bước tiếp theo
Dữ liệu từ mô phỏng phishing được đưa trực tiếp vào Đánh giá Tuân thủ Bảo mật (Security Compliance Review) (EUR 9.999-12.999) làm bằng chứng cho các kiểm soát bảo mật con người của ISO 27001 và SOC 2.
Để đảm bảo phạm vi kỹ thuật toàn diện, hãy kết hợp với Dịch vụ Kiểm thử Xâm nhập Ứng dụng Web (Web App Penetration Test) (EUR 4.999-6.999) để bao quát cả bề mặt tấn công từ con người và ứng dụng.
Không ràng buộc dài hạn. Báo cáo mô phỏng có giá trị độc lập.
Mô phỏng Phishing: từ EUR 6.000
Điền vào biểu mẫu. Chúng tôi sẽ xác nhận khả năng cung cấp và phạm vi trong vòng 48 giờ.
- Chỉ trao đổi. Quyết định ở bạn.
- Phản hồi trong vòng 48 giờ.
- Chuyên gia cấp cao sẽ tham gia cuộc gọi.