Kẻ tấn công hiếm khi đột nhập qua cửa chính. Chúng thường di chuyển ngang qua các dịch vụ cấu hình sai, điểm cuối chưa được vá lỗi, tài khoản có quyền hạn quá mức và các lỗ hổng nhật ký không được giám sát. Khi một cảnh báo được kích hoạt, thời gian kẻ tấn công ẩn mình (dwell time) thường đã kéo dài hàng tuần.

Hầu hết các tổ chức đều đã trang bị một số công cụ bảo mật. Tuy nhiên, điều họ thiếu là kỷ luật vận hành: các tiêu chuẩn bảo mật được củng cố và áp dụng nhất quán, nhật ký được tổng hợp và xử lý, cùng với chu kỳ vá lỗi giúp khắc phục các lỗ hổng thực tế trước khi chúng bị khai thác. Khoảng cách giữa công cụ và vận hành chính là nơi các sự cố bắt đầu.

Gradion xây dựng lớp phòng thủ vững chắc. Chúng tôi trực tiếp làm việc với các đội ngũ hạ tầng và bảo mật, triển khai các chương trình củng cố bảo mật có cấu trúc và thiết lập khả năng giám sát duy trì ngay cả sau khi dự án kết thúc. Không chỉ là chính sách. Mà là các hệ thống hoạt động hiệu quả.

Dịch vụ Quét lỗ hổng Bảo mật được Quản lý

Đội ngũ Blue Team của chúng tôi thực hiện quét lỗ hổng bảo mật liên tục theo hình thức đăng ký dịch vụ - mang đến cho các tổ chức cái nhìn trực quan, cập nhật về rủi ro thay vì một báo cáo tại một thời điểm cụ thể và nhanh chóng lỗi thời chỉ trong vài tuần. Hơn mười gói quét đồng thời đang được triển khai song song cho các khách hàng của chúng tôi. Phạm vi quét được duy trì liên tục, các phát hiện được phân loại theo mức độ nghiêm trọng và tác động kinh doanh, và đội ngũ của chúng tôi sẵn sàng hành động để khắc phục, không chỉ đơn thuần là báo cáo.

Đây là nền tảng cốt lõi. Mọi hoạt động khác đều được xây dựng dựa trên việc nắm rõ những gì đang thực sự bị phơi bày.

Đánh giá và Củng cố Bảo mật Đám mây

Đánh giá dựa trên các tiêu chuẩn CIS, NIST, PCI DSS và SOC 2. Thời gian đánh giá từ 3 đến 5 ngày; củng cố bảo mật từ 1 đến 2 tuần. Các hạng mục bàn giao: Báo cáo Tình trạng Bảo mật, Lộ trình Củng cố Bảo mật và Thiết lập Giám sát. Chúng tôi không chỉ cung cấp báo cáo và để việc khắc phục cho bên khác - giai đoạn củng cố bảo mật là một phần không thể thiếu của dự án.

Củng cố Hệ thống

Chúng tôi thiết lập tiêu chuẩn cho mọi môi trường dựa trên các chuẩn mực đã được công nhận - như CIS Controls, BSI IT-Grundschutz, hoặc các tiêu chuẩn riêng của khách hàng - và khắc phục những lỗ hổng mà các cuộc kiểm toán thường bỏ sót. Bao gồm củng cố hệ điều hành, giảm thiểu dịch vụ, cấu hình khởi động an toàn, loại bỏ thông tin đăng nhập mặc định và các điểm phơi nhiễm không cần thiết. Đối với nhà vận hành sàn giao dịch B2B hàng đầu, một nền tảng thương mại điện tử B2B có khối lượng giao dịch lớn, chúng tôi đã triển khai củng cố bảo mật bao gồm cả việc triển khai AWS WAF như một phần của chương trình ổn định hạ tầng tổng thể. Nền tảng này xử lý khối lượng giao dịch đáng kể; việc thắt chặt vành đai bảo mật là điều bắt buộc trước khi mở rộng quy mô hơn nữa.

Giám sát Nhật ký và Triển khai SIEM

Nhật ký chỉ hữu ích khi có người giám sát chúng. Chúng tôi thiết kế các đường dẫn tổng hợp nhật ký, xác định logic cảnh báo được điều chỉnh phù hợp với môi trường của bạn, và triển khai cấu hình SIEM - dù là trên các nền tảng bạn đã có giấy phép hay một triển khai hoàn toàn mới. Tình trạng "mệt mỏi vì cảnh báo" (alert fatigue) có thể làm tê liệt các chương trình giám sát. Chúng tôi tập trung vào tỷ lệ tín hiệu trên nhiễu ngay từ đầu: ít cảnh báo hơn, độ tin cậy cao hơn, phân loại nhanh hơn. Các triển khai bao gồm Splunk, Elastic Security và Microsoft Sentinel.

Sổ tay Quy trình Phát hiện Đe dọa

Phát hiện mà không có phản ứng chỉ là nhiễu loạn. Chúng tôi xây dựng các sổ tay quy trình phát hiện mối đe dọa được ánh xạ tới môi trường thực tế của bạn - bao gồm các dịch vụ hiện có, người dùng có đặc quyền và dữ liệu nhạy cảm. Các sổ tay này xác định logic phát hiện, các bước phân loại, lộ trình leo thang và hành động ngăn chặn. Các đội ngũ sẽ nhận được một bộ quy tắc vận hành thực tế, không chỉ là một tập slide.

Củng cố Quản lý Danh tính và Quyền truy cập (IAM)

Sự phân tán đặc quyền là lỗ hổng lớn nhất của vành đai phòng thủ. Chúng tôi kiểm toán cấu hình IAM trên các hệ thống đám mây và tại chỗ, thực thi quyền truy cập tối thiểu, triển khai MFA ở những nơi còn thiếu, và quản lý sự gia tăng của các tài khoản dịch vụ. Danh tính được coi là một phần của hạ tầng - được quản lý phiên bản, xem xét và kiểm toán.

Quản lý Vá lỗi

Các hệ thống chưa được vá lỗi là vector tấn công phổ biến nhất, nhưng việc quản lý vá lỗi vẫn còn thiếu tính chính thức ở hầu hết các tổ chức quy mô vừa và lớn. Chúng tôi thiết kế và vận hành các chu kỳ vá lỗi lặp lại: kiểm kê tài sản, phân loại mức độ quan trọng, triển khai theo giai đoạn và quy trình khôi phục. Việc vá lỗi được coi là một quy trình kỹ thuật, không phải là một công việc phát sinh.

Đảm bảo Tuân thủ

Gradion áp dụng các quy trình bảo mật được chứng nhận ISO 27001. Đối với các khách hàng đang chuẩn bị cho các cuộc kiểm toán ISO 27001 hoặc NIS2, các chương trình tăng cường bảo mật của chúng tôi được thiết kế để khắc phục các lỗ hổng cụ thể mà các khuôn khổ này kiểm tra. Chúng tôi đã thực hiện các Đánh giá An toàn Hạ tầng & An ninh mạng, bao gồm cả phạm vi IT và OT – khả năng hiển thị mối đe dọa đa miền, đánh giá phân đoạn mạng và bảng điểm rủi ro cấp điều hành – trong các dự án kéo dài khoảng ba tuần.

Công nghệ

AWS (Security Hub, GuardDuty, WAF, CloudTrail), Azure (Defender for Cloud, Sentinel, Entra ID), hệ thống tại chỗ Linux/Windows và các cấu hình lai. Lựa chọn công cụ dựa trên hệ thống hiện có của khách hàng – chúng tôi không tạo ra sự phụ thuộc mới vào nhà cung cấp nếu không có lý do rõ ràng.

Cách chúng tôi làm việc

Các dự án được xác định phạm vi trong vài ngày, đội ngũ được triển khai trong vài tuần, công việc tăng cường bảo mật được đưa vào vận hành thực tế. Chúng tôi không chỉ bàn giao báo cáo rồi rời đi. Các hệ thống chúng tôi tăng cường sẽ duy trì trạng thái bảo mật vững chắc. Hệ thống giám sát chúng tôi xây dựng sẽ được duy trì. Các quy trình vận hành (runbook) chúng tôi biên soạn sẽ được kiểm thử.

Mô tả môi trường của bạn. Chúng tôi sẽ xác định công việc cần thực hiện.