Công cụ quét lỗ hổng chỉ đưa ra một danh sách. Kiểm thử xâm nhập kể một câu chuyện chi tiết – về cách kẻ tấn công di chuyển từ một điểm cuối bị lộ đến bộ điều khiển miền, những biện pháp kiểm soát nào đã thất bại, và những giả định nào trong kiến trúc của bạn đã sai. Giá trị thực sự nằm ở lộ trình tấn công, không phải ở từng phát hiện riêng lẻ.

Diễn tập Red Team tiến xa hơn. Trong khi kiểm thử xâm nhập xác thực hiệu quả của các biện pháp kiểm soát cụ thể, một cuộc diễn tập Red Team kiểm tra khả năng phát hiện, phản ứng và phối hợp của bạn có vững vàng dưới một cuộc tấn công bền bỉ, có mục tiêu hay không. Kẻ tấn công không công bố phạm vi. Đội Red Team của chúng tôi cũng vậy.

NIS2 đã thúc đẩy một làn sóng kiểm thử theo định hướng tuân thủ – các đánh giá được thiết kế để đáp ứng yêu cầu kiểm toán thay vì tiết lộ rủi ro thực tế. Kết quả là một khoảng cách ngày càng lớn giữa tình hình bảo mật trên giấy tờ và thực tế vận hành. Gradion không thực hiện các bài kiểm thử chỉ để đánh dấu hoàn thành. Mỗi dự án của chúng tôi đều được thiết kế để trả lời một câu hỏi mà tổ chức thực sự cần giải đáp.

Kiểm thử xâm nhập ứng dụng web

Hai cấp độ tùy thuộc vào độ sâu yêu cầu. **Tiêu chuẩn/Tinh gọn:** một tuần cho mỗi ứng dụng – bao gồm OWASP Top 10, quản lý xác thực và phiên, logic kiểm soát truy cập, lỗ hổng injection, lộ diện điểm cuối API và các lỗi logic nghiệp vụ. **Chuyên sâu:** hai đến bốn tuần cho mỗi ứng dụng – kiểm thử thủ công toàn diện bao gồm các giao diện REST, GraphQL và SOAP cũ, các chuỗi tấn công và phân tích logic nghiệp vụ nâng cao.

Kiểm thử ưu tiên thủ công. Công cụ quét tự động chỉ tìm thấy bề mặt; con người mới tìm ra các lỗ hổng có thể khai thác.

Các sản phẩm bàn giao cho cả hai cấp độ: Báo cáo điều hành, Phân tích kỹ thuật chuyên sâu kèm theo các khai thác chứng minh khái niệm (PoC), Lộ trình khắc phục.

Tăng cường bảo mật ứng dụng web

Việc tìm ra lỗ hổng chỉ là một nửa công việc. Sau kiểm thử xâm nhập, chúng tôi triển khai các biện pháp khắc phục: cấu hình WAF, khắc phục ở cấp độ mã nguồn và xác thực toàn diện rằng các thay đổi đã được áp dụng hiệu quả. Thời gian xử lý từ khi phát hiện đến khi khắc phục là bảy ngày. Đây không phải là một dự án riêng biệt được thêm vào – mà là sự tiếp nối tự nhiên của quá trình kiểm thử.

Kiểm thử xâm nhập mạng nội bộ và bên ngoài

Kiểm thử bên ngoài đánh giá hạ tầng hướng Internet từ góc độ của một kẻ tấn công thực tế – không có kiến thức nội bộ, không có quyền truy cập trước. Tập trung vào các dịch vụ bị lộ, cơ chế xác thực, điểm yếu cấu hình và các chuỗi tấn công.

Kiểm thử nội bộ giả định kẻ tấn công đã có mặt bên trong vành đai bảo mật – kịch bản phổ biến nhất sau các cuộc tấn công lừa đảo (phishing) hoặc xâm nhập chuỗi cung ứng. Tập trung vào các cơ hội di chuyển ngang, lộ trình leo thang đặc quyền, lỗ hổng Active Directory và hiệu quả phân đoạn trên các môi trường Windows, Linux, kết nối đám mây và lai.

Kiểm thử xâm nhập hệ thống OT và ICS

Môi trường hệ thống điều khiển công nghiệp (ICS) đòi hỏi một phương pháp tiếp cận khác biệt. Khai thác chủ động gây gián đoạn dây chuyền sản xuất không phải là kết quả kiểm thử chấp nhận được. Chúng tôi thực hiện trinh sát thụ động, phân tích giao thức và kiểm thử chủ động có mục tiêu trong giới hạn an toàn đã thỏa thuận. Tiêu chuẩn IEC 62443 cung cấp khuôn khổ rủi ro và phân vùng; bài kiểm thử của chúng tôi xác thực liệu các biện pháp kiểm soát được định nghĩa trong khuôn khổ đó có thực sự được thực thi hay không.

Năng lực này rất hiếm có trên thị trường DACH. Hầu hết các công ty kiểm thử xâm nhập tiếp cận môi trường OT bằng phương pháp IT và dừng lại khi gặp Modbus hoặc PROFINET. Chúng tôi thì không.

Diễn tập Red Team

Mô phỏng đối thủ toàn diện: tấn công lừa đảo (phishing), cố gắng xâm nhập vật lý, kỹ thuật xã hội, thiết lập quyền truy cập bền vững và di chuyển ngang để đạt được các mục tiêu đã định. Các dự án Red Team kéo dài từ hai đến bốn tuần, sử dụng MITRE ATT&CK làm khuôn khổ hành vi đối thủ. Kết quả bàn giao bao gồm một dòng thời gian tấn công, phân tích khoảng trống phát hiện và một buổi đánh giá chi tiết có cấu trúc với đội Blue Team. Chúng tôi không chỉ bàn giao danh sách phát hiện rồi kết thúc – buổi đánh giá chi tiết mới là nơi công việc thực sự diễn ra.

Kiểm thử ứng dụng di động

Các ứng dụng iOS và Android xử lý dữ liệu nhạy cảm hoặc đóng vai trò là điểm truy cập xác thực. Bao gồm phân tích tĩnh, kiểm thử động, chặn lưu lượng và đánh giá API backend từ góc độ của ứng dụng di động.

Cách thức bàn giao kết quả

Mỗi dự án đều cung cấp một báo cáo kỹ thuật và một bản tóm tắt điều hành. Báo cáo kỹ thuật được biên soạn dành cho các kỹ sư phụ trách khắc phục sự cố, bao gồm các bước tái hiện lỗi, kết quả từ công cụ, đoạn mã liên quan (nếu có) và hướng dẫn khắc phục cụ thể. Bản tóm tắt điều hành dành cho ban lãnh đạo hoặc CISO, tập trung vào mức độ rủi ro, tác động kinh doanh và các hành động ưu tiên.

Việc xác thực khắc phục (kiểm tra lại các lỗi đã được sửa) được bao gồm trong phạm vi của tất cả các dự án tiêu chuẩn. Nếu một bản sửa lỗi vô tình tạo ra vấn đề mới, chúng tôi sẽ phát hiện ra.

Đánh giá tổng thể hệ thống IT/OT

Đối với các tổ chức cần cái nhìn toàn diện về cả hệ thống IT và OT trước khi tiến hành kiểm thử chuyên sâu, dịch vụ Kiểm tra An toàn Hạ tầng & An ninh mạng của chúng tôi là điểm khởi đầu lý tưởng. Đây là một dự án kéo dài khoảng 3 tuần, bao gồm đánh giá phân đoạn mạng, rủi ro truy cập từ xa, lỗ hổng hệ thống cũ và kiểm soát truy cập trên cả hai miền. Kết quả bàn giao bao gồm Bảng điểm rủi ro điều hành (Executive Risk Scorecard) và Kế hoạch hành động khắc phục ưu tiên. Thời gian tư vấn: 6–7 ngày làm việc. Chi tiết có trên trang An ninh mạng.

Mô hình hợp tác

Cuộc gọi khảo sát ban đầu trong vòng 48 giờ. Phạm vi và báo giá dự án được xác định trong vòng một tuần. Thời gian kiểm thử được phối hợp với đội ngũ vận hành của bạn để tránh ảnh hưởng đến hoạt động sản xuất. Kiểm thử ứng dụng web hoặc mạng tiêu chuẩn được bàn giao trong hai đến ba tuần kể từ khi khởi động dự án. Các bài tập Red Team được xây dựng phạm vi riêng biệt dựa trên mục tiêu và quy mô môi trường.

Chúng tôi hoạt động tại Đức, Việt Nam, Singapore, Ai Cập và Thái Lan. Đối với các khách hàng yêu cầu kiểm thử tại nhiều khu vực hoặc trên hạ tầng đa quốc gia, chúng tôi thực hiện các đánh giá song song được phối hợp chặt chẽ, loại bỏ gánh nặng về lịch trình mà các công ty chỉ có một văn phòng thường gặp phải.

Phương pháp luận

Kiểm thử ứng dụng tuân thủ phương pháp luận PTES và OWASP. Kiểm thử OT tham chiếu đánh giá mức độ bảo mật IEC 62443-3-3. Các bài tập Red Team sử dụng MITRE ATT&CK. Các công cụ bao gồm Burp Suite Pro, Metasploit, Cobalt Strike (có bản quyền), Nessus và các công cụ tùy chỉnh cho giao thức OT.

Hãy chia sẻ môi trường và mục tiêu của bạn. Chúng tôi sẽ gửi lại kế hoạch kiểm thử và báo giá trong vòng một tuần.