Dịch vụ đánh giá bảo mật

Các công cụ đánh giá bảo mật hiệu quả

11/08/2017 - 01:45

Các công cụ dò quét, đánh giá bảo mật được cung cấp bởi Pente Technologies.

 

1. Giải pháp dò quét, tìm kiếm lỗ hổng ứng dụng web – BurpSuite


Ứng dụng web hay cụ thể hơn là các website là nơi mà chúng ta tiếp cận hàng ngày. Từ những việc đơn giản như nghe nhạc, xem phim ... hoặc những công việc liên quan tới giao dịch tài chính như mua bán, chuyển tiền... tất cả những công việc này, chúng ta đều có thể thực hiện qua các website. Các cá nhân, cũng như các tổ chức kinh doanh sử dụng website để giới thiệu, quảng bá các sản phẩm tới khác hàng; các tổ chức tài chính sử dụng website để cung cấp các dịch vụ giao dịch tài chính. Các website này, có thể có những lỗ hổng bảo mật tồn tại do quá trình thiết kế, cấu hình cũng như triển khai. Thật là tệ hại, nếu như hệ thống website của cá nhân hay tổ chức bị kẻ xấu đột nhập và khai thác thông tin. Khi đó, danh tiếng cũng như sự tin tưởng của khách hàng đối với tổ chức sẽ suy giảm nghiêm trọng, làm tổn hại tới danh tiếng của công ty. Với phương trâm, suy nghĩ như một hacker để đánh giá các ứng dụng web, BurpSuite là một giải pháp toàn diện để dò quét, tìm kiếm lỗ hổng ứng dụng web.

BurpSuite là một nền tảng được tích hợp nhiều tính năng phục vụ cho quá trình thực hiện thử nghiệm thâm nhập ứng dụng web. Các tính năng này kết hợp liền mạch với nhau để hỗ trợ toàn bộ quá trình thử nghiệm thâm nhập, từ thu thập thông tin, phân tích hướng tấn công, từ đó tìm kiếm và khai thác lỗ hổng. Bên cạnh việc phát hiện các lỗ hổng web phổ biến như SQL injection, XSS, XXE, HTML injection ... BurpSuite còn phát hiện hàng loạt các kỹ thuật tấn công mới vào ứng dụng web được tích hợp như: SSTI, JSON hijacking, CORS Misconfiguration, SMTP  header injection... Ngoài ra, Burpsuite hỗ trợ các tiện ích mở rộng cho phép các chuyên gia bảo mật viết các tiện ích hỗ trợ để thực hiện các chức năng cao cấp dựa trên API của BurpSuite.



Với BurpSuite, bạn có thể kết hợp quá trình đánh giá tự động và quá trình đánh giá thủ công để làm cho công việc của bạn nhanh hơn, chính xác hơn và hiệu quả hơn.

BurpSuite bao gồm các thành phần dưới đây:

  • Proxy - cho phép bạn thay đổi, kiểm tra các request/answer giữa trình duyệt và ứng dụng web mục tiêu
  • Spider - dò, tìm kiếm nội dung của ứng dụng web mục tiêu
  • Scanner - tự động phát hiện các lỗ hổng web
  • Intruder – thực hiện các tùy chọn tấn công để tìm và khai thác các lỗ hổng bất thường  
  • Repeater - điều chỉnh và gửi lại các request
  • Sequencer - sử dụng cho việc đánh giá các session token ngẫu nhiên.
  • Extension – cho phép bạn viết các tiện ích nhằm thực hiện các chức năng cao cấp.
     

2. Giải pháp dò quét, đánh giá lỗ hổng hệ thống Tenable Network Security
Tenable Network Security là công ty bảo mật hàng đầu trên thế giới, chuyên cung cấp các giải pháp dò quét, tìm kiếm, đánh giá và quản lý lỗ hổng bảo mật. Tenable cung cấp một giải pháp toàn diện từ dò quét, phân tích, và đưa ra báo cáo về hệ thống được thử nghiệm thâm nhập.


Các sản phẩm của Tenable Network Security
Nessus – là công cụ dò quét, đánh giá lỗ hổng hàng đầu thế giới, với hàng triệu người sử dụng. Với cơ sở dữ liệu đồ sộ và luôn được cập nhật, Nessus giúp bạn phân tích, đánh giá bảo mật toàn bộ các thiết bị có trong mạng, cùng với những diễn giải, cách khai thác, cách khắc phục lỗ hổng. Nessus là sự lựa chọn hàng đầu cho những chuyên gia an ninh mạng.



SecurityCenter – Với tính năng tạo và quản lý các báo cáo đánh giá lỗ hổng, công cụ này giúp cho các chuyên gia an ninh mạng dễ dàng quản lý, có một cái nhìn tổng quan về các lỗ hổng trong hệ thống để từ đó đưa ra chính sách hợp lý về việc vá lỗ hổng. Hơn nữa, SecurityCenter còn cho phép bạn benchmark và báo cáo về các nguy cơ có thể có của hệ thống.
SecurityCenter Continuous View (SecurityCenter CV) -  là một cấp độ cao cấp hơn trong việc quản lý lỗ hổng. Sử dụng Nessus và SecurityCenter như một nền tảng, SecurityCenter CV liên tục giám sát tất cả các thiết bị và băng thông mạng. Cùng khả năng giám sát mạng thụ động và phân tích sự kiện đăng nhập trên thiết bị theo thời gian thực, giám sát toàn diện về tất cả các hoạt động mạng và các sự kiện xảy ra trên thiết bị, do đó bạn có thể tìm và sửa chữa lỗ hổng nhanh hơn.

 

So sánh tính năng giữa các sản phẩm của Tenable Network Security

 

3. Giải pháp đánh giá, phân tích bảo mật mã nguồn HPE Security Fortify Static Code Analyzer (SCA)
HPE Security Fortify Static Code Analyzer (SCA) là một công cụ đánh giá và phân tích lỗ hổng dựa trên việc quét mã nguồn của ứng dụng. SCA xác định nguyên nhân của các lỗ hổng bảo mật phần mềm và cung cấp chính xác kết quả phân tích từ đó giúp các nhà phát triển có hướng khắc phục.

Tính năng của SCA

  • Language support:
    ABAP/BSP
    ActionScript/MXML (Flex)
    ASP.NET, VB.NET, C# (.NET)
    C/C++
    Classic ASP (w/VBScript)
    COBOL
    ColdFusionCFML
    HTML
    Java (including Android)
    JavaScript/AJAX
    JSP ... 
  • Supported IDEs
    Eclipse
    IntelliJ Ultimate
    IntelliJ Community Android Studio
    IBM Rational Application Developer (RAD)
    IBM Rational Software Architect (RSA)
    Microsoft® Visual Studio
  • Supported Build Tools
    Ant
    Jenkins
    Maven
    MSBuild
    Xcodebuild

 

4. Giải pháp đánh giá sự tuân thủ các chính sách kiểm toán, hệ điều hành, hệ quản trị cơ sở dữ liệu...  CIS Configuration Assessment Tool (CIS-CAT)

CIS-CAT là một công cụ viết bằng Java. Công cụ so sánh cấu hình của hệ thống được mang ra đánh giá với CIS Benchmarks sau đó đưa ra báo cáo điểm phù hợp trên thang điểm từ 0-100. CIS-CAT giúp bạn đánh giá chính sách kiểm toán (chính sách audit, Users Rights, Windows Firewall, ...), đánh giá hệ thống quản trị cơ sở dữ liệu (mysql, oracle ...), đánh giá cấu hình máy chủ...

CIS-CAT hỗ trợ đánh giá rất nhiều hệ điều hành, hệ thống quản trị cơ sở dữ liệu:

Amazon Linux 2014.09, v1.1.0 (OVAL XML also available)

Apache Tomcat 5.5-6.0 Benchmark v1.0.0

Apple OSX 10.5 Benchmark v1.1.0

Apple OSX 10.6 Benchmark v1.0.0

Apple OSX 10.8 Benchmark v1.3.0

Apple OSX 10.9 Benchmark v1.2.0

Apple OSX 10.10 Benchmark v1.1.0

Apple OSX 10.11 Benchmark v1.0.0

CentOS Linux 6 Benchmark v1.1.0 (OVAL XML also available)

CentOS Linux 7 Benchmark v1.1.0 (OVAL XML also available)

Cisco IOS 15 Benchmark v4.0.0 (OVAL XML also available)

Debian Linux Benchmark v1.0.0

Debian Linux 7 Benchmark v1.0.0 (OVAL XML also available)

Debian Linux 8 Benchmark v1.0.0 (OVAL XML also available)

Google Chrome 46 Benchmark v.1.0.0 (OVAL XML also available)

HP-UX 11i Benchmark v1.4.2

IBM AIX 4.3-5.1 Benchmark v1.0.1

IBM AIX 5.3-6.1 Benchmark v1.1.0

IBM AIX 7.1 Benchmark v1.1.0

MIT Kerberos 1.10 Benchmark v1.0.0 (OVAL XML also available)

Microsoft Office 2013 Benchmark v1.0.0 (OVAL XML also available)

Microsoft Office Access 2013 Benchmark v1.0.0 (OVAL XML also available)

Microsoft Office Excel 2013 Benchmark v1.0.0 (OVAL XML also available)

Microsoft Office Outlook 2013 Benchmark v1.0.0 (OVAL XML also available)

Microsoft Office PowerPoint 2013 Benchmark v1.0.0 (OVAL XML also available)

Microsoft Office Word 2013 Benchmark v1.0.0 (OVAL XML also available)

Microsoft Internet Explorer 10 Benchmark v1.1.0 (OVAL XML also available)

Microsoft Internet Explorer 11 Benchmark v1.0.0 (OVAL XML also available)

Microsoft Internet Information Services (IIS) 7/7.5, v1.6.0 (OVAL XML also available)

Microsoft Internet Information Server (IIS) 8/8.5 Benchmark v1.3.0 (OVAL XML also available)

Microsoft SQL Server 2008 R2 Database Engine Benchmark v1.2.0 (OVAL XML also available)

Microsoft SQL Server 2012 Database Engine Benchmark v1.1.0 (OVAL XML also available)

Microsoft SQL Server 2014, v1.0.0 (OVAL XML also available)

Microsoft Windows 2003 Member Server Domain Controller Benchmark v3.1.0 (OVAL XML also available)

Microsoft Windows 2008 Server Benchmark v2.1.0 (Domain Joined) (OVAL XML also available)

Microsoft Windows 2008 R2 Server Benchmark v2.1.0 (Domain Joined) (OVAL XML also available)

Microsoft Windows 2012 Server Benchmark v1.0.0 (Domain Joined) (OVAL XML also available)

Microsoft Windows 2012 R2 Server Benchmark v2.1.0 (OVAL XML also available)

Microsoft Windows XP Benchmark v3.1.0 (OVAL XML also available)

Microsoft Windows 7 Benchmark v2.1.0 (Domain Joined) (OVAL XML also available)

Microsoft Windows 8 Benchmark v1.0.0 (Domain Joined) (OVAL XML also available)

Microsoft Windows 8.1 Benchmark v2.1.0 (OVAL XML also available)

Microsoft Windows 10 Benchmark v1.0.0 (OVAL XML also available)

Mozilla Firefox 3 Benchmark v1.0.0

Mozilla Firefox 38 ESR Benchmark v1.0.0 (OVAL XML also available)

Mozilla Firefox ESR 24, v1.0.0 (OVAL XML also available)

Oracle Database 9i-10g Benchmark v2.0.1

Oracle Database 11g Benchmark v1.0.1

Oracle Database 11g R2 Benchmark v2.1.0 (OVAL XML also available)

Oracle Database 12c Benchmark v1.1.0 (OVAL XML also available)

Oracle Linux 7 Benchmark, v1.1.0 (OVAL XML also available)

Oracle MySQL Community Server 5.6 Benchmark, v1.0.0 (OVAL XML also available)

Oracle MySQL Enterprise Edition 5.6 Benchmark, v1.0.0 (OVAL XML also available)

Oracle MySQL Community Server 5.7 v1.0.0 (OVAL XML also available)

Oracle Solaris 10 Benchmark v5.2.0

Oracle Solaris 11 Benchmark v1.1.0

Oracle Solaris 11.1 Benchmark v1.0.0

Oracle Solaris 11.2 Benchmark v1.0.0

Google Chrome 46 Benchmark v.1.0.0 (OVAL XML also available)

RedHat Enterprise Linux 4 Benchmark v1.0.5

RedHat Enterprise Linux 5 Benchmark v2.2.0 (OVAL XML also available)

RedHat Enterprise Linux 6 Benchmark v1.4.0 (OVAL XML also available)

RedHat Enterprise Linux 7 Benchmark v1.1.0 (OVAL XML also available)

Slackware Linux 10.2 Benchmark v1.1.0

Solaris 2.5.1-9 Benchmark v1.3.0

SUSE Linux Enterprise Server 9 Benchmark v1.0.0

SUSE Linux Enterprise Server 10 Benchmark v2.0.0

SUSE Linux Enterprise Server 11 Benchmark v1.1.0 (OVAL XML also available)

SUSE Linux Enterprise Server 12 Benchmark v1.0.0 (OVAL XML also available)

Ubuntu 12.04 LTS Server Benchmark v1.1.0

Ubuntu 14.04 LTS Server Benchmark, v1.0.0

VMware ESX 3.5 Benchmark v1.2.0

VMware ESX 4.1 Benchmark v1.0.0

VMware ESXi 5.5 Benchmark v1.2.0 (OVAL XML also available)

 

Các công cụ đánh giá bảo mật_PentestTools_Datasheet