Dịch vụ kiểm thử thủ công

Dịch vụ kiểm thử thủ công được Trustwave tiến hành qua cổng Managed Security Testing (MST) nhằm xác định các lỗ hổng bảo mật tồn tại trên networks, applications và databases của doanh nghiệp nhằm xác định nguồn gốc và phương pháp của rủi ro an ninh và giúp đội IT khắc phục.

Phương pháp
Phương pháp của Trustwave MST gồm 3 bước cơ bản
1. Rà soát và thăm dò
2. Kiểm thử thủ công
3. Báo cáo

1. Rà soát và thăm dò
Quy trình bắt đầu bằng việc thăm dò. Bước đầu tiên của quy trình là phát hiện các tài sản IT cần được rà soát và kiểm thử. Đây là giai đoạn thu thập thông tin khi xác định các mục tiêu và quyết định đối tác được kiểm thử, đối với cả ứng dụng và network.
Khi một ứng dụng được kiểm thử cần phải hiểu được cấu trúc của ứng dụng, thông tin chi tiết của ứng dụng phải rõ ràng và cấu trúc thông tin của ứng dụng cần phải được xác định.
Khi kiểm thử một network, việc rà soast các port sẽ được tiến hành trước tiên nhằm xác định cá dịch vụ sẽ được kiểm thử. Khi hoàn tất quá trình rà soát và thăm dò cũng là lúc bắt đầu quá trình kiểm thử thủ công.

2. Manual Testing
Mục đích của việc kiểm thử thủ công là xác định các lỗ hổng an ninh tồn tại tồn tại trên ứng dụng và network được kiểm thử và tìm cách khai thác – hành vi này được gọi là hacker “đạo đức”. Với kiểm thử thủ công, bạn ủy quyền cho các chuyên gia SpiderLabs tấn công ứng dụng và network theo các công nghệ và hành vi của hacker nhằm:
– Khai thác hệ thống
– Xác định rủi ro
– Xác nhận rủi ro
– Cố gắng khai thác dữ liệu
– Thực hiện đảm bảo kết quả (QA)
Khi xác định được các rủi ro nghiêm trọng, bạn sẽ được cảnh báo. Khi các tester hoàn thành báo cáo, kiểm soát chất lượng sẽ kiểm tra và xác nhận báo cáo

3. Reporting
Báo cáo được gửi cho khách hàng qua TrustKeeper® MST portal. Trong suốt quá trình kiểm thử, bạn sẽ luôn theo dõi được kết quả và tiến trình. Kết quả và bằng chứng sẽ được gửi kèm báo cáo qua cổng MST portal.

Ma trận dịch vụ và cấp độ

Trustwave cung cấp dịch vụ kiểm thử thủ công cho
– External Network Testing
– Internal Network Testing
– Application Scanning
– Application Testing
– Database Scanning

Với các cấp độ như sau:

External Network Testing

28

Internal Network Testing

29
Application Testing

30
Application Scanning

31
Rà soát database

32