Dịch vụ Đánh giá An toàn Hệ thống IoT của Viettel Security

Sự cần thiết của đánh giá hệ thống IoT


Trong những năm gần đây sự phát triển mạnh các sản phẩm IoT cho các lĩnh vực như Smart Home, Industrial Control Systems, Automotive, Energy/Utility. Việc nghiên cứu, đánh giá an toàn cho hệ thống IoT là hết sức cần thiết. Hệ thống IoT cơ bản cần được bảo vệ bao gồm các thành phần:

  • Thiết bị điều khiển trung tâm có nhiệm vụ điều khiển sensor thông qua các giao thức truyền thông IoT và mạng internet kết nối trao đổi thông tin với CLOUD.
  • Sensor có nhiệm vụ xử lý thông tin nhận được và đưa ra hành động tương ứng nghiệp vụ.
  • Mobile app, Cloud cho phép thu thập, theo dõi và điều khiển các thiết bị từ xa.

Các thành phần hardware, firmware, protocols, mobile app, cloud của IoT luôn tiềm ẩn các lỗ hổng bảo mật mà tin tặc có thể lợi dụng để khai thác, tấn công vào hệ thống.

Vì vậy, việc đánh giá, phát hiện những lỗ hổng từ các thành phần trong hệ thống IoT sẽ giúp cho tổ chức đưa ra được các kế hoạch khắc phục kịp thời, các chiến lược đảm bảo an toàn thông tin (ATTT) và hạn chế tối đa các tổn thất có thể gặp phải trong quá trình vận hành hệ thống.

Dịch vụ Đánh giá hệ thống IoT là gì?

Dịch vụ Đánh giá hệ thống IoT (IoT Security Assessment) của Công ty An ninh mạng Viettel là hình thức kiểm tra hardware, firmware và protocols và mobile app của khách hàng để đánh giá các rủi ro ATTT tiềm ẩn, từ đó đưa ra phương án xử lý kịp thời. Các mục tiêu chính của dịch vụ bao gồm:

  • Xác định các điểm yếu bảo trong phần cứng.
  • Xác định các lỗ hổng của ứng dụng, firmware.
  • Xác định các lỗ hổng giao thức IoT.
  • Xác định các lỗ hổng phía Cloud nơi chứa nhiều các thông tin khác hàng và các thiết bị.
  • Đưa ra những khuyến nghị và phương pháp khắc phục cho các điểm yếu tìm ra trong quá trình đánh giá.

Các thông tin về lỗ hổng tìm được trong quá trình đánh giá sẽ được tổng hợp và cung cấp cho khách hàng kèm theo hướng dẫn khắc phục các lỗ hổng đó.

Những điểm chính của dịch vụ

ĐÁNH GIÁ THIẾT BỊ PHẦN CỨNG

Phạm vi đánh giá phần cứng bao gồm:

  • Giao thức phần cứng UART, SPI, I2C, JTAG, …
  • Kiểm tra việc trích xuất các thông tin nhạy cảm và firmware.
  • Kiểm tra lỗi dựa trên tấn công Glitching and Side-Channel.
  • Đánh giá cơ chế bảo vệ của phần cứng.

ĐÁNH GIÁ FIRMWARE

Phạm vi đánh giá firmware bao gồm:

  • Kiểm tra lỗ hổng binary.
  • Kiểm tra lỗ hổng logic, nghiệp vụ của ứng dụng.
  • Kiểm tra các điểm yếu thư viện bên thứ bá và SDKs.

ĐÁNH GIÁ HỆ THỐNG MOBILE, CLOUD

Phạm vi đánh giá hệ thống cloud bao gồm:

  • Kiểm tra các lỗ hổng có trong cloud, webbase như XSS, Injection, IDOR, Authentication và các điểm yếu trong backend.
  • Kiểm tra Mobile App có chứa các thông tin nhạy cảm.
  • Kiểm tra các API gây mất an toàn cho hệ thống.

ĐÁNH GIÁ CÁC GIAO THỨC

Phạm vi đánh giá giao thức bao gồm:

  • Kiểm tra các điểm yếu giao thức truyền thông radio IoT: Sửa đổi và replay gói tin; Sniffing thông tin truyền và nhận; Các điểm yếu khi triển khai, cài đặt giao thức Zigbbe, zWave, LoRa, …
  • Kiểm tra các điểm yếu giao thức tầng ứng dụng MQTT, CoAPP, Socket, …
  • Kiểm tra các vấn đề lộ thông tin cá nhân khách hàng.

Quy trình đánh giá an toàn hệ thống IoT


Bước 1. NGHIÊN CỨU, KHẢO SÁT SƠ BỘ HỆ THỐNG

  • Gửi form khảo sát, tiến hành phỏng vấn khách hàng, tìm hiểu, thu thập thông tin cơ bản về hệ thống mạng của khách hàng cũng như nhu cầu của khách hàng.
  • Mục đích của nghiên cứu sơ bộ là hiểu rõ khách hàng và bản chất của mọi vấn đề tồn đọng trong hệ thống của khách hàng.

Bước 2. THỐNG NHẤT PHƯƠNG THỨC THỰC HIỆN ĐÁNH GIÁ

  • Dựa vào kết quả nghiên cứu sơ bộ, Viettel đề nghị với khách hàng phương thức thực hiện đánh giá phù hợp với hệ thống của khách hàng.

Bước 3. KIỂM TRA VÀ ĐÁNH GIÁ CÁC THÀNH PHẦN TRONG HỆ THỐNG

  • Tiến hành công tác kiểm tra, đánh giá hệ thống IoT dựa trên những hạng mục đã được tư vấn và thống nhất.

Bước 4. BÁO CÁO KẾT QUẢ ĐÁNH GIÁ AN TOÀN TRONG HỆ THỐNG

  • Gửi báo cáo các lỗ hổng phát hiện được trong quá trình đánh giá. Báo cáo này sẽ được gửi qua đường an toàn để đảm bảo thông tin về hệ thống IoT của khách hàng không bị lộ ra ngoài.

Bước 5. KHUYẾN CÁO, TƯ VẤN CÁC PHƯƠNG PHÁP KHẮC PHỤC

  • Với mỗi lỗ hổng phát hiện được trong quá trình đánh giá, các chuyên gia của Công ty An ninh mạng Viettel sẽ gửi kèm những hướng dẫn, khuyến nghị để khách hàng có thể khắc phục lỗ hổng đó.

Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.

Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:

Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668


Vina Aspire – Vững bảo mật, trọn niềm tin


Bài viết liên quan

About Us

Learn More

Vina Aspire is a leading Cyber Security & IT solution and service provider in Vietnam. Vina Aspire is built up by our excellent experts, collaborators with high-qualification and experiences and our international investors and partners. We have intellectual, ambitious people who are putting great effort to provide high quality products and services as well as creating values for customers and society.

may ao thun Kem sữa chua May o thun May o thun đồng phục Định cư Canada Dịch vụ kế ton trọn gi sản xuất đồ bộ
Translate »