Chưa phân loại

Phát triển ứng dụng bảo mật

Đăng vào bởi Trịnh Tú
27
Th7

Công nghệ

Ngôn ngữ lập trình

  • Perl
  • Trăn
  • Javascript
  • SQL
  • Công nghệ đám mây

Tiêu chuẩn

  • OWASP ASVS
  • MASVS                
  • NIST (SP) 800–218
  • Tiêu chuẩn ISO 27034
  • Kiểm soát CIS 16
  • PCI DSS
  • KHÔNG
  • OSSTMM 

Công cụ

  • Nessus, Qualys, BurpSuite, OWASP ZAP
  • SonarQube, MobSF
  • Aircrack-NG, OpenVas
  • Kali, WireShark, Metasploits, NMAP

Nền tảng

  • Đám mây (AWS, GCP, Azure, Đám mây riêng)
  • ONPREM
  • lai

Cơ sở dữ liệu lỗ hổng

  • Top 10 OWASP, Top 10 di động OWASP
  • CVE
  • Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST)
  • KHAI THÁC DB

Khung an ninh mạng NIST

  • Phòng ngừa mất dữ liệu
  • Nhà môi giới bảo mật truy cập đám mây (CASB)
  • Cách ly trình duyệt an toàn
  • Cổng web an toàn, Kiểm tra SSL

ISMAP

ACR (Kết xuất không cần máy khách thích ứng)

Bộ kỹ năng

Kỹ năng bảo mật mạng và điểm cuối

  • Tường lửa, Hệ thống phát hiện/ngăn chặn xâm nhập 
  • Phần mềm diệt vi-rút, phần mềm chống phần mềm độc hại, mã hóa thiết bị
  • Giám sát và điều tra mạng: Kali, WireShark, Metasploit, NMAP, Aircrack-NG, OpenVas

Kỹ năng bảo mật đám mây và bảo vệ dữ liệu

  • Cấu hình đám mây an toàn, Giám sát đám mây
  • Sao lưu thường xuyên, Mã hóa dữ liệu
  • Thực hành mã hóa an toàn (Perl, Python, JavaScript, SQL, Cloud Tech)
  • Nền tảng đám mây an toàn (AWS, GCP, Azure, Đám mây riêng, Kết hợp, ONPREM)
  • Kết xuất không cần máy khách thích ứng (ACR), Cổng web an toàn
  • Tích hợp bảo mật DevSecOps & CI/CD

Kỹ năng nhận thức và tuân thủ an ninh

  • Đào tạo nhân viên, mô phỏng lừa đảo
  • Tiêu chuẩn và tuân thủ bảo mật: Khung an ninh mạng NIST, PCI DSS, ISO 27034, Kiểm soát CIS 16

Kỹ năng phát hiện mối đe dọa và ứng phó sự cố

  • SIEM (Quản lý sự kiện và thông tin bảo mật) – Giám sát thời gian thực, Cảnh báo tự động
  • Thông tin tình báo về mối đe dọa – Nguồn cấp dữ liệu về mối đe dọa, Phân tích mối đe dọa
  • Quản lý lỗ hổng – Quét web, ứng dụng và cơ sở hạ tầng (Nessus, Qualys, BurpSuite, OWASP ZAP)
  • Kiểm tra thâm nhập – Kiểm tra bảo mật web, đám mây và di động

Kỹ năng quản lý danh tính và truy cập

  • Xác thực đa yếu tố (MFA), Kiểm soát truy cập dựa trên vai trò (RBAC)
  • Quản lý danh tính và truy cập: Microsoft, Duo, Okta

Nghiên cứu điển hình

Hệ thống VoIP dựa trên nền tảng đám mây

Quét lỗ hổng

Kiểm tra giao thức Fuzzing

Cổng cung cấp VoIP của nhà mạng

Hệ thống quản lý phần tử

Nền tảng phân tích

Tích hợp SAST CI​

DAST với Invicti

Quản lý bí mật tập trung

Triển khai và thử nghiệm cách ly email có tính khả dụng cao

Giải pháp truy cập ứng dụng an toàn Zero Trust

HEAT Shield – Tích hợp ML/AI

Tích hợp AI tạo sinh

Tích hợp Trình quản lý tư thế trình duyệt

Phát hiện mối đe dọa mạng bằng AI

Tích hợp an ninh mạng doanh nghiệp

Hệ thống truyền thông bảo mật VoIP

Bảo mật mạng thoại doanh nghiệp

SCAMGUARD

Hệ thống đang được thử nghiệm: dịch vụ dựa trên đám mây kết nối an toàn các đường dây điện thoại, số điện thoại và gói dịch vụ mới hoặc hiện có với Microsoft Teams
Phương pháp thử nghiệm: Greybox
Thể loại thử nghiệm: Dịch vụ dựa trên đám mây
Công cụ sử dụng: Burp Suite Professional
Quy trình thử nghiệm:
  1. Tìm lỗ hổng trong tính năng email xác nhận đơn hàng.
  2. Chèn các phần mềm độc hại và gửi đến khách hàng tiềm năng
Tóm tắt các vấn đề được tìm thấy:
  1. Email độc hại có người gửi thực sự, xác thực
Hệ thống VoIP dựa trên nền tảng đám mây
Trịnh Tú