Audit cơ bản vs chuyên sâu
Bài trước (12 mục cơ bản) phù hợp self-check. 30 mục dưới đây cần security professional / external auditor. Phù hợp doanh nghiệp B2B handling sensitive data + e-commerce volume cao.
Authentication (5 mục)
- Password policy: > 12 ký tự, hash bcrypt/Argon2, no plain.
- 2FA: SMS + TOTP (Google Authenticator). Mandatory cho admin.
- Session management: timeout sau 30 phút inactive, regenerate ID after login.
- Login attempts: lockout sau 5 fail, captcha sau 3 fail.
- Password reset: token unique, expire 1 giờ, single-use.
Authorization (5 mục)
- Role-based access control (RBAC).
- Principle of least privilege (mỗi user min permissions).
- Direct object reference check (user xem URL /order/123 không phải của mình → 403).
- API authorization (mỗi API endpoint check permission).
- Audit log mọi sensitive action (create order, view financial data).
Data protection (5 mục)
- Encryption at rest (TDE cho database).
- Encryption in transit (TLS 1.2+, HSTS).
- Sensitive data masking (CCCD, credit card show ****1234).
- Backup encryption + offsite.
- Data retention + deletion policy.
Network / Infrastructure (5 mục)
- Firewall + WAF (Cloudflare WAF, AWS WAF).
- DDoS protection.
- Network segmentation (DMZ, internal VLAN).
- VPN cho admin access.
- Vulnerability scan định kỳ (Qualys, Nessus).
Application (5 mục)
- OWASP Top 10 protection: SQL injection, XSS, CSRF, SSRF...
- Input validation tất cả user input.
- Output encoding chống XSS.
- CSP (Content Security Policy) header.
- Rate limiting form + API.
Operational (5 mục)
- Patch management — update plugin + framework hằng tháng.
- Security training nhân viên hằng năm.
- Incident response playbook + drill.
- Background check người có access vào production.
- Third-party risk management (vendor có access).
Pentest là gì
Penetration testing — ethical hacker (white-hat) thử exploit hệ thống của bạn. Họ tìm vulnerability → report trước attacker thật phát hiện.
3 type:
- Black box: hacker không có info → simulate external attacker.
- White box: hacker có code + diagram → comprehensive.
- Grey box: limited info → balance giữa 2.
Pentest deliverables
- Executive summary 2-3 trang cho CEO.
- Technical findings 20-100 trang với severity + remediation.
- Proof of concept cho mỗi vulnerability.
- Re-test sau khi fix.
Cost + frequency
- SME website: 30-80tr/pentest.
- E-commerce mid: 80-200tr.
- Enterprise + multiple system: 200-500tr.
- Frequency: hằng năm + sau major release.
Vietnamese pentest companies
VietSunshine, VNPT-IT, FPT IS, BKAV — các công ty pentest VN uy tín. Quốc tế: HackerOne, Bugcrowd marketplace cho bug bounty alternative.
Doanh nghiệp cần pentest + security audit comprehensive? Alodev hợp tác với 2 công ty bảo mật VN. /lien-he