Bài giảng kiểm thử xâm nhập thứ 2 (Cung cấp môi trường thực hành 2)

Nạn nhân đang gia tăng do các vụ lừa đảo tài chính như lừa đảo qua điện thoại (voice phishing), URL, mobile, tài khoản, sử dụng thẻ, internet banking, xác thực ARS và nhiều loại khác. Gần đây, các thủ đoạn hack và lừa đảo đang được tăng cường bằng cách khai thác các lỗ hổng như open banking, thanh toán đơn giản (pay), tăng cường thủ đoạn lừa đảo, hacker sử dụng thông tin cá nhân bị rò rỉ, chiếm quyền kiểm soát PC và mobile của bản thân. Cơ quan quản lý tài chính và các công ty tài chính không công khai cụ thể quy trình tai nạn và phương pháp hack liên quan đến người tiêu dùng tài chính, khiến sự hiểu lầm của những người chưa từng hack ngày càng lớn. Nhận thức được tính nghiêm trọng này qua các thông tin từ xung quanh, chúng tôi đã sản xuất tài liệu giáo dục. Mong rằng quý vị sẽ nhận thức chính xác về hack, đồng thời hiểu rõ luật pháp và chính sách liên quan để thiết lập hệ thống phòng ngừa trước và tăng cường phương án đối phó phù hợp. (Khi xảy ra sự cố, bản thân phải chịu trách nhiệm theo luật hiện hành)

- Tăng cường hiểu biết về việc kiểm tra theo các hạng mục đánh giá tác động thông tin cá nhân - Tìm kiếm và cải thiện lỗi trong sơ đồ luồng thông tin cá nhân - Xác định và cải thiện các yếu tố xâm phạm thông tin cá nhân - Hiểu biết về đánh giá tác động thông tin cá nhân và tìm kiếm lỗi - Hiểu biết về Luật Bảo vệ Thông tin Cá nhân và tìm kiếm lỗi

- Giáo dục kiểm tra chứng nhận hệ thống quản lý bảo mật thông tin và bảo vệ thông tin cá nhân hàng đầu quốc gia của khu vực công và tư nhân - Chuẩn bị tăng cường chứng nhận ISMS-P do việc thiết lập đối책tổng hợp bảo mật thông tin - Giáo dục kiểm tra GAP hệ thống quản lý và thiết lập kế hoạch cải thiện - Giáo dục từng loại: kiểm tra ban đầu ISMS-P, kiểm tra hậu kiểm, kiểm tra gia hạn - Giáo dục chuyên môn bảo mật thông tin để đạt được chứng nhận doanh nghiệp có trình độ bảo mật thông tin xuất sắc

- Đào tạo chuyên sâu chuẩn bị cho kỳ đánh giá chứng nhận ISMS-P của Viện Bảo mật Tài chính (FSI) - Nắm bắt luồng công việc bảo mật thông tin và lập kế hoạch cải thiện cho các công ty Fintech và tài chính điện tử - Quy trình đăng ký đánh giá chứng nhận ISMS-P sau khi phân tích và đánh giá lỗ hổng cơ sở hạ tầng tài chính điện tử theo Quy định giám sát tài chính điện tử - Cải thiện quy trình ứng phó sự cố xâm nhập và hướng dẫn ứng phó rò rỉ dữ liệu của các công ty tài chính - Bí quyết lập sơ đồ luồng thông tin cá nhân, thiết lập hệ thống quản lý thông tin tín dụng cá nhân và nộp báo cáo kết quả vận hành theo Luật Thông tin tín dụng

Gần đây, vụ rò rỉ thông tin cá nhân của Coupang đã được ghi nhận là vụ rò rỉ thông tin cá nhân lớn nhất trong lịch sử Hàn Quốc, với thông tin cá nhân của toàn bộ công dân Hàn Quốc bị rò rỉ. Tuy nhiên, vấn đề về tính hiệu quả của ISMS-P đã được kết thúc bằng các biện pháp cải thiện vô nghĩa như mô phỏng tấn công mạng, hủy bỏ chứng nhận, v.v. Coupang và các công ty khác từng là đối tượng của chế độ đánh giá chính sách xử lý thông tin cá nhân do Ủy ban Bảo vệ Thông tin Cá nhân thực hiện năm 2024, tính đến ngày 11 tháng 12 năm 2025, vẫn đang vận hành sai hơn 10 tiêu chí của chế độ đánh giá. Lý do là do vấn đề con người, bao gồm đội ngũ bảo vệ thông tin cá nhân của Coupang - những chuyên gia hàng đầu trong và ngoài nước, cũng như các kiểm toán viên ISMS-P - những người có trình độ chuyên môn cao nhất về bảo vệ thông tin cá nhân trong và ngoài nước. Rõ ràng là với kiến thức cơ bản về Luật Bảo vệ Thông tin Cá nhân, có thể ngăn chặn được vụ rò rỉ thông tin cá nhân này cũng như tất cả các vụ rò rỉ thông tin cá nhân tại G-Market, Netmarble, SKT, KT, LG U+, v.v. Tuy nhiên, thực tế là các vụ việc liên tục xảy ra do vấn đề con người, kiểm tra trước không đầy đủ và sự khác biệt trong cách giải thích pháp luật, dẫn đến thông tin cá nhân của khách hàng không được bảo vệ hoặc các biện pháp bảo vệ phù hợp không được thiết lập và vận hành. Thông qua khóa học này, với mong muốn bảo vệ thông tin cá nhân vì khách hàng thông qua phương pháp kiểm tra thông tin cá nhân đúng đắn và đào tạo chuyên môn để giải quyết các điểm mù, bạn có thể trang bị kỹ năng đánh giá thông tin cá nhân một cách minh bạch và khách quan.

Trong bối cảnh lo ngại của khách hàng ngày càng gia tăng do các vụ rò rỉ thông tin cá nhân mở rộng, các doanh nghiệp cho đến nay đã vận hành hệ thống quản lý không thể nhận diện và thực hiện các biện pháp an toàn thông tin cá nhân đúng cách thông qua việc vận hành hệ thống nghiệp vụ theo tiêu chuẩn ISMS-P/ISO27701 (luật sư, v.v.) và thử nghiệm xâm nhập mô phỏng (cấu thành RED TEAM, ví dụ: Coupang) bởi những người đoạt giải tại các cuộc thi hacking trong và ngoài nước, và ngay cả những doanh nghiệp chưa xảy ra sự cố cũng đang trong tình trạng có thể bị rò rỉ bất cứ lúc nào -Lý do là vì người phụ trách thông tin cá nhân đang tự tạo ra các điểm mù không được quản lý như phương pháp xin đồng ý từ khách hàng không đầy đủ và việc nhận diện tình hình xử lý thông tin cá nhân không đầy đủ -→Do đó, cần cải thiện nghiệp vụ để chia sẻ các khoản phạt vi phạm hành chính/phạt tiền (hiện tại tính đến ngày 8/12/2025) liên quan đến đơn đồng ý và chính sách xử lý của các doanh nghiệp trong nước, nhằm công khai minh bạch với khách hàng về chuyên môn của người phụ trách thông tin cá nhân và các biện pháp an toàn bảo vệ thông tin cá nhân đúng cách

Các tập đoàn lớn, tổ chức tài chính và hầu hết các doanh nghiệp không chỉ thực hiện mô phỏng tấn công mà còn tiến hành mô phỏng xâm nhập Gần đây, cần thiết lập công việc mới và đảm bảo năng lực có thể thực hiện xâm nhập theo đúng thuật ngữ RED TEAM Do đó, ngoài mô phỏng tấn công WEB, APP đơn thuần, sau khi phát hiện kịch bản có thể xâm nhập server Mở khóa đào tạo có thể thực hành rò rỉ thông tin cá nhân quy mô lớn +Cung cấp môi trường server và website có thể thực hiện mô phỏng xâm nhập +Chia sẻ công cụ tấn công và phương pháp tấn công

- Đây là dự án thực hành tấn công mô phỏng bằng cách cài đặt ứng dụng thực tế trên điện thoại và sử dụng công cụ hacking theo tiêu chuẩn kiểm tra cơ sở hạ tầng tài chính điện tử và tiêu chuẩn kiểm tra dịch vụ công cho ứng dụng di động. - Đây là khóa học giúp bạn hiểu về tấn công mô phỏng đối với ứng dụng di động, xóa bỏ nỗi sợ hãi, đồng thời học được bí quyết kiểm tra, cách viết báo cáo kết quả và phương thức giao tiếp.

- Cung cấp môi trường mô phỏng tấn công và công cụ kiểm tra - Thực hành mô phỏng tấn công WEB theo bản sửa đổi 2025 của Cơ sở hạ tầng thông tin liên lạc chủ chốt - Thực hành mô phỏng tấn công WEB theo bản sửa đổi 2025 của Cơ sở hạ tầng tài chính điện tử - Đánh giá và chia sẻ về các lỗ hổng bảo mật tồn tại trên trang web - Đào tạo về phương pháp viết báo cáo mô phỏng tấn công và phương án cải thiện

Đào tạo phương pháp kiểm tra các hạng mục kiểm tra hệ thống quản lý đám mây trong tiêu chuẩn đánh giá phân tích lỗ hổng cơ sở hạ tầng tài chính điện tử Kiểm tra việc áp dụng các biện pháp bảo vệ theo yêu cầu của quy định giám sát tài chính điện tử phù hợp với từng môi trường đám mây và ảo hóa Tổng hợp các nội dung cần bao gồm trong việc thiết lập quy định và quy trình bảo mật đám mây Đảm bảo tài liệu chứng minh cho công việc liên quan đến đánh giá và chứng nhận môi trường đám mây

- Học về các hạng mục đánh giá bảo mật thông tin thường xuyên được thực hiện hàng năm đối với các công ty tài chính, Tăng cường khả năng chuẩn bị và ứng phó với tư cách là người phụ trách bảo mật tài chính - Học dựa trên các trường hợp đánh giá bảo mật thông tin thường xuyên đạt cấp độ cao nhất, Giáo dục bí quyết đạt được và duy trì cấp độ cao nhất trong đánh giá bảo mật thông tin thường xuyên

-Hiểu được các trường hợp ưu việt theo từng hạng mục kiểm tra hệ thống quản lý cơ sở hạ tầng tài chính điện tử đối với các công ty tài chính được kiểm tra hàng năm, có thể áp dụng để đưa ra các nhiệm vụ cải thiện hệ thống quản lý phòng chống sự cố xâm hại và sự cố rò rỉ thông tin phù hợp -Trình bày các trường hợp hệ thống quản lý có thể thiết lập cùng với việc thiết lập hệ thống quản lý và chứng nhận ISMS-P/ISO27001 dành cho người phụ trách bảo mật tài chính -Cung cấp tài liệu ưu việt cho freelancer kiểm tra hệ thống quản lý cơ sở hạ tầng tài chính điện tử và việc sử dụng các trường hợp hệ thống quản lý dành cho người phụ trách bảo mật làm việc tại doanh nghiệp -Giáo dục chuyên môn dành cho giới công nghiệp, học thuật, pháp lý bao gồm các nhà tư vấn và R&D cần giáo dục bổ sung về hệ thống quản lý cơ sở hạ tầng tài chính điện tử theo Luật giao dịch tài chính và Quy định giám sát tài chính điện tử

- Tiêu chuẩn sổ tay đánh giá mức độ bảo vệ thông tin cá nhân năm 2025 - Đề xuất phương án áp dụng các trường hợp thực tiễn xuất sắc về thông tin cá nhân của 1% cơ quan công hàng đầu - Phân tích các yếu tố trừ điểm theo từng chỉ tiêu định lượng và định tính - Trình bày các trường hợp áp dụng dữ liệu tổng hợp (PETs - công nghệ tăng cường bảo vệ thông tin cá nhân) để đảm bảo điểm số chỉ tiêu công nghệ mới (điểm cộng) - Cung cấp các trường hợp đảm bảo khu vực an toàn để sử dụng thông tin cá nhân, sản xuất hướng dẫn, thành tích công khai, trường hợp báo cáo CEO, v.v.

- Xây dựng sổ tay ứng phó sự cố xâm nhập và kế hoạch huấn luyện - Giới thiệu các trường hợp huấn luyện mô phỏng xâm nhập, DDoS, APT, v.v. - Chia sẻ chiến lược bảo mật thông tin trung và dài hạn (~2027 hoặc ~2030) của các doanh nghiệp hàng đầu trong nước - Giới thiệu các hoạt động bảo mật thông tin của các doanh nghiệp hàng đầu trong nước - Giáo dục về trường hợp áp dụng hệ thống bảo mật tự chủ (RMF) và Zero Trust của các công ty tài chính điện tử

- Hiểu về việc thiết lập và kiểm tra hệ thống quản lý thông tin cá nhân theo Luật Bảo vệ Thông tin Cá nhân - Kiểm tra và nắm bắt hiện trạng các hệ thống xử lý thông tin cá nhân - Lập bảng và sơ đồ luồng thông tin cá nhân - Rút ra các yếu tố xâm phạm thông tin cá nhân - Công khai bản tóm tắt đánh giá tác động thông tin cá nhân

- Sửa đổi chính sách để thiết lập hệ thống quản lý đám mây (hợp đồng CSP/MSP và hợp đồng SaaS) - Kiểm tra lỗ hổng bảo mật để đối phó với chứng nhận ISMS-P/ISO27001 của môi trường đám mây hoặc cơ sở hạ tầng thông tin liên lạc/tài chính điện tử chủ chốt (nhận diện tài sản công cộng/riêng tư và xử lý lỗ hổng bảo mật) - Vận hành bảo mật môi trường đám mây và ứng phó sự cố xâm nhập - Đối phó chứng nhận ISO27017&ISO27018

Xây dựng và nộp báo cáo kết quả hoạt động hàng năm, bao gồm thiết lập quy định bảo mật thông tin và chuẩn bị các minh chứng hoạt động dựa trên tiêu chuẩn đánh giá rủi ro cho lĩnh vực quản lý và vật lý của Cơ sở hạ tầng thông tin liên lạc trọng yếu (sửa đổi nửa cuối năm 2025), áp dụng các chứng nhận trong và ngoài nước liên quan đến hệ thống quản lý bảo mật thông tin cùng tiêu chuẩn kiểm toán nội bộ/bên ngoài. Chuẩn bị sẵn sàng cho các thay đổi môi trường bên ngoài (AI, v.v.), thay đổi môi trường nội bộ (hệ thống mới và thay đổi nhân sự/nhân viên bên ngoài), thiết lập kế hoạch hoạt động nhằm nâng cao mức độ bảo mật thông tin so với năm ngoái, cũng như các nội dung sửa đổi luật pháp và các chỉ số đánh giá mới. Đặc biệt, kiểm tra khách quan và chi tiết các hoạt động nhằm tăng cường hệ thống phòng ngừa sự cố như rò rỉ thông tin cá nhân do tấn công mạng; thiết lập kế hoạch để trụ sở chính có thể quản lý, giám sát tất cả các bộ phận và các đơn vị thuê ngoài một cách an toàn; vận hành hệ thống DevSecOps theo việc thiết lập hệ thống AI mới; vận hành hệ thống kiểm tra tính phù hợp của PbD (Privacy by Design), v.v. Dựa trên việc thực hiện mở rộng phạm vi giám sát và báo cáo kiểm tra định kỳ, các khu vực công khai bên ngoài, kiểm tra hệ thống liên kết dữ liệu (API, MyData, v.v.), thiết lập kế hoạch cải thiện phân tách mạng theo N2SF, và nâng cao ứng dụng Zero Trust. *Sở hữu hơn 150 tham chiếu (reference) về thiết lập và áp dụng kế hoạch tăng cường hệ thống và hoạt động bảo mật thông tin & bảo vệ thông tin cá nhân cấp độ cao nhất, đầu tiên trên thế giới.

Truyền đạt bí quyết kiểm tra cơ sở hạ tầng tài chính điện tử năm 2025 (ảo hóa OS, ảo hóa container) và Truyền đạt bí quyết kiểm tra cơ sở hạ tầng thông tin liên lạc chính năm 2025 hạ bán niên đã được sửa đổi (CA,HV) Đặc biệt, cung cấp đánh giá Risk cho hypervisor trung tâm (ESXi, Xenserver) với phiên bản mới nhất Ngoài ra, bổ sung cung cấp đánh giá Risk cho K8S(Kubernetes_master), Docker, v.v. Cuối cùng, cung cấp kết quả phân tích đánh giá lỗ hổng phù hợp với tiêu chuẩn CSAP(chứng nhận hệ thống quản lý cloud) **Cung cấp phương án cài đặt ESXi,Kubernetes master,Docker,Xencenter

Đào tạo nhằm xây dựng phương án đánh giá rủi ro cho thiết bị mạng, thiết bị bảo mật và hệ thống điều khiển theo tiêu chuẩn Cơ sở hạ tầng thông tin truyền thông trọng yếu được sửa đổi vào nửa cuối năm 2025, đồng thời kết hợp bí quyết nhiều năm để loại bỏ lỗ hổng thông qua kiểm tra và biện pháp khắc phục nhanh chóng, chính xác. Đặc biệt, kỳ vọng vào nỗ lực đảm bảo tốc độ kiểm tra và kế hoạch cải thiện theo việc chỉ định phạm vi chứng nhận ISMS-P và ISO27001. Trải nghiệm thực tế với thiết bị mạng, thiết bị bảo mật và hệ thống điều khiển – những thành phần vốn khó thiết lập môi trường do khả năng tiếp cận thấp hơn so với Server, DB, WEB, WAS, PC và Cloud (Public, Private).

Phân tích đánh giá lỗ hổng hạ tầng tài chính điện tử theo tiêu chuẩn năm 2025, DBMS, WAS(PaaS), PC được giải thích theo tiêu chuẩn hạ tầng thông tin và truyền thông quan trọng được sửa đổi vào nửa cuối năm 2025 Và, mô phỏng tấn công được giải thích theo tiêu chuẩn được sửa đổi vào nửa cuối năm 2025 Thêm vào đó là mô phỏng tấn công di động Kỳ vọng nâng cao kỹ năng thông qua việc truyền đạt bí quyết và phương án kiểm tra nhanh chóng, chính xác cùng phương án khắc phục

- Tăng cường hiểu biết về việc kiểm tra theo các hạng mục đánh giá tác động thông tin cá nhân - Tìm kiếm và cải thiện lỗi trong sơ đồ luồng thông tin cá nhân - Xác định và cải thiện các yếu tố xâm phạm thông tin cá nhân - Hiểu biết về đánh giá tác động thông tin cá nhân và tìm kiếm lỗi - Hiểu biết về Luật Bảo vệ Thông tin Cá nhân và tìm kiếm lỗi

- Cung cấp môi trường mô phỏng tấn công và công cụ kiểm tra - Thực hành mô phỏng tấn công WEB theo bản sửa đổi 2025 của Cơ sở hạ tầng thông tin liên lạc chủ chốt - Thực hành mô phỏng tấn công WEB theo bản sửa đổi 2025 của Cơ sở hạ tầng tài chính điện tử - Đánh giá và chia sẻ về các lỗ hổng bảo mật tồn tại trên trang web - Đào tạo về phương pháp viết báo cáo mô phỏng tấn công và phương án cải thiện

Đây là khóa học chuẩn bị cho kỳ thi lý thuyết của chứng chỉ kỹ sư bảo mật thông tin, giúp bạn tóm tắt ngắn gọn các lý thuyết cốt lõi và tăng cường cảm giác thực tế thông qua việc giải quyết các bài tập. Hãy tiến thêm một bước nữa để đạt được chứng chỉ kỹ sư bảo mật thông tin bằng cách phân tích các câu hỏi đã ra và chiến lược chuẩn bị thực tế.

Đây là khóa học chuẩn bị cho kỳ thi lý thuyết của chứng chỉ kỹ sư bảo mật thông tin, giúp bạn tóm tắt ngắn gọn các lý thuyết cốt lõi và tăng cường cảm giác thực tế thông qua việc giải quyết các bài tập. Hãy phân tích các câu hỏi đã ra và áp dụng các chiến lược chuẩn bị thực tế để tiến thêm một bước nữa đến việc đạt được chứng chỉ kỹ sư bảo mật thông tin.

Đây là khóa đào tạo lý thuyết/thực hành để chuẩn bị cho kỳ thi chứng chỉ kiểm tra viên ISMS-P năm 2025. Đây là phiên bản mở rộng bao gồm cả ISMS-P thông thường và ISMS-P tài chính.

"Quản lý Bảo mật Công nghiệp Quốc gia" - Đã hoàn tất cập nhật phiên bản mới nhất!! Lịch thi năm 2026 dự kiến sẽ được thông báo trong khoảng từ tháng 2 đến tháng 3 trên trang web (https://license.kaits.or.kr/license/web/board/brdList.do?menu_cd=000021). Khóa học này được thiết kế với mục tiêu giúp học viên đạt được chứng chỉ Quản lý Bảo mật Công nghiệp Quốc gia, đồng thời có thể hiểu một cách hệ thống về bảo mật công nghiệp dưới góc độ quản lý. Thay vì phương pháp học thuộc lòng, nội dung khóa học được hệ thống hóa các khái niệm, cấu trúc và quy trình của bảo mật công nghiệp để ngay cả những người không chuyên cũng có thể hiểu được, giúp học viên không chỉ chuẩn bị tốt cho kỳ thi mà còn có thể áp dụng vào thực tiễn và mở rộng cơ hội nghề nghiệp.

Khóa học này đã tuyển chọn những hệ thống cốt lõi mà người mới bắt đầu cần phải biết trong lĩnh vực bảo mật thông tin rộng lớn. Thay vì lý thuyết khô khan, khóa học được cấu trúc để hiểu trực quan nguyên lý của hệ thống thông qua những ví dụ rõ ràng và các trường hợp thực tế. Chỉ với một khóa học này, bạn có thể nắm bắt được bức tranh tổng thể của toàn bộ hệ thống bảo mật thông tin và phát triển năng lực thực tế.

Đây là khóa học trực tuyến giúp bạn học tập các nội dung cốt lõi để đạt chứng chỉ, từ khái niệm cơ bản về bảo mật thông tin đến các vấn đề bảo mật mới nhất. Với lý thuyết phản ánh xu hướng ra đề thi mới nhất và các đề thi thử thực chiến, bạn có thể chuẩn bị kỳ thi một cách hiệu quả, đồng thời khóa học được thiết kế để những người mới bắt đầu với bảo mật thông tin cũng có thể dễ dàng theo kịp.

Khóa học này giúp bạn học từng bước các kỹ thuật thực tế của Docker (cài đặt→vận hành→tự động hóa→bảo mật), và mỗi phần đều bao quát rộng rãi các mối đe dọa bảo mật mới nhất cùng với các biện pháp đối phó. Đặc điểm nổi bật là phương pháp học tập thông qua thực hành, giúp bạn làm quen trực tiếp bằng cách thực hiện. Đây là chương trình học được khuyến khích mạnh mẽ cho tất cả DevOps, kỹ sư hạ tầng, và nhân viên bảo mật thực tế muốn trải nghiệm hiện trường container/cloud mới nhất.

Đây là khóa học giúp chấm dứt các lỗ hổng vận hành trên máy chủ Linux do sai sót về quyền truy cập (Permission). Hãy hệ thống hóa hoàn toàn việc kiểm soát quyền hạn tệp tin/thư mục theo tiêu chuẩn thực tế.

Bạn có thể hiểu các khái niệm và công nghệ blockchain cũng như tham gia đánh giá chứng nhận ISMS-P chuyên dành cho trao đổi tài sản ảo.