Chuyển đến nội dung chínhCyStack BaseCheck chia hệ thống thành 4 cấp độ bảo mật: A, B, C, D. Áp dụng được cho hệ thống web hoặc hạ tầng công khai (Internet-facing)
🟢 Cấp độ A - An toàn cao
Hệ thống được cấu hình chuẩn, không phát hiện rủi ro rõ rệt
- Không có tài khoản/email bị rò rỉ
- TLS chỉ hỗ trợ chuẩn mạnh (TLS 1.2+ với cipher hiện đại, không có CBC/RSA)
- Không có lỗ hổng bảo mật nào được phát hiện
- Không bị liệt vào blacklist nào
- Các subdomain đều bảo mật tốt (HTTPS, không lộ panel)
- Chỉ mở cổng phổ biến và hợp lệ (80, 443, 22…)
- Phát hiện có WAF hoặc firewall bảo vệ
🟡 Cấp độ B - Tốt, cần cải thiện nhẹ
Có một vài điểm yếu nhỏ, nhưng chưa ảnh hưởng nghiêm trọng
- Có ít hơn 5 tài khoản/email bị rò rỉ
- TLS còn chứa cipher yếu (CBC) nhưng vẫn có Forward Secrecy
- Có lỗ hổng mức độ thấp (Low)
- Một vài subdomain có lỗi nhỏ (VD: cert hết hạn, redirect lỗi)
- Các cổng mở đều hợp lý, không có dịch vụ lạ
- Có dấu hiệu WAF (VD: header, Cloudflare…)
🟠 Cấp độ C - Trung bình, tiềm ẩn rủi ro
Có lỗ hổng cấu hình rõ rệt, cần xử lý sớm
- Có nhiều hơn 10 tài khoản/email bị rò rỉ
- TLS hỗ trợ CBC/RSA hoặc TLS 1.0/1.1
- Có lỗ hổng mức Low/Medium
- Subdomain có dấu hiệu nguy hiểm (dev., admin., không có auth, exposed IP)
- Mở cổng không phổ biến (VD: 11308, 11310)
- Không phát hiện có WAF hoặc firewall
🔴 Cấp độ D - Rủi ro cao
Hệ thống có nhiều điểm yếu nghiêm trọng, có thể bị khai thác
- Bị liệt vào các blacklist (spam, malware, abuse…)
- TLS certificate hết hạn hoặc lỗi nghiêm trọng
- Subdomain lộ thông tin nhạy cảm: admin panel, debug interface
- Có lỗ hổng mức Cao (High/CRITICAL)
- Mở cổng vào dịch vụ nhạy cảm không có bảo vệ (FTP, DB, RDP…)
- Không có firewall/WAF, không có cơ chế bảo vệ nào phát hiện được
