PenTest là gì? Tại sao cần kiểm tra thử xâm nhập
nguồn: vietnix.vn
Pentest hay penetration testing là quá trình kiểm tra và đánh giá an ninh của hệ thống, mạng hoặc ứng dụng bằng cách giả lập các cuộc tấn công của hacker. Mục tiêu của pentest là phát hiện các lỗ hổng bảo mật, điểm yếu và các vấn đề có thể bị khai thác để từ đó đưa ra biện pháp khắc phục. Pentest không chỉ đảm bảo an toàn thông tin mà còn nâng cao nhận thức về bảo mật cho các tổ chức, giúp họ đối phó hiệu quả với các mối đe dọa ngày càng tinh vi trong thế giới kỹ thuật số.
Điểm chính cần nắm
Để giúp bạn hiểu rõ hơn về Pentest và các yếu tố liên quan, dưới đây là các nội dung chính của bài viết:
- Pentest là gì: Định nghĩa Pentest (Penetration Testing) là quá trình thử nghiệm xâm nhập để kiểm tra lỗ hổng bảo mật trong hệ thống, ứng dụng, hoặc mạng.
- Mục đích của Pentest: Nhằm phát hiện và vá các lỗ hổng trước khi kẻ tấn công có thể lợi dụng để gây hại, đảm bảo an ninh và bảo mật thông tin của hệ thống.
- Các loại Pentest: Bao gồm nhiều hình thức khác nhau như Pentest mạng, ứng dụng web, ứng dụng di động, hệ thống nội bộ, và cơ sở hạ tầng.
- Các giai đoạn của Pentest: Quy trình Pentest thường bao gồm các bước sau Thu thập thông tin (Reconnaissance), Quét và phân tích lỗ hổng (Scanning), Khai thác lỗ hổng (Exploitation), Báo cáo và khắc phục (Reporting and Remediation)
- Lợi ích của Pentest: Giúp doanh nghiệp bảo vệ dữ liệu, giảm thiểu rủi ro bị tấn công, tuân thủ các tiêu chuẩn bảo mật, và nâng cao độ tin cậy của hệ thống.
- Pentest vs Quét lỗ hổng bảo mật: Pentest là quá trình sâu hơn và chi tiết hơn so với việc quét lỗ hổng bảo mật, bao gồm cả khai thác lỗ hổng để đánh giá mức độ thiệt hại.
- Công cụ Pentest phổ biến: Một số công cụ thường dùng trong Pentest như Metasploit, Nmap, Wireshark, Burp Suite, OWASP ZAP, v.v.
PenTest là gì?
Pentest viết tắt của penetration testing (kiểm tra xâm nhập) là quá trình kiểm thử mô phỏng một cuộc tấn công an ninh mạng thực tế vào hệ thống hay phần mềm bằng cách xâm nhập trực tiếp tự động hoặc thủ công với mục đích cuối cùng là đánh giá mức độ an toàn đồng thời tìm kiếm các lỗ hổng bảo mật tiềm ẩn rủi ro.
Mục tiêu sau cùng của các bài kiểm thử này là tìm kiếm càng nhiều lỗ hổng bảo mật càng tốt, hạn chế mọi khả năng lợi dụng lỗ hổng để khai thác, đánh cắp dữ liệu từ hacker gây thiệt hại cho doanh nghiệp. Quy trình kiểm thử này thường được thực hiện trên các đối tượng IT như hệ thống máy tính, web app, mobile app, hạ tầng mạng, IoT, cloud, API, source code, v.v. Trong đó, web app và mobile app là các đối tượng phổ biến nhất được kiểm thử.
Điều quan trọng là pentester – các chuyên gia bảo mật phải được sự cho phép của chủ sở hữu hệ thống hoặc phần mềm. Nếu không, hành động xâm nhập sẽ bị coi là hack trái phép. Điểm khác biệt duy nhất giữa pentest và hack trái phép chính là sự cho phép. Vì vậy, pentest được xem là một dạng ethical hacking (hack có đạo đức) và pentester thường được gọi là hacker mũ trắng (white hat hacker).
Tại sao cần Audit Pentest?
Audit Pentest là quá trình kiểm tra và đánh giá các kết quả của quá trình kiểm thử bảo mật (Pentest) nhằm đảm bảo rằng toàn bộ các lỗ hổng đã được xác định và các giải pháp khắc phục đã được triển khai đầy đủ. Dưới đây là những lý do chính khiến việc audit Pentest trở nên quan trọng:
- Bảo vệ dữ liệu trong lĩnh vực tài chính: Các ngành như ngân hàng, đầu tư, và sàn giao dịch chứng khoán luôn ưu tiên bảo mật dữ liệu để tránh mất mát hoặc xâm phạm thông tin nhạy cảm. Việc audit Pentest thường xuyên giúp đảm bảo rằng các biện pháp bảo mật hiện tại vẫn đáp ứng đủ tiêu chuẩn, đồng thời phát hiện và khắc phục sớm các lỗ hổng.
- Phát hiện và xử lý mối đe dọa tiềm ẩn sau khi bị tấn công: Nếu một hệ thống đã bị tấn công, audit Pentest giúp xác định liệu có còn mối đe dọa nào đang tồn tại hay không. Điều này giúp tổ chức giảm thiểu nguy cơ bị tấn công lần nữa và đảm bảo an toàn lâu dài cho hệ thống.
- Phòng ngừa tấn công một cách chủ động: Việc chủ động audit Pentest cho phép doanh nghiệp đối phó với các mối đe dọa trước khi chúng trở thành vấn đề nghiêm trọng. Bằng cách kiểm tra định kỳ và điều chỉnh hệ thống, doanh nghiệp có thể tăng cường phòng thủ trước các cuộc tấn công của hacker.
- Gia tăng phát triển ứng dụng web và di động: Trong nền kinh tế số, các doanh nghiệp ngày càng phụ thuộc vào web app và mobile app để kết nối với khách hàng. Tuy nhiên, điều này mang lại rủi ro lớn về an ninh mạng như bị hack, mất thông tin khách hàng, hoặc gián đoạn hoạt động do tấn công mạng.
- Xu hướng chuyển đổi số: Việc doanh nghiệp áp dụng công nghệ hiện đại như hệ thống quản lý doanh nghiệp (ERP), quản lý quan hệ khách hàng (CRM) hay các thiết bị IoT vào vận hành giúp tối ưu hóa nhưng đồng thời cũng mở rộng các bề mặt tấn công tiềm ẩn cho tin tặc.
- Phần mềm dịch vụ SaaS gia tăng: Các dịch vụ phần mềm dựa trên đám mây như SaaS (phần mềm), IaaS (hạ tầng), PaaS (nền tảng) yêu cầu kết nối internet liên tục, tạo ra nguy cơ bị tấn công gián đoạn hoặc bị xâm nhập, gây ảnh hưởng trực tiếp đến trải nghiệm người dùng.
- Pentest là phương pháp phòng ngừa hiệu quả: Pentest giúp phát hiện lỗ hổng bảo mật thông qua việc mô phỏng các cuộc tấn công thực tế. Đây là phương pháp chủ động và mang tính sáng tạo cao, giúp phát hiện những lỗ hổng mà các hệ thống bảo mật tự động có thể bỏ sót.
Tóm lại, audit Pentest không chỉ là cách giúp doanh nghiệp duy trì mức độ bảo mật cao mà còn là phương pháp quan trọng để đảm bảo tính liên tục và hiệu quả của các biện pháp bảo vệ hệ thống.
Phân loại Pentest – Các hình thức Pentest phổ biến
- Phân loại dựa trên phạm vi tấn công
- Phân loại dựa trên mục đích
- Phân loại dựa trên phương pháp tấn công
Phân loại dựa trên phạm vi tấn công
PenTest thường được phân loại dựa trên phạm vi tấn công. Ngoài ra nó còn phụ thuộc vào việc các tổ chức có muốn mô phỏng cuộc tấn công bởi một nhân viên, Network Admin (Internal Sources) hay bởi External Sources. Có ba loại PenTest khác nhau:
- Black Box Testing: Đối với Black Box Testing, tester sẽ không hề biết gì về hệ thống sắp được test. Tester chỉ có nhiệm vụ thu thập các thông tin về mạng hay hệ thống mục tiêu.
- White Box Penetration Testing: Trong hình thức này, tester thường được cung cấp đầy đủ thông tin về mạng hoặc hệ thống sẽ được test. Trong đó bao gồm địa chỉ IP, mã nguồn, chi tiết về hệ điều hành… Đây có thể được xem như một cuộc mô phỏng tấn công bởi bất kỳ Internal Source nào.
- Grey Box Penetration Testing: Còn đối với hình thức cuối cùng thì tester sẽ được cung cấp một phần thông tin về hệ thống. Đây có thể được xem như là một cuộc tấn công từ hacker bên ngoài, đã truy cập vào được các tài liệu cơ sở hạ tầng mạng của tổ chức.
Phân loại dựa trên mục đích
- Pentest định kỳ: Đây là loại pentest được thực hiện theo một chu kỳ đã định trước, như hàng tháng, hàng quý hoặc hàng năm. Mục tiêu của pentest định kỳ là giúp doanh nghiệp phát hiện và khắc phục những lỗ hổng bảo mật mới phát sinh trong quá trình hoạt động.
Ví dụ: Mỗi quý, tổ chức thực hiện pentest để đảm bảo hệ thống không xuất hiện những lỗ hổng bảo mật mới.
- Pentest theo yêu cầu: Loại pentest này được thực hiện dựa trên một yêu cầu hoặc sự kiện cụ thể. Hình thức pentest này thường được thực hiện khi có thay đổi trong hệ thống, như triển khai một tính năng mới, hệ thống mới hoặc phát hiện một lỗ hổng mới.
Ví dụ: Sau khi triển khai một hệ thống thương mại điện tử mới, tổ chức thực hiện pentest để đảm bảo không có lỗ hổng nào có thể bị khai thác.
- Pentest theo kịch bản: Đây là pentest dựa trên một kịch bản cụ thể, mô phỏng các tình huống tấn công thực tế nhằm đánh giá khả năng phòng thủ của hệ thống. Thường được sử dụng để kiểm tra khả năng ứng phó của tổ chức đối với một cuộc tấn công cụ thể, như tấn công APT (Advanced Persistent Threat) hoặc tấn công từ bên trong.
Ví dụ: Tổ chức thực hiện pentest mô phỏng một cuộc tấn công DDoS để kiểm tra độ bền của hệ thống trước áp lực của cuộc tấn công.
Phân loại dựa trên phương pháp tấn công
Pentest thủ công: Đây là phương pháp pentest trong đó pentester sử dụng các kỹ thuật thủ công để kiểm tra và khai thác hệ thống. Pentest thủ công thường đòi hỏi kỹ năng phân tích sâu và sự sáng tạo từ pentester để phát hiện ra những lỗ hổng phức tạp hoặc mới phát sinh mà các công cụ tự động không thể tìm ra.
Ví dụ: Pentester có thể thực hiện các cuộc tấn công dựa trên logic nghiệp vụ hoặc khai thác các lỗ hổng chưa được công bố.
Pentest tự động: Pentest tự động sử dụng các công cụ phần mềm để thực hiện các cuộc kiểm thử bảo mật trên hệ thống. Phương pháp này hiệu quả trong việc phát hiện các lỗ hổng phổ biến hoặc đã biết, và thường được sử dụng để kiểm tra bảo mật theo chu kỳ.
Ví dụ: Các công cụ như Nessus, Burp Suite hoặc Acunetix có thể quét hệ thống để tìm các lỗ hổng như SQL Injection, XSS, và lỗi cấu hình bảo mật.
Pentest kết hợp: Đây là sự kết hợp giữa pentest thủ công và pentest tự động để tận dụng cả hai phương pháp, từ việc phát hiện nhanh các lỗ hổng phổ biến đến việc phân tích sâu các lỗ hổng phức tạp. Phương pháp này thường mang lại kết quả tốt nhất vì pentest tự động giúp quét diện rộng và pentest thủ công giúp đánh giá chi tiết hơn.
Ví dụ: Sau khi chạy các công cụ tự động để tìm lỗ hổng phổ biến, pentester tiếp tục sử dụng kỹ thuật thủ công để kiểm tra các lỗ hổng khó phát hiện hoặc khai thác các lỗ hổng đặc thù của hệ thống.
Giai đoạn thực hiện Pentest
Để thực hiện pentest một cách đúng tiêu chuẩn và tránh gây tổn thương không mong muốn cho hệ thống, quá trình pentest thường được chia thành 5 giai đoạn chính. Dưới đây là phần mô tả chi tiết về giai đoạn thu thập thông tin (), giai đoạn đầu tiên trong quá trình pentest:
1. Thu thập thông tin (Reconnaissance)
2. Đánh giá lỗ hổng (Vulnerability Assessment)
4. Đánh giá mức độ tổn thương (Post-Exploitation)
5. Báo cáo và đề xuất (Reporting)
1. Thu thập thông tin (Reconnaissance)
Trong giai đoạn này, pentester tập trung vào việc thu thập tất cả các thông tin có thể về hệ thống mục tiêu nhằm hiểu rõ hơn về cấu trúc và các lỗ hổng tiềm năng. Các thông tin này có thể là địa chỉ IP, tên miền, block mạng, máy chủ, hoặc các thông tin công khai khác. Có hai loại reconnaissance:
- Reconnaissance thụ động (Passive Reconnaissance): Thu thập thông tin mà không tương tác trực tiếp với hệ thống mục tiêu, như tìm thông tin công khai từ Internet, mạng xã hội, diễn đàn, WHOIS, DNS, v.v.
Ví dụ: Sử dụng công cụ như Shodan, Google Dorking, hoặc kiểm tra tên miền trên WHOIS để lấy thông tin về chủ sở hữu, địa chỉ IP liên quan.
- Reconnaissance chủ động (Active Reconnaissance): Pentester tương tác trực tiếp với hệ thống mục tiêu để thu thập thông tin. Việc này có thể bao gồm quét mạng, phân tích lưu lượng mạng, và thậm chí thử nghiệm một số lỗ hổng tiềm năng. Điều này có nguy cơ gây ra cảnh báo hoặc để lại dấu vết trong log của hệ thống.
Ví dụ: Sử dụng công cụ Nmap để quét các cổng mở hoặc Wireshark để phân tích lưu lượng mạng.
Các hoạt động chính trong giai đoạn này:
- Tìm kiếm thông tin từ các nguồn công cộng.
- Quét mạng để xác định các cổng, dịch vụ và máy chủ đang hoạt động.
- Phân tích mối quan hệ giữa các tài khoản, người dùng liên quan đến hệ thống mục tiêu.
- Thu thập thông tin từ mạng xã hội, diễn đàn.
- Phân tích lưu lượng mạng để xác định các giao tiếp, dịch vụ mạng đang chạy.
Kết quả của giai đoạn này là một bức tranh tổng quan chi tiết về hệ thống mục tiêu, cung cấp thông tin chính xác để pentester có thể đưa ra các chiến lược tấn công hiệu quả trong các giai đoạn sau. Quan trọng là pentester phải luôn tuân thủ các quy định pháp lý và quy tắc của tổ chức liên quan, đảm bảo không vi phạm quyền riêng tư hoặc gây ảnh hưởng không mong muốn đến hệ thống.
2. Đánh giá lỗ hổng (Vulnerability Assessment)
Quy trình đánh giá lỗ hổng (Vulnerability Assessment) trong lĩnh vực kiểm thử an ninh (Penetration Testing) là một phần quan trọng giúp xác định các điểm yếu và lỗ hổng trong hệ thống, ứng dụng hoặc mạng, từ đó cung cấp cơ sở để đưa ra các biện pháp bảo mật phù hợp. Cụ thể, các bước chính bao gồm:
- Xác định lỗ hổng đã biết (Known vulnerabilities): Sử dụng cơ sở dữ liệu về các lỗ hổng đã công bố, như CVE (Common Vulnerabilities and Exposures), để kiểm tra xem hệ thống có bị ảnh hưởng bởi các lỗ hổng đã biết và chưa được vá hay không.
- Kiểm tra cấu trúc mã nguồn (Code review): Phân tích mã nguồn của ứng dụng để phát hiện lỗ hổng bảo mật như SQL Injection, XSS, và các lỗ hổng khác. Quá trình này giúp phát hiện lỗi từ trong chính logic lập trình.
- Kiểm thử an ninh mạng (Network security testing): Quét và kiểm tra các điểm yếu trên hệ thống mạng, bao gồm các cổng mạng mở, các phần mềm lỗi thời hoặc cấu hình sai có thể bị khai thác.
- Kiểm thử an ninh ứng dụng (Application security testing): Tập trung vào việc kiểm thử các loại ứng dụng, bao gồm ứng dụng web và di động, để phát hiện những lỗ hổng bảo mật đặc thù cho từng loại ứng dụng.
- Kiểm thử an ninh hệ thống (System security testing): Kiểm tra cấu hình hệ điều hành và các dịch vụ hệ thống để đảm bảo rằng không tồn tại các lỗ hổng trong việc triển khai hệ thống.
- Kiểm tra các phương tiện kết nối (Interconnection testing): Đánh giá sự an toàn của các kết nối giữa các thành phần trong hệ thống, bao gồm các giao thức kết nối, cổng mạng, và điểm kết nối.
Quá trình này giúp đảm bảo rằng hệ thống được kiểm tra toàn diện, từ đó phát hiện và vá kịp thời các lỗ hổng trước khi chúng bị khai thác bởi kẻ tấn công.
3. Khai thác (Exploitation)
Giai đoạn Khai thác (Exploitation) trong quá trình Pentest là bước thứ ba, nơi mà các chuyên gia bảo mật (Pen testers) thực hiện các cuộc tấn công mô phỏng dựa trên các lỗ hổng đã được xác định ở giai đoạn trước đó. Mục tiêu của giai đoạn này là xác định xem các lỗ hổng có thể bị khai thác để giành quyền truy cập trái phép vào hệ thống, ứng dụng hoặc mạng hay không. Đây là bước giúp minh chứng tính nghiêm trọng và tiềm năng nguy hiểm của các lỗ hổng.
Các kỹ thuật khai thác lỗ hổng phổ biến:
- SQL Injection: Kẻ tấn công chèn mã SQL vào truy vấn của ứng dụng để truy cập trái phép vào dữ liệu, thay đổi, hoặc xóa dữ liệu từ cơ sở dữ liệu.
- Cross-Site Scripting (XSS): Tấn công sử dụng mã độc JavaScript hoặc HTML để tấn công người dùng qua các trang web, thường nhắm đến việc đánh cắp thông tin nhạy cảm như cookies hoặc tài khoản đăng nhập.
- DDoS (Distributed Denial of Service): Kẻ tấn công sử dụng nhiều thiết bị để gửi lưu lượng truy cập quá tải đến máy chủ, gây ra tình trạng quá tải và làm ngừng hoạt động dịch vụ.
- Buffer Overflow: Lỗi xảy ra khi dữ liệu ghi vào bộ nhớ vượt quá kích thước vùng đệm, cho phép kẻ tấn công thực thi mã độc trên máy chủ.
Công cụ khai thác lỗ hổng:
- Metasploit: Một khung công cụ khai thác lỗ hổng mã nguồn mở, cung cấp thư viện rộng lớn các exploit cho nhiều loại lỗ hổng.
- Nessus: Công cụ kiểm tra lỗ hổng tự động, giúp quét hệ thống để tìm kiếm các lỗ hổng bảo mật.
- OpenVAS: Công cụ mã nguồn mở để kiểm tra và đánh giá lỗ hổng bảo mật.
Các phương pháp khai thác lỗ hổng:
- Khai thác thủ công: Pen tester tự viết mã exploit để khai thác lỗ hổng một cách tỉ mỉ và có kiểm soát.
- Khai thác dựa trên exploit có sẵn: Sử dụng các exploit đã được phát triển sẵn từ các công cụ như Metasploit để khai thác lỗ hổng.
- Khai thác bằng phần mềm độc hại: Tạo phần mềm độc hại tùy chỉnh để khai thác lỗ hổng và thực hiện tấn công.
Thử nghiệm tấn công sau khai thác:
- Lên cấp đặc quyền: Tăng quyền truy cập của Pen tester trong hệ thống, từ người dùng bình thường lên quản trị viên.
- Truy cập dữ liệu nhạy cảm: Khai thác lỗ hổng để truy cập vào thông tin quan trọng như tài khoản, thông tin cá nhân, tài chính.
- Thực thi mã tùy ý: Cho phép kẻ tấn công chạy mã tùy ý trên hệ thống, có thể dẫn đến mất kiểm soát hoàn toàn hệ thống.
Quá trình khai thác giúp Pen tester chứng minh mức độ nguy hiểm của các lỗ hổng và cung cấp thông tin chi tiết để triển khai các biện pháp bảo mật kịp thời.
4. Đánh giá mức độ tổn thương (Post-Exploitation)
Giai đoạn Đánh giá mức độ tổn thương (Post-Exploitation) là bước thứ tư trong quá trình Pentest, nơi Pen tester tập trung vào việc đánh giá những hậu quả tiềm ẩn sau khi đã xâm nhập thành công vào hệ thống hoặc ứng dụng. Mục tiêu của giai đoạn này là xác định những rủi ro tiềm tàng, mức độ thiệt hại, và các lỗ hổng bổ sung có thể khai thác tiếp tục. Đây là giai đoạn giúp làm rõ toàn bộ phạm vi tổn thương của hệ thống.
Mục tiêu của giai đoạn Post-Exploitation:
- Lên cấp đặc quyền (Privilege Escalation): Pentester cố gắng chiếm quyền kiểm soát với quyền hạn cao hơn để có thể truy cập và điều khiển nhiều hơn trong hệ thống.
- Di chuyển ngang (Lateral Movement): Di chuyển qua lại trong mạng để xác định và khai thác các hệ thống khác dễ bị tổn thương, nhằm mở rộng phạm vi tấn công.
- Gây gián đoạn hoạt động: Vô hiệu hóa hoặc gián đoạn các hệ thống quan trọng để gây thiệt hại kinh tế hoặc làm ảnh hưởng đến uy tín của tổ chức.
Các hoạt động trong giai đoạn Post-Exploitation:
- Duy trì quyền truy cập (Persistence): Thiết lập quyền truy cập liên tục bằng cách cài đặt backdoor hoặc tài khoản quản trị để có thể quay lại hệ thống sau này.
- Thu thập thông tin (Information Gathering): Thu thập thêm dữ liệu về kiến trúc hệ thống, cấu trúc mạng, dữ liệu nhạy cảm, tài khoản người dùng.
- Xác định các lỗ hổng bổ sung: Tiếp tục quét tìm các lỗ hổng khác trong hệ thống hoặc các hệ thống khác.
- Thực thi các cuộc tấn công (Attack Execution): Từ thông tin thu thập, thực hiện các cuộc tấn công nhắm vào những hệ thống hoặc cá nhân cụ thể.
- Che giấu dấu vết (Covering Tracks): Xóa hoặc ẩn các bằng chứng về hành động xâm nhập để tránh bị phát hiện, đồng thời duy trì quyền truy cập.
5. Báo cáo và đề xuất (Reporting)
Sau khi hoàn tất quá trình Pentest, Pen tester sẽ tổng hợp lại các kết quả trong một bản báo cáo chi tiết. Báo cáo này giúp tổ chức hiểu rõ về các lỗ hổng bảo mật và đưa ra các giải pháp khắc phục cần thiết. Nội dung báo cáo cần dễ hiểu cho cả chuyên gia bảo mật lẫn người không chuyên.
Nội dung của báo cáo Pentest:
- Tóm tắt: Tóm tắt nhanh về các lỗ hổng được phát hiện, mức độ nghiêm trọng và các khuyến nghị.
- Mô tả lỗ hổng: Mô tả chi tiết về từng lỗ hổng, bao gồm cách thức khai thác và tác động tiềm ẩn.
- Mức độ nghiêm trọng (Severity): Đánh giá mức độ nghiêm trọng của từng lỗ hổng dựa trên khả năng khai thác, tác động và khả năng khắc phục.
- Khuyến nghị khắc phục: Đề xuất các biện pháp cụ thể để vá lỗ hổng và cải thiện bảo mật hệ thống.
Phương pháp trình bày báo cáo Pentest:
- Báo cáo kỹ thuật: Bao gồm các chi tiết kỹ thuật, thường dành cho chuyên gia bảo mật.
- Báo cáo quản lý: Đơn giản, dễ hiểu, dành cho nhà quản lý không có chuyên môn sâu về bảo mật.
- Báo cáo kết hợp: Cân bằng giữa chi tiết kỹ thuật và tính dễ hiểu.
Các tiêu chuẩn báo cáo Pentest:
- OWASP ASVS: Tiêu chuẩn này cung cấp hướng dẫn để viết báo cáo Pentest cho các ứng dụng web.
- PCI DSS: Hướng dẫn về bảo vệ dữ liệu thẻ tín dụng.
- ISO/IEC 27001: Hướng dẫn về thiết lập và vận hành hệ thống quản lý an toàn thông tin.
Giai đoạn Post-Exploitation đóng vai trò quan trọng trong việc xác định mức độ tổn thương và cung cấp bức tranh toàn cảnh về các hậu quả tiềm tàng khi hệ thống bị xâm nhập, từ đó giúp tổ chức chuẩn bị và khắc phục các lỗ hổng một cách hiệu quả.
Các phương pháp Penetration Testing
1. External Test (Kiểm thử từ bên ngoài)
2. Internal Test (Kiểm thử nội bộ)
5. Target Test (Kiểm thử có mục tiêu)
1. External Test (Kiểm thử từ bên ngoài)
Phương pháp này mô phỏng một kẻ tấn công từ bên ngoài hệ thống, tấn công từ xa qua internet. Pen tester sẽ tìm cách xâm nhập vào hệ thống thông qua các cổng mở, lỗ hổng trên các dịch vụ internet, hoặc các lỗ hổng khác như tấn công DDoS, SQL Injection, và Phishing.
Mục tiêu: Đánh giá mức độ bảo vệ của hệ thống trước các mối đe dọa từ bên ngoài, đặc biệt là các cuộc tấn công mạng đến từ internet.
2. Internal Test (Kiểm thử nội bộ)
Loại kiểm thử này giả lập tình huống một nhân viên nội bộ hoặc người có quyền truy cập hợp pháp vào hệ thống thực hiện tấn công. Pen tester sẽ sử dụng các thông tin nội bộ để khai thác các lỗ hổng, bao gồm Malware, Insider Threat, hoặc Privilege Escalation.
Mục tiêu: Đánh giá khả năng phòng thủ của hệ thống trước các mối đe dọa từ nội bộ, phát hiện các lỗ hổng bảo mật mà người dùng có quyền truy cập nội bộ có thể khai thác.
3. Blind Test
Trong Blind Test, Pen tester chỉ được cung cấp thông tin rất hạn chế, thường chỉ là địa chỉ IP hoặc tên miền của hệ thống mục tiêu. Người kiểm thử phải tự thu thập thông tin và tìm cách khai thác lỗ hổng mà không có sự hỗ trợ từ quản trị viên hệ thống.
Mục tiêu: Đánh giá khả năng hệ thống trong việc phát hiện và phản ứng trước một cuộc tấn công bất ngờ từ bên ngoài.
4. Double Blind Test
Phương pháp này tương tự Blind Test, nhưng với một điểm khác biệt quan trọng: cả Pen tester và quản trị viên hệ thống đều không biết trước về thời gian và phương pháp tấn công. Quản trị viên không được cảnh báo về cuộc kiểm thử, nhằm đánh giá khả năng phản ứng của hệ thống trong trường hợp xảy ra tấn công thực tế.
Mục tiêu: Kiểm tra khả năng phản ứng và phát hiện của tổ chức mà không có sự chuẩn bị trước, nhằm mô phỏng một tình huống tấn công thực tế và bất ngờ.
5. Target Test (Kiểm thử có mục tiêu)
Trong phương pháp này, Pen tester được cung cấp đầy đủ thông tin về hệ thống, bao gồm cả quyền truy cập, và có sự hợp tác với quản trị viên hệ thống. Loại kiểm thử này thường được áp dụng để kiểm tra một phần cụ thể của hệ thống hoặc nhằm xác minh một lỗ hổng bảo mật nhất định.
Mục tiêu: Xác định các lỗ hổng cụ thể trong một phần hệ thống hoặc ứng dụng mới triển khai và đưa ra giải pháp cải thiện bảo mật.
6. Các phương pháp khác
Ngoài các phương pháp kiểm thử trên thì trên thị trường còn có những phương pháp khác như
- Pentest ứng dụng web: Đánh giá bảo mật của ứng dụng web qua ba giai đoạn: trinh sát (thu thập thông tin), khám phá (phát hiện lỗ hổng), và khai thác (tận dụng lỗ hổng để truy cập trái phép).
- Pentest đe dọa nội bộ: Xác định các rủi ro tiềm ẩn trong hệ thống nội bộ, bao gồm các lỗ hổng liên quan đến cấu hình sai, tấn công hủy xác thực, và thiết bị không dây trái phép.
- Pentest không dây: Tìm kiếm các lỗ hổng bảo mật liên quan đến mạng không dây, như tấn công deauth, cấu hình sai hoặc tái sử dụng phiên.
- Pentest vật lý: Đánh giá rủi ro liên quan đến bảo mật vật lý bằng cách thử truy cập vào hệ thống máy tính của công ty thông qua các phương pháp như social engineering, tấn công tail-gating, badge cloning.
Cách Audit PenTest là gì?
Sau đầy là một số hoạt động cần thiết để triển khai PenTest:
Bước 1: Lên kế hoạch
- Xác định phạm vi và chiến lược.
- Sử dụng các tiêu chuẩn, chính sách bảo mật hiện có để xác định phạm vi.
Bước 2: Khám phá
- Thu thập càng nhiều thông tin về hệ thống càng tốt. Trong đó bao gồm cả dữ liệu, username và password. Đây còn được gọi là FINGERPRINTING.
- Scan và thăm dò các port.
- Kiểm tra lỗ hổng của hệ thống.
Bước 3: Tấn công
Tìm cách khai thác các lỗ hổng khác nhau (Cần có các đặc quyền bảo mật cần thiết)
Bước 4: Báo cáo
- Một báo cáo phải chỉ ra được các phát hiện chi tiết.
- Tìm ra các rủi ro về lỗ hổng bảo mật, và ảnh hưởng của chúng đến hoạt động kinh doanh.
- Đưa ra giải pháp, gợi ý.
Nói chung, nhiệm vụ hàng đầu trong PenTest là thu thập thông tin hệ thống. Có hai cách để có thể thu thập thông tin, gồm:
- Mô hình “One to one” hoặc “One to many” với host: Một tester sẽ thực hiện các kỹ thuật tuyến tính chống lại một host đích, hoặc một nhóm các host (ví dụ như một subnet).
- Mô hình “Many to one” hoặc “many to many”: Tester sẽ sử dụng nhiều host để thực hiện các kỹ thuật thu thập thông tin theo cách ngẫu nhiên, có giới hạn về tốc độ, phi tuyến tính.
Một số ví dụ về Penetration Testing Tools
Hiện nay có rất nhiều công cụ hữu ích để thực hiện Penetration Testing, tiêu biểu trong đó gồm:
- NMap – Dùng để scan port, xác định OS, Trace route và scan lỗ hổng bảo mật.
- Nessus – Công cụ xử lý lỗ hổng dựa trên mạng truyền thống.
- Pass-The-Hash – Chủ yếu dùng để bẻ khóa mật khẩu.
Vai trò và trách nhiệm của Penetration Tester
Vai trò của các tester PenTest:
- Nên thu thập thông tin cần thiết từ Tổ chức để enable PenTest
- Tìm các lỗ hổng mà hacker có thể tấn công
- Các Pen Tester nên làm việc như những hacker có đạo đức.
- Các công việc của tester nên có khả năng tái tạo để lập trình viên có thể sửa.
- Nên xác định trước ngày bắt đầu và kết thúc test.
- Tester phải chịu trách nhiệm với mọi tổn thất trong hệ thống hoặc mất mát thông tin trong quá trình test.
- Phải giữ bí mật dữ liệu và thông tin.
So sánh Manual Penetration và Automated Penetration Testing
Manual Penetration Testing | Automated Penetration Testing |
Cần có các chuyên gia để chạy test. | Các công cụ tự động cung cấp báo cáo cụ thể. |
Yêu cầu có Excel và một số công cụ khác để theo dõi. | Có các công cụ tập trung và tiêu chuẩn. |
Mẫu kết quả sẽ khác nhau với từng test. | Mẫu kết quả giống nhau. |
Người dùng nên ghi nhớ việc Memory Cleaning. | Tự động cleanup. |