Pentest là gì? Tìm hiểu về Penetration Testing (kiểm thử thâm nhập)

Kiểm thử thâm nhập là gì?

Kiểm thử thâm nhập, đôi khi được gọi là pen testing hoặc ethical hacking, là mô phỏng cuộc tấn công mạng trong thế giới thực nhằm kiểm tra khả năng bảo mật mạng của tổ chức và phát hiện các lỗ hổng. Mặc dù một số người có thể coi các bài kiểm tra pentest là một bản quét lỗ hổng nhằm kiểm tra yêu cầu tuân thủ các biện pháp bảo mật.

Mục đích của pentest không chỉ là kiểm tra các lỗ hổng trong môi trường mà còn để kiểm tra con người và quy trình trước các mối đe dọa có thể xảy ra đối với tổ chức. Việc biết đối thủ nào có nhiều khả năng nhắm mục tiêu vào bạn sẽ cho phép người kiểm thử thâm nhập bắt chước các chiến thuật, kỹ thuật và quy trình (TTP) cụ thể của những đối thủ cụ thể đó – giúp tổ chức có ý tưởng thực tế hơn nhiều về cách vi phạm có thể xảy ra.

Các bước kiểm thử thâm nhập

Trong hầu hết các trường hợp, kiểm thử thâm nhập sẽ tuân theo các bước được nêu trong framework MITER ATT&CK. Nếu bạn chưa quen với framework MITER thì đây là cơ sở kiến ​​thức về các chiến thuật, kỹ thuật và quy trình đối nghịch đã biết xảy ra trong các giai đoạn khác nhau.

Việc tuân theo framework này cung cấp một cách để các pentester tạo ra mô hình cho hành vi của một đối thủ cụ thể, từ đó cho phép họ bắt chước chính xác hơn cuộc tấn công trong quá trình thử nghiệm. Hiện tại, có 12 chiến thuật trong ma trận Mitre Enterprise:

1. Chiến thuật truy cập ban đầu đề cập đến các vectơ mà tin tặc khai thác để truy cập vào môi trường
2. Thực thi đề cập đến các kỹ thuật được sử dụng để thực thi code của đối thủ sau khi có được quyền truy cập vào môi trường
3. Chiến thuật kiên trì là những hành động cho phép kẻ tấn công duy trì sự hiện diện trong mạng
4. Leo thang đặc quyền đề cập đến các hành động được thực hiện bởi kẻ thù để có được quyền truy cập cao hơn vào hệ thống
5. Chiến thuật né tránh phòng thủ là những kỹ thuật được sử dụng bởi những kẻ xâm nhập cho phép chúng không bị hệ thống phòng thủ của hệ thống chú ý.
6. Quyền truy cập thông tin xác thực đề cập đến các kỹ thuật được sử dụng để lấy thông tin xác thực từ người dùng hoặc quản trị viên
7. Khám phá đề cập đến quá trình học tập mà qua đó đối thủ hiểu rõ hơn về hệ thống và quyền truy cập mà họ hiện đang sở hữu.
8. Chuyển động ngang được kẻ thù sử dụng để có được quyền truy cập và kiểm soát hệ thống từ xa
9. Chiến thuật thu thập là những chiến thuật được kẻ tấn công sử dụng để thu thập dữ liệu mục tiêu
10. Chỉ huy và kiểm soát là các chiến thuật được sử dụng để thiết lập liên lạc giữa mạng bị xâm nhập và hệ thống được kiểm soát
11. Lọc là những hành động mà đối thủ thực hiện để xóa dữ liệu nhạy cảm khỏi hệ thống
12. Chiến thuật tác động là những chiến thuật nhằm ảnh hưởng đến hoạt động của doanh nghiệp

Điều quan trọng cần lưu ý là các chiến thuật trên được sử dụng trong pentest phụ thuộc vào chiến thuật của đối thủ bị bắt chước. Tuy nhiên, nói chung, việc thực hiện kiểm thử thâm nhập thường bao gồm các giai đoạn sau: Lập kế hoạch, Trinh sát, Giành/Duy trì quyền truy cập, Phân tích, Khắc phục.

Các loại kiểm thử thâm nhập

Khi cân nhắc tiến hành kiểm thử thâm nhập, điều quan trọng cần nhớ là không có bài kiểm tra nào phù hợp cho tất cả mọi trường hợp. Môi trường, rủi ro trong ngành và đối thủ ở mỗi tổ chức là khác nhau. Hơn nữa, không chỉ có một loại pen test có thể đáp ứng mọi nhu cầu của một tổ chức.

Có một số loại pentest được thiết kế để đáp ứng các mục tiêu cụ thể và những mối đe dọa đối với một tổ chức. Dưới đây là một số loại pen test phổ biến nhất.

1. Pentest nội bộ

Đánh giá hệ thống nội bộ của tổ chức để xác định cách kẻ tấn công có thể di chuyển ngang qua mạng: Thử nghiệm bao gồm nhận dạng hệ thống, liệt kê, phát hiện lỗ hổng, khai thác, leo thang đặc quyền, di chuyển ngang và mục tiêu.

2. Pentest bên ngoài

Đánh giá các hệ thống truy cập Internet để xác định xem có lỗ hổng có thể khai thác làm lộ dữ liệu hoặc truy cập trái phép ra thế giới bên ngoài hay không: Thử nghiệm bao gồm nhận dạng, liệt kê, phát hiện và khai thác lỗ hổng bảo mật.

3. Pentest ứng dụng web

Đánh giá ứng dụng web bằng quy trình ba giai đoạn: Đầu tiên là trinh sát, trong đó nhóm phát hiện thông tin như hệ điều hành, dịch vụ và tài nguyên đang được sử dụng. Thứ hai là giai đoạn khám phá, trong đó nhóm cố gắng xác định các lỗ hổng. Thứ ba là giai đoạn khai thác, trong đó nhóm tận dụng các lỗ hổng được phát hiện để có quyền truy cập trái phép vào dữ liệu nhạy cảm.

4. Pentest đe dọa nội bộ

Xác định các rủi ro và lỗ hổng có thể làm lộ tài nguyên và tài sản nội bộ nhạy cảm với những người không được phép: Nhóm đánh giá các điểm yếu như tấn công hủy xác thực, cấu hình sai, tái sử dụng phiên và các thiết bị không dây trái phép.

5. Pentest không dây

Xác định các rủi ro và lỗ hổng liên quan đến mạng không dây: Nhóm đánh giá các điểm yếu như tấn công deauth, cấu hình sai, tái sử dụng phiên và các thiết bị không dây trái phép.

6. Pentest vật lý

Xác định các rủi ro và lỗ hổng bảo mật vật lý khi giành quyền truy cập vào hệ thống máy tính của công ty: Nhóm đánh giá các điểm yếu như social engineering, tấn công tail-gating, badge cloning và những mục tiêu bảo mật vật lý khác.

Khi nào nên tiến hành kiểm thử thâm nhập?

Thời điểm quan trọng nhất để tiến hành pentest là trước khi xảy ra vi phạm. Nhiều tổ chức không thực sự để tâm cho đến khi họ bị tấn công thực sự - nghĩa là khi đã bị mất dữ liệu, tài sản trí tuệ và danh tiếng. Tuy nhiên, nếu gặp phải vi phạm, bạn nên tiến hành pentest khắc phục sau vi phạm để đảm bảo các biện pháp giảm nhẹ có hiệu quả.

Các phương pháp hay nhất là bạn nên tiến hành pen test trong khi hệ thống đang được phát triển hoặc cài đặt và ngay trước khi đưa vào sản xuất. Sự nguy hiểm của việc chạy pentest quá muộn là mất nhiều thời gian cập nhật code.

Pen test không phải là một đề xuất làm một lần là xong. Chúng nên được tiến hành bất cứ khi nào có thay đổi và/hoặc ít nhất là hàng năm. Những yếu tố bao gồm quy mô công ty, cơ sở hạ tầng, ngân sách, yêu cầu pháp lý và các mối đe dọa mới nổi sẽ xác định tần suất thích hợp.

Nên thực hiện pen test bao lâu một lần?

Các doanh nghiệp nên thực hiện kiểm thử thâm nhập quy mô rộng ít nhất mỗi năm một lần. Điều này không chỉ cho phép triển khai các bản vá và nâng cấp bảo mật thường xuyên mà còn hỗ trợ tuân thủ những tiêu chuẩn bảo mật dữ liệu, chẳng hạn như PCI DSS (Tiêu chuẩn bảo mật dữ liệu ngành dành cho chủ thẻ thanh toán).

Tuy nhiên, việc kiểm tra hai năm một lần hoặc thậm chí hàng quý có thể phát hiện các rủi ro bảo mật tiềm ẩn thường xuyên hơn – và trước khi chúng bị xâm phạm – giúp bạn có cái nhìn tổng quan toàn diện hơn về trạng thái bảo mật của mình.

Kiểm thử thâm nhập được thiết kế để làm nổi bật các lỗ hổng cụ thể trong hệ thống hoặc mạng. Vì vậy, lý tưởng nhất là nên tiến hành pentest trên bất kỳ bổ sung mới nào cho cơ sở hạ tầng mạng hoặc bất cứ khi nào có một cuộc đại tu lớn đối với các ứng dụng chính. Đây là lúc môi trường dễ bị tấn công và những điểm yếu dễ bị bộc lộ nhất.

Ai thực hiện pentest?

Nhiều chuyên gia và doanh nghiệp an ninh mạng độc lập cung cấp các kiểu kiểm thử thâm nhập dưới dạng dịch vụ. Và mặc dù việc pentest có thể được thực hiện nội bộ, nhưng hacker mũ trắng bên ngoài có thể cung cấp cái nhìn sâu sắc hơn vì họ không có kiến ​​thức trước về hệ thống.

Tuy nhiên, bản chất của hoạt động kinh doanh lại có nhiều sự phức tạp. Những cân nhắc về mặt pháp lý xung quanh bất kỳ hoạt động 'hack' nào có nghĩa là toàn bộ quá trình pentest cần phải được xử lý cẩn thận.

Đảm bảo mọi hoạt động pentest đều đáp ứng yêu cầu pháp lý và tất cả các văn bản pháp lý đều chính xác và đầy đủ. Điều quan trọng nữa là phải thực hiện kiểm tra lý lịch đối với các pentester để kiểm soát thông tin đăng nhập của họ. Ví dụ, CREST và NCSC là các chứng chỉ được công nhận trong ngành cấp cho những công ty thử nghiệm thâm nhập đáng tin cậy.

Nên làm gì sau khi thực hiện pentest?

Kiểm thử thâm nhập là một phần trong quá trình phát triển chiến lược bảo mật dài hạn, dựa trên việc vá các lỗ hổng đã được thử nghiệm trong thế giới thực.

Việc xử lý nhanh chóng kết quả pentest rất quan trọng để tránh thời gian ngừng hoạt động và gián đoạn liên quan đến vi phạm an ninh mạng, cũng như các khoản phạt nặng đối với những người vi phạm các quy định bảo vệ dữ liệu.

Sau khi kiểm thử thâm nhập, bạn nên:

• Xem lại báo cáo cuối cùng và thảo luận các phát hiện với cả nhóm pentest bên ngoài và nhóm an ninh mạng nội bộ
• Phát triển một chiến lược an ninh mạng toàn diện và kế hoạch khắc phục để giải quyết những vấn đề phát hiện được
• Sử dụng các thử nghiệm lặp lại và quét lỗ hổng bảo mật để theo dõi sự thành công và tiến trình của những bản vá lỗi cũng như nâng cấp lâu dài

Pen test được thiết kế toàn diện. Chúng cung cấp những hiểu biết chi tiết về phạm vi và mức độ nghiêm trọng của bất kỳ điểm yếu tiềm ẩn nào trong môi trường. Vì vậy, sẽ luôn có nhiều phát hiện hữu ích để giúp bạn tăng cường bảo mật.