Penetration Testing Là Gì

     

Khi tạo ra ứng dụng công nghệ như web app hay mobile app, trong số những bước không thể không có để tăng thêm bảo mật cho sản phẩm là kiểm test xâm nhập – penetration testing, hay còn được gọi là pentest. Vậy, pentest thực tế là gì, vai trò rõ ràng của module này cùng với ATTT trong doanh nghiệp ra sao? Cùng tìm hiểu trong nội dung bài viết dưới đây.

Bạn đang xem: Penetration testing là gì

*

Pentest là gì?

Penetration testing

Pentest, viết tắt của penetration testing (kiểm tra xâm nhập), là bề ngoài đánh giá chỉ mức độ bình yên của một khối hệ thống IT bằng các cuộc tấn công mô bỏng thực tế. Hiểu 1-1 giản, pentest cố gắng xâm nhập vào khối hệ thống để phát hiện ra những nhược điểm tiềm tàng của khối hệ thống mà tin tặc rất có thể khai thác cùng gây thiệt hại.

Mục tiêu của pentest là giúp tổ chức triển khai phát hiện càng các lỗ hổng càng tốt, từ đó khắc phục bọn chúng để loại trừ khả năng bị tấn công trong tương lai. Bạn làm công việc kiểm tra xâm nhập được hotline là pentester.

Pentest hoàn toàn có thể được triển khai trên hệ thống máy tính, web app, mobile app, hạ tầng mạng, IoT, vận dụng và hạ tầng cloud, ứng dụng dịch vụ SaaS, API, source code, hoặc một đối tượng người sử dụng IT có liên kết với internet và có tác dụng bị tấn công… nhưng thông dụng nhất là pentest web tiện ích và smartphone app. Hầu như thành phần trên được điện thoại tư vấn là đối tượng kiểm thử (pentest target).

Khi tiến hành xâm nhập, pentester cần có được sự có thể chấp nhận được của chủ hệ thống hoặc ứng dụng đó. Nếu không, hành vi xâm nhập sẽ được coi là hack trái phép. Thực tế, nhãi ranh giới thân pentest với hack chỉ với sự có thể chấp nhận được của chủ đối tượng. Do thế, định nghĩa pentest có ý nghĩa sâu sắc tương từ như ethical hacking (hack bao gồm đạo đức), pentester còn được gọi là hacker mũ trắng (white hat hacker).

*

Để nắm rõ hơn về Pentest, ta cần làm rõ ba tư tưởng cơ bản trong bảo mật là “vulnerabilities”, “exploits”, cùng “payloads”

Lỗ hổng (vulnerabilities) là những điểm yếu bảo mật của một trong những phần mềm, phần cứng, hệ điều hành, hay áp dụng web chất nhận được kẻ tiến công một đại lý để tiến công hệ thống. Lỗ hổng có thể đơn giản như password yếu, hay tinh vi như lỗ hổng SQL hoặc tràn bộ nhớ đệm.Khai thác (exploits) là hành động lợi dụng một lỗ hổng, sự vậy hay lỗi của phần mềm, đoạn dữ liệu hay 1 chuỗi các lệnh nhằm mục đích gây ra hành vi phi lý không hy vọng muốn xẩy ra trên một khối hệ thống máy tính. Các hành vi đó bao hàm leo thang quánh quyền, tấn công cắp tin tức nhạy cảm, tấn công lắc đầu dịch vụ, v.v.Trọng thiết lập (payloads) là một trong những phần của hệ thống đang lâu dài lỗ hổng cùng là kim chỉ nam để khai thác.

Các vẻ ngoài pentest

White box Testing: Trong hình thức pentest white box, các chuyên gia kiểm demo được cung cấp đầy đủ tin tức về đối tượng người dùng mục tiêu trước khi họ tiến hành kiểm thử. Những thông tin này bao gồm: địa chỉ cửa hàng IP, sơ thiết bị hạ tầng mạng, các giao thức sử dụng, hoặc source code.Gray box Testing: Pentest gray box là hình thức kiểm thử cơ mà pentester nhận được một trong những phần thông tin của đối tượng người sử dụng kiểm thử, lấy ví dụ như URL, IP address,… nhưng không tồn tại hiểu biết không thiếu hay quyền truy vấn vào đối tượng.Black box Testing: Pentest đen box, hay có cách gọi khác là ‘blind testing’, là hiệ tượng pentest dưới khía cạnh của một hacker trong thực tế. Với hình thức này, các chuyên viên kiểm thử không nhận được bất kỳ thông tin làm sao về đối tượng người tiêu dùng trước lúc tấn công. Các pentester bắt buộc tự tìm kiếm và tích lũy thông tin về đối tượng người sử dụng để tiến hành kiểm thử. Loại hình pentest này yêu mong một lượng khủng thời gian khám phá và cố gắng nỗ lực tấn công, nên giá thành không hề rẻ.

Ngoài ra còn các hiệ tượng pentest khác như: double-blind testing, external testing, internal testing, targeted testing tuy nhiên chúng không thịnh hành tại việt nam và chỉ được thực hiện với nhu cầu đặc thù của một trong những doanh nghiệp.

Lịch sử của Penetration Testing

Giữa trong thời gian 1960s, chứng kiến sự gia tăng trong khả năng trao đổi dữ liệu qua mạng máy tính, các chuyên viên đã lưu ý về nguy cơ chắc chắn là sẽ bao gồm sự tấn công xâm nhập vào các mạng của chính phủ và doanh nghiệp và giành quyền truy vấn vào tài liệu được trao đổi. Tại Hội nghị máy tính Chung thường xuyên niên năm 1967 quy tụ hơn 15.000 chuyên gia bảo mật thiết bị tính, các nhà so với đã bàn thảo và đặt ra thuật ngữ “penetration” (xâm nhập). Các chuyên viên xác định kia là trong số những hiểm họa so với trao đổi dữ liệu qua mạng máy tính xách tay ngày nay.

*

Cuối năm 1967, tập đoàn RAND đã bắt tay hợp tác với phòng ban Dự án phân tích Tiên tiến (dARPA) trên Hoa Kỳ để tạo ra một report chuyên đề, được điện thoại tư vấn là Willis Report (đặt thương hiệu theo tín đồ đứng đầu dự án). Báo cáo đã đàm đạo về những vấn đề an toàn của mạng internet và lời khuyên chính sách, đặt nền móng cho những biện pháp an ninh ngày nay. Dựa trên báo cáo này, cơ quan chính phủ Hoa Kỳ đã hợp tác với doanh nghiệp và ra đời các nhóm với thiên chức “dò tìm những lỗ hổng bảo mật trong hệ thống mạng máy tính để có biện pháp đảm bảo các hệ thống đó ngoài sự đột nhập và khai thác trái phép”.

Những team pentest trước tiên trên thay giới có tên Tiger Teams (đặt thương hiệu theo lính đặc nhiệm Hoa Kỳ) được hình thành vào cuối trong năm 1960s với nhiệm vụ tiến công vào những mạng máy tính xách tay để nhận xét khả năng kháng chịu của các mạng kia trước những cuộc tấn công thù địch. Hiệu quả thu được đã khiến cho các nhà chỉ huy không khỏi bất ngờ:

Hầu hết các hệ thống được kiểm tra lúc ấy đều “bị đánh gục một cách dễ ợt và cấp tốc chóng”.

Chiến dịch test nghiệm xâm nhập này của RAND Corporation và chính phủ nước nhà đã minh chứng hai điều:

– đồ vật nhất, những hệ thống có thể bị xâm nhập; và– thiết bị hai, sử dụng những kỹ thuật kiểm tra xâm nhập (penetration testing) để xác minh các lỗ hổng trong hệ thống, mạng, phần cứng và phần mềm là một cách thức hữu ích để đánh giá và nâng cấp tính bảo mật cho cả hệ thống.

Sau này, học đưa Deborah Russell và G. T. Gangemi Sr. Nhận xét rằng, trong những năm 1960s đang “đánh dấu sự mở đầu thực sự của thời đại bảo mật máy tính”.

The 1960s marked the true beginning of the age of computer security

Deborah Russell & G.T. Gangemi Sr.

Tại sao buộc phải Pentest?

Ngày nay, bên dưới sự phát triển của công nghệ, bình chọn thâm nhập đang trở thành một mô-đun luôn luôn phải có trong hệ thống an ninh thông tin của khá nhiều doanh nghiệp.

Penetration Testing (kiểm tra thâm nhập) là chiến thuật hiệu trái để bảo mật thông tin cho web, sản phẩm điện thoại app, network, IoT,… ngoài cuộc tiến công của tin tặc. Thông qua các cuộc tiến công mô rộp thực tế, những kỹ sư kiểm thử hoàn toàn có thể tìm ra những điểm yếu kém bảo mật của hệ thống. Thông qua đó giúp công ty vá lỗ hổng kịp thời, trước lúc tin tặc khai thác chúng và gây thiệt sợ hãi về chi phí bạc, nổi tiếng cho tổ chức.

Theo 1-1 vị nghiên cứu thị trường Market Watch, dung tích thị trường Pentest vào năm 2018 là 920 triệu USD, sẽ tăng lên 2420 triệu USD vào thời điểm năm 2025 với tốc độ tăng trưởng 14,9% trong tiến trình 2019 – 2025. Nhu cầu giành riêng cho việc chất vấn sức chống chịu của hệ thống trước tù đọng mạng là cực kỳ lớn. Lý do lý giải cho sự lớn lên này đến từ bốn yếu hèn tố.

Bốn lý do khiến Pentest là luôn luôn phải có với công ty lớn hiện đại

Phát triển web app, mobile phầm mềm gia tăng

Đầu tiên, những mô hình kinh doanh trong nền tài chính số đòi hỏi doanh nghiệp phải thực hiện website, vận dụng mobile để tiếp cận – liên kết – tiếp xúc – chăm lo khách hàng. Điều này vừa là lợi thế, vừa là yêu ước bắt buộc đối với một số tổ chức. Cũng chính vì hành vi của người tiêu dùng đã cố gắng đổi, họ phù hợp sự luôn thể lợi, say mê làm đông đảo thứ “online”. Bởi vì vậy công ty lớn tuy giảm bớt được rủi ro khủng hoảng khi bán hàng offline như hàng tồn, túi tiền mặt bằng; cơ mà đồng thời cũng cần gánh thêm các rủi ro mạng: bị gian lận website, bị hack điện thoại app, đánh cắp thông tin khách hàng, dữ liệu quan trọng, bị đứt quãng hoạt động, bị truyền nhiễm virus – mã độc, v.v…

*
Xu hướng biến hóa số

Thứ hai, doanh nghiệp văn minh bị bắt buộc chạy theo xu hướng “số hóa” giỏi “chuyển thay đổi số”. Câu hỏi ứng dụng technology mới vào quản lý doanh nghiệp giúp cắt giảm chi phí nhân lực, vận hành, tuy nhiên cũng làm tăng thêm các mặt phẳng tấn công giành cho tin tặc. Điển hình là ERP dành cho quản trị, CRM giúp giữ trữ tin tức và quan tâm khách hàng, những thiết bị IoT trong vận hành, v.v. Tất cả những sản phẩm kỹ thuật số này, còn nếu như không được bảo mật đúng cách dán thì đều rất có thể trở thành nạn nhân của tù hãm mạng.

Phần mềm SaaS

Thứ ba, xu hướng thực hiện các ứng dụng dịch vụ trả chi phí theo yêu cầu “as-a-service” gia tăng so với phần mềm mua bạn dạng quyền trọn đời (on-premise). Điều này đem lại sự luôn tiện lợi cho tất cả những người dùng cuối, dẫu vậy cũng làm tăng thêm các rủi ro bảo mật đến nhà cung cấp. Việc phân phối các ứng dụng, phần mềm, hạ tầng, nền tảng dưới dạng dịch vụ (SaaS, IaaS, PaaS, FaaS) yên cầu kết nối mạng internet liên tục, đồng nghĩa với khủng hoảng bị tấn công gián đoạn tăng cao, gây tác động tới thử khám phá của người dùng.

Pentest là hình thức phòng ngừa chủ động hiệu quả

Cuối cùng, phương thức bảo mật bằng vẻ ngoài tấn công mô rộp mang lại cho bạn những ích lợi mà các hệ thống phòng thủ tự động không thể bao gồm được, mặc dù rằng chúng có tiên tiến tới đâu. Bởi những pentester tiến công với bốn duy như một tin tặc trong quả đât thực: khôn cùng “con người” và đầy tính sáng sủa tạo.

Xem thêm: 1, Tại Sao Dầu Mỡ Để Lâu Bị Ôi Thiu Là Do? Tại Sao Dầu Mỡ Ăn Để Lâu Bị Ôi Thiu

Lợi ích của Pentest

Khi tiến hành pentest định kỳ và đúng cách, doanh nghiệp rất có thể đạt được những mục tiêu bảo mật quan lại trọng:

Tăng cường bình an cho ứng dụng web, mobile, network, IoT, API, khối hệ thống cloud, SaaS, phần cứng, v.v. Giảm thiểu tối đa kĩ năng bị tin tặc xâm nhập phạm pháp và khiến thiệt hại;Các nhà lãnh đạo có cài nhìn toàn cảnh về bình an ứng dụng & sản phẩm technology của tổ chức;Ước tính thiệt hại nhưng mà một cuộc tiến công thực tế hoàn toàn có thể gây ra;Bảo mật cơ sở dữ liệu, các thông tin quan tiền trọng của người tiêu dùng và tin tức người dùng;Giúp hệ thống chuyển động ổn định, giảm thiểu kĩ năng bị tiến công gây gián đoạn;Tìm được những lỗ hổng nguy nan mà công cụ/phần mềm phòng thủ tự động hóa khó phát hiện tại ra;Đảm bảo tiêu chuẩn chỉnh bảo mật của từng ngành cụ thể (PCI DSS, HIPAA, ISO 27001,…);Củng cố niềm tin cho khách hàng hàng, đối tác, công ty đầu tư.
*
>> Case Study: VNtrip phát hiện tại 50 lỗ hổng trên web & mobile app trải qua Pentest trên nền tảng WhiteHub

Thời điểm thích hợp để thực hiện pentest?

Các tổ chức được lời khuyên thực hiện tại pentest thời hạn theo chu kỳ hàng năm hoặc quý nhằm đảm bảo bình an cho hệ thống IT bao gồm hạ tầng mạng và những ứng dụng. Sát bên việc tiến hành pentest định kỳ, bình chọn xâm nhập sẽ quan trọng mỗi lúc doanh nghiệp:

có thêm hạ tầng mạng hoặc vận dụng mới;cập nhật hay điều chỉnh đáng kể các ứng dụng và hạ tầng;chuyển công sở sang vị trí mới và cài đặt lại hệ thống;cập nhật bản vá bảo mật mới; hoặcđiều chỉnh chế độ bảo mật cho những người dùng cuối.

Doanh nghiệp nào phải pentest?

Tuy nhiên, pentest không phải giành cho tất cả phần đông tổ chức. đề nghị xem xét các yếu tố sau trước khi triển khai pentest:

Quy tế bào công ty. Các công ty xuất hiện thêm online thường xuyên hơn sẽ có tương đối nhiều vector tấn công và trở nên cuốn hút hơn với tin tặc.Các công ty có hạ tầng bên trên cloud có tác dụng sẽ ko được phép tiến hành pentest hạ tầng cloud. Tuy nhiên nhà cung ứng sẽ có nghĩa vụ phải triển khai pentest định kỳ để đảm bảo an ninh cho khách hàng sử dụng tài nguyên đám mây của họ.Chi mức giá pentest không thể thấp, chính vì vậy các công ty có ngân sách bình an mạng dong dỏng sẽ khó hoàn toàn có thể thực hiện nay định kỳ.

Điểm yếu của Pentest

Mặc dù Pentest là một phương án hiệu trái để kháng lại những cuộc tiến công mạng tất cả chủ đích. Tuy nhiên không có cách thức nào là hoàn hảo nhất tuyệt đối. Dưới đây là một số mặt tinh giảm của Kiểm thử thâm nám nhập:

Chi tầm giá cao: Đối với dịch vụ pentest thông thường, công ty sẽ buộc phải trả chi phí theo giờ đồng hồ hoặc ngày công làm việc của pentester, và chi phí này không thể thấp. Thực tế nhiều doanh nghiệp có nhu cầu bảo mật website app, mobile ứng dụng nhưng vấn đề chi một khoản tiền quá rộng cho pentest là một rào cản.Thiếu tính đa dạng: thường thì đội ngũ pentest chỉ bao gồm tối nhiều 3-5 người, và họ thường khám nghiệm theo một các bước có sẵn, lặp đi lặp lại. Trong lúc tin tặc ngoài thực tế không bị gò bó vào bất kỳ một tiến trình nào, và số lượng kẻ xấu là siêu nhiều. Khó tích hòa hợp nền tảng: những pentest thông thường sẽ khởi tạo ra một báo cáo dài với các lỗ hổng được liệt kê. Không có sự tích đúng theo nào trong vòng đời cải tiến và phát triển phần mềm, và vấn đề đó làm tăng thêm túi tiền hoạt cồn và làm cho chậm vận tốc của cả vấn đề khắc phục và cải cách và phát triển ứng dụng.

Pentest cùng đồng được mang lại là giải pháp hiệu quả nhằm khắc phục những yếu điểm trên. Cùng với Pentest cùng đồng, doanh nghiệp có thể tiếp cận mặt hàng trăm chuyên viên bảo mật, pentester hay tin tặc mũ trắng nhằm tìm lỗi cho sản phẩm. Hơn nữa, mô hình tính tổn phí Bug bounty (trả tiền theo lỗi) cho phép doanh nghiệp về tối ưu hiệu quả đầu tư với thuộc mức giá cả so cùng với Pentest truyền thống.

*

Tìm gọi thêm về Pentest cùng đồng với cách các doanh nghiệp bậc nhất như Google, Facebook, Uber hợp tác và ký kết với xã hội Hacker nón trắng >> tải Ebook miễn phí: Crowdsourced Penetration Testing 101.

Công ráng kiểm thử xâm nhập

Pentester thường áp dụng công nắm để phân phát hiện phần đa lỗ hổng cơ bản. Những qui định này giúp quét mã mối cung cấp của áp dụng để tìm ra đầy đủ đoạn code độc hại rất có thể mở ra một cuộc tấn công. ở kề bên đó, pentest tool cũng rất có thể xem xét technology mã hóa dữ liệu và hoàn toàn có thể xác định các giá trị hard-code (ví dụ như username và passwords) nhằm xác minh các lỗ hổng sống thọ trong hệ thống.

Một nguyên tắc pentest tốt phải đáp ứng nhu cầu được:

Dễ triển khai, thiết lập, sử dụng;Quét hệ thống dễ dàng;Phân các loại lỗ hổng dựa vào mức độ cực kỳ nghiêm trọng và cung cấp bách;Có khả năng tự động hóa quá trình xác minh lỗ hổng;Xác minh lại những khai thác trước đó; vàXuất report lỗ hổng cùng logs chi tiết.

Có rất nhiều công vậy pentest miễn giá tiền và xuất hiện source (mã mối cung cấp mở) phổ biến. Ví dụ như: Metasploit Project, Nmap, Wireshark, John the Ripper…Pentester sử dụng các công cụ tương tự như như tin tặc mũ đen. Điều đó giúp họ nắm rõ hơn cách những công cố gắng này giúp tin tặc đột nhập vào tổ chức.

Những pentester chuyên nghiệp hóa có năng lực sử dụng lao lý pentest buổi tối ưu nhằm tiết kiệm sức lực đồng thời đạt hiệu quả cao nhất.

Quy trình pentest

Có nhiều phương thức và bí quyết tiếp cận khác nhau khi nói tới quy trình kiểm test xâm nhập. Mặc dù chúng hầu như theo một bốn duy chung gồm 4 cách cơ bản: tích lũy thông tin về đối tượng người sử dụng – nghiên cứu và phân tích các cách thực hiện khả thi – khai thác lỗ hổng và xâm nhập – báo cáo.

ReconnaissanceEnumerateExploitDocumentation

Thu thập thông tin

Đây là tiến độ pentester thu thập tất cả những thông tin cần thiết về đối tượng. Quá trình này tác động to khủng đến kết quả kiểm demo của chăm gia. Nếu thu thập thông tin đúng đắn sẽ góp rút ngắn thời hạn kiểm test đi các lần. đều thông tin có thể thu thập bao gồm: showroom website, các loại máy chủ, địa điểm đặt thứ chủ, những đường link, tiêu chuẩn mã hóa, tin tức liên hệ, email, số điện thoại,… những công cố kỉnh được áp dụng rất đa dạng, rất có thể là Google search hay các công cụ sâu sát như Nmap, Wireshark. Đôi khi các pentester cũng đối chiếu source code của website nhằm tìm kiếm thông tin.

Xác định những cổng truy cập

Việc tiếp sau là xác định toàn cục các cổng chất nhận được truy cập vào ứng dụng. Ở cách này, pentester vẫn sử dụng kinh nghiệm và các công cụ hỗ trợ để tìm kiếm ra đa số cổng khả thi giúp truy cập vào phần mềm. Những dụng cụ thường được thực hiện là Nmap, Wireshark.

Khai thác lỗ hổng cùng xâm nhập

Sau khi sẽ có rất đầy đủ thông tin và những cổng truy nã cập, pentester triển khai khai thác những lỗ hổng để sở hữu được quyền truy cập vào vận dụng web/mobile.

Gửi report lỗ hổng và PoC

PoC pentest trên căn nguyên WhiteHub

Khi đã xâm nhập thành công, các pentester bắt buộc gửi report lỗ hổng cho đơn vị chủ cai quản của khối hệ thống để tiến hành xác minh và đánh giá mức độ nghiêm trọng. Ở cách này, pentester đề xuất viết một PoC.

PoC (Proof of Concept) là một bạn dạng mô phỏng cuộc tấn công khai thác lỗ hổng trong nhân loại thực. Một đoạn mã được viết ship hàng việc mô bỏng được gọi là PoC code. Giả dụ PoC code bị phát tán rộng thoải mái trước lúc có bạn dạng vá bảo mật, sẽ đổi mới một Zero-day exploit.

Quá trình pentest hoàn chỉnh khi phía 2 bên (Pentester với Doanh nghiệp) thống nhất report cuối thuộc về các lỗ hổng với mức độ tác động của nó tới phần mềm hoặc hệ thống.

Nhiều pentester đưa ra lỗ hổng nguy hiểm, nhưng không chứng minh được nấc độ ảnh hưởng của lỗ hổng kia tới tổ chức, thì sẽ không được đánh giá cao. Vị vậy, việc chứng minh mức độ ảnh hưởng của lỗ hổng rất đặc biệt quan trọng trong quá trình đám phán, cùng pentester cần tò mò kỹ về tổ chức triển khai để trao đổi dễ dàng hơn về phạm vi ảnh hưởng.

Dịch vụ pentest web app, thiết bị di động app

Hiện tại, vantaidongphat.com là giữa những đơn vị uy tín cung ứng dịch vụ Pentest chuyên nghiệp hóa cho các doanh nghiệp công nghệ lớn bé dại tại việt nam và trong khu vực vực.

Xem thêm: Cách Đăng Ký Sim Sinh Viên Viettel 2020, Cách Đăng Ký Sim Sinh Viên Viettel Mới Nhất 2022

Tận dụng lợi thế từ nền tảng cộng đồng WhiteHub, thương mại & dịch vụ Pentest hỗ trợ bởi vantaidongphat.com bao gồm những ưu thế vượt trội:

Hiệu quả cấp 7 lần pentest truyền thốngChi mức giá trả theo hiệu quả thay vì giờ côngHỗ trợ xuất báo cáo pentest chuẩn chỉnh ngành

Một số người sử dụng tiêu biểu: Sendo, Giaohangtietkiem, Tomochain, VNtrip, VNDC, Getfly CRM, VinID và nhiều doanh nghiệp khác.