Là hình thức kiểm tra hệ thống CNTT của bạn có thể bị tấn công
hay không, bằng cách giả lập các vụ tấn công thử nghiệm tạo ra. Có thể hiểu một
cách đơn giản Penetration Testing ( Pentest ) chính là đánh giá độ an toàn bằng
cách tấn công vào hệ thống . Vulnerability Assessment là quá trình xem xét lại
các dịch vụ và hệ thống để tìm ra các vấn đề an ninh tiềm tàng hoặc dò tìm các
dấu vết khi hệ thống bị tổn thương. Người thực hiện một thử nghiệm xâm
nhập được gọi là kiểm tra xâm nhập hoặc pentester.
Khi thâm nhập thử
nghiệm cần phải có sự cho phép của người sở hữu hệ thống. Nếu không, bạn sẽ là
hacking hệ thống, và đó là bất hợp pháp. Nói cách khác: Sự khác biệt giữa
thử nghiệm thâm nhập và hack là bạn có sự cho phép của chủ sở hữu hệ
thống .
Để hiểu rõ hơn về Pentest, trước tiên cần phải biết các khái
niệm bảo mật cơ bản sau:
Lỗ hổng (Vulnerabilities)
Vulnerabilities là lỗ hổng bảo mật trong một phần của phần
mềm, phần cứng hoặc hệ điều hành, cung cấp một góc tiềm năng để tấn công
hệ thống. Một lỗ hổng có thể đơn giản như mật khẩu yếu hoặc phức tạp như
lỗi tràn bộ đệm hoặc các lỗ hổng SQL injection.
Khai thác (exploits)
Để tận dụng lợi thế của một lỗ hổng, thường cần một sự khai
thác, một chương trình máy tính nhỏ và chuyên môn cao mà lý do duy nhất là để
tận dụng lợi thế của một lỗ hổng cụ thể và để cung cấp truy cập vào một hệ
thống máy tính. Khai thác thường cung cấp một tải trọng (payloads) đến mục
tiêu hệ thống và cung cấp cho kẻ tấn công truy cập vào hệ thống.
Trọng tải (payloads)
Tải trọng (payloads) là các thành phần của phần mềm cho
phép kiểm soát một hệ thống máy tính sau khi nó đang được khai thác lỗ
hổng ,thường gắn liền với vài giao khai thác (exploits).
Phương
pháp sử dụng trong pentest.
Hộp đen (Black box)
Tấn công từ ngoài vào
(black box Pen Test): các cuộc tấn công được thực hiện mà không có bất kỳ thông
tin nào, pentester sẽ đặt mình vào vị trí của những tin tặc mũ đen và cố
gắng bằng mọi cách để thâm nhập vào được mạng nội, ngoại của khách hàng.
Pentester sẽ mô phỏng một cuộc tấn công thực sự vào ứng
dụng ,quá trình thử nghiệm bao gồm một loạt các lỗ hổng bảo mật ở cấp ứng dụng
được xác định bởi OWASP và WASC, nhắm mục tiêu các lỗ hổng bảo mật nguy hiểm
tiềm tàng trong ứng dụng của khách hàng . Quá trình thử nghiệm sẽ tiết lộ các
lỗ hổng, thiệt hại khai thác tiềm năng và mức độ nghiêm trọng.
Hộp trắng (White box)
Tấn công từ trong ra
(white box Pen Test): là các thông tin về mạng nội bộ và ngoại sẽ được cung cấp
bởi khách hàng và Pentester sẽ đánh giá an ninh mạng dựa trên đó.
Điều quan trọng là cho các tổ chức để xác định rủi ro và mối đe
dọa của họ xuất phát từ đâu Nếu doanh nghiệp cảm nhận được nó đến từ các nhân
viên, khách hàng hoặc đối tác thương mại, nó có thể có lợi để tiến hành một thử
nghiệm hộp Penetration trắng. Nhân viên, khách hàng và các đối tác thương mại
có kiến thức về thông tin của doanh nghiệp. Họ có thể biết rằng Doanh Nghiệp
có một Intranet hoặc Extranet, trang web, và họ cũng có thể có các thông
tin cho phép họ để đăng nhập vào hệ thống. Họ có thể biết nhân viên làm việc
trong tổ chức, cơ cấu quản lý, các ứng dụng chạy trong môi trường. Tất cả các
thông tin này có thể được sử dụng để khởi động các cuộc tấn công nhắm mục tiêu
nhiều hơn đối với một cơ sở hạ tầng, mà có thể không được xác định là một phần
của một sự tham gia thử nghiệm Black Box.
Hộp xám (Gray box)
Kiểm định hộp xám (Gray-box hay Crystal-box): Giả định như tin
tặc được cung cấp tài khoản một người dùng thông thường và tiến hành tấn công
vào hệ thống như một nhân viên của doanh nghiệp.
Những hạng mục trong PenTest
1. Đánh giá cơ sở hạ tầng mạng
·
Đánh giá cấu trúc
mạng.
·
Đánh giá các biện pháp
bảo mật được thiết lập.
·
Đánh giá việc tuân thủ
các tiêu chuẩn.
·
Đánh giá các hệ thống
như: firewall: Cấu hình, cấu trúc, quản trị, vá lỗi bảo mật, ghi nhật ký, chính
sách, khả năng sẵn sàng…
·
Đánh giá thiết bị phát
hiện và phòng chống xâm nhập IPS: Cấu hình, khả năng phát hiện xâm nhập, cấu
trúc, quản trị, vá lỗi bảo mật, ghi nhật ký, chính sách, khả năng sẵn sàng…
·
Đánh giá thiết bị VPN:
Cấu hình, quản trị, chính sách truy nhập, nhật ký…
·
Đánh giá Router/
Switch: Cấu hình, xác thực, cấp quyền, kiểm soát truy nhập, nhật ký….
·
..
2. Đánh giá hệ thống máy chủ
·
Máy chủ Windows và
Linux:
·
Đánh giá phiên bản,
cập nhật, cấu hình các dịch vụ, vá lỗi, chính sách tài khoản và mật khẩu, chính
sách ghi nhật ký, rà soát cấp quyền…
·
Khả năng dự phòng, cân
bằng tải, cơ sở dử liệu phân tán.
·
...
3. Đánh giá ứng dụng web
·
Đánh giá từ bên
ngoài: Dùng các công cụ chuyên dụng tấn công thử nghiệm, từ đó phát hiện ra các
lỗ hổng như: Lỗi tràn bộ đệm, SQL injection, Xss, upload, Url bypass và các lổ
hổng ứng dụng khác
·
Đánh giá từ bên trong:
Kiểm tra mã nguồn web nhằm xác định các vấn đề về xác thực, cấp quyền, xác minh
dữ liệu, quản lý phiên, mã hóa…
·
...
Tiêu chuẩn thực hiện Pentest
Pentest cần được thực hiện trên cơ sở tuân thủ các tiêu chuẩn
quốc tế về đánh giá an ninh bảo mật cho hệ thống như sau:
Đánh giá ứng dụng Web – OWASP (Open-source Web Application
Security Project): OWASP là một chuẩn mở cho phép tổ chức/DN tiến hành
xây dựng, phát triển, duy trì hoạt động của các ứng dụng trên nền tảng web một
cách bảo mật nhất. Quá trình đánh giá dựa trên các tiêu chí đã được cộng đồng
bảo mật xác nhận. OWASP bao gồm 10 lỗ hổng được đánh giá một cách chi tiết và
cập nhật thường xuyên với thực tế các nguy cơ mà một ứng dụng web thường gặp.
Đánh giá mạng và hệ thống – OSSTMM (Open Source Security Testing
Methodology Manual): OSSTMM là một chuẩn mở cung cấp phương pháp kiểm tra
bảo mật một hệ thống đang hoạt động của doanh nghiệp. Từ phiên bản 3.0, OSSTMM
đưa ra phương pháp kiểm định cho hầu hết các thành tố trong hệ thống như: con
người, hạ tầng vật lý, mạng không dây, truyền thông và các mạng sử dụng truyền
dữ liệu.
3stone
Không có nhận xét nào:
Đăng nhận xét