Pentest là gì? Tìm hiểu về Penetration Testing (kiểm thử thâm nhập)

Penetration Testing là 1 cuộc tấn công mạng mô phỏng được ủy quyền trên máy tính, nhằm đánh giá tính bảo mật của hệ thống. Quá trình thử nghiệm được thực hiện để xác định tất cả điểm yếu (còn được xem là lỗ hổng), kể cả khả năng các bên không được phép truy cập vào những tính năng và dữ liệu hệ thống, cũng giống điểm tốt là cấp phép đánh giá không may trên toàn hệ thống.

Penetration Testing là gì?

Penetration Testing, còn được gọi tắt là pen test, pentest hay ethical hacking, là cuộc tấn công giả lập nhắm vào hệ thống máy tính để kiểm tra những lỗ hổng cũng có thể có thể được khai thác. Trong bảo mật ứng dụng web, Penetration Testing (kiểm thử thâm nhập) thường được dùng để làm tăng cường tường lửa ứng dụng web (Web Application Firewall – WAF).

Pen testing cũng có thể liên quan đến việc cố gắng vi phạm bất kỳ con số hệ thống phần mềm nào, (ví dụ các interface giao thức ứng dụng – Application Protocol Interface – API, máy server frontend/backend) để phát hiện ra các lỗ hổng, chẳng hạn như đầu vào không được xác nhận dễ dẫn đến tiến công bằng phương pháp truyền mã độc.

Thông tin chi tiết được cung cấp bởi quá trình kiểm thử thâm nhập cũng có thể được dùng làm tinh chỉnh các chủ trương bảo mật WAF và vá các lỗ hổng được phát hiện.

Những giai đoạn trong Penetration Testing

Quá trình pen test có thể được chia làm 5 giai đoạn.

1. Lập kế hoạch và khảo sát trước

Giai đoạn trước mắt bao gồm:

• Xác định độ rộng và mục đích của thử nghiệm, kể cả các hệ thống được giải quyết và những phương pháp thử nghiệm sẽ được sử dụng.
• Thu thập thông tin (ví dụ như tên mạng và tên miền, mail server) để biết rõ hơn cách mục đích hoạt động và các lỗ hổng thực lực của nó.

2. Quét

Bước tiếp theo là hiểu cách ứng dụng mục đích sẽ phản ứng với các yếu tố đột nhập khác nhau. Điều này thường được thực hành bằng cách sử dụng:

• Phương pháp phân tích tĩnh – Kiểm tra code của ứng dụng để xác định hành vi của nó khi đang chạy. Các công cụ này còn cũng đều có thể quét toàn bộ code trong 1 lần chạy.
• Phương pháp phân tích động – Kiểm tra code của phần mềm trong tình trạng đang chạy. Đây là phương pháp quét thực tế hơn, vì nó cung cấp chế độ xem thời gian thực đối với công suất của ứng dụng.

3. Giành quyền truy cập

Giai qui trình này sử dụng các cuộc tiến công ứng dụng web, chẳng hạn như cross-site scripting, SQL injection và backdoor, để khám phá ra những lỗ hổng mục tiêu. Sau đó, người kiểm tra sẽ thử khai thác các lỗ hổng này, thường là bằng phương pháp giành quyền kiểm soát toàn bộ hệ thống, đánh cắp dữ liệu, chặn lưu lượng, v.v.. để hiểu được thiệt hại mà chúng có thể gây ra.

4. Duy trì truy cập

Mục tiêu của thời kì này là để xem liệu lỗ hổng có thể được dùng làm khai thác lâu dài trong hệ thống bị xâm nhập hay không (đủ lâu để một hacker có thể truy cập sâu vào hệ thống). Ý tưởng là học theo một số cuộc tiến công APT, thường tồn tại nhiều tháng trong một hệ thống để đánh cắp dữ liệu nhạy cảm nhất của tổ chức.

5. Phân tích

Kết quả kiểm thử thâm nhập sau đó được tổng hợp thành một báo cáo chi tiết, gồm những:

• Lỗ hổng cụ thể đã được khai thác
• Dữ liệu nhạy cảm được truy cập
• Thời lượng mà người triển khai cuộc kiểm tra pen test cũng có thể có thể ở lại trong hệ thống mà tránh bị phát hiện

Thông tin này được nhân viên đảm nhận bảo mật phân tích, giúp cấu hình cài đặt WAF cho doanh nghiệp, đem ra những giải pháp bảo mật phần mềm khác để vá các lỗ hổng và bảo quản chống lại các cuộc tiến công trong tương lai.

Những phương pháp Penetration Testing

External test (Thử nghiệm thâm nhập từ bên ngoài)

Thử nghiệm thâm nhập từ bên phía ngoài nhắm vào “tài sản” của một đơn vị cũng có thể nhìn thấy trên Internet, thí dụ cchính mình ứng dụng web, trang web của công ty, email và domain name server (DNS). Mục tiêu là để làm được được quyền truy cập và trích xuất dữ liệu có giá trị.

Internal test (Thử nghiệm thâm nhập từ bên trong)

Trong thử nghiệm thâm nhập từ bên trong, người thí nghiệm có quyền truy cập vào một phần mềm đằng sau tường lửa sẽ mô phỏng một cuộc tiến công do chính người trong nội bộ tiến hành. Cuộc tiến công này sẽ chẳng những cảnh báo viễn cảnh một chuyên viên nào đó trong nội bộ cũng có thể có thể chính là hacker, mà còn nhắc nhở quản trị viên đề phòng việc một nhân viên trong tổ chức bị đánh cắp tin tức đăng nhập, sau một cuộc tấn công phishing.

Blind test (Thử nghiệm “mù”)

Trong thí nghiệm blind test, người thử nghiệm chỉ được cung cấp tên của doanh nghiệp đang nhắm mục tiêu. Điều này cung cấp cho chuyên viên đảm nhiệm bảo mật cái nhìn thời gian thực về kiểu cách thức một cuộc tiến công ứng dụng sẽ diễn ra trong thực tế.

Double blind test

Trong thí nghiệm double blind test, nhân viên đảm nhận bảo mật không biết gì trước về cuộc tiến công được mô phỏng. Giống như trong toàn cầu thực, không phải lúc nào cũng biết trước các cuộc tấn công để nâng cao khả năng phòng thủ.

Targeted test

Trong kịch bản này, cả người kiểm tra và nhân viên đảm nhiệm bảo mật sẽ khiến việc với nhau và liên tiếp đánh giá động thái của nhau. Đây là một bài tập đào tạo có giá trị, cung cấp cho hàng ngũ bảo mật tin tức phản hồi thời gian thực theo quan điểm của hacker.

Penetration testing và tường lửa ứng dụng web

Penetration testing và WAF là các giải pháp bảo mật độc lập, nhưng cùng đem lại lợi ích bổ trợ nhau.

Đối với nhiều loại pen test (ngoại trừ thí nghiệm blind và double blind test), người thử nghiệm có thể sử dụng dữ liệu WAF, chẳng hạn như nhật ký, để xác xác định trí và khai thác điểm yếu của ứng dụng.

Đổi lại, quản trị viên WAF có thể hưởng lợi từ dữ liệu pen test. Sau khi hoàn thành thử nghiệm, cấu hình WAF có thể được cập nhật để bảo vệ ngăn chặn những điểm yếu được phát hiện trong qui trình test.

Cuối cùng, pen test đảm bảo một số đòi hỏi về việc tuân thủ quy trình kiểm tra bảo mật, kể cả cả PCI DSS và SOC 2. Một số tiêu chuẩn, như PCI-DSS 6.6, chỉ có thể được mãn nguyện thông qua việc sử dụng WAF được chứng nhận.

Bộ công cụ của hacker mũ trắng

Ethical hacking chẳng cần là một công việc chỉ luôn phải có kỹ năng. Hầu hết các hacker mũ trắng (ethical hacker) đều sử dụng hệ điều hành và phần mềm chuyên dụng để giúp công việc của họ dễ dàng hơn, tránh mọi sai lầm thủ công.

Vậy các hacker này sử dụng pen test để làm gì? Dưới đây là một vài ví dụ.

Parrot Security OS

Parrot Security là một hệ điều hành dựa theo Linux được thiết kế để kiểm tra thâm nhập và đánh giá lỗ hổng. Nó thân thiện với đám mây, dễ sử dụng và bổ trợ nhiều ứng dụng mã nguồn mở khác nhau.

Live Hacking OS

Cũng là một hệ điều hành Linux, Live Hacking là một chọn lựa thích hợp cho những người làm mướn việc pentest, vì nó nhẹ và không yêu cầu phần cứng cao. Live Hacking được gói gọn sẵn với các công cụ và ứng dụng để kiểm tra thâm nhập và ethical hacking.

Nmap

Nmap là một công cụ sáng dạ mã nguồn mở (OSINT) giám sát mạng, thu thập và phân tích dữ liệu về host và server của thiết bị, làm cho nó có giá trị đối với các hacker mũ đen, xám và trắng.

Nmap cũng đa nền tảng và hoạt động với cả Linux, Windows và macOS, cho nên nó rất lý tưởng cho các ethical hacker mới bắt đầu.

WebShag

WebShag cũng là một công cụ OSINT. Đây là một công cụ kiểm tra hệ thống, quét các giao thức HTTPS và HTTP, đồng thời thu thập dữ liệu và tin tức tương đối. Nó được dùng bởi các ethical hacker, nhằm thi hành các cuộc thử nghiệm thâm nhập từ bên ngoài thông qua các trang web công cộng.

Đi đâu để kiểm thử thâm nhập?

Pen test mạng của chính mình không phải là chọn lựa tốt nhất, vì bạn cũng có thể có thể chưa tích lũy đủ kiến ​​thức sâu rộng về việc này, khiến bạn khó có những suy nghĩ sáng tạo và tìm ra các lỗ hổng ẩn. Bạn nên thuê một hacker mũ trắng độc lập hoặc dịch vụ của 1 cửa hàng cung cấp công ty pen test.

Tuy nhiên, thuê mướn người dưng xâm nhập vào mạng của bạn cũng có thể có thể rất rủi ro, đặc biệt nếu bạn đang cung cấp cho họ tin tức bảo mật hoặc quyền truy cập nội bộ. Đây là lý do tại sao bạn nên sử dụng các nhà cung cấp bên thứ 3 đáng tin cậy. Đây là một số gợi ý để bạn tham khảo:

HackerOne.com

HackerOne là một trung tâm có hội sở tại San Francisco, cung cấp các cửa hàng kiểm tra thâm nhập, đánh giá lỗ hổng và kiểm tra việc tuân thủ giao thức.

ScienceSoft.com

Tọa lạc tại Texas, ScienceSoft cung cấp các dịch vụ đánh giá lỗ hổng, pen test, kiểm tra việc tuân thủ và cơ sở hạ tầng.

Raxis.com

Có hội sở tại Atlanta, Georgia, Raxis cung cấp các dịch vụ có mức giá trị từ pen test và đánh giá mã bảo mật đến đào tạo đối phó sự cố, đánh giá lỗ hổng và đào tạo phòng ngừa tấn công social engineering.

Penetration Testing,pentest kiểm thử thâm nhập,Penetration Testing là gì,các giai đoạn Penetration Testing,các phương pháp Penetration Testing,tường lửa ứng dụng web,pen test

Nội dung Pentest là gì? Tìm hiểu về Penetration Testing (kiểm thử thâm nhập) được tổng hợp sưu tầm biên tập bởi: Tin Học Trường Tín. Mọi ý kiến vui lòng gửi Liên Hệ cho truongtin.top để điều chỉnh. truongtin.top tks.