Pentest là gì? Tại sao phải cần Pentest tổng thể?

Hiện nay, hầu hết các tổ chức, doanh nghiệp đều có cho mình một Website để thông tin và buôn bán sản phẩm – dịch vụ đến khách hàng. Mỗi Website dù nhỏ dù to luôn tồn tại những điểm yếu bảo mật nghiêm trọng mà tin tặc có thể khai thác để phá hoại. Các lỗi bảo mật này luôn được cập nhật liên tục trên các mặt báo công nghệ. Vậy chúng ta làm sao để khác phục điểm yếu đó? Pentest được sinh ra để làm những điều đề cập ở trên.

I. Pentest là gì?

Pentest (Penetration Testing) là hình thức kiểm tra hệ thống CNTT của bạn có thể bị tấn công hay không, bằng cách giả lập các vụ tấn công thử nghiệm tạo ra. Có thể hiểu một cách đơn giản, Pentest chính là đánh giá độ an toàn bằng cách tấn công vào hệ thống, là quá trình xem xét lại các dịch vụ và hệ thống để tìm ra các vấn đề an ninh tiềm tàng hoặc dò tìm các dấu vết khi hệ thống bị tổn thương. Người thực hiện một thử nghiệm xâm nhập được gọi là kiểm tra xâm nhập hoặc Pentester.

Pentest là gì? Tại sao phải cần Pentest tổng thể?

II. Các khái niệm bảo mật cơ bản

Lỗ hổng (Vulnerabilities): Vulnerabilities là lỗ hổng bảo mật trong một phần của phần mềm, phần cứng hoặc hệ điều hành, cung cấp một góc tiềm năng để tấn công  hệ thống. Một lỗ hổng có thể đơn giản như mật khẩu yếu hoặc phức tạp như lỗi tràn bộ đệm hoặc các lỗ hổng SQL injection.

Khai thác (Exploits): Để tận dụng lợi thế của một lỗ hổng, thường cần một sự khai thác, một chương trình máy tính nhỏ và chuyên môn cao mà lý do duy nhất là để tận dụng lợi thế của một lỗ hổng cụ thể và để cung cấp truy cập vào một hệ thống máy tính. Khai thác thường cung cấp một tải trọng (payloads) đến mục tiêu hệ thống và cung cấp cho kẻ tấn công truy cập vào hệ thống.

Tải trọng (Payloads): Tải trọng (payloads) là các thành phần của phần mềm cho phép  kiểm soát một hệ thống máy tính sau khi nó đang được khai thác lỗ hổng ,thường gắn liền với vài giao khai thác (exploits).

III. Các phương pháp sử dụng trong Pentest

1. Hộp đen (Black box)

Kiểm thử từ bên ngoài vào (Black box Pentest): các cuộc tấn công sẽ được thực hiện mà không có bất kỳ thông tin nào, pentester sẽ đặt mình vào vị trí của những tin tặc mũ đen và cố gắng bằng mọi cách để thâm nhập vào được hệ thống của khách hàng. Pentester sẽ mô phỏng một cuộc tấn công thực sự vào hệ thống

2. Hộp trắng (White box)

Kiểm thử từ bên trong ra (White box Pentest): là các thông tin về mạng nội bộ và ngoại sẽ được cung cấp bởi khách hàng và Pentester sẽ đánh giá an ninh mạng dựa trên đó.

3. Hộp xám (Gray box)

Kiểm thử hộp xám (Gray-box hay Crystal-box): Giả định như tin tặc được cung cấp tài khoản một người dùng thông thường và tiến hành tấn công vào hệ thống như một nhân viên của doanh nghiệp.

IV. Những hạng mục trong PenTest

1. Đánh giá cơ sở hạ tầng mạng

Đánh giá cấu trúc mạng.

Đánh giá các biện pháp bảo mật được thiết lập.

Đánh giá việc tuân thủ các tiêu chuẩn.

Đánh giá các hệ thống như Firewall: Cấu hình, cấu trúc, quản trị, vá lỗi bảo mật, ghi nhật ký, chính sách, khả năng sẵn sàng,…

Đánh giá thiết bị phát hiện và phòng chống xâm nhập IPS: Cấu hình, khả năng phát hiện xâm nhập, cấu trúc, quản trị, vá lỗi bảo mật, ghi nhật ký, chính sách, khả năng sẵn sàng,…

Đánh giá thiết bị VPN:  Cấu hình, quản trị, chính sách truy nhập, nhật ký,…

Đánh giá Router/Switch: Cấu hình, xác thực, cấp quyền, kiểm soát truy nhập, nhật ký,…

2. Đánh giá hệ thống máy chủ

Máy chủ Windows và Linux: đánh giá phiên bản, cập nhật, cấu hình các dịch vụ, vá lỗi, chính sách tài khoản và mật khẩu, chính sách ghi nhật ký, rà soát cấp quyền.

Khả năng dự phòng, cân bằng tải, cơ sở dử liệu phân tán.

3. Đánh giá ứng dụng web

Đánh giá từ bên  ngoài: Dùng các công cụ chuyên dụng tấn công thử nghiệm, từ đó phát hiện ra các lỗ hổng như: Lỗi tràn bộ đệm, SQL injection, Xss, upload, Url bypass và các lổ hổng ứng dụng khác.

Đánh giá từ bên trong: Kiểm tra mã nguồn web nhằm xác định các vấn đề về xác thực, cấp quyền, xác minh dữ liệu, quản lý phiên, mã hóa.

Kết luận

Trong thời đại công nghệ ngày một phát triển chóng mặt, kéo theo tội phạm mạng gia tăng và để tránh được những rắc rối không mong muốn đến hệ thống thông tin và website, các cá nhân và doanh nghiệp cần trang bị kiến thức về bảo mật nhiều hơn. Mong rằng bài viết này sẽ giúp cho các bạn bảo vệ cho website và hệ thống server của mình tốt hơn trước những đối thủ cạnh tranh không lành mạnh và các thành phần nhàn rỗi thích phá hoại. Chúc các bạn thành công.