Loại thử nghiệm thâm nhập nào phù hợp với bạn?
Kiểm tra thâm nhập là giải pháp lý tưởng cho doanh nghiệp của bạn khi bạn cần kiểm tra tính hiệu quả của các giao thức bảo mật.
Bằng cách mô phỏng các cuộc tấn công trong đời thực, nhóm CNTT của bạn có thể xác định các lỗ hổng trong hệ thống, khai thác chúng và cung cấp kiến thức về cách giải quyết các lĩnh vực bảo mật được xác định chính xác cần quan tâm. Nếu bạn muốn có cái nhìn tổng quan toàn diện về các bước liên quan thì đây là hướng dẫn của chúng tôi về các giai đoạn thử nghiệm thâm nhập.
Dù là bên trong hay bên ngoài, thử nghiệm thâm nhập sẽ mô phỏng các vectơ tấn công. Nếu đó là một cuộc tấn công từ bên ngoài, bạn sẽ liên quan đến kẻ tấn công từ xa để tìm ra thông tin mà người ngoài có thể truy cập được. Nếu là nội bộ, nó sẽ được tiến hành sau nội bộ và nhằm xác định những gì hacker có thể thực hiện khi truy cập nội bộ vào hệ thống của bạn.
Dựa trên mục tiêu của pen test, người kiểm thử có thể có một số kiến thức về môi trường đang được test (hoặc không). Nếu người kiểm tra biết hệ thống thì đó là hộp màu trắng. Trong các trường hợp khác, thử nghiệm thâm nhập có thể nhắm mục tiêu vào các ứng dụng, dịch vụ mạng, kỹ thuật xã hội, mạng không dây hoặc thậm chí là vật lý.
Bất kể bạn chọn thử nghiệm thâm nhập nào, một thử nghiệm tốt sẽ luôn phát hiện ra các lỗ hổng và giúp củng cố các điểm yếu trong hệ thống của bạn. Tuy nhiên, việc chọn giải pháp phù hợp cho tổ chức của bạn có thể mất thời gian và công sức, đặc biệt là khi có nhiều tùy chọn để khám phá.
Bài viết này tổng hợp các loại thử nghiệm thâm nhập khác nhau, giải thích nội dung của từng loại và thời điểm tốt nhất nên sử dụng một loại thử nghiệm cụ thể. Và cuối cùng, bạn sẽ tìm hiểu một số mẹo để chọn bài kiểm tra bút tốt nhất cho nhu cầu của tổ chức bạn.
Mục lục
Kiểm tra thâm nhập ứng dụng web
Nguồn: tóm tắt.com
Thử nghiệm bút này nhằm mục đích phát hiện ra những điểm nhạy cảm trên trang web và ứng dụng web như hệ thống Thương mại điện tử, người quản lý quan hệ khách hàng và hệ thống quản lý nội dung.
Bằng cách xem xét tính bảo mật, tính năng tùy chỉnh và chức năng logic cốt lõi của ứng dụng, thử nghiệm này sẽ làm sáng tỏ các cách để loại bỏ vi phạm, tổn thất tài chính và đánh cắp danh tính. Trước khi thử nghiệm, người thử nghiệm được trang bị một số ứng dụng để thử nghiệm, các trường đầu vào cần được sàng lọc và bản ghi các trang tĩnh và động để dễ dàng đánh giá các lỗi thiết kế và phát triển.
Các lỗ hổng phổ biến trong các ứng dụng web là tập lệnh chéo trang (XSS), chèn cơ sở dữ liệu và xác thực bị hỏng. Để có nhận thức sâu sắc về bảo mật web, bạn có thể kiểm tra Bảo mật ứng dụng web mở (OWAP), một kho lưu trữ tốt để đọc. Nó công bố thông tin về tần suất và mức độ nghiêm trọng của lỗi web từ dữ liệu được thu thập từ hàng nghìn ứng dụng.
Nếu công ty của bạn có nội dung web, tốt nhất bạn nên xem xét các bài kiểm tra bút trên web. Trong nhiều cơ cấu tổ chức hiện đại, các ứng dụng web là vô giá để lưu trữ và truyền tải thông tin. Đối với các mô hình hoạt động như vậy, cần có thử nghiệm web. Thống kê cho thấy rằng tội phạm mạng gia tăng sau đại dịch Covid-19.
Kiểm tra thâm nhập mạng
Nguồn: tóm tắt.com
Kiểm thử bút mạng là kiểm tra bảo mật nhắm vào cơ sở hạ tầng mạng, cho dù bạn đang chạy tại chỗ hay trên đám mây. Bằng cách thực hiện một loạt các biện pháp kiểm tra như lỗ hổng mã hóa, các bản vá bảo mật bị thiếu và cấu hình không an toàn, các thử nghiệm này khẳng định tính bảo mật của dữ liệu quan trọng trong kinh doanh.
Trong trường hợp này, bạn có thể thực hiện thử nghiệm nội bộ hoặc bên ngoài. Khi ở bên ngoài, người kiểm tra không có kiến thức trước về hệ thống và tận dụng Internet để có được bí quyết mà tin tặc sẽ sử dụng trong các cuộc tấn công. Nếu là nội bộ, trọng tâm là giành quyền truy cập vào mạng nội bộ của bạn. Ví dụ: người kiểm tra có thể khai thác các lỗ hổng trong hệ thống kết nối internet và cố gắng truy cập thông tin hoặc làm gián đoạn hoạt động.
Khi được thực hiện, kiểm tra bút mạng bảo vệ doanh nghiệp của bạn khỏi các cuộc tấn công mạng phổ biến, chẳng hạn như cấu hình sai và bỏ qua tường lửa, tấn công bộ định tuyến, tấn công cấp hệ thống tên miền (DNS), tấn công cơ sở dữ liệu và tấn công máy chủ proxy. Kiểm tra mạng sẽ phù hợp với bạn nếu hoạt động của công ty bạn liên quan đến việc chuyển tiếp lượng lớn dữ liệu. Xem xét tầm quan trọng của dịch vụ mạng đối với doanh nghiệp, tốt nhất nên thực hiện kiểm tra mạng ít nhất mỗi năm một lần.
Kiểm tra thâm nhập ứng dụng di động
Trong ứng dụng di động, pen test kiểm tra các ứng dụng trên các hệ điều hành khác nhau (Android và iOS) cũng như sự tương tác của chúng với API. Các thử nghiệm tốt sẽ dịch ngược mã nguồn của ứng dụng để thu được càng nhiều thông tin càng tốt.
Trong trường hợp này, trọng tâm là kiến trúc ứng dụng – giải mã nó trước khi thực hiện các thử nghiệm thủ công nhằm phát hiện thiết kế không an toàn và giao tiếp mạng – để kiểm tra cách truyền dữ liệu, lưu trữ dữ liệu và quyền riêng tư – để đảm bảo tuân thủ vì hầu hết các ứng dụng đều lưu trữ dữ liệu quan trọng như mật khẩu và Khóa API được lưu trữ trong tệp string.xml, xác thực và quản lý phiên – trong đó các thử nghiệm cần giám sát các quy trình quản lý phiên như kết thúc phiên, tính hợp lệ của mã thông báo, cập nhật mật khẩu và cấu hình sai trong xác thực đa yếu tố.
Giả sử công ty của bạn tập trung chủ yếu vào việc phát triển các ứng dụng di động như chơi game, dịch vụ tài chính và mua sắm. Trong trường hợp đó, bạn có thể xem xét các cuộc thử nghiệm bút trước khi phát hành sản phẩm cho công chúng sử dụng hoặc tung ra các bản cập nhật mới.
Kiểm tra thâm nhập không dây
Kiểm tra không dây nhắm mục tiêu vào mạng không dây của tổ chức bạn và các thiết bị được kết nối với chúng. Các thiết bị như vậy bao gồm điện thoại thông minh, máy tính bảng, máy tính và các thiết bị Internet vạn vật (IoT) khác.
Thông qua kiểm tra bút, bạn có thể xếp hạng mức độ bảo mật của các chương trình bảo mật không dây, khám phá và khai thác lỗ hổng, hiểu các mối đe dọa xuất hiện tại mỗi điểm truy cập và tạo chiến lược dựa trên dữ liệu để giải quyết các lỗ hổng.
Trước khi thử nghiệm, bạn nên xác định phạm vi tương tác bằng cách thiết lập mạng khách và mạng không dây cũng như số nhận dạng bộ dịch vụ (SSID) để truy cập. Mặc dù quá trình này dựa trên phần cứng nhiều hơn nhưng nó có thể được thực hiện bằng cách sử dụng các công cụ phần mềm trong hệ điều hành nguồn mở như Kali Linux. Để có nền văn hóa bảo mật tốt, doanh nghiệp có thể thực hiện kiểm tra mạng không dây hai lần mỗi năm.
Kiểm tra thâm nhập API
Kiểm tra bút API (đôi khi đi kèm với vi dịch vụ) được sử dụng để xác định điểm yếu của API. Hiện tại, nó ngày càng phổ biến khi nhiều công ty cho phép bên thứ ba truy cập một số dữ liệu và dịch vụ của họ.
Quá trình kiểm tra xác nhận rằng GraphQL, REST, dịch vụ web và các API khác được bảo mật và được kiểm tra chéo trước các lỗ hổng đã biết. Khi kiểm tra API, quy trình này tương tự như quy trình trên web. Điều này, đến lượt nó, cho phép sử dụng các công cụ tương tự. Tuy nhiên, các công cụ mới như Postman và Swagger có thể sẽ được giới thiệu.
Nếu bạn muốn khám phá thêm, đây là danh sách kiểm tra các công cụ kiểm tra và phát triển API của chúng tôi. Thông thường, các công cụ này được cung cấp bản thiết kế của API, sau đó các yêu cầu API khung được mô hình hóa và đưa vào sản phẩm.
Nếu doanh nghiệp của bạn có ứng dụng web hoặc thiết bị di động có phần phụ trợ API, việc chạy thử nghiệm API thường xuyên có thể giúp phát hiện các thiết kế mã hóa kém hoặc khả năng hiển thị có thể đóng vai trò là điểm truy cập cho những kẻ tấn công.
Kiểm tra thâm nhập kỹ thuật xã hội
Không giống như các kỹ thuật khác tập trung vào lỗi công nghệ, kỹ thuật xã hội khai thác tâm lý con người để xâm phạm an ninh của tổ chức bạn.
Các thử nghiệm này có lợi vì chúng xác định các lỗ hổng, đo lường nhận thức về bảo mật, nâng cao nhận thức của nhân viên, giảm thiểu rủi ro, cải thiện khả năng ứng phó với sự cố, tuân thủ các quy định, xây dựng niềm tin của các bên liên quan và đảm bảo quản lý rủi ro hiệu quả về mặt chi phí.
Các phương thức tấn công phổ biến nhất bao gồm lấy cớ, lừa đảo, thả phương tiện/chiến thuật vật lý và theo dõi. Các bài kiểm tra kỹ thuật xã hội dựa vào đội hình thu thập được khi trinh sát; trí thông minh nguồn mở được sử dụng ở đây.
Người thử nghiệm có thể xây dựng một bức tranh mục tiêu chính xác để điều chỉnh cuộc tấn công theo các phương pháp thích hợp. Mặc dù nó không phổ biến, giống như các thử nghiệm trên web, nhưng kỹ thuật tấn công xã hội có thể là một cách tuyệt vời để xác định các sai sót trong mô hình hoạt động của bạn.
Kiểm tra thâm nhập bảo mật vật lý
Kiểm tra bảo mật vật lý đòi hỏi phải có quyền truy cập vào không gian vật lý của cơ sở để xác thực tính hiệu quả của các biện pháp bảo vệ hiện có và kiểm tra các lỗ hổng. Không giống như kiểm tra bút, chúng sẽ hoạt động trên các biện pháp bảo mật vật lý như hệ thống báo động, kiểm soát truy cập và các phần khác nhau có thông tin nhạy cảm.
Để tiến hành thử nghiệm này, bạn có thể sử dụng các kỹ thuật như bỏ qua vật lý, điều chỉnh và kỹ thuật xã hội. Sau đó, kết quả thu được từ thử nghiệm sẽ được sử dụng để thiết lập lộ trình giải quyết các lỗ hổng và tăng cường các biện pháp bảo mật hiện có.
Ví dụ: nếu tổ chức hoặc doanh nghiệp của bạn có cơ sở hiện diện thực tế để lưu trữ dữ liệu và thông tin nhạy cảm khác, thì tốt nhất nên sử dụng thử nghiệm bút để tăng cường bảo mật. Trong trường hợp này, nhiều nhóm được hưởng lợi, chẳng hạn như ngân hàng và tổ chức tài chính, trung tâm dữ liệu, cơ sở dịch vụ chính phủ, bệnh viện và chương trình chăm sóc sức khỏe, cửa hàng bán lẻ và trung tâm mua sắm, nhà máy sản xuất và tổ chức nắm giữ chứng nhận.
Kiểm tra thâm nhập đám mây
Kiểm tra bút trên đám mây liên quan đến việc xác định và khai thác các lỗ hổng trong ứng dụng và cơ sở hạ tầng, chẳng hạn như SaaS, trên các giải pháp đám mây như Microsoft Azure, Amazon Web Services (AWS) và Google Cloud Platform.
Không giống như các thử nghiệm khác, việc thâm nhập đám mây đòi hỏi sự hiểu biết sâu sắc về các dịch vụ đám mây. Ví dụ: điểm yếu SSRF trong ứng dụng AWS có thể ảnh hưởng đến toàn bộ cơ sở hạ tầng đám mây của bạn.
Với các giải pháp đám mây khác, bao gồm Azure AD và AWS Cognito, bạn sẽ gặp phải sự cố và cấu hình sai. Các lỗ hổng phổ biến trên đám mây bao gồm API không an toàn, thông tin xác thực yếu, cấu hình sai máy chủ, phần mềm lỗi thời và các phương pháp mã hóa không an toàn.
Kiểm tra thâm nhập đám mây có thể tăng cường bảo mật đám mây nếu công ty của bạn cung cấp dịch vụ đám mây. Với việc hầu hết các nhà tuyển dụng trên nền tảng đám mây đều chọn mô hình chia sẻ trách nhiệm, các thử nghiệm trên đám mây có thể giải quyết các lỗ hổng trong nền tảng, mạng và bộ lưu trữ dữ liệu.
Kiểm tra thâm nhập vùng chứa
Các container nổi tiếng với khả năng định hình trực quan hóa hệ điều hành. Họ có thể chạy các vi dịch vụ, quy trình phần mềm và thậm chí cả các ứng dụng lớn. Bên cạnh việc xem xét các vùng chứa từ góc độ của hacker, các thử nghiệm bút trong vùng chứa cho phép bạn triển khai các môi trường thử nghiệm tùy chỉnh.
Khi quét tìm lỗ hổng, có hai tùy chọn. Đầu tiên, phân tích tĩnh quét các lỗ hổng trong hình ảnh vùng chứa. Thứ hai, phân tích động kiểm tra hành vi của vùng chứa trong thời gian chạy. Để có kết quả tốt hơn, tốt nhất nên thực hiện cả hai.
Lỗ hổng của vùng chứa trải rộng trên các ứng dụng, cấu hình, mạng và hệ điều hành hình ảnh. Nếu DevOps của bạn xoay quanh Docker để thử nghiệm thâm nhập, bạn có thể tùy chỉnh các vùng chứa của mình, làm phong phú chúng bằng tất cả các công cụ cần thiết, giảm lỗ hổng và hợp lý hóa chức năng tổng thể.
Kiểm tra thâm nhập cơ sở dữ liệu
Cơ sở dữ liệu là vô giá trong doanh nghiệp. Lưu trữ dữ liệu nhạy cảm như chi tiết thanh toán, thông tin khách hàng cũng như dữ liệu về sản phẩm và giá cả, cơ sở dữ liệu sẽ khiến doanh nghiệp gặp rủi ro nếu bị xâm phạm. Để khẳng định mức độ bảo mật đầy đủ, các thử nghiệm được thực hiện trước khi đi vào hoạt động với cơ sở dữ liệu sản phẩm mới và thường xuyên đối với cơ sở dữ liệu hiện có.
Bằng cách cố gắng truy cập cơ sở dữ liệu, giống như một hacker, sử dụng các biện pháp thực tiễn tốt nhất trong ngành, các thử nghiệm cơ sở dữ liệu sẽ hướng dẫn bạn cách xử lý các cuộc tấn công thực tế.
Các mối đe dọa cơ sở dữ liệu phổ biến bao gồm việc tiêm SQL, đặc quyền không bị hạn chế, đường dẫn kiểm tra kém, bản sao lưu bị lộ, cấu hình sai, từ chối dịch vụ (DoS) và quản lý dữ liệu kém. Các thử nghiệm sẽ phát hiện các lỗ hổng trong cơ sở dữ liệu của bạn và đảm bảo rằng tất cả thông tin nhạy cảm đều được bảo mật khỏi những kẻ xâm nhập. Đó là lý do tại sao doanh nghiệp nên đầu tư vào bảo mật cơ sở dữ liệu.
Kiểm tra thâm nhập IoT
Internet of Things bao gồm sự kết nối của các thiết bị web giao tiếp và trao đổi dữ liệu thông qua Internet. Các thiết bị này bao gồm các vật thể vật lý, phương tiện và tòa nhà được nhúng với phần mềm, cảm biến, thiết bị điện tử và kết nối mạng.
Với sự thâm nhập của IoT, trọng tâm là kiểm tra mạng và thiết bị Internet of Things để phát hiện ra các sai sót. Ngoài ra, các thử nghiệm bảo mật không chỉ dừng lại ở các thiết bị mà còn bao gồm cả mạng truyền thông của nó, chẳng hạn như nền tảng điện toán đám mây.
Các lỗ hổng bảo mật phổ biến trong thiết bị IoT là dữ liệu không được mã hóa, chương trình cơ sở không an toàn, mật khẩu yếu và khả năng kiểm soát truy cập/xác thực kém. Khi các tổ chức sử dụng nhiều thiết bị IoT hơn, hoạt động kiểm tra IoT sẽ củng cố việc quản lý tài sản, hiệu suất và rủi ro cũng như đáp ứng các nhu cầu tuân thủ.
Kiểm tra thâm nhập hộp trắng
Đối với thử nghiệm hộp trắng, bạn có kiến thức chuyên sâu về hệ thống đích, bao gồm kiến trúc ứng dụng, mã nguồn, thông tin xác thực, danh sách trắng, vai trò tài khoản đa dạng và tài liệu.
Bằng cách áp dụng phương pháp này, hộp màu trắng sẽ tiết kiệm được chi phí tương tác. Hộp trắng hoạt động tốt với các hệ thống phức tạp đòi hỏi mức độ bảo mật cao, như các doanh nghiệp tài chính và chính phủ. Bằng cách ban hành phạm vi mã đầy đủ, bạn có thể liệt kê các lỗi nội bộ.
Nếu bạn đang bị vi phạm, kiểm tra hộp trắng sẽ là cách tốt nhất để kiểm tra tính bảo mật, trạng thái mạng, bảo mật vật lý và bảo mật không dây của ứng dụng. Trong các trường hợp khác, bạn có thể xem xét thử nghiệm hộp trắng ở giai đoạn đầu của phần mềm và trước khi đi vào sản xuất.
Kiểm tra thâm nhập hộp đen
Với kiểm tra hộp đen, bạn không biết hệ thống và đang thực hiện cách tiếp cận của hacker. Vì bạn không thể truy cập mã nguồn hoặc sơ đồ kiến trúc nên bạn đang sử dụng cách tiếp cận của người ngoài để khai thác mạng. Điều này ngụ ý rằng thử nghiệm dựa trên phân tích động của hệ thống và thực thi các chương trình trong mạng mục tiêu.
Để thành công, bạn phải thành thạo các công cụ quét tự động và phương pháp kiểm tra thâm nhập thủ công. Bạn cũng sẽ phải tạo bản đồ mục tiêu dựa trên những quan sát của mình. Đây là một cách nhanh chóng để chạy thử nghiệm và thời gian thực hiện tùy thuộc vào khả năng tìm và khai thác lỗ hổng của bạn. Tuy nhiên, nếu bạn không thể xâm phạm hệ thống, các lỗ hổng vẫn chưa được phát hiện.
Mặc dù là một trong những bài kiểm tra khó khăn nhất nhưng nó cung cấp cách tốt nhất để đánh giá tính bảo mật tổng thể của hệ thống của bạn. Đôi khi, nó được gọi là “thử và sai”. Nhưng nó đòi hỏi trình độ chuyên môn kỹ thuật cao.
Bài kiểm tra đội đỏ
Nhóm màu đỏ trông tương tự như bài kiểm tra bút. Nhưng nó còn đi xa hơn, mang hình dáng của một hacker ngoài đời thực và không có giới hạn về thời gian. Bạn kết hợp các công cụ, chiến thuật và kỹ thuật cho các thử nghiệm này để truy cập vào hệ thống hoặc dữ liệu mục tiêu.
Tất cả các bài kiểm tra bút khác đều hướng đến việc phát hiện các lỗ hổng. Tuy nhiên, các thử nghiệm màu đỏ đánh giá khả năng của người phòng thủ trong việc phát hiện các mối đe dọa và phản ứng. Việc phát hiện có thể dựa trên các dấu hiệu của hệ thống giám sát bị xâm nhập, các bài kiểm tra đánh giá vật lý hoặc thậm chí là kỹ thuật lừa đảo xã hội. Bạn có thể coi các bài kiểm tra màu đỏ là rộng rãi, không giống như các bài kiểm tra bằng bút.
Mặt khác, các thử nghiệm màu đỏ không cung cấp phạm vi rộng của các thử nghiệm thâm nhập. Họ tập trung vào việc truy cập một hệ thống hoặc dữ liệu. Một khi mục tiêu của họ đã đạt được, họ sẽ không tìm kiếm những điểm yếu khác. Đối với các bài kiểm tra bút, bạn đang xác định tất cả các lỗ hổng.
Chọn bài kiểm tra bút phù hợp
Sẽ tốt nhất nếu bạn thành thạo tất cả các mô hình hiện có để chọn thử nghiệm thâm nhập phù hợp cho tổ chức của mình. Với kiến thức này, bạn có thể kết hợp tổ chức của mình với doanh nghiệp phù hợp nhất dựa trên quy trình làm việc của bạn.
Nếu bạn chạy các ứng dụng web, kiểm tra web sẽ là tốt nhất. Kiểm tra API là một lựa chọn phù hợp nếu bạn cung cấp API và phát triển phụ trợ. Và danh sách vẫn tiếp tục với các thử nghiệm đám mây dành cho nhà cung cấp đám mây.
Danh sách trên sẽ là điểm khởi đầu tốt. Nó sẽ giúp bạn phân biệt tất cả các thử nghiệm thâm nhập, giúp bạn hiểu rõ hơn về chúng và kết thúc bằng trường hợp sử dụng tốt nhất cho từng thử nghiệm. Mở rộng kiến thức của bạn với những điều này và những điều khác nữa.
Tiếp theo, hãy xem phần mềm kiểm tra thâm nhập cao cấp dành cho ứng dụng web.
