Đánh giá điểm yếu và kiểm thử thâm nhập

An ninh mạng đang dần trử thành mối quan tâm hàng đầu của các doanh nghiệp, tổ chức trong mọi lĩnh vực. Mặc dù vậy, chúng ta chỉ thường tiếp cận vấn đề một cách bị động, không có sự chuẩn bị, đánh giá, phòng vệ để sẵn sàng chống lại các cuộc tấn công mạng.

Trong khuôn khổ bài viết này, VietSunshine sẽ giới thiệu về hai kỹ thuật khá quen thuộc trên thế giới nhưng lại còn rất mới mẽ ở Việt Nam đó là “Penetration Testing” (kiểm thử thâm nhập) và “Vulnerability Assessment” (Đánh giá các lỗ hổng bảo mật).

Vulnerability Assessment (VA) – Đánh giá lỗ hổng bảo mật là gì?

Đánh giá lỗ hổng bảo mật là việc tìm ra và đo đạc các lỗ hổng trong môi trường được cho trước. Đây là phương pháp chuyên sâu, toàn diện và chỉ ra những điểm yếu cũng như cách thức giảm thiểu rủi ro xuống một mức độ có thể chấp nhận được.

Thế nào là Pentration Testing (PenTest) – Kiểm thử thâm nhập?

Thực hiện kiểm thử thâm nhập (Pentest) là việc mô phỏng những hành động của tội phạm mạng, như phá vỡ an ninh, đánh cắp dữ liệu, làm gián đoạn hoạt động. Với nhiều biện pháp và kỹ thuật tiên tiến, các tester (dưới sự cho phép của tổ chức đó) sẽ tấn công và khai tác triệu để hệ thống, tìm cách tiếp cận với các thông tin quan trọng.

Sự khác nhau giữa Penetration Testing và Vulnerability Assessment

Vulneraability Assessment: Cố gắng tìm được càng nhiều các lỗ hổng nhất có thể.

Nhằm mục đích xác định một danh sách có phân cấp độ ưu tiên các lỗ hổng, điểm yếu của hệ thống, phương pháp này thường là để phục vụ cho những khách hàng vốn đã nhận ra họ đang trong trạng thái bị đeo dọa tấn công bởi những mối lo tiềm ẩn. Họ ý thức được vấn đề, cần thực hiện các bài test để xác định lỗ hổng và đánh giá tầm quan trọng của việc khắc phục chúng. Kết quả cuối cùng là danh sách các lỗ hổng được sắp xếp theo thứ tự và gợi ý các phương pháp giảm thiểu sự nguy hiểm.

Penetration Testing (Pentest): Cố gắng phá vỡ an ninh hệ thống.

Nhằm mục đích mô phỏng hành vi của tội phạm mạng dưới sự cho phép và yêu cầu của khách hàng, những người đã có hệ thống an ninh mạng. Ví dụ như có thể yêu cầu tester xâm nhập và lấy cắp dữ liệu quan trọng ở một phòng ban cụ thể. Kết quả của quá trình là báo cáo về mực độ bảo mật đã bị xâm phạm để đạt được mục tiêu thỏa thuận (và thường là cánh để khắc phục).

Penetration Testing Vulnerability Assessment Xác định phạm vi tấn công. Tạo thư mục liệt kê các tài sản và tài nguyên trong một hệ thống. Test thu thập các thông tin nhạy cảm. Khám phá ra những mối de dọa tiềm ẩn đối với mỗi tài nguyên. Thu thập thông tin mục tiêu và/hoặc điều tra hệ thống. Phân bổ giá trị định lượng và tầm quan trọng cho các tài nguyên sẵn có Làm sạch sẽ hệ thống và tổng hợp kết quả báo cáo. Nỗ lực để giảm thiểu hoặc loại bỏ những lỗ hổng, điểm yếu của các tài nguyên hiện là đối tượng tiềm năng cho tin tặc. Có thực hiện phân tích đánh giá môi trường, tạo tài liệu nhưng không nghiên cứu sâu về hệ thống. Nghiên cứu phân tích toàn diện qua việc đánh giá hệ thống và môi trường. Lý tưởng cho kiến trúc mạng và môi trường vật lí Lý tưởng cho môi trường phòng thí nghiệm Áp dụng đối với các hệ thống thời gian thực quan trọng Áp dụng đối với các hệ thống không Thường do khách hàng tin rằng hệ thống của họ rất vững vàng rồi và họ muốn kiểm tra nó bảo mật đến mức nào Khách hàng là những người có vấn đề về bảo mật và họ cần được giúp đỡ để giải quyết Khai thác theo chiều sâu hơn là chiều rộng Khai thác theo chiều rộng hơn là chiều sâu

Vậy để triển khai thì nên chọn Penetration Testing và Vulnerability Assessment

Cả hai phương pháp đều có chức năng và cách tiếp cận khác nhau. Chính vì vậy, tùy thuộc vào tình trạng an ninh của hệ thống mà người ta lựa chọn phương thức nào để áp dụng. Tuy nhiên, cũng chính bởi những điểm khác biệt căn bản có nêu ở trên giữa PenTest và Vulnerability Assessment , ta có thể thấy Vulnerability Assessment mang lại nhiều lợi ích hơn so với PenTest.

Vulnerability Assessment nhận dạng được những điểm yếu và đưa ra được những giải pháp để sửa chữa chúng. Mặt khác, PenTest chỉ giúp ta trả lời được câu hỏi: “Liệu có ai có thể phá vỡ an ninh của hệ thống không và nếu có thì hắn có thể gây ra những tác hại gì?”

Hơn nữa việc đánh giá các lỗ hổng là nỗ lực cải thiện hệ thống an ninh bảo vệ và phát triển một chương tình bảo mật anh ninh tích hợp hơn và “rắn rỏi” hơn. Trong khi đó, PenTest chỉ có thể cho ta thấy một bức tranh về hệ thống an ninh, phần nào đang làm việc hậu quả.

Như vậy chúng ta có thể thấy từ sự phân tích ở trên, sau khi thấy được những điểm khác nhau căn bản giữa hai khái niệm, Vulnerability Assessment có nhiều lợi ích hơn và cho kết quả thiết thực hơn khi đem ra so sánh với PenTest. Nhưng các chuyên gia trong lĩnh vực này đã gợi ý rằng, là một phần của hệ thống quản lí an ninh, cả hai kĩ thuật nên được thực hiện thường xuyên để đảm bảo một môi trường được bảo vệ “hoàn hảo”.

Tại Việt Nam, với đội ngũ chuyên gia giàu kinh nghiệm, VietSunshine tự hào cung cấp dịch vụ PenTest và Vulnerability Assessment chuyên nghiệp, hiệu quả để giúp các doanh nghiệp, tổ chức có sự chuẩn bị tốt nhất để đương đầu với các mối nguy hiểm trong không gian mạng.