Pentest không phải là giải pháp bảo mật, đừng tin vào quảng cáo

Pentest không phải là giải pháp bảo mật, không giúp hệ thống mạng an toàn hơn và pentester không phải là hacker.

Pentest không phải là giải pháp bảo mật, đừng tin vào quảng cáo

Nhiều doanh nghiệp tìm đến Penetration Testing (Pentest – Kiểm thử thâm nhập) như một giải pháp bảo mật, giúp tránh xa tầm tay của hacker. Sự thật, không phải như thế.

Các nhà tư vấn bảo mật tin rằng “To beat a hacker, you gotta think like one” (Tạm dịch: Để đánh bại một hacker, bạn phải suy nghĩ như họ). Sự thật, Pentester (Người kiểm thử thâm nhập) không thể có được suy nghĩ và cách tấn công như một hacker, vì hacker không bị giới hạn bởi bất kì điều gì nhưng Pentester thì lại có rất nhiều hạn chế về phạm vi, thời gian, kỹ thuật. Do đó yêu cầu thực hiện kiểm thử thâm nhập từ góc nhìn của một hacker là điều không thể xảy ra. Sau đây là những lý do mà pentester không thể là một hacker.

Pentest không phải là giải pháp bảo mật, đừng tin vào quảng cáo

Theo ECQ, công ty tư vấn bảo mật cho rằng pentest chỉ giúp tìm những lỗ hổng bảo mật, cách khai thác và các nguy cơ bị tấn công vào thời điểm kiểm tra, với cấu hình và các cơ chế bảo mật đang có. Không điều gì có thể đảm bảo sau khi thực hiện Pentest hệ thống sẽ an toàn.

Ngoài ra, mức độ hiệu quả và bức tranh tổng thể về cấu trúc bảo mật của doanh nghiệp còn dựa trên phạm vi kiểm tra, các kỹ thuật được phép sử dụng trong quá trình kiểm thử thâm nhập. Đặt câu hỏi “Điều gì doanh nghiệp sợ nhất khi bị tấn công mạng?” Để xác định tiêu chí thành công cũng là kim chỉ nam để nhóm pentest tập trung đi đúng mục tiêu.

Vulnerability Assessment (VA - Dò quét lỗ hổng bảo mật) và Penetration Testing (Pentest - Kiểm thử thâm nhập) thường bị các công ty bảo mật đánh tráo khái niệm, khách hàng thường được đề xuất dịch vụ Pentest nhưng báo cáo nhận lại chỉ nằm ở mức độ của VA. Giá trị của hai dịch vụ này vẫn bị nhập nhằng và mơ hồ. Vậy điểm khác nhau thật sự nằm ở đâu?

 

Để dễ hiểu hơn cho hai dịch vụ này, chúng ta có một ví dụ mình hoạ: Hãy tưởng tượng một toà nhà có 30 tầng, cửa sổ của tầng 5 và tầng 29 đều mở. Một giả thuyết được đặt ra là kẻ trộm có thể vào bên trong bằng cửa sổ. VA sẽ cho ra báo cáo là tầng 5 và tầng 29 mở cửa, mức độ nguy hiểm như nhau.

Pentest sẽ chỉ tầng 5 là nguy cơ có thật vì đang có một loại thang đủ cao, giúp kẻ trộm trèo tới đây. Pentester phải chứng minh rằng điều này có thật bằng cách anh ta sẽ dùng chiếc thang đó trèo vào bên trong và để lại bằng chứng là anh ta đã tới đây. Còn tầng 29 là lỗ hổng có thật nhưng nguy cơ thấp hơn rất nhiều vì không có chiếc thang nào có thể giúp ăn trộm leo tới hoặc phải sử dụng trực thăng để tiếp cận. 

Các hoạt động của VA giúp tiết kiệm chi phí và thời gian nhờ sử dụng các công cụ tự động để rà soát các lỗ hổng bảo mật nhưng độ chính xác không được đảm bảo. Pentest là công việc được thực hiện sau VA và sử dụng thêm các kỹ thuật thủ công để độ chính xác cao hơn. Ngoài ra, Pentest còn giúp chứng minh các nguy cơ có thật thông qua việc khai thác thành công các lỗ hổng. Do đó, giá cả đi đôi cùng chất lượng, những lời mời gọi kiểm thử xâm nhập giá rẻ thực chất giá trị nhận được chỉ là bản báo cáo công cụ quét lỗi tự động.

Tóm lại, kiểm thử thâm nhập không giúp bảo mật hơn, dịch vụ này chỉ giúp chứng minh vào thời điểm hiện tại hệ thống có thể bị tấn công như thế nào. Khả năng lặp lại lỗi vẫn có thể xảy ra do cấu trúc bảo mật, công nghệ, quy trình đã sai ngay từ khi bắt đầu. Bảo mật luôn cần đầy đủ ba yếu tố phòng chống, phát hiện và phản ứng. Không hệ thống nào được cho hoàn hảo dù thường xuyên thực hiện kiểm thử thâm nhập, sẽ là lời nói dối khi công ty bảo mật nói rằng họ có thể kiểm tra hết tất cả các lỗ hổng. Và đừng quên Zero-day (lỗ hổng chưa được biết đến và không có bản vá lỗi) là một phần của cuộc sống.

Mọi thông tin liên hệ:
Công ty TNHH E-CQURITY VIỆT NAM (ECQ)
Website: https://www.e-cq.net
Fanpage: https://www.facebook.com/ecqnet
Hotline: +84 28 627 277 04
Văn phòng chính: 33 Ubi Ave 3, #08-66, Vertex, Singapore, 408868
Văn phòng Hồ Chí Minh: 16-18 Xuân Diệu, Phường 4, Quận Tân Bình, Thành phố Hồ Chí Minh

Phương Dung

 
List comment
 

Gặp nữ thủ khoa Hà Nội nhận thưởng 10.000 USD khi 'săn' 9 lỗ hổng bảo mật thông tin: 'Sau 11 giờ đêm là mình không làm việc nữa'. 

 

Trong đề án hướng đến 2030, Phú Thọ sẽ tăng cường quản lý an ninh mạng, bảo mật thông tin, an toàn dữ liệu; phòng chống hiệu quả các hoạt động phá hoại, xâm nhập hệ thống chính quyền điện tử.

 

Theo số liệu báo cáo mới nhất, thời gian phản ứng trung bình của tổ chức, doanh nghiệp tại Việt Nam trước các cuộc tấn công có chủ đích là khoảng 27 ngày, gây nên sự mất an toàn cho hệ thống.

 

Đội ngũ nghiên cứu của Trung tâm VNCERT/CC vừa phát hiện 1 lỗ hổng bảo mật nghiêm trọng trên ứng dụng chat Viber Desktop. Lỗ hổng này khiến hàng trăm triệu người dùng Viber trên máy tính phải đối mặt nguy cơ bị tấn công mạng.

 

Theo kế hoạch tháng 12/2021, Sở Thông tin và Truyền thông tỉnh Thái Bình sẽ tập trung triển khai Kế hoạch thuê dịch vụ an toàn thông tin giai đoạn 2021-2026.

 
 

Theo chương trình hành động mới đây, Bà Rịa - Vũng Tàu sẽ hợp tác với các trường đại học, viện nghiên cứu, các doanh nghiệp lớn trong nước nghiên cứu và triển khai công nghệ mới về an toàn, an ninh mạng.

Điều phối, tự động hóa và phản ứng an toàn thông tin là sản phẩm thứ 6 trong 11 sản phẩm an toàn thông tin trong nước đã và sẽ được Bộ TT&TT ban hành các yêu cầu kỹ thuật cơ bản cần đáp ứng.

Bà Rịa - Vũng Tàu đang duy trì hàng năm các nội dung đào tạo như: an toàn thông tin cơ bản, các lớp về an toàn thông tin nâng cao, diễn tập tác chiến.

Theo báo cáo hiện trạng về hạ tầng an ninh mạng của Đồng Nai, 100% máy tính của các đơn vị được cài đặt công cụ/phần mềm chống mã độc; 100% đơn vị thực hiện quét virus khi kết nối USB vào máy tính...

Trong mục tiêu tổng quát đến năm 2025, huyện Phú Riềng đề cập đến quản lý và đảm bảo an ninh, an toàn các giao dịch trên không gian mạng.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123