VỮNG MÃI MỘT NIỀM TIN
Dịch vụ đánh giá lỗ hổng và kiểm tra xâm nhập (VAPT)
- 28/11/2024
Tại sao cần?
Kiểm thử xâm nhập là quá trình xác định sự tồn tại của lỗ hổng bảo mật trong hệ điều hành, ứng dụng, cơ sở dữ liệu, thiết bị mạng… bằng cách đánh giá hệ thống bằng nhiều kĩ thuật tấn công. Mục đích của việc kiểm thử này là để bảo mật dữ liệu quan trọng khỏi những truy cập không được phép từ ngoài và nội bộ. Một khi lỗ hổng bảo mật được tìm thấy nó sẽ được dùng để khai thác hệ thống, chiếm quyền truy cập các thông tin nhạy cảm. Bên cạnh việc kiểm thử xâm nhập, đánh giá cấu hình cũng giúp đảm bảo an toàn thông tin hệ thống, tránh sai sót
Nguyên nhân dẫn đến các lỗ hổng bảo mật:
Kiểm thử xâm nhập là quá trình xác định sự tồn tại của lỗ hổng bảo mật trong hệ điều hành, ứng dụng, cơ sở dữ liệu, thiết bị mạng… bằng cách đánh giá hệ thống bằng nhiều kĩ thuật tấn công. Mục đích của việc kiểm thử này là để bảo mật dữ liệu quan trọng khỏi những truy cập không được phép từ ngoài và nội bộ. Một khi lỗ hổng bảo mật được tìm thấy nó sẽ được dùng để khai thác hệ thống, chiếm quyền truy cập các thông tin nhạy cảm. Bên cạnh việc kiểm thử xâm nhập, đánh giá cấu hình cũng giúp đảm bảo an toàn thông tin hệ thống, tránh sai sót
Nguyên nhân dẫn đến các lỗ hổng bảo mật:
- Lỗi trong thiết kế và phát triển sản phẩm
- Cấu hình hệ thống kém
- Lỗi phía con người.
Vì vậy, chúng ta cần kiểm thử bảo mật để:
- Bảo mật dữ liệu quan trọng trong khi truyền nhận giữa các hệ thống khác nhau
- Nhiều khách hàng yêu cầu kiểm thử xâm nhập như một phần của chu trình phát hành phần mềm
- Bảo vệ dữ liệu người dùng
- Tìm các lỗ hổng bảo mật có trong ứng dụng
- Tìm các vấn đề trong chính sách bảo mật thông tin
Điều rất quan trọng đối với bất kì tổ chức nào là xác định các vấn đề bảo mật có trong mạng nội bộ và máy tính. Sử dụng thông tin này, tổ chức có thể lập kế hoạch phòng thủ chống lại bất kì nỗ lực tấn công nào. Quyền riêng tư của người dùng và bảo mật dữ liệu là mối quan tâm lớn nhất hiện nay
Các loại kiểm thử hiện nay:
Các loại kiểm thử hiện nay:
- Vulnerability Scanning: Dựa vào các lỗ hổng đã biết của những ứng dụng khác, phần mềm này sẽ quét ứng dụng để kiểm tra xem có tồn tại những lỗi này hay không.
- Security Scanning: Loại kiểm thử này sẽ giúp phát hiện các lỗi mạng và hệ thống mạng, đồng thời đưa ra phương hướng khắc phục lỗi. Người dùng có thể chọn quét tự động hoặc quét thủ công.
- Penetration testing: Loại kiểm thử này sẽ phát hiện lổ hổng trong khả năng bảo mật thông tin của ứng dụng. Bằng cách mô phỏng cuộc tấn công của các hacker, phần mềm sẽ khiến ứng dụng phải kích hoạt tường bảo mật.
- Risk Assessment: Phương pháp kiểm thử này sẽ giúp phát hiện những vấn đề rủi ro và chúng có thể phát triển thành lỗi trong tương lai. Rủi ro được chia thành 3 loại dựa trên mức độ nghiêm trọng, bao gồm thấp, trung bình và cao.
- Security Auditing: Loại này có thể kiểm thử khả năng bảo mật của ứng dụng và hệ điều hành đang sử dụng.
- Ethical hacking: Loại này sẽ tấn công vào hệ thống tổ chức để phát hiện lỗi ẩn giấu trong lớp bảo mật của phần mềm.
- Posture Assessment: Loại này kết hợp ba kiểu chương trình, bao gồm quét bảo mật, tấn công lớp bảo vệ và đánh giá.
Phương pháp thực hiện:
Kiểm thử Black box – Đây là một kĩ thuật mà người kiểm thử cố gắng thâm nhập vào ứng dụng, hệ thống mà không có bất kì thông tin gì về mã nguồn của ứng dụng, thiết kế hệ thống. Chúng tôi cố gắng tìm ra các hành vi bất thường từ ứng dụng, hệ thống bằng cách thao tác với các đầu vào… Mọi phản ứng bất thường từ ứng dụng, hệ thống đều được ghi nhận và điều tra. Điều này có thể biểu hiện ở dạng thông báo lỗi, tiết lộ mã nguồn, lỗi phía máy chủ. Mục tiêu của phương pháp này là mô phỏng một cuộc tấn công của một hacker từ bên ngoài.
Kiểm thử Gray box – Cách tiếp cận này tương tự như kiểm thử Black-box, tuy nhiên, nhóm tấn công được cung cấp các đặc quyền giống như người dùng bình thường và mục tiêu là mô phỏng một cuộc tấn công với những quyền truy cập bị giới hạn đó. Nhóm tấn công cố gắng nâng quyền từ người dùng bình thường sang quyền của quản trị viên. Với cách tiếp cận này, bên đánh giá cũng phỏng vấn chủ sở hữu ứng dụng theo danh sách kiểm tra đã được xác định trước để xem xét các chính sách bảo mật và cấu hình được triển khai trên ứng dụng.
Kiểm thử Whitebox: - Đây là một phương pháp kiểm thử phần mềm trong đó tester biết về cấu trúc nội bộ / thiết kế. Người kiểm tra chọn đầu vào để thực hiện các đường dẫn thông qua mã và xác định đầu ra thích hợp. Kiến thức lập trình và kiến thức thực hiện là rất cần thiết trong kiểm thử hộp trắng.
Kiểm thử Black box – Đây là một kĩ thuật mà người kiểm thử cố gắng thâm nhập vào ứng dụng, hệ thống mà không có bất kì thông tin gì về mã nguồn của ứng dụng, thiết kế hệ thống. Chúng tôi cố gắng tìm ra các hành vi bất thường từ ứng dụng, hệ thống bằng cách thao tác với các đầu vào… Mọi phản ứng bất thường từ ứng dụng, hệ thống đều được ghi nhận và điều tra. Điều này có thể biểu hiện ở dạng thông báo lỗi, tiết lộ mã nguồn, lỗi phía máy chủ. Mục tiêu của phương pháp này là mô phỏng một cuộc tấn công của một hacker từ bên ngoài.
Kiểm thử Gray box – Cách tiếp cận này tương tự như kiểm thử Black-box, tuy nhiên, nhóm tấn công được cung cấp các đặc quyền giống như người dùng bình thường và mục tiêu là mô phỏng một cuộc tấn công với những quyền truy cập bị giới hạn đó. Nhóm tấn công cố gắng nâng quyền từ người dùng bình thường sang quyền của quản trị viên. Với cách tiếp cận này, bên đánh giá cũng phỏng vấn chủ sở hữu ứng dụng theo danh sách kiểm tra đã được xác định trước để xem xét các chính sách bảo mật và cấu hình được triển khai trên ứng dụng.
Kiểm thử Whitebox: - Đây là một phương pháp kiểm thử phần mềm trong đó tester biết về cấu trúc nội bộ / thiết kế. Người kiểm tra chọn đầu vào để thực hiện các đường dẫn thông qua mã và xác định đầu ra thích hợp. Kiến thức lập trình và kiến thức thực hiện là rất cần thiết trong kiểm thử hộp trắng.
.png)
.png)
.png)
.png)
.png)