Các cuộc tấn công mạng nhằm truy cập trái phép vào tài nguyên của doanh nghiệp/tổ chức thông qua các lỗ hổng bảo mật đã biết và chưa biết luôn là một mối đe doạ an ninh nghiêm trọng. Không những gây ảnh hưởng đến dữ liệu, khi bị tội phạm mạng xâm nhập các doanh nghiệp/tổ chức còn phải đối mặt với sự gián đoạn kinh doanh, niềm tin của khách hàng – đối tác, án phạt của các cơ quan thực thi phát luật…gây ra thiệt hại vô cùng lớn.
–
PenTest là viết tắt của Penetration Testing (Pen Testing – Kiểm thử thâm nhập). Đây là một kiểu của Security Testing, dùng để phát hiện ra các lỗ hổng, rủi ro hay mối đe dọa bảo mật mà các hacker có thể khai thác trong ứng dụng phần mềm, mạng hay ứng dụng web. Mục đích của PenTest là xác định và kiểm tra tất cả lỗ hổng bảo mật có thể có trong phần mềm.
Lỗ hổng bảo mật (Vulnerability) dùng để chỉ những rủi ro bảo mật, chẳng hạn như các hacker có thể làm gián đoạn hay giành được quyền truy cập vào hệ thống hoặc bất kỳ dữ liệu nào bên trong. Các lỗ hổng thường xuất hiện tình cờ trong giai đoạn triển khai và phát triển phần mềm. Một số lỗ hổng phố biến gồm: lỗi thiết kế, lỗi cấu hình, lỗi phần mềm… PenTest phụ thuộc vào hai cơ chế: Vulnerability Assessment và Penetration Testing (gọi chung là VAPT).
TẠI SAO CẦN PHẢI AUDIT PENTEST?
–
Vậy lý do chúng ta cần audit PenTest là gì? Penetration đặc biệt quan trọng đối với các doanh nghiệp, bởi vì:
- Các lĩnh vực tài chính như Ngân hàng, Ngân hàng đầu tư, Sở giao dịch chứng khoán…luôn muốn dữ liệu được bảo mật và cần audit Pentest thường xuyên để có thể đảm bảo an ninh tối đa.
- Nếu hệ thống phần mềm đã bị tấn công, tổ chức cần xác định xem có còn mối đe dọa nào tồn tại trong hệ thống không. Từ đó giảm thiểu khả năng bị tấn công trong tương lai.
- Chủ động audit Pentest chính là cách hiệu quả nhất để chống lại các hacker.
Dịch vụ Pentest được thực hiện bởi các chuyên gia an ninh hàng đầu của ngành, tận dụng các chiến thuật độc quyền và thông tin tình báo riêng để mang lại hiệu quả cao nhất cho doanh nghiệp, tổ chức.
Giải pháp Pentest sử dụng phương pháp đánh giá tính bảo mật của hệ thống máy tính hoặc mạng bằng cách mô phỏng cuộc tấn công từ nguồn độc hại.
- Tìm ra lỗ hổng trước tội phạm mạng hoặc các đối tượng có ý đồ xấu.
- Đưa ra ý kiến cho những người ra quyết định về sự cần thiết phải hành động.
- Bằng chứng thực tế về nhu cầu hành động.
- Báo cáo về vấn đề cho cấp quản lý.
- Đánh giá hiệu quả của các biện pháp bảo mật.
- Training cho các nhân viên IT.
- Khám phá ra các “khoảng trống” trong tuân thủ.
- Kiểm tra các công nghệ mới.
- Áp dụng thực tiễn tốt nhất bằng cách tuân thủ các quy định pháp luật.
- Network Service Tests: Loại pentest này là yêu cầu phổ biến nhất của khách hàng. Nó nhằm mục đích khám phá các lỗ hổng và lỗ hổng trong cơ sở hạ tầng mạng.
- Web Application Tests: Là một bài kiểm tra mang tính nhắm mục tiêu cụ thể và mạnh mẽ hơn. Các lĩnh vực như ứng dụng web, trình duyệt và các thành phần của chúng như ActiveX, Applet, Plug-in, Scriptlets nằm trong phạm vi của loại pentest này.
- Client Side Tests: Mục tiêu của các thử nghiệm này là xác định chính xác các mối đe dọa bảo mật xuất hiện tại địa phương (local). Ví dụ, có thể có một lỗ hổng trong ứng dụng phần mềm chạy trên máy trạm người dùng mà hacker có thể dễ dàng khai thác.
- Wireless Network Tests: Thử nghiệm này dự định phân tích các thiết bị không dây được triển khai trên site của khách hàng. Danh sách các thiết bị bao gồm các thiết bị như máy tính bảng, máy tính xách tay, máy tính xách tay, iPod, điện thoại thông minh, v.v.
- Social Engineering Tests: Loại thử nghiệm này cũng là một phần quan trọng của thử nghiệm thâm nhập. Nó mở đường cho việc xác minh “Human Network” của một tổ chức. Các pentester sẽ bắt chước các cuộc tấn công mà một nhân viên công ty có thể gặp phải để bắt đầu một vi phạm.
PenTest thường được phân loại dựa trên phạm vi tấn công. Ngoài ra nó còn phụ thuộc vào việc các tổ chức có muốn mô phỏng cuộc tấn công bởi một nhân viên, Network Admin (Internal Sources) hay bởi External Sources. Có ba phương pháp PenTest khác nhau:
- Black Box Testing
- White Box Penetration Testing
- Grey Box Penetration Testing
Đối với Black Box Testing, tester sẽ không hề biết gì về hệ thống sắp được test. Tester chỉ có nhiệm vụ thu thập các thông tin về mạng hay hệ thống mục tiêu.
Trong hình thức White Box Penetration Testing, tester thường được cung cấp đầy đủ thông tin về mạng hoặc hệ thống sẽ được test. Trong đó bao gồm địa chỉ IP, mã nguồn, chi tiết về hệ điều hành… Đây có thể được xem như một cuộc mô phỏng tấn công bởi bất kỳ Internal Source nào.
Với Grey Box Penetration Testing, tester sẽ được cung cấp một phần thông tin về hệ thống. Đây có thể được xem như là một cuộc tấn công từ hacker bên ngoài, đã truy cập vào được các tài liệu cơ sở hạ tầng mạng của tổ chức.
Vina Aspire là Công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin
