Pentest là một trong những hoạt động không thể thiếu trong các doanh nghiệp hoạt động phụ thuộc lớn vào hệ thống công nghệ thông tin cũng như doanh nghiệp chuyên về máy chủ vật lý, máy chủ ảo, cung cấp phần mềm kinh doanh… Vậy chi tiết về
pentest là gì? Lịch sử hình thành của pentest và chúng quan trọng như thế nào đối với doanh nghiệp sẽ được
Mona Media giải đáp ngay sau đây.
Pentest là gì?
Pentest là từ viết tắt của
Penetration Testing mang nghĩa kiểm thử xâm nhập. Đây là một kiểu kiểm tra bảo mật để phát hiện những lỗ hổng, rủi ro hay các mối đe dọa bảo mật mà những hacker khai thác trong các ứng dụng phần mềm, ứng dụng web hoặc mạng dữ liệu.
Lỗ hổng bảo mật – vulnerability là yếu tố thuận lợi để
hacker có thể làm gián đoạn hoặc giành quyền đăng nhập, quản lý hệ thống hay đánh cắp, thay đổi dữ liệu được cài đặt. Các lỗ hổng thường xuất hiện trong giai đoạn triển khai hay phát triển phần mềm. Một số lỗ hổng điển hình là lỗi thiết kế, lỗi phần mềm, lỗi cấu hình…
Pentest được thực hiện trên hệ thống máy tính, ứng dụng điện thoại,
ứng dụng web, hạ tầng mạng kết nối, ứng dụng và
hạ tầng đám mây,
source code hoặc bất kỳ đối tượng CNTT nào có kết nối với
internet…
Khi thực hiện kiểm thử xâm nhập, người thực hiện kiểm thử cần được sự cho phép của người chủ đối tượng cần thực hiện kiểm tra. Nếu không được sự cho phép, hành động xâm nhập để kiểm tra sẽ được coi là việc làm trái phép tương tự hack hệ thống của các hacker.
Như vậy, điểm khác biệt giữa pentest và hack chính là được sự cho phép của chữ sở hữu. Đôi khi, người ta còn gọi pentest với từ ngữ là ethical hacking – hack có đạo đức, người thực hiện kiểm thử được gọi là white hat hacker – hacker mũ trắng.
Lịch sử hình thành của pentest
Trong các năm 60 của thế kỷ trước, sự phát triển, gia tăng mạnh mẽ về khả năng trao đổi dữ liệu qua mạng máy tính đã khiến các chuyên gia cảnh báo về nguy cơ bị tấn công xâm nhập. Đặc biệt, hệ thống mạng của chính phủ, doanh nghiệp tài chính, ngân hàng… là đối tượng được “dòm ngó” nhiều nhất.
Năm 1967, tại Hội nghị Máy tính thường niên năm 1967, hơn 15000 chuyên gia về máy tinh trên khắp thế giới đã đưa ra thuật ngữ “penetration” (xâm nhập). Các chuyên gia xác định rằng đây là một trong những hành động gây hiểm họa cho trao đổi dữ liệu.
Những năm cuối của thập niên 60, nhóm pentest đầu tiên trên thế giới có tên Tiger Teams được hình thành để tấn công mạng máy tính và đánh giá khả năng chống chịu của chúng. Đây cũng là bước khởi đầu để đánh dấu thời đại bảo mật máy tính.
Các hình thức của pentest
Các hình thức của pentest được phân loại dựa trên phạm vi xâm nhập vào hệ thống. Bên cạnh đó, sự phân loại còn phụ thuộc vào tổ chức muốn mô phỏng cuộc kiểm thử xâm nhập bởi nhân viên, người quản trị network trong doanh nghiệp (Internal Sources) hay bởi nguồn nhân lực bên ngoài (External Sources).
Hiện có 3 hình thức pentest là:
- White box Testing: với pentest white box, người thực hiện hoạt động kiểm thử được cung cấp đầy đủ các thông tin về đối tượng mục tiêu cần kiểm tra trước khi tiến hành các hành động cần thiết. Những thông tin này bao gồm địa chỉ IP, sơ đồ hạ tầng mạng kết nối, các giao thức sử dụng và source code.
- Gray box Testing: với Gray box Testing, pentester nhận được một phần thông tin của các đối tượng mục tiêu như URL, địa chỉ IP… Người thực hiện kiểm thử sẽ không nhận được đầy đủ thông tin và quyền truy cập vào các đối tượng.
- Black box Testing: hay còn được biết đến là blind testing, ethical hacking. Đây là hình thức kiểm thử xâm nhập đứng dưới góc độ của một hacker trong thực tế và được sự cho phép của người quản trị hệ thống.
Trong trường hợp này, người thực hiện sẽ không được cung cấp bất kỳ thông tin nào về đối tượng trước khi hệ thống bị tấn công, xâm nhập. Các pentester phải tự tìm kiếm, phát hiện và thu thập thông tin đối tượng để tiến hành kiểm thử. Đây là loại hình được sử dụng nhiều và cần lượng lớn thời gian, công sức, trí não để tìm hiểu. Do vậy, chi phí để thực hiện sẽ không hề rẻ.
Pentest quan trọng đối với doanh nghiệp như thế nào?
Tăng cường bảo mật trong web app, mobile app
Hoạt động kinh doanh của doanh nghiệp hiện nay đòi hỏi sự hỗ trợ của website, web app, mobile app vô cùng lớn. Các doanh nghiệp ngân hàng như Vietcombank, Techcombank…, đơn vị công như Bộ Y tế… đều phát triển các ứng dụng trên web, điện thoại để người dùng thao tác, cập nhật thông tin.
Chúng ta không phủ nhận được sự tiện lợi cũng như lợi ích to lớn mà các “sản phẩm online” này mang lại cho người dùng và đơn vị cung cấp dịch vụ. Tuy nhiên, các nhà phát hành sản phẩm cũng phải đối mặt với thách thức lớn về bảo mật hệ thống, bảo mật thông tin người dùng, gián đoạn hoạt động, nhiễm
virus,
mã độc…
Một trong những cách để giảm thiểu tối đa các rủi ro đó là thực hiện kiểm thử xâm nhập để đánh giá sức mạnh sản phẩm online. Trải qua các cuộc kiểm thử, doanh nghiệp sẽ nhận biết được lỗ hổng và tiến hành nâng cấp cho phù hợp.
Tăng cường bảo mật trong quá trình chuyển đổi số
Chuyển đổi số là xu hướng mà bất kỳ doanh nghiệp hoạt động trên nền tảng trực tuyến, dù ít hay nhiều đều phải thực hiện. Ứng dụng công nghệ mới mang lại lợi ích cho doanh nghiệp như giảm chi phí vận hành, nhân lực. Tuy nhiên, đây cũng là cơ hội để tin tặc tấn công.
Những sản phẩm kỹ thuật số như
ERP cho quản trị,
CRM lưu trữ thông tin khách hàng, các thiết bị
IoT trong vận hành doanh nghiệp… sẽ được an toàn nếu được bảo mật đúng cách qua hoạt động pentest định kỳ.
Hạn chế rủi ro khi sử dụng phần mềm dạng dịch vụ (SaaS)
SaaS – Software as a Service là dịch vụ được các nhà cung cấp mang đến cho người dùng cuối sử dụng dựa trên công nghệ đám mây. Bạn cũng có thể hiểu đơn giản là đây là dịch vụ cho phép người dùng truy cập một phần mềm (ví dụ Spotify) thông qua trình duyệt internet (ví dụ Chrome).
Các dịch vụ này cho phép người dùng trả tiền theo nhu cầu thay vì mua sử dụng trọn đời. Việc phân phối ứng dụng, phần mềm… dưới dạng dịch vụ đòi hỏi phải có kết nối internet liên tục. Sự tấn công làm gián đoạn sẽ ảnh hưởng đến trải nghiệm người dùng. Các cuộc kiểm thử xâm nhập giúp hạn chế tối đa được hiện tượng này.
Phát hiện rủi ro và phòng ngừa hiệu quả
Phương pháp bảo mật bằng hình thức mô phỏng các cuộc tấn công mang lại cho doanh nghiệp các lợi ích mà hệ thống bảo mật tự động không thực hiện được. Các pentester thực hiện tấn công với tư duy thực, sáng tạo, đậm chất “con người” nên sẽ theo được suy nghĩ của những người hacker trong thực tế.
Những lợi ích của pentest
Lợi ích khi sử dụng dịch vụ pentest:
- Tăng cường an toàn cho web app, mobile app, mạng kết nối, hệ thống IoT, API, cloud, SaaS, phần cứng… Hạn chế tối đa khả năng bị hacker xâm nhập trái phép và gây thiệt hại cho doanh nghiệp.
- Mang đến cái nhìn toàn cảnh về an ninh mạng và những sản phẩm công nghệ cần bảo vệ của tổ chức.
- Bảo vệ cơ sở dữ liệu khỏi các cuộc tấn công.
- Giúp hệ thống hoạt động trên internet ổn định.
- Ước tính được những thiệt hại khi một cuộc tấn công diễn ra.
- Phát hiện lỗ hổng nguy hiểm mà phần mềm bảo vệ tự động không tự làm được.
- Củng cố niềm tin khi khách hàng sử dụng dịch vụ hoặc đối tác đầu tư.
Một số hạn chế của pentest
Bên cạnh những ưu điểm mạnh về bảo mật và ước tính thiệt hại ở trên, pentest vẫn tồn tại một số hạn chế nhất định như:
- Chi phí thực hiện cao, đặc biệt với hình thức Black box Testing.
- Chất lượng của người thực hiện pentest và quy trình thực hiện mang tính trừu tượng. Không phải ai làm về pentest cũng có hiểu biết sâu rộng về cách tấn công xâm nhập. Nếu hiểu biết của người thực hiện không theo kịp được tốc độ hiểu biết của hacker thì cũng khó để phát hiện và sửa lỗi đang có trên hệ thống.
Khi nào doanh nghiệp nên triển khai pentest?
Pentest là hoạt động cần thiết cho mọi doanh nghiệp có hoạt động kinh doanh phụ thuộc nhiều vào kết nối internet. Tuy nhiên, không phải đối tượng nào cũng là đối tượng mục tiêu hàng đầu của hacker. Những doanh nghiệp có khả năng là mục tiêu tấn công của hacker cao hơn là:
- Những công ty phụ thuộc nhiều vào nền tảng trực tuyến.
- Các doanh nghiệp có hạ tầng trên cloud.
Những doanh nghiệp này cần thực hiện pentest định kỳ hoặc khi nhận thấy có bất kỳ điểm khác thường nào trên hệ thống.
Nội dung bài viết đã giúp bạn đọc hiểu
pentest là gì? Các hình thức, vai trò, lợi ích và một số hạn chế của hoạt động kiểm thử xâm nhập trong các doanh nghiệp. Người thực hiện pentest hoạt động như hacker mũ trắng để xác định rủi ro và đưa ra phương án sửa lỗi. Hy vọng qua bài viết, bạn đọc có thể hiểu thêm về pentest và các vấn đề liên quan đến chủ đề.
Có thể bạn quan tâm:
Tester là gì? Tất tần tật về nhân viên kiểm thử