Xác định phạm vi và yêu cầu của tổ chức/khách hàng trong kiểm tra xâm nhập

I. Giới thiệu tổng quan về kiểm tra xâm nhập (PenTest) cho tổ chức

  1. Đánh giá an ninh mạng và khả năng phục hồi của tổ chức
  • Các công ty nhận thức được nhu cầu bảo vệ hệ thống của họ. Nhiều nơi áp dụng các biện pháp kiểm soát để đảm bảo tính bảo mật, toàn vẹn và sẵn sàng của dữ liệu (CIA):
  • Biện pháp kiểm soát quản trị
  • Biện pháp kiểm soát vật lý
  • Biện pháp kiểm soát kỹ thuật hoặc logic
  • Tất cả các biện pháp kiểm soát nên tuân theo nguyên tắc đặc quyền tối thiểu.
  1. Giảm thiểu rủi ro tổng thể
  • Một trong những mục tiêu chính của PenTest là giảm thiểu rủi ro chung. Công thức xác định rủi ro:
    RỦI RO = MỐI ĐE DỌA * LỖ HỔNG
  • Mối đe dọa bao gồm mã độc hoặc thảm họa tự nhiên
  • Lỗ hổng là điểm yếu hoặc khiếm khuyết
  • Quản lý rủi ro là quy trình xác định, đánh giá, phân tích và ứng phó với rủi ro.
  1. Quy trình cấu trúc PenTest của CompTIA
    (Hình ảnh minh họa)
    Gồm các bước:
  • Lập kế hoạch và xác định phạm vi
  • Thăm dò
  • Quét
  • Đột nhập
  • Duy trì truy cập
  • Xóa dấu vết
  • Phân tích
  • Báo cáo
  1. So sánh các bước thực hiện bởi đội PenTest và tin tặc
  • Đội PenTest có mục tiêu chính là kiểm tra khả năng phòng thủ của hệ thống
  • Tin tặc có mục tiêu chính là thay đổi tính toàn vẹn của hệ thống

II. Tuân thủ các yêu cầu về quy định

  1. PCI DSS
  • Quy định các biện pháp kiểm soát phải có để xử lý dữ liệu thẻ tín dụng.
  • Tạo và duy trì một hạ tầng an toàn.
  • Áp dụng các chiến lược thực hành tốt.
  • Liên tục giám sát lỗ hổng
  • Sử dụng giải pháp chống mã độc thích hợp
  • Cung cấp các phương pháp kiểm soát truy cập mạnh
  • Thường xuyên giám sát và kiểm tra mạng.
  • Công ty phải luôn nỗ lực bảo vệ dữ liệu.
  • Kiểm tra để đảm bảo tuân thủ PCI DSS. Đánh giá và báo cáo kết quả.
  • Cấp độ merchant xác định liệu họ có cần hoàn thành ROC (báo cáo tuân thủ) hay không.
  • Cấp 1 phải có kiểm toán viên độc lập đánh giá, là Qualified Security Assessor (QSA) được phê duyệt.
  • Cấp 1&2 phải hoàn thành ROC
  • Cấp 2-4 có thể tự đánh giá hoặc thuê kiểm toán độc lập.
  1. GDPR
  • Tập trung vào quyền riêng tư của dữ liệu người tiêu dùng
  • Ảnh hưởng tới bất kỳ ai kinh doanh với cư dân EU và Anh.
  • Các yếu tố:
  • Yêu cầu sự đồng ý: xin phép từng nguồn dữ liệu
  • Thu hồi sự đồng ý: người dùng có thể từ chối bất cứ lúc nào
  • Phạm vi toàn cầu
  • Hạn chế thu thập dữ liệu: chỉ thu thập những gì cần thiết
  • Báo cáo vi phạm: công ty phải báo cáo rò rỉ trong vòng 72 giờ.
  1. Các luật bảo mật khác
  • SHIELD: áp dụng ở New York để bảo vệ dữ liệu công dân
  • CCPA: hướng dẫn cụ thể về cách xử lý phù hợp dữ liệu người dùng ở California
  • HIPAA: yêu cầu nghiêm ngặt cho bất kỳ ai xử lý thông tin bệnh nhân

Ví dụ: Ngân hàng A cung cấp dịch vụ thẻ tín dụng cho khách hàng ở Châu Âu và Mỹ. Để tuân thủ PCI DSS và GDPR, ngân hàng phải triển khai các biện pháp kỹ thuật (mã hóa dữ liệu), quản trị (chính sách bảo mật) và xin sự đồng ý rõ ràng của khách hàng khi thu thập và xử lý dữ liệu cá nhân của họ.

III. So sánh các tiêu chuẩn và phương pháp luận PenTest

  1. Các khung PenTest phổ biến
  • Một đánh giá toàn diện sẽ phát hiện điểm yếu của hệ thống
  • Nhiều tài nguyên cung cấp hướng dẫn thực hiện PenTest hiệu quả:
  • OWASP (The Open Web Application Security Project)
  • NIST (National Institute of Science and Technology)
  • OSSTMM (Open-source Security Testing Methodology Manual)
  1. Các hướng dẫn có cấu trúc
  • Một số tổ chức đã phát triển hướng dẫn có cấu trúc và thực tiễn tốt để triển khai PenTest.
  • ISSAF: nguồn mở dành cho các chuyên gia an ninh mạng.
  • PTES: tổng quan toàn diện về cấu trúc thích hợp của một PenTest đầy đủ.
  • MITRE: cung cấp nghiên cứu, ấn phẩm và công cụ miễn phí.
  1. MITRE ATT&CK
  • ATT&CK = Adversarial Tactics, Techniques & Common Knowledge
  • Cung cấp các công cụ và kỹ thuật cho PenTest.
  • Chứa các danh mục liệt kê nhiệm vụ trong PenTest:
  • Initial Access: liệt kê các vector tấn công để đột nhập mạng.
  • Persistence: chi tiết cách duy trì truy cập trong hệ thống.
  • Credential access: cách thu thập thông tin đăng nhập
  1. CVE và CWE
  • CVE (Common Vulnerabilities and Exposures): danh sách các lỗ hổng đã công bố công khai.
  • Mỗi mục đề cập đến lỗ hổng cụ thể của một sản phẩm
  • Được liệt kê với tên và mô tả chi tiết về lỗ hổng
  • CWE (Common Weakness Enumeration): cơ sở dữ liệu về các điểm yếu liên quan đến phần mềm do MITRE duy trì

Ví dụ:
Đội PenTest của công ty B sử dụng PTES làm hướng dẫn chính để thiết kế và thực hiện cuộc tấn công giả định.
Họ tham khảo CVE và MITRE ATT&CK để tìm hiểu về các lỗ hổng và kỹ thuật tấn công phổ biến đối với hệ điều hành Windows Server và ứng dụng web PHP mà mục tiêu đang sử dụng.

IV. Duy trì tính chuyên nghiệp trong PenTest

  1. Chứng thực năng lực của đội ngũ PenTest
  • Mỗi thành viên cần chứng minh họ có thể làm việc trong môi trường bảo mật:
  • Cung cấp chứng chỉ, bằng cấp để chứng minh kỹ năng phù hợp
  • Xuất trình kết quả kiểm tra lý lịch gần đây, có thể bao gồm điểm tín dụng và hồ sơ lái xe. Đảm bảo không ai có tiền án.
  • Nhấn mạnh tầm quan trọng của việc xác định và báo cáo hoạt động tội phạm, ngay cả khi nó xảy ra ngẫu nhiên
  1. Đảm bảo tính bảo mật
  • Mọi thành viên phải đồng ý tuân thủ chính sách về xử lý thông tin độc quyền và nhạy cảm.
  • Đội ngũ cần nói rõ với khách hàng rằng họ sẽ bảo vệ thông tin phát hiện được trong quá trình kiểm tra
  1. Tránh vướng vào pháp luật
  • Trước khi bắt đầu kiểm tra, đội ngũ nên phác thảo điều khoản hợp đồng
  • Rà soát mọi cân nhắc pháp lý có thể áp dụng.
  • Cẩn thận suy xét tất cả các tình huống.
  • Từng bước hoạch định cách thực hiện kiểm tra, cùng với các xung đột có thể xảy ra.

Ví dụ:
Trước khi tiến hành PenTest cho công ty C, đội ngũ PenTest đã ký thỏa thuận bảo mật (NDA) cam kết sẽ không tiết lộ bất kỳ thông tin nhạy cảm nào thu được.
Các thành viên xuất trình chứng chỉ CEH, CompTIA PenTest+, cũng như phiếu lý lịch sạch để chứng minh năng lực.
Hai bên thống nhất chi tiết về phạm vi kiểm tra, cho phép sử dụng kỹ thuật tấn công nào, tài sản hệ thống cần bảo vệ và kịch bản khắc phục khẩn cấp nếu gây gián đoạn dịch vụ.

V. Tổng kết

  • PenTest là quy trình quan trọng giúp đánh giá độ an toàn và khả năng chống chịu của hệ thống thông tin trong tổ chức.
  • Mục tiêu chính của PenTest là phát hiện và giảm thiểu các rủi ro bảo mật tiềm ẩn trước khi tin tặc có thể khai thác chúng.
  • Quy trình PenTest bao gồm nhiều giai đoạn: lập kế hoạch, thăm dò, quét, khai thác, duy trì truy cập, xóa dấu vết, phân tích và báo cáo.
  • PenTest cũng giúp tổ chức tuân thủ các quy định và tiêu chuẩn bảo mật như PCI DSS, GDPR, HIPAA…
  • Có nhiều khung phương pháp luận và hướng dẫn đã được phát triển để hỗ trợ triển khai PenTest một cách bài bản và hiệu quả như OWASP, PTES, NIST, MITRE ATT&CK.
  • Đội ngũ thực hiện PenTest cần duy trì sự chuyên nghiệp và đạo đức, chứng minh được năng lực, bảo mật thông tin khách hàng và tuân thủ mọi điều luật hiện hành.

Ví dụ:
Sau khi hoàn tất đợt PenTest, đội ngũ đã phát hiện và báo cáo cho công ty D về nhiều lỗ hổng nghiêm trọng trong hệ thống như:

  • Mật khẩu yếu và tài khoản có đặc quyền quá mức cần thiết
  • Lỗ hổng SQLi và XSS trên các site
  • Thiếu bản vá quan trọng trên nhiều máy chủ và thiết bị
  • Cấu hình sai dịch vụ và tường lửa cho phép truy cập không mong muốn.

Dựa trên mức độ ảnh hưởng và khả năng khai thác, mỗi lỗ hổng được đánh giá mức độ rủi ro và đề xuất biện pháp khắc phục cụ thể.
Các phát hiện này giúp ban lãnh đạo công ty D hình dung rõ hơn về trạng thái an ninh mạng hiện tại, từ đó xác định thứ tự ưu tiên và nguồn lực cần thiết để cải thiện, nâng cao khả năng bảo vệ và tuân thủ.

Tài liệu tham khảo:

  • CompTIA PenTest+ Exam Objectives (PT0-002)
  • OWASP Web Security Testing Guide
  • NIST SP 800-115 Technical Guide to Information Security Testing and Assessment
  • Penetration Testing Execution Standard (PTES)
  • MITRE ATT&CK Framework

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Trending