Pentest là một trong những hoạt động không thể thiếu trong các doanh nghiệp hoạt động phụ thuộc lớn vào hệ thống công nghệ thông tin cũng như doanh nghiệp chuyên về máy chủ vật lý, máy chủ ảo, cung cấp phần mềm kinh doanh… Vậy chi tiết về pentest là gì? Lịch sử hình thành của pentest và chúng quan trọng như thế nào đối với doanh nghiệp sẽ được Thiết kế web tại Cần Thơ giải đáp ngay sau đây.
Pentest là từ viết tắt của Penetration Testing mang nghĩa kiểm thử xâm nhập. Đây là một kiểu kiểm tra bảo mật để phát hiện những lỗ hổng, rủi ro hay các mối đe dọa bảo mật mà những hacker khai thác trong các ứng dụng phần mềm, ứng dụng web hoặc mạng dữ liệu.
Lỗ hổng bảo mật – vulnerability là yếu tố thuận lợi để hacker có thể làm gián đoạn hoặc giành quyền đăng nhập, quản lý hệ thống hay đánh cắp, thay đổi dữ liệu được cài đặt. Các lỗ hổng thường xuất hiện trong giai đoạn triển khai hay phát triển phần mềm. Một số lỗ hổng điển hình là lỗi thiết kế, lỗi phần mềm, lỗi cấu hình…
Pentest được thực hiện trên hệ thống máy tính, ứng dụng điện thoại, ứng dụng web, hạ tầng mạng kết nối, ứng dụng và hạ tầng đám mây, source code hoặc bất kỳ đối tượng CNTT nào có kết nối với internet…
Khi thực hiện kiểm thử xâm nhập, người thực hiện kiểm thử cần được sự cho phép của người chủ đối tượng cần thực hiện kiểm tra. Nếu không được sự cho phép, hành động xâm nhập để kiểm tra sẽ được coi là việc làm trái phép tương tự hack hệ thống của các hacker.
Như vậy, điểm khác biệt giữa pentest và hack chính là được sự cho phép của chữ sở hữu. Đôi khi, người ta còn gọi pentest với từ ngữ là ethical hacking – hack có đạo đức, người thực hiện kiểm thử được gọi là white hat hacker – hacker mũ trắng.
Trong các năm 60 của thế kỷ trước, sự phát triển, gia tăng mạnh mẽ về khả năng trao đổi dữ liệu qua mạng máy tính đã khiến các chuyên gia cảnh báo về nguy cơ bị tấn công xâm nhập. Đặc biệt, hệ thống mạng của chính phủ, doanh nghiệp tài chính, ngân hàng… là đối tượng được “dòm ngó” nhiều nhất.
Năm 1967, tại Hội nghị Máy tính thường niên năm 1967, hơn 15000 chuyên gia về máy tinh trên khắp thế giới đã đưa ra thuật ngữ “penetration” (xâm nhập). Các chuyên gia xác định rằng đây là một trong những hành động gây hiểm họa cho trao đổi dữ liệu.
Những năm cuối của thập niên 60, nhóm pentest đầu tiên trên thế giới có tên Tiger Teams được hình thành để tấn công mạng máy tính và đánh giá khả năng chống chịu của chúng. Đây cũng là bước khởi đầu để đánh dấu thời đại bảo mật máy tính.
Các hình thức của pentest được phân loại dựa trên phạm vi xâm nhập vào hệ thống. Bên cạnh đó, sự phân loại còn phụ thuộc vào tổ chức muốn mô phỏng cuộc kiểm thử xâm nhập bởi nhân viên, người quản trị network trong doanh nghiệp (Internal Sources) hay bởi nguồn nhân lực bên ngoài (External Sources).
Hiện có 3 hình thức pentest là:
White box Testing: với pentest white box, người thực hiện hoạt động kiểm thử được cung cấp đầy đủ các thông tin về đối tượng mục tiêu cần kiểm tra trước khi tiến hành các hành động cần thiết. Những thông tin này bao gồm địa chỉ IP, sơ đồ hạ tầng mạng kết nối, các giao thức sử dụng và source code.
Gray box Testing: với Gray box Testing, pentester nhận được một phần thông tin của các đối tượng mục tiêu như URL, địa chỉ IP… Người thực hiện kiểm thử sẽ không nhận được đầy đủ thông tin và quyền truy cập vào các đối tượng.
Black box Testing: hay còn được biết đến là blind testing, ethical hacking. Đây là hình thức kiểm thử xâm nhập đứng dưới góc độ của một hacker trong thực tế và được sự cho phép của người quản trị hệ thống.
Trong trường hợp này, người thực hiện sẽ không được cung cấp bất kỳ thông tin nào về đối tượng trước khi hệ thống bị tấn công, xâm nhập. Các pentester phải tự tìm kiếm, phát hiện và thu thập thông tin đối tượng để tiến hành kiểm thử. Đây là loại hình được sử dụng nhiều và cần lượng lớn thời gian, công sức, trí não để tìm hiểu. Do vậy, chi phí để thực hiện sẽ không hề rẻ.
Hoạt động kinh doanh của doanh nghiệp hiện nay đòi hỏi sự hỗ trợ của website, web app, mobile app vô cùng lớn. Các doanh nghiệp ngân hàng như Vietcombank, Techcombank…, đơn vị công như Bộ Y tế… đều phát triển các ứng dụng trên web, điện thoại để người dùng thao tác, cập nhật thông tin.
Chúng ta không phủ nhận được sự tiện lợi cũng như lợi ích to lớn mà các “sản phẩm online” này mang lại cho người dùng và đơn vị cung cấp dịch vụ. Tuy nhiên, các nhà phát hành sản phẩm cũng phải đối mặt với thách thức lớn về bảo mật hệ thống, bảo mật thông tin người dùng, gián đoạn hoạt động, nhiễm virus, mã độc…
Một trong những cách để giảm thiểu tối đa các rủi ro đó là thực hiện kiểm thử xâm nhập để đánh giá sức mạnh sản phẩm online. Trải qua các cuộc kiểm thử, doanh nghiệp sẽ nhận biết được lỗ hổng và tiến hành nâng cấp cho phù hợp.
Chuyển đổi số là xu hướng mà bất kỳ doanh nghiệp hoạt động trên nền tảng trực tuyến, dù ít hay nhiều đều phải thực hiện. Ứng dụng công nghệ mới mang lại lợi ích cho doanh nghiệp như giảm chi phí vận hành, nhân lực. Tuy nhiên, đây cũng là cơ hội để tin tặc tấn công.
Những sản phẩm kỹ thuật số như ERP cho quản trị, CRM lưu trữ thông tin khách hàng, các thiết bị IoT trong vận hành doanh nghiệp… sẽ được an toàn nếu được bảo mật đúng cách qua hoạt động pentest định kỳ.
SaaS – Software as a Service là dịch vụ được các nhà cung cấp mang đến cho người dùng cuối sử dụng dựa trên công nghệ đám mây. Bạn cũng có thể hiểu đơn giản là đây là dịch vụ cho phép người dùng truy cập một phần mềm (ví dụ Spotify) thông qua trình duyệt internet (ví dụ Chrome).
Các dịch vụ này cho phép người dùng trả tiền theo nhu cầu thay vì mua sử dụng trọn đời. Việc phân phối ứng dụng, phần mềm… dưới dạng dịch vụ đòi hỏi phải có kết nối internet liên tục. Sự tấn công làm gián đoạn sẽ ảnh hưởng đến trải nghiệm người dùng. Các cuộc kiểm thử xâm nhập giúp hạn chế tối đa được hiện tượng này.
Phương pháp bảo mật bằng hình thức mô phỏng các cuộc tấn công mang lại cho doanh nghiệp các lợi ích mà hệ thống bảo mật tự động không thực hiện được. Các pentester thực hiện tấn công với tư duy thực, sáng tạo, đậm chất “con người” nên sẽ theo được suy nghĩ của những người hacker trong thực tế.
Nguồn bài viết: Sưu tầm