Đâu là phương pháp pentest phù hợp với doanh nghiệp của bạn_1

Đâu là phương pháp pentest phù hợp với doanh nghiệp của bạn?

February 5, 2020 | hieulx

Pentest hay kiểm thử xâm nhập là một cuộc tấn công mô phỏng được ủy quyền trên hệ thống (mạng, ứng dụng, web…), được thực hiện để đánh giá tính bảo mật với mục tiêu thông báo cho chủ sở hữu về cả điểm yếu và điểm mạnh.

 

Khi bạn nói “tôi muốn thực hiện pentest“, vậy chính xác ý của bạn là gì?

Thông thường, các bài kiểm tra thâm nhập được thực hiện bởi một nhóm đánh giá bảo mật bên ngoài với một loạt kiến thức, kỹ năng và công cụ để hỗ trợ trong quá trình này. Các kết quả của kiểm tra thâm nhập thường được sử dụng để hướng dẫn khắc phục, sửa chữa các điểm yếu và để phát triển một chiến lược bảo vệ.

Tại VietSunshine, chúng tôi thường xuyên tiến hành các thử nghiệm thâm nhập và giúp khách hàng của chúng tôi trong các lĩnh vực khác nhau (ngân hàng, tài chính, doang nghiệp, năng lượng, viễn thông, chính phủ, v.v.) hiểu loại thử nghiệm mà họ cần để đáp ứng mục tiêu của họ.

Trong sơ đồ, mục tiêu là khác nhau đối với từng loại thử nghiệm, trong khi các đầu vào có một loạt các tùy chọn. Phạm vi, trên trục x, có thể được coi là điều tra sâu đến mức nào. Thông tin chi tiết, trên trục y có liên quan đến lượng thông tin hoặc quyền truy cập nâng cao được cung cấp cho “kẻ tấn công” trong mô phỏng.

Đâu là phương pháp pentest phù hợp với doanh nghiệp của bạn

Nhìn vào từng khu vực chi tiết hơn:

Tuân thủ (Compliance)

Loại kiểm thử xâm nhập này tập trung vào việc chứng minh rằng một bộ điều khiển kỹ thuật được đặt đúng chỗ và hoạt động. Với “audit” này, các tổ chức có thể báo cáo các nghĩa vụ pháp lý (như HIPAA hoặc Sarbanes-Oxley) hoặc nghĩa vụ chính sách nội bộ (như kiểm soát CIS).

Giảm thiểu rủi ro (Risk Reduction)

Loại pentest này tập trung vào việc phát hiện ra các khiếm khuyết có thể bị khai thác để tấn công hệ thống. Mục tiêu trong các thử nghiệm này là cung cấp thông tin chi tiết về các điểm yếu có thể được ưu tiên khắc phục để giảm rủi ro của hệ thống đang được thử nghiệm. Lưu ý rằng các thử nghiệm “-box” được hiển thị trong sơ đồ cho biết có bao nhiêu kiến thức về cấu trúc bên trong được tiết lộ.

Kiểm thử Blackbox hầu như không có thông tin nào về hệ thống trong khi kiểm tra whitebox hoặc review mã code cần cung cấp chi tiết đầy đủ về cấu trúc bên trong, thuật toán hoặc mã nguồn thực tế. Greybox rơi vào giữa những thái cực này, với một số chi tiết về hệ thống đang được thử nghiệm với các thử nghiệm tiến hành từ góc độ bên ngoài.

Mô phỏng tấn công (Attack Simulation)

Loại pentest này tập trung vào việc tập duợt cho những người phụ trách bảo mật, quy trình và công nghệ theo cách thực tế với mục tiêu đảm bảo rằng các hệ thống có thể được bảo vệ. Hơn nữa, nếu cuộc tấn công thành công, nó sẽ giúp kiểm tra các quy trình để phản ứng hoặc phục hồi từ cuộc tấn công có được thực hiện và hoạt động chính xác. Nhiều lần, kẻ thù (người thử nghiệm thâm nhập) đang mô phỏng một cuộc tấn công mà những người bảo vệ không hề biết (team hoạt động và đội bảo vệ của tổ chức.)

Vậy doanh nghiệp của bạn cần loại kiểm thử xâm nhập nào?

Với một loạt các tùy chọn có sẵn, nó sẽ rất hữu ích cho pentest team của VietSunshine có thể hiệu mục tiêu của bạn là gì. Cho dù bạn cần báo cáo quản lý để cho thấy rằng bạn đã xem xét bảo mật hệ thống hàng năm hoặc nếu bạn muốn chứng minh rằng các hoạt động và nhóm bảo mật của bạn đã sẵn sàng cho bất kỳ cuộc tấn công tiềm năng nào, chúng tôi có thể cấu trúc một bài kiểm tra thâm nhập để đáp ứng nhu cầu của bạn.

Và bằng cách cung cấp kết quả kiểm tra cùng với lời khuyên, tư vấn từ các chuyên gia giàu kinh nghiệm, chúng tôi có thể giúp tổ chức của bạn tiến lên trong hành trình bảo mật, giảm rủi ro, tránh sự gián đoạn với các hoạt động kinh doanh.

Xem thêm:

Tags: , ,