Buzz
Pentest không phải là giải pháp bảo mật, không giúp hệ thống mạng an toàn hơn và pentester không phải là hacker.
Nhiều doanh nghiệp lựa chọn Kiểm thử thâm nhập (Pentest) như một biện pháp bảo mật để tránh xa hacker. Nhưng sự thực không phải như vậy.
Các chuyên gia an ninh mạng tin rằng 'Để đánh bại một hacker, bạn phải suy nghĩ như một'. Nhưng Pentester không thể có suy nghĩ và chiến thuật tấn công giống như hacker vì họ bị ràng buộc bởi nhiều yếu tố. Do đó, việc thực hiện kiểm thử thâm nhập từ góc nhìn của hacker là không khả thi. Dưới đây là lý do tại sao pentester không thể là hacker.
Theo ECQ, các chuyên gia an ninh mạng chỉ rõ rằng Pentest chỉ giúp phát hiện lỗ hổng bảo mật và các nguy cơ tấn công trong thời điểm kiểm tra, với cấu hình và cơ chế bảo mật hiện tại. Pentest không đảm bảo rằng hệ thống sẽ an toàn sau kiểm tra.
Mức độ hiệu quả và bức tranh toàn diện về cấu trúc bảo mật của doanh nghiệp phụ thuộc vào phạm vi kiểm tra và các kỹ thuật được sử dụng trong quá trình kiểm thử thâm nhập. Đặt câu hỏi 'Doanh nghiệp sợ gì nhất khi bị tấn công mạng?' để xác định mục tiêu kiểm tra.
Đánh giá Lỗ hổng bảo mật (VA) và Kiểm thử thâm nhập (Pentest) thường bị nhầm lẫn bởi các công ty an ninh mạng. Mặc dù khách hàng thường được đề xuất Pentest, nhưng báo cáo thường chỉ dừng lại ở mức VA. Sự khác biệt giữa hai dịch vụ này vẫn chưa rõ ràng.
Để dễ hiểu hơn về hai dịch vụ này, hãy tưởng tượng một tòa nhà có 30 tầng, cửa sổ ở tầng 5 và tầng 29 đều đang mở. Một giả thuyết là kẻ trộm có thể vào bên trong qua cửa sổ. VA sẽ báo cáo rằng cả hai tầng 5 và tầng 29 đều mở cửa, mức độ nguy hiểm như nhau. Trong khi đó, Pentest chỉ xác định rằng tầng 5 mới thực sự có nguy cơ vì có một chiếc thang đủ cao để kẻ trộm có thể leo lên đó. Pentester cần chứng minh điều này bằng cách sử dụng chiếc thang để trèo vào và để lại dấu vết. Tuy nhiên, tầng 29 thì khác, vì không có thang nào giúp kẻ trộm leo lên hoặc phải sử dụng trực thăng để tiếp cận. (Ví dụ này chỉ là minh họa)
Các hoạt động của VA giúp tiết kiệm chi phí và thời gian bằng cách sử dụng các công cụ tự động để quét lỗ hổng bảo mật, tuy nhiên, độ chính xác không được đảm bảo. Pentest là công việc thực hiện sau VA và sử dụng thêm các kỹ thuật thủ công để đạt được độ chính xác cao hơn. Ngoài ra, Pentest còn chứng minh được các nguy cơ thực sự thông qua việc khai thác thành công các lỗ hổng. Vì vậy, giá cả và chất lượng luôn đi đôi với nhau, những lời mời thử Pentest giá rẻ thực chất chỉ đem lại bản báo cáo từ công cụ quét lỗ hổng tự động.
Tóm lại, kiểm thử thâm nhập không làm tăng độ an toàn, nó chỉ chứng minh rằng vào thời điểm hiện tại, hệ thống có khả năng bị tấn công như thế nào. Khả năng tái phát lỗi vẫn tồn tại do cấu trúc bảo mật, công nghệ và quy trình không đúng từ đầu. Bảo mật luôn cần ba yếu tố: phòng chống, phát hiện và phản ứng. Không có hệ thống nào là hoàn hảo, dù thực hiện kiểm thử thâm nhập thường xuyên, nên lời nói của các công ty bảo mật rằng họ có thể kiểm tra tất cả các lỗ hổng là không thật. Và đừng quên về Zero-day (lỗ hổng chưa được biết đến và không có bản vá lỗi), nó là một phần không thể thiếu trong cuộc sống.
