in pentest

Kiểm thử bảo mật và đánh giá an toàn thông tin

(English caption below)

Q: Gần đây tôi nghe nhiều người nhắc tới thuật ngữ Pentest, kiểm thử bảo mật, thuật ngữ đó nghĩa là gì vậy chị?
A: Pentest là hoạt động đánh giá sức khỏe của hệ thống thông tin dựa trên kỹ thuật thử nghiệm tấn công hệ thống. Hệ thống có thể hiểu là website, máy chủ, mạng,… và thậm chí cả con người.
Q: Kỳ lạ nhỉ. Có gì nhầm lẫn chăng khi chị tấn công vào hệ thống để đo sức khoẻ?
A: Đúng thế. Nhiều người có cùng thắc mắc như vậy. Hoạt động tấn công được tiến hành dưới sự cho phép và giám sát của người chủ hoặc người đại diện hệ thống thông tin. Thông thường, hoạt động này được sắp xếp tiến hành trên các hệ thống chạy thử nghiệm. Quá trình thử nghiệm tấn công xác định với các kĩ thuật được thực hiện thì hệ thống phản ứng có đúng đắn không? Có các lỗi nào xuất hiện? Dựa trên kết quả thu được sẽ đánh giá tương đối sức khỏe của hệ thống và có biện pháp khắc phục phù hợp. Về mặt nào đó, nếu coi hệ thống thông tin như cơ thể người thì hoạt động này tương tự với tiêm vắc xin vào cơ thể vậy.
Q: Hoạt động này diễn ra như thế nào?
A: Sau khi hai bên xác định phạm vi công việc, thủ tục không thể thiếu đó là ký kết thỏa thuận không tiết lộ thông tin (NDA). Đơn vị cung cấp dịch vụ khảo sát và đưa ra danh mục các kỹ thuật tấn công sẽ thực hiện. Quá trình thực hiện có thể lấy ra các dữ liệu thuộc loại nhạy cảm, làm hệ thống ngừng hoạt động,… Chính vì vậy, hoạt động này không nên tiến hành trên hệ thống chính thức (production system). Kết quả của một loạt công việc trên là các báo cáo kiểm thử và đánh giá mức độ an toàn thông tin.
Q: Chị nói vậy thì hoạt động này tiềm ẩn cả rủi ro nữa, ví dụ như mất cắp thông tin. Cách nào giúp phòng tránh hoặc giảm thiểu rủi ro?
A: Đúng là có một số rủi ro khi thực hiện hoạt động này cho nên nếu thuê dịch vụ bên ngoài, bạn cần chọn nhà cung cấp uy tín và chất lượng, chú ý các ràng buộc hợp đồng và điều khoản về bảo mật thông tin. Về mặt kỹ thuật, bộ phận quản trị cần triển khai hệ thống giám sát mất mát thông tin để theo dõi liên tục. Hoạt động này nên tiến hành thường xuyên mỗi khi hệ thống có các thay đổi lớn.
Q: Rủi ro tiềm tàng như vậy thì lợi ích của công việc này là gì?
A: Hoạt động này có lợi ích thiết thực đó là giúp người quản trị có góc nhìn toàn diện về các rủi ro an ninh từ hướng người bảo vệ và người tấn công. Nhà quản lý nhận diện sâu sắc hơn rủi ro thông tin trên hệ thống của họ. Dựa trên báo cáo, việc khắc phục sẽ thực hiện tập trung và hiệu quả bảo vệ/phòng ngừa cao hơn.
Q: Chị nói kết quả của một loạt công việc thử nghiệm xâm nhập là báo cáo. Vậy chị hãy mô tả thêm về kết quả này?
A: Báo cáo thử nghiệm xâm nhập và đánh giá bảo mật là kết quả cuối cùng và quan trọng nhất đối với người chủ sở hữu hệ thống. Thông thường, báo cáo chia ra làm 2 loại dựa trên đối tượng đọc báo cáo. Một là, báo cáo tổng hợp dành cho cấp quản lý – những người quá bận rộn, nội dung thường gồm, phạm vi kiểm thử và đánh giá, số lượng và mức độ nguy hiểm của các phát hiện và khuyến nghị giải pháp. Loại báo cáo thứ hai, báo cáo chi tiết, trong đó mô tả chi tiết nhất có thể: phương pháp thực hiện, các kiểm tra được thực thi, các phát hiện điểm yếu được tìm thấy, các minh chứng về điểm yếu ví dụ như dữ liệu, các khuyến nghị chi tiết,…
Q: Báo cáo là kết quả cho nên chất lượng báo cáo hết sức quan trọng. Chị chia sẻ giúp về đánh giá chất lượng báo cáo như thế nào?
A: Đây là câu hỏi thú vị. Chất lượng báo cáo thể hiện ở mức độ chi tiết của nội dung, khả năng thực thi nhanh của báo cáo. Một báo cáo có chất lượng tốt giúp đội ngũ vận hành tìm ra gốc rễ vấn đề và khắc phục trong thời gian nhanh nhất. Có câu hỏi tương tự mà nhiều người đưa ra đó là “Trong phạm vi thực hiện, báo cáo đã phát hiện toàn bộ các điểm yếu thực sự trên hệ thống chưa?”. Không ai có thể khẳng định báo cáo đã mô tả toàn bộ điểm yếu và hệ thống không còn điểm yếu nào gây ra mất mát dữ liệu nữa. An toàn, về bản chất, là yếu tố có tính chất thời điểm và báo cáo chỉ có giá trị ngay tại lúc đánh giá. Để đảm bảo tính an toàn, đơn vị chủ quản cần áp dụng nhiều biện pháp bổ sung khác nữa ví dụ như giám sát thường xuyên.

(Còn nữa…)


Q: Recently, I usually hear “pentest”, “security testing” terms. What do they mean?

A: Pentest is a health assessment of the system by using technicians to perform the testing system attacks. The system can be understood as websites, servers, networks and even humans.

Q: It’s strange. Why assess the security system by the attack? Is that confused?

A: That’s right. This is the one question that most people ask. The testing attack will be carried out with the permission and supervision of the owner or the management of information systems. Typically, the pentest operation have been arranged to perform on the testing systems. Whether is the assessment by the attack techniques correct? Which issues may occur?  From the obtained results, the system assessments and the suitable remedial measures will be launched. This is similar to inject the vaccine into human.

Q: How will this operation be performed?
A: After signing NDA (Non- Disclosure Agreement), the service provider will investigate and make a list of performing attack techniques. This operation can take out the sensitive data or deactivate the activities of the testing system. So, this operation shouldn’t be executed on the production system. The results of these operations are evaluating and assessing information security reports.

Q: Thus, this activity contains risk, example stolen information. How to prevent or reduce risk?
 A: Because this activity contains risk, you need to choose reputable and quality providers. Besides, you should note the binding contracts and terms of information security. Technically, the administrator department needs to monitor continually to control losing information. This activity should be carried out regularly when the system has major changes.

Q: if so, what are the benefits of this activity?

A: These are practical activities that help administrators have comprehensive perspective about the risk from the attackers and the defenders, helps managers identify risks against their system. Thank for reports, fixing measures will be done centrally and protection or prevention will achieve higher results.

Q: The results of these activities are reports. How describe more about these results?

A: The evaluating and assessing information security report is the critical and final result for owner’s system. Normally, the report is divided into two categories based on objects who will read report. The first type is the report for busy managements. The contents of the reports include the pentesting area, the dangerous level and the volume of detections and the corresponding solutions. The second type is the detailed report including detailed descriptions about the implementation methods, the performed evaluations, the detected risks, the evidences and specific solutions…

Q: The evaluating and assessing information security reports are very important.

A: This is an interesting question. The quality of the report was expressed via the level of detail of contents, the feasibility of report. The good report will help administrators find the original of issues and solutions in the shortest possible time. Many people asked that “Within the ambit of implementation, had these reports detected all risks of the systems?”. Nobody can identify all risks of the systems or tells that the systems no longer includes the risks making to lose data. Essentially, safety is a temporary factor and the report is only valid at the assessment time. To ensure safety, the managing units should apply additional measures such as more regular supervision.

(Continue…)

Write a Comment

Comment