• Thứ Năm, 16/06/2011 15:33 (GMT+7)

    Pentest: Tập đánh trận giả

    Kỹ sư Nguyễn Thành Nam – HPT Việt Nam
    Việc khảo sát khả năng chịu đựng của hệ thống an toàn thông tin (ATTT) nên được tiến hành tại các doanh nghiệp (DN) nhằm đảm bảo hệ thống bảo mật “vận hành tốt”.

     
     Các thành tố được OSSTMM đánh giá bảo mật

    Đầu tư hệ thống bảo mật: Chưa đủ!

    CNTT đóng vai trò quan trọng trong chiến lược cạnh tranh và phát triển của một doanh nghiệp (DN). Tuy vậy, cùng với những phát triển, doanh nghiệp luôn phải đối mặt với các nguy cơ bị tấn công như từ chối dịch vụ, thay đổi nội dung các trang web, lấy trộm các thông tin trong cơ sở dữ liệu… có thể gây thiệt hại nặng nề về tài chính và uy tín của DN.

    Nếu trước đây các cuộc tấn công của tin tặc đa phần chỉ muốn thể hiện khả năng thì hiện nay, các cuộc tấn công đang dịch chuyển sang các mục tiêu tài chính, chính trị. Vì vậy, các yêu cầu về bảo mật cho hệ thống ngày càng được quan tâm sâu sắc, trở thành một trong những ưu tiên đầu tư hàng đầu của DN cũng như các cơ quan chính phủ trong thời gian gần đây.

    Hiện tại, để kiện toàn bảo mật cho hệ thống, một DN/tổ chức nên tiến hành theo cả hai phương thức:

    - Đầu tư các giải pháp bảo mật (phần cứng/phần mềm) từ các hãng bảo mật như: Cisco, CheckPoint, Symantec, McAfee…

    - Đầu tư vào các dịch vụ đánh giá lỗ hổng an ninh trong hệ thống định kỳ, hay còn gọi là dịch vụ Penetration Testing.

    Chi phí và thời gian thực hiện dịch vụ PenTest (bảng giá tham khảo - tỷ giá chuyển đổi USD sang VNĐ ghi nhận vào ngày 23/3/2011)

    Với việc đầu tư vào phần cứng/phần mềm, DN có thể ngăn chặn được các cuộc tấn công vào hệ thống theo “kịch bản”. Tuy nhiên, trên thực tế đa phần các cuộc tấn công gây nhiều thiệt hại lại do con người sử dụng cách thức mới hay những cách thức mà phần cứng/phần mềm bảo mật không nhận diện được. Bên cạnh đó, các DN cũng rất khó kiểm định tính hiệu quả của các thiết bị phần cứng/phần mềm đã đầu tư.

    Chính vì thế, DN cần chủ động nhận diện và ngăn chặn các hành vi có thể xâm hại hệ thống cũng như đánh giá tính hiệu quả của hạ tầng bảo mật đã đầu tư. Dịch vụ Penetration Testing (Pentest) là một giải pháp cho mục tiêu này.

    Penetration Testing là dịch vụ khảo sát mức độ

    ATTT ở các DN, bao gồm:
    Kiểm định ứng dụng web (Web Application Testing)

    Kiểm định mạng và hệ thống (Network and System Testing)

    Kiểm định hệ thống mạng không dây (Wireless LAN Testing)

    Pentest đã được nhiều các công ty, tập đoàn nước ngoài có chính sách thực hiện hàng năm. Riêng ở Việt Nam, khi DN đã cơ bản hoàn thiện hạ tầng mạng và đang ở trong quá trình phát triển các ứng dụng nghiệp vụ, đó là lúc cần đến Pentest. Nên thực hiện định kỳ Pentest để đảm bảo hệ thống luôn trong tình trạng được bảo vệ tốt nhất.

    Pentest cũng góp phần nâng cao năng lực cạnh tranh của DN so với các đơn vị khác. Đặc biệt là các DN kinh doanh về thương mại điện tử hay các ngân hàng đang phát triển dịch vụ ngân hàng điện tử (e-banking) cần tạo niềm tin cho khách hàng.

    Các hình thức kiểm định

    Pentest sẽ được thực hiện thông qua việc kiểm tra các lỗ hổng an ninh của hệ thống; Kiểm tra khả năng tự phòng vệ trước các cuộc tấn công từ bên ngoài vào hệ thống: Từ phía người dùng bên trong hệ thống hoặc các đối tác của DN… Thông qua việc phát hiện và khai thác các lỗ hổng an ninh của hệ thống, dịch vụ này đồng thời đưa ra các khuyến nghị xử lý lỗ hổng cho DN. Các hình thức kiểm định bao gồm:

    Kiểm định hộp đen (Black-box): Giả định như tin tặc (hacker) không biết các thông tin về hệ thống của doanh nghiệp và tiến hành tấn công vào các thành phần của hệ thống.

    Kiểm định hộp trắng (White-box): Giả định như tin tặc được cung cấp đầy đủ các thông tin của hệ thống như sơ đồ hệ thống, danh sách các ứng dụng, hệ điều hành đang vận hành … và tiến hành tấn công vào hệ thống.

    Kiểm định hộp xám (Gray-box hay Crystal-box): Giả định như tin tặc được cung cấp tài khoản một người dùng thông thường và tiến hành tấn công vào hệ thống như một nhân viên của doanh nghiệp.

    Tin tặc thường tận dụng các lỗ hổng bảo mật của ứng dụng web (Web Application) để khai thác và tiến hành các hành vi xâm phạm hệ thống như: phá hoại ứng dụng, thay đổi nội dung, chiếm các phiên giao dịch nhằm phục vụ các lợi ích cá nhân.

    Các tiêu chuẩn

    Pentest cần được thực hiện trên cơ sở tuân thủ các tiêu chuẩn quốc tế về đánh giá an ninh bảo mật cho hệ thống như sau:

    Đánh giá ứng dụng Web - OWASP (Open-source Web Application Security Project):

    OWASP là một chuẩn mở cho phép tổ chức/DN tiến hành xây dựng, phát triển, duy trì hoạt động của các ứng dụng trên nền tảng web một cách bảo mật nhất. Quá trình đánh giá dựa trên các tiêu chí đã được cộng đồng bảo mật xác nhận. OWASP bao gồm 10 lỗ hổng được đánh giá một cách chi tiết và cập nhật thường xuyên với thực tế các nguy cơ mà một ứng dụng web thường gặp.

    Đánh giá mạng và hệ thống - OSSTMM (Open Source Security Testing Methodology Manual):

    Một số lợi ích mang lại của dịch vụ Pentest là:
    Phát hiện sớm các nguy cơ, rủi ro mà hệ thống đang đối mặt, từ đó có đưa ra những giải pháp ngăn chặn
    Tăng cường an ninh của hệ thống dựa trên các báo cáo về lỗ hổng an ninh sau khi thực hiện dịch vụ
    Tối ưu và chuẩn hóa hệ thống theo chuẩn quốc tế
    Nâng cao khả năng tự phòng vệ khi hệ thống đối mặt với các nguy cơ.
     

    OSSTMM là một chuẩn mở cung cấp phương pháp kiểm tra bảo mật một hệ thống đang hoạt động của doanh nghiệp. Từ phiên bản 3.0, OSSTMM đưa ra phương pháp kiểm định cho hầu hết các thành tố trong hệ thống như: con người, hạ tầng vật lý, mạng không dây, truyền thông và các mạng sử dụng truyền dữ liệu.

    Bên cạnh các ứng dụng phục vụ cho kinh doanh, các thành tố giúp hệ thống vận hành như con người, thiết bị mạng, truyền thông, mạng không dây, mạng truyền dữ liệu… luôn phải đối mặt với những cuộc tấn công từ phía trong cũng như từ phía ngoài. Nếu khai thác được các lỗ hổng an ninh từ các thành tố này, tin tặc có thể dễ dàng chiếm quyền điều khiển hệ thống… và gây thiệt hại cho DN. Dịch vụ Pentest theo tiêu chuẩn OSSTMM cho phép chủ động ngăn chặn từ xa các nguy cơ: đồng thời đưa ra các phương án giúp DN bảo vệ các thành tố của hệ thống.

    ID: B1104_62