Liệu Crowdsourced Security có thể thay thế PenTest truyền thống? – Phần 1
Trung Nguyen
Crowdsourced Security (mô hình bảo mật tận dụng nguồn lực thuê ngoài) đã trở nên phổ biến trên thế giới và ở Việt Nam. Đến mức một số công ty bắt đầu bỏ qua phương pháp Pentest truyền thống và sử dụng nền tảng Crowdsourcing dành riêng cho việc kiểm tra tính bảo mật của các ứng dụng và cơ sở hạ tầng của họ. Tại sao lại có xu hướng này, đâu là lợi và hại của phương pháp Bảo mật cộng đồng? Doanh nghiệp nào nên sử dụng “Bảo mật cộng đồng”? Cùng tìm hiểu trong bài viết sau.
I. CROWDSOURCED SECURITY LÀ GÌ
Về cơ bản, đây là hình thức mở rộng hơn của kiểm thử bảo mật truyền thống (pentest) ở khía cạnh nhân lực. So với việc chỉ có 1 Pentester (người thực hiện pentest) với một kĩ năng chuyên biệt, một phương pháp và một quan điểm về mọi thứ thì giờ đây có cả một cộng đồng có thể phát huy được những điểm mạnh và hạn chế các điểm yếu mà trước đây hình thức kiểm thử bảo mật truyền thống gặp phải.
Giờ đây thay vì một chuyên gia kiểm thử, bạn có hàng chục hoặc hàng trăm chuyên gia cùng tìm lỗ hổng cho website của mình. Đó là điểm mạnh của mô hình Crowdsourcing trong bảo mật.
>> Download Ebook: Crowdsourced Security là gì?
II. ĐIỂM YẾU CỦA PENTEST TRUYỀN THỐNG
Pentest (penetration testing) hay kiểm thử xâm nhập – vốn được biết đến như một giải pháp an ninh được lựa chọn trong một thời gian dài. Các công ty sử dụng phương pháp này để kiểm tra sản phẩm của họ dưới cái nhìn của hackers. Không may, phương pháp này còn tồn tại nhiều điểm yếu cố hữu.
1. Chu kỳ phát triển và phân phối liên tục
Mặc dù kiểm thử bảo mật, theo truyền thống, là một hoạt động hàng năm đối với nhiều công ty, điều này đã không còn theo kịp tốc độ triển khai. Các bản cập nhật hàng tuần, hàng ngày – thậm chí thường xuyên hơn thế – khiến cho phần mềm liên tục thay đổi. Kiểm thử bảo mật có thể đưa ra đánh giá tại một thời điểm cụ thể, nhưng bất kỳ bản cập nhật nào cho phần mềm đều có thể mang tới tính năng mới, và từ đó dẫn tới các lỗ hổng mới. Các lỗ hổng này khiến việc kiểm thử bảo mật truyền thống trở nên vô nghĩa chỉ trong thời gian chưa đầy một tuần.
Cách giải quyết dễ thấy nhất cho vấn đề này là thực hiện kiểm thử bảo mật thường xuyên. Tuy nhiên rất khó để bạn có đủ nguồn lực tài chính để duy trì việc này, nhất là khi bạn vẫn phải thanh toán dù quá trình kiểm thử bảo mật không cho thấy bất kì lỗ hổng nào.
Các Pentester phải làm việc dưới áp lực thời gian
Thời gian là điều xa xỉ đối với các Pentester. Trong một cuộc kiểm thử bảo mật kéo dài 5 ngày, các Pentester mất một ngày dành cho việc ‘viết báo cáo”, ở ngày thứ hai họ thường chỉ sử dụng các công cụ tự động nhằm hỗ trợ thu thập dữ liệu về mục tiêu và định hình mặt phẳng. Ba ngày còn lại được dành cho việc cố gắng khai thác các lỗ hổng một cách thủ công.
Kể cả khi đã phát hiện một thông báo lỗi đáng chú ý – có thể là dấu hiệu của một lỗ hổng – người thực hiện kiểm thử có thể vẫn phải bỏ qua vì giới hạn về thời gian.
Kĩ năng chuyên biệt / Phương pháp kiểm thử
Chúng ta đều biết rằng nền tảng công nghệ đã trở nên phức tạp, đa dạng hơn và thay đổi nhanh chóng. Trong khi một Pentester có thể thoải mái kiểm tra PHP với backend SQL và frontend được viết bằng Angular.js, họ có thể gặp khó khăn khi đối mặt với Ruby, hoặc khi tìm hiểu các đặc tính của EmberJS.
Thêm vào đó là một mạng lưới phân phối nội dung và cấu hình lưu trữ trên mây, và bạn có thể hiểu vì sao một cá nhân không đủ khả năng phát hiện tất cả lỗi trong một lần thử. Nhiều công ty nhận thức rõ vấn đề này và đưa ra giải pháp ‘xoay vòng’’ kiểm thử bảo mật. Điều này có nghĩa là sẽ phải cần người khác thực hiện kiểm thử bảo mật cho lần sau để có thể tìm ra các lỗi khác nhau.
Điều này lại giúp giải quyết một vấn đề, nhưng ở trên một quy mô rất nhỏ so với hình thức Crowdsourced security. Vấn đề với việc xoay vòng kiểm thử bảo mật ở các công ty là sự khan hiếm các Pentester. Tôi đã từng thấy quá trình quá trình xoay vòng này dẫn đến vẫn cùng một Pentester kiểm thử cùng một trang của năm trước.
“Hội chứng” Pentester
Đây là hành động làm mọi thứ tồi tệ hơn so với vẻ bề ngoài, và cũng là lí do tại sao chưa có ai trong lịch sử ngành bảo mật thông tin gặp một bản báo cáo kiểm thử bảo mật trống. Mọi người trong ngành bị ám ảnh với việc phải có ‘thứ gì đó’ để viết vào bản báo cáo, kể cả khi không có gì.
Đây là lí do tại sao bạn sẽ gặp những bản báo cáo kiểm thử bảo mật chứa đầy những điều vô giá trị và không thể tận dụng ngay được.
Đây thực sự là một trong những lỗi do chính chúng ta gây ra với tư cách là một ngành công nghiệp và với tư cách những chuyên gia bảo mật. Các công ty kiểm thử bảo mật truyền thống đã trở nên tự mãn và đưa ‘lỗ hổng’ vào bất kì bản báo cáo nào chỉ vì lo sợ rằng sẽ có đối thủ cạnh tranh viết một bản báo cáo ‘hay hơn’ với ‘nhiều’ lỗ hổng hơn. Đây là một hành động tự hại lẫn nhau khi đặt giá trị của hai công ty kiểm thử bảo mật lên bàn cân.
Tương tự, người nhận báo cáo cũng không gây khó dễ hoặc đòi hỏi bằng chứng mà lập tức thanh toán – đây là do việc thiếu kiến thức bảo mật và không nắm chính xác nguy cơ của từng loại hình tấn công.
Hiệu quả kinh doanh
Việc tuyển dụng và giữ chân các Pentester rất tốn kém. Số lượng Pentester không nhiều do đặc tính nghề nghiệp đòi hỏi nhiều kỹ năng kết hợp, vì thế lương dành cho Pentester rất cao. Bên cạnh đó, để thực hiện kiểm thử bảo mật, bạn cần lên kế hoạch trước từ 4 đến 6 tuần, và điều này có thể kéo dài hơn nếu những yêu cầu về kiểm thử bảo mật trở nên ‘đặc thù’ hơn – ví dụ bạn chỉ có duy nhất một ứng dụng điện thoại muốn kiểm thử hoặc yêu cầu áp dụng reverse engineering vào một “sản phẩm A” nào đó.
Nói tóm lại, trên đây là những vấn đề và thách thức mà kiểm thử bảo mật truyền thống gặp phải ngày nay. Hãy đón đọc phần thứ hai ra trong tuần này để tìm hiểu cách kiểm thử bảo mật Crowdsourced security giải quyết những vấn đề trên, và liệu phương pháp này có thể thay thế hoàn toàn pentest hay không.
