Pentest truyền thống liệu có đủ an toàn?

Kiểm thử thâm nhập (Penetration Testing – gọi tắt là Pentest) đã trở thành phương pháp tối ưu nhất để đánh giá lỗ hổng bảo mật trong hơn thập kỷ qua. Tuy nhiên trong vài năm trở lại đây, phương pháp kiểm tra bảo mật này bắt đầu để lộ nhiều hạn chế. Quá trình phát triển ứng dụng ngày càng nhanh và những vụ xâm phạm dữ liệu tiếp tục gia tăng về cả tần suất và mức độ nghiêm trọng, khiến cho việc chỉ thực hiện pentest truyền thống là không đủ để giảm thiểu rủi ro nữa.

Bất lợi của Pentest truyền thống

Có nhiều lý do cho sự “thất thế” của pentest truyền thống. Những thách thức thường thấy nhất bao gồm:

• Một chương trình pentest thông thường được thực hiện bởi 1 hoặc 2 người, sử dụng hệ thống phương pháp đã được chuẩn hóa. Bởi vậy, bài kiểm tra này khó có thể tìm được những lỗ hổng nghiêm trọng trên các ứng dụng trong khi số kẻ tấn công là rất lớn.
• Những chương trình pentest thông thường chỉ mang tính nhất thời. Trong môi trường DevOps (Phát triển và Vận hành) linh hoạt ngày nay, các ứng dụng liên tục thay đổi và được cải tiến. Do đó việc kiểm tra một hoặc hai lần một năm sẽ không kiểm tra được các đoạn code mới trong ứng dụng trong nhiều tháng.
• Kết quả pentest không cung cấp đủ thông tin về những rủi ro thực tế và khó để đưa vào áp dụng thực tiễn. Một đầu ra pentest điển hình là một bản báo cáo dài về những lỗ hổng tiềm năng, yêu cầu các nhà phát triển phải sàng lọc hàng ngàn kết quả mà không có bất kỳ đầu mối hay đề xuất khắc phục nào.

Giải pháp Pentest thế hệ mới

Để khắc phục những khuyết điểm này, nhiều phương pháp kiểm thử bảo mật ứng dụng mới đã xuất hiện để theo kịp các cuộc tấn công. Crowdsourced security đang giúp hỗ trợ bài kiểm tra pentest truyền thống, qua đó giới thiệu một phương pháp hiệu quả hơn trong việc giảm thiểu rủi ro cho lớp ứng dụng. Các chương trình như Bug Bounty hay tìm kiếm lỗ hổng đã tận dụng trí tuệ của con người để phát hiện nhanh các lỗ hổng rủi ro cao trên những mặt phẳng tấn công như web front-end và API.

Ebook: Crowdsourced Security là gì?

Vậy tại sao lại chọn một chương trình Bug Bounty? Bởi vì những chương trình này hợp tác với những nhà nghiên cứu bảo mật hàng đầu thế giới nhằm đánh giá rủi ro tổng thể. Chúng cũng khuyến khích những hacker mũ trắng săn tìm những lỗ hổng khó nhằn hơn để công ty có thể khắc phục, đem lại tỷ suất hoàn vốn cao hơn so với pentest thông thường. Bug bounty cũng trang bị một lớp bảo vệ liên tục, cần thiết cho một vòng đời phát triển phần mềm (SDLC) hiện nay. Chúng đồng thời phù hợp về mặt thời gian với quá trình triển khai các ứng dụng đích. Chúng cũng được tích hợp với những hệ thống nội bộ như JIRA hay các phần mềm quản lý lỗ hổng. Với những API và hình thức tích hợp hiệu quả, bug bounty có thể đảm bảo tính bảo mật ngay từ trong môi trường DevOps.