Kiểm thử xâm nhập (pentest) đã trở thành một phương pháp được sử dụng rộng rãi để đánh giá lỗ hổng trong thập kỷ qua. Việc phát hiện các lỗ hổng nguy hiểm để các nhà phát triển giải quyết là một phương pháp tuyệt vời nhằm giảm thiểu rủi ro. Mặc dù vậy, nhiều lúc lý do để chạy pentest chỉ là tuân thủ theo quy định, kỳ vọng của khách hàng hoặc yêu cầu hợp đồng – chỉ để đáp ứng tiêu chuẩn tối thiểu mà thôi.

Xu hướng giảm chi phí pentest thông qua tự động hóa phần mềm và cả xu hướng chỉ nhằm đáp ứng tiêu chuẩn tối thiểu đã khiến người ta đặt nghi vấn về hiệu quả của pentest. Pentest truyền thống đang gặp phải ngày càng nhiều những thiếu sót dẫn đến hiệu quả giảm thiểu rủi ro của chúng kém đi. Các tổ chức phải chi hàng triệu đô la một năm cho các chương trình pentest bắt buộc mà không nhìn thấy được bất kỳ lợi ích nào trong việc giảm thiểu rủi ro thực sự cả. Trên thực tế, nghiên cứu cho thấy phần lớn các nhà lãnh đạo về bảo mật đều không hài lòng với kết quả pentest hiện tại của họ.

Dưới đây là một số thách thức hàng đầu đối với pentest truyền thống.

Điểm mù

Trước tiên, các công ty thực hiện kiểm thử xâm nhập đều là các công ty tư vấn bảo mật. Điều đó có nghĩa là họ được trả tiền theo giờ và sẽ tận dụng tối đa thời gian đó. Các bên tư vấn thường sẽ chạy dịch vụ cho nhiều dự án khác nhau và luôn phải chịu áp lực nặng nề trong việc làm báo cáo kiểm thử. Điều này làm giảm thời gian kiểm thử thực tế và dẫn đến việc thường xuyên tái sử dụng các kết quả cũ từ các thử nghiệm trước đó để báo cáo “đạt đủ điều kiện”. Rốt cuộc thì điều này sẽ dẫn đến ứng dụng mục tiêu có nhiều phần chưa được kiểm thử và xuất hiện các điểm mù – có thể tồn tại lỗ hổng nhưng không được tìm kiếm triệt để.

Sự thiếu linh hoạt

Pentest thường được thực hiện bởi một hoặc hai người bằng phương pháp rập khuôn và lặp lại. Vì hầu hết các công ty thường chỉ chạy một hoặc hai pentest mỗi năm. Với lượng lớn những kẻ xấu tiềm ẩn và bộ kỹ năng cùng khả năng sáng tạo đa dạng của chúng, phương pháp tiếp cận của pentest sẽ chỉ phát hiện ra một phần các lỗ hổng mà ứng dụng có thể gặp phải mà khó phát hiện ra tối đa số lỗ hổng có thể.

Khả năng tích hợp nền tảng

Các pentest thông thường sẽ tạo ra một báo cáo dài với các lỗ hổng được liệt kê. Không có sự tích hợp nào trong vòng đời phát triển phần mềm, và điều này làm tăng thêm chi phí hoạt động và làm chậm tốc độ của cả việc khắc phục và phát triển ứng dụng.

Thời điểm phát hành

Pentest truyền thống là những bài kiểm tra mang tính “thời điểm’’, nhưng trong mô hình triển khai ứng dụng liên tục ngày nay, nếu chỉ thực hiện pentest ở một thời điểm nhất định là chưa đủ. Nếu chỉ kiểm thử mỗi năm một hoặc hai lần thì những source code mới của ứng dụng được thêm vào sẽ không thể được kiểm tra kịp thời.

Thực tế là các tổ chức vẫn đang chi tiền vào pentest vì chúng được hiểu rõ và chấp thuận bởi các quy định tuân thủ bảo mật, chứ không phải vì chúng là giải pháp hiệu quả nhất trong việc giảm thiểu rủi ro hoặc kiểm soát chi phí.

Crowdsourced PenTest của CyStack là một mô hình Pentest linh hoạt, vượt qua những rào cản của phương pháp kiểm thử truyền thống. Crowdsourced Pentest của CyStack phát hiện lượng lỗ hổng gấp 7 lần so với pentest truyền thống, cải thiện đáng kể cả tình hình bảo mật và cung cấp các phương pháp tốt nhất về phát triển phần mềm.

Để tìm hiểu thêm phương pháp Pentest Cộng đồng cung cấp bởi CyStack, vui lòng tham khảo tài liệu: Crowdsourced Penetration Testing: Hack to Unhack.