Kiểm thử thâm nhập (Penetration Testing – gọi tắt là Pentest) đã trở thành phương pháp tối ưu nhất để đánh giá lỗ hổng bảo mật trong hơn thập kỷ qua. Tuy nhiên trong vài năm trở lại đây, phương pháp kiểm tra bảo mật này bắt đầu để lộ nhiều hạn chế. Quá trình phát triển ứng dụng ngày càng nhanh và những vụ xâm phạm dữ liệu tiếp tục gia tăng về cả tần suất và mức độ nghiêm trọng, khiến cho việc chỉ thực hiện pentest truyền thống là không đủ để giảm thiểu rủi ro nữa.
Thực hiện Pentest để phát hiện lỗ hổng bảo mật của ứng dụng
Bất lợi của Pentest truyền thống
Có nhiều lý do cho sự “thất thế” của pentest truyền thống. Những thách thức thường thấy nhất bao gồm:
Một chương trình pentest thông thường được thực hiện bởi 1 hoặc 2 người, sử dụng hệ thống phương pháp đã được chuẩn hóa. Bởi vậy, bài kiểm tra này khó có thể tìm được những lỗ hổng nghiêm trọng trên các ứng dụng trong khi số kẻ tấn công là rất lớn.
Những chương trình pentest thông thường chỉ mang tính nhất thời. Trong môi trường DevOps (Phát triển và Vận hành) linh hoạt ngày nay, các ứng dụng liên tục thay đổi và được cải tiến. Do đó việc kiểm tra một hoặc hai lần một năm sẽ không kiểm tra được các đoạn code mới trong ứng dụng trong nhiều tháng.
Kết quả pentest không cung cấp đủ thông tin về những rủi ro thực tế và khó để đưa vào áp dụng thực tiễn. Một đầu ra pentest điển hình là một bản báo cáo dài về những lỗ hổng tiềm năng, yêu cầu các nhà phát triển phải sàng lọc hàng ngàn kết quả mà không có bất kỳ đầu mối hay đề xuất khắc phục nào.
Giải pháp Pentest thế hệ mới
Để khắc phục những khuyết điểm này, nhiều phương pháp kiểm thử bảo mật ứng dụng mới đã xuất hiện để theo kịp các cuộc tấn công. Crowdsourced security đang giúp hỗ trợ bài kiểm tra pentest truyền thống, qua đó giới thiệu một phương pháp hiệu quả hơn trong việc giảm thiểu rủi ro cho lớp ứng dụng. Các chương trình như Bug Bounty hay tìm kiếm lỗ hổng đã tận dụng trí tuệ của con người để phát hiện nhanh các lỗ hổng rủi ro cao trên những mặt phẳng tấn công như web front-end và API.
Vậy tại sao lại chọn một chương trình Bug Bounty? Bởi vì những chương trình này hợp tác với những nhà nghiên cứu bảo mật hàng đầu thế giới nhằm đánh giá rủi ro tổng thể. Chúng cũng khuyến khích những hacker mũ trắng săn tìm những lỗ hổng khó nhằn hơn để công ty có thể khắc phục, đem lại tỷ suất hoàn vốn cao hơn so với pentest thông thường. Bug bounty cũng trang bị một lớp bảo vệ liên tục, cần thiết cho một vòng đời phát triển phần mềm (SDLC) hiện nay. Chúng đồng thời phù hợp về mặt thời gian với quá trình triển khai các ứng dụng đích. Chúng cũng được tích hợp với những hệ thống nội bộ như JIRA hay các phần mềm quản lý lỗ hổng. Với những API và hình thức tích hợp hiệu quả, bug bounty có thể đảm bảo tính bảo mật ngay từ trong môi trường DevOps.
0Bình luận
Đăng nhập để thảo luận
CyStack blog
Mẹo, tin tức, hướng dẫn và các best practice độc quyền của CyStack
Đăng ký nhận bản tin của chúng tôi
Hãy trở thành người nhận được các nội dung hữu ích của CyStack sớm nhất
{"success":true,"head":"<title>Pentest truyền thống liệu có đủ an toàn? - Bảo mật doanh nghiệp</title>\n<meta name=\"description\" content=\"Pentest (kiểm thử xâm nhập) từ lâu đã là một phương pháp bảo mật Ứng dụng được tin dùng. Tuy nhiên, liệu pentest truyền thống có còn đủ an toàn?\"/>\n<meta name=\"robots\" content=\"nofollow, noindex\"/>\n<meta property=\"og:locale\" content=\"en_US\" />\n<meta property=\"og:type\" content=\"article\" />\n<meta property=\"og:title\" content=\"Pentest truyền thống liệu có đủ an toàn? - Bảo mật doanh nghiệp\" />\n<meta property=\"og:description\" content=\"Pentest (kiểm thử xâm nhập) từ lâu đã là một phương pháp bảo mật Ứng dụng được tin dùng. Tuy nhiên, liệu pentest truyền thống có còn đủ an toàn?\" />\n<meta property=\"og:url\" content=\"https://blog.cystack.org/blog/2019/04/19/pentest-truyen-thong-lieu-co-du-an-toan/\" />\n<meta property=\"og:site_name\" content=\"CyStack Blog\" />\n<meta property=\"article:author\" content=\"CEO@CyStack\" />\n<meta property=\"article:tag\" content=\"crowdsourced security\" />\n<meta property=\"article:tag\" content=\"pentesting\" />\n<meta property=\"article:tag\" content=\"tấn công mạng\" />\n<meta property=\"article:tag\" content=\"vi\" />\n<meta property=\"article:section\" content=\"Security Assessment\" />\n<meta property=\"og:updated_time\" content=\"2023-09-27T15:22:25+07:00\" />\n<meta property=\"og:image\" content=\"https://s.cystack.net/resource/home/content/05145228/pentest-truyen-thong-01-1024x568-1.png\" />\n<meta property=\"og:image:secure_url\" content=\"https://s.cystack.net/resource/home/content/05145228/pentest-truyen-thong-01-1024x568-1.png\" />\n<meta property=\"og:image:width\" content=\"1024\" />\n<meta property=\"og:image:height\" content=\"568\" />\n<meta property=\"og:image:alt\" content=\"pentest truyền thống\" />\n<meta property=\"og:image:type\" content=\"image/png\" />\n<meta property=\"article:published_time\" content=\"2019-04-19T10:58:41+07:00\" />\n<meta property=\"article:modified_time\" content=\"2023-09-27T15:22:25+07:00\" />\n<meta name=\"twitter:card\" content=\"summary_large_image\" />\n<meta name=\"twitter:title\" content=\"Pentest truyền thống liệu có đủ an toàn? - Bảo mật doanh nghiệp\" />\n<meta name=\"twitter:description\" content=\"Pentest (kiểm thử xâm nhập) từ lâu đã là một phương pháp bảo mật Ứng dụng được tin dùng. Tuy nhiên, liệu pentest truyền thống có còn đủ an toàn?\" />\n<meta name=\"twitter:image\" content=\"https://s.cystack.net/resource/home/content/05145228/pentest-truyen-thong-01-1024x568-1.png\" />\n<meta name=\"twitter:label1\" content=\"Written by\" />\n<meta name=\"twitter:data1\" content=\"Trung Nguyen\" />\n<meta name=\"twitter:label2\" content=\"Time to read\" />\n<meta name=\"twitter:data2\" content=\"2 minutes\" />\n<script type=\"application/ld+json\" class=\"rank-math-schema\">{\"@context\":\"https://schema.org\",\"@graph\":[{\"@type\":\"Organization\",\"@id\":\"https://blog.cystack.org/#organization\",\"name\":\"CyStack\",\"url\":\"https://blog.cystack.org\"},{\"@type\":\"WebSite\",\"@id\":\"https://blog.cystack.org/#website\",\"url\":\"https://blog.cystack.org\",\"name\":\"CyStack\",\"publisher\":{\"@id\":\"https://blog.cystack.org/#organization\"},\"inLanguage\":\"en-US\"},{\"@type\":\"ImageObject\",\"@id\":\"https://s.cystack.net/resource/home/content/05145228/pentest-truyen-thong-01-1024x568-1.png\",\"url\":\"https://s.cystack.net/resource/home/content/05145228/pentest-truyen-thong-01-1024x568-1.png\",\"width\":\"1024\",\"height\":\"568\",\"inLanguage\":\"en-US\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https://blog.cystack.org/blog/2019/04/19/pentest-truyen-thong-lieu-co-du-an-toan/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":\"1\",\"item\":{\"@id\":\"https://blog.cystack.org\",\"name\":\"Home\"}},{\"@type\":\"ListItem\",\"position\":\"2\",\"item\":{\"@id\":\"https://blog.cystack.org/blog/2019/04/19/pentest-truyen-thong-lieu-co-du-an-toan/\",\"name\":\"Pentest truy\\u1ec1n th\\u1ed1ng li\\u1ec7u c\\u00f3 \\u0111\\u1ee7 an to\\u00e0n?\"}}]},{\"@type\":\"WebPage\",\"@id\":\"https://blog.cystack.org/blog/2019/04/19/pentest-truyen-thong-lieu-co-du-an-toan/#webpage\",\"url\":\"https://blog.cystack.org/blog/2019/04/19/pentest-truyen-thong-lieu-co-du-an-toan/\",\"name\":\"Pentest truy\\u1ec1n th\\u1ed1ng li\\u1ec7u c\\u00f3 \\u0111\\u1ee7 an to\\u00e0n? - B\\u1ea3o m\\u1eadt doanh nghi\\u1ec7p\",\"datePublished\":\"2019-04-19T10:58:41+07:00\",\"dateModified\":\"2023-09-27T15:22:25+07:00\",\"isPartOf\":{\"@id\":\"https://blog.cystack.org/#website\"},\"primaryImageOfPage\":{\"@id\":\"https://s.cystack.net/resource/home/content/05145228/pentest-truyen-thong-01-1024x568-1.png\"},\"inLanguage\":\"en-US\",\"breadcrumb\":{\"@id\":\"https://blog.cystack.org/blog/2019/04/19/pentest-truyen-thong-lieu-co-du-an-toan/#breadcrumb\"}},{\"@type\":\"Person\",\"@id\":\"https://blog.cystack.org/author/trungnh/\",\"name\":\"Trung Nguyen\",\"url\":\"https://blog.cystack.org/author/trungnh/\",\"image\":{\"@type\":\"ImageObject\",\"@id\":\"https://secure.gravatar.com/avatar/5e1e19d9b81295eeafdbc4175f18cc5b99a688411b0b5a2189c63881dff568b1?s=96&d=mm&r=g\",\"url\":\"https://secure.gravatar.com/avatar/5e1e19d9b81295eeafdbc4175f18cc5b99a688411b0b5a2189c63881dff568b1?s=96&d=mm&r=g\",\"caption\":\"Trung Nguyen\",\"inLanguage\":\"en-US\"},\"sameAs\":[\"CEO@CyStack\"],\"worksFor\":{\"@id\":\"https://blog.cystack.org/#organization\"}},{\"@type\":\"BlogPosting\",\"headline\":\"Pentest truy\\u1ec1n th\\u1ed1ng li\\u1ec7u c\\u00f3 \\u0111\\u1ee7 an to\\u00e0n? - B\\u1ea3o m\\u1eadt doanh nghi\\u1ec7p\",\"keywords\":\"pentest truy\\u1ec1n th\\u1ed1ng\",\"datePublished\":\"2019-04-19T10:58:41+07:00\",\"dateModified\":\"2023-09-27T15:22:25+07:00\",\"author\":{\"@id\":\"https://blog.cystack.org/author/trungnh/\",\"name\":\"Trung Nguyen\"},\"publisher\":{\"@id\":\"https://blog.cystack.org/#organization\"},\"description\":\"Pentest (ki\\u1ec3m th\\u1eed x\\u00e2m nh\\u1eadp) t\\u1eeb l\\u00e2u \\u0111\\u00e3 l\\u00e0 m\\u1ed9t ph\\u01b0\\u01a1ng ph\\u00e1p b\\u1ea3o m\\u1eadt \\u1ee8ng d\\u1ee5ng \\u0111\\u01b0\\u1ee3c tin d\\u00f9ng. Tuy nhi\\u00ean, li\\u1ec7u pentest truy\\u1ec1n th\\u1ed1ng c\\u00f3 c\\u00f2n \\u0111\\u1ee7 an to\\u00e0n?\",\"name\":\"Pentest truy\\u1ec1n th\\u1ed1ng li\\u1ec7u c\\u00f3 \\u0111\\u1ee7 an to\\u00e0n? - B\\u1ea3o m\\u1eadt doanh nghi\\u1ec7p\",\"@id\":\"https://blog.cystack.org/blog/2019/04/19/pentest-truyen-thong-lieu-co-du-an-toan/#richSnippet\",\"isPartOf\":{\"@id\":\"https://blog.cystack.org/blog/2019/04/19/pentest-truyen-thong-lieu-co-du-an-toan/#webpage\"},\"image\":{\"@id\":\"https://s.cystack.net/resource/home/content/05145228/pentest-truyen-thong-01-1024x568-1.png\"},\"inLanguage\":\"en-US\",\"mainEntityOfPage\":{\"@id\":\"https://blog.cystack.org/blog/2019/04/19/pentest-truyen-thong-lieu-co-du-an-toan/#webpage\"}}]}</script>\n"}