Kiểm thử xâm nhập – hay còn gọi là pentest – là sự mô phỏng tấn công mạng có thể xảy đến với một hệ thống CNTT, được thực hiện bởi chuyên gia và không mang chủ đích xấu nào cả. Mục đích chính của các lần kiểm thử như vậy là tìm ra được các lỗ hổng có thể bị khai thác trước khi ai khác phát hiện ra chúng, để từ đó có thể vá và xử lý các lỗ hổng đó.

Tuy nhiên, việc thực hiện kiểm tra thâm nhập là một quyết định quan trọng của doanh nghiệp. Vì thế những nhà lãnh đạo cần hiểu rõ và nắm bắt được lí do doanh nghiệp cần (hoặc không cần) làm pentest, cũng như đâu là thời điểm thích hợp nhất để thực hiện kiểm tra thâm nhập cho hệ thống và ứng dụng của tổ chức.

Ưu và nhược điểm của kiểm thử xâm nhập

Ngày nay, các công ty thuộc mọi quy mô đều sử dụng mạng và internet khiến những kẻ tấn công có thể dễ dàng cài cắm vào hệ thống mạng của các công ty trên toàn thế giới. Một cuộc tấn công mạng có thể gây thiệt hại cho công ty qua nhiều khía cạnh chứ không chỉ về kinh tế. Thương hiệu, danh tiếng và thậm chí sở hữu trí tuệ của tổ chức đều có thể bị ảnh hưởng.

Kiểm thử xâm nhập có thể giúp doanh nghiệp xây dựng một hệ thống bảo mật mạnh mẽ và đáng tin cậy hơn. Mặc dù vậy, không phải tất cả mọi công ty đều nên sử dụng pentest, vì chúng không phải là đặc biệt hữu ích trong mọi trường hợp. Do vậy, điều quan trọng ở đây là cần đánh giá xem pentest có đem lại giá trị nào cho công ty của các bạn hay không.

Những lợi ích tiềm năng của pentest là:

• Xác định các lỗ hổng bảo mật có thể có, trước khi những kẻ tấn công đánh hơi được chúng;
• Xác định các lỗ hổng có thể hiện hữu trong một chương trình mạng hoặc máy tính; và
• Cung cấp thông tin có thể giúp các nhóm bảo mật giảm thiểu các lỗ hổng và tạo cơ chế kiểm soát các cuộc tấn công.

Một số mặt hạn chế tiềm ẩn là:

• Làm ảnh hưởng tới quá trình cung cấp các dịch vụ quan trọng nếu thực hiện pentest thiếu chuyên nghiệp, điều này có thể gây ra thiệt hại nhiều hơn cho công ty; và
• Khó thực hiện pentest trên các hệ thống cũ, bao gồm nhiều stack công nghệ chồng chéo lên nhau.

Một bài pentest tiêu chuẩn thường bao gồm một tài liệu báo cáo kết quả giải thích và trình bày chi tiết tất cả các phát hiện thu được. Tài liệu này bao gồm hai phần chính: một bản tóm tắt dành cho ban điều hành doanh nghiệp, trong đó một hoặc nhiều kiểm thử viên sẽ giải thích quy trình và các phát hiện lỗ hổng cho các lãnh đạo cấp cao, và một bản tóm tắt kỹ thuật giải thích chi tiết hơn. Những tài liệu pentest này giúp cho doanh nghiệp nắm được các rủi ro an ninh mạng đang đe dọa hệ thống ứng dụng của mình, và biết cách vá những lỗ hổng bảo mật còn tồn tại.

Khi nào nên làm pentest?

Một số công ty mắc phải sai lầm đó là bắt đầu pentest quá sớm, ngay khi triển khai mạng hoặc hệ thống. Khi một hệ thống hoặc mạng đang được triển khai, các thay đổi liên tục xảy ra và nếu pentest được thực hiện quá sớm trong quy trình đó, chúng có thể không tìm ra được các lỗ hổng bảo mật có thể có trong tương lai. Nói chung, pentest nên được thực hiện ngay trước khi một hệ thống được đưa vào sử dụng (giai đoạn production), khi hệ thống không còn ở trạng thái thay đổi liên tục nữa.

Kiểm thử hệ thống hoặc phần mềm trước khi đưa vào sử dụng là thời điểm lý tưởng nhất. Hầu hết các công ty không tuân thủ khuyến nghị này vì họ mong muốn nhận được lợi tức đầu tư (ROI) nhanh chóng. Các công ty cũng có thể không tuân theo biện pháp tối ưu này vì dự án đã vượt quá thời hạn hoặc ngân sách đặt ra. Những yếu tố này đã khiến cho các công ty nóng lòng đẩy nhanh các dịch vụ mới của họ mà không cần thực hiện các đánh giá bảo mật thích hợp. Đây là một rủi ro cần được đánh giá và xem xét khi triển khai các hệ thống mới.

Tần suất làm pentest?

Pentest không phải là nhiệm vụ làm một lần là xong. Mạng và hệ thống máy tính có tính động – chúng sẽ không giữ nguyên trạng thái trong một thời gian dài. Theo thời gian, người ta sẽ triển khai phần mềm mới và sẽ có những thay đổi, do vậy chúng cần được kiểm thử hoặc tái kiểm thử.

Tần suất một công ty nên làm pentest vào một số yếu tố, bao gồm:

• Quy mô công ty. Rõ ràng là các doanh nghiệp lớn và tham gia trực tuyến nhiều hơn thì việc kiểm thử hệ thống cũng cần thiết hơn, vì họ sẽ gặp nhiều nguồn tấn công và có thể là mục tiêu lớn hơn cho những kẻ xấu.
• Ngân sách. Pentest có thể rất tốn kém, vì vậy các tổ chức có ngân sách hạn hẹp có thể ít có khả năng thực hiện kiểm thử hơn. Chẳng hạn, việc thiếu vốn có thể hạn chế tần suất làm pentest xuống hai năm một lần, trong khi ngân sách lớn có thể cho phép tiến hành kiểm thử thường xuyên và kỹ lưỡng hơn.
• Quy định, luật pháp và tuân thủ. Tùy thuộc vào ngành, luật lệ và quy định khác nhau, các tổ chức có thể được yêu cầu thực hiện một số nhiệm vụ bảo mật nhất định, bao gồm pentest.
• Cơ sở hạ tầng: Một số công ty có thể sử dụng môi trường điện toán đám mây 100 phần trăm và có thể không được phép kiểm tra cơ sở hạ tầng của nhà cung cấp đám mây. Các nhà cung cấp có thể đã tiến hành pentest trong nội bộ rồi.

Chúng ta không nên xem nhẹ pentest; bởi chúng có khả năng mang lại hiệu quả bảo mật vô cùng hiệu quả tới tất cả các công ty. Đối với một số tổ chức, thậm chí pentest còn có thể mang tính bắt buộc. Tuy nhiên pentest không phải là phương thức chung cho tất cả các trường hợp. Rốt cuộc thì việc nắm bắt được lĩnh vực kinh doanh của công ty mới là cơ sở quyết định sự thành công của việc kiểm thử hệ thống bảo mật.