Liệu Crowdsourced Security có thể thay thế PenTest truyền thống? – Phần 1

Email

Trong vài năm trở lại, hình thức kiểm thử bảo mật dựa trên nguồn lực cộng đồng (Crowdsourced security) ngày càng được ưa chuộng, tới mức một vài công ty đã hoàn toàn loại bỏ hình thức kiểm thử bảo mật truyền thống (pentest). Vậy, thực hư ra sao? Liệu loại bỏ hình thức kiểm thử truyền thống có phải bước đi khôn ngoan? Cùng tìm hiểu trong bài viết dưới đây.

Crowdsourced Security có thể thay thế hoàn toàn pentest truyền thống hay không?
Lợi thế về nhân lực của mô hình crowdsourcing

Crowdsourced security là gì?

Về cơ bản, đây là hình thức mở rộng hơn của kiểm thử bảo mật truyền thống (pentest) ở khía cạnh nhân lực. So với việc chỉ có 1 Pentester (người thực hiện pentest) với một kĩ năng chuyên biệt, một phương pháp và một quan điểm về mọi thứ thì giờ đây có cả một cộng đồng có thể phát huy được những điểm mạnh và hạn chế các điểm yếu mà trước đây hình thức kiểm thử bảo mật truyền thống gặp phải. Giờ đây thay vì một chuyên gia kiểm thử, bạn có hàng chục chuyên gia, nếu may mắn có thể lên tới hàng trăm. Quá trình kiểm thử bảo mật của bạn có thể kéo dài hàng tuần, thậm chí mãi mãi thay vì chỉ được 5 ngày.

>> Download Ebook: Crowdsourced Security là gì?

Kiểm thử bảo mật truyền thống – những thách thức

Kiểm thử bảo mật truyền thống đã bộc lộ nhiều điểm yếu trong những năm qua. Có nhiều nguyên nhân dẫn đến những vấn đề trên, một số nằm ngoài tầm kiểm soát của ngành bảo mật, nhưng một số khác lại là lỗi do chính chúng ta:

Chu kỳ phát triển và phân phối liên tục

Mặc dù kiểm thử bảo mật, theo truyền thống, là một hoạt động hàng năm đối với nhiều công ty, điều này đã không còn theo kịp tốc độ triển khai. Các bản cập nhật hàng tuần, hàng ngày – thậm chí thường xuyên hơn thế – khiến cho phần mềm liên tục thay đổi. Kiểm thử bảo mật có thể đưa ra đánh giá tại một thời điểm cụ thể, nhưng bất kỳ bản cập nhật nào cho phần mềm đều có thể mang tới tính năng mới, và từ đó dẫn tới các lỗ hổng mới. Các lỗ hổng này khiến việc kiểm thử bảo mật truyền thống trở nên vô nghĩa chỉ trong thời gian chưa đầy một tuần.

Cách giải quyết dễ thấy nhất cho vấn đề này là thực hiện kiểm thử bảo mật thường xuyên. Tuy nhiên rất khó để bạn có đủ nguồn lực tài chính để duy trì việc này, nhất là khi bạn vẫn phải thanh toán dù quá trình kiểm thử bảo mật không cho thấy bất kì lỗ hổng nào.

Các Pentester phải làm việc dưới áp lực thời gian

Thời gian là điều xa xỉ đối với các Pentester. Trong một cuộc kiểm thử bảo mật kéo dài 5 ngày, các Pentester mất một ngày dành cho việc ‘viết báo cáo”, ở ngày thứ hai họ thường chỉ sử dụng các công cụ tự động nhằm hỗ trợ thu thập dữ liệu về mục tiêu và định hình mặt phẳng. Ba ngày còn lại được dành cho việc cố gắng khai thác các lỗ hổng một cách thủ công.

Kể cả khi đã phát hiện một thông báo lỗi đáng chú ý – có thể là dấu hiệu của một lỗ hổng – người thực hiện kiểm thử có thể vẫn phải bỏ qua vì giới hạn về thời gian.

Kĩ năng chuyên biệt / Phương pháp kiểm thử

Chúng ta đều biết rằng nền tảng công nghệ đã trở nên phức tạp, đa dạng hơn và thay đổi nhanh chóng. Trong khi một Pentester có thể thoải mái kiểm tra PHP với backend SQL và frontend được viết bằng Angular.js, họ có thể gặp khó khăn khi đối mặt với Ruby, hoặc khi tìm hiểu các đặc tính của EmberJS.

Thêm vào đó là một mạng lưới phân phối nội dung và cấu hình lưu trữ trên mây, và bạn có thể hiểu vì sao một cá nhân không đủ khả năng phát hiện tất cả lỗi trong một lần thử. Nhiều công ty nhận thức rõ vấn đề này và đưa ra giải pháp ‘xoay vòng’’ kiểm thử bảo mật. Điều này có nghĩa là sẽ phải cần người khác thực hiện kiểm thử bảo mật cho lần sau để có thể tìm ra các lỗi khác nhau.

Điều này lại giúp giải quyết một vấn đề, nhưng ở trên một quy mô rất nhỏ so với hình thức Crowdsourced security. Vấn đề với việc xoay vòng kiểm thử bảo mật ở các công ty là sự khan hiếm các Pentester. Tôi đã từng thấy quá trình quá trình xoay vòng này dẫn đến vẫn cùng một Pentester kiểm thử cùng một trang của năm trước.

“Hội chứng” Pentester

Đây là hành động làm mọi thứ tồi tệ hơn so với vẻ bề ngoài, và cũng là lí do tại sao chưa có ai trong lịch sử ngành bảo mật thông tin gặp một bản báo cáo kiểm thử bảo mật trống. Mọi người trong ngành bị ám ảnh với việc phải có ‘thứ gì đó’ để viết vào bản báo cáo, kể cả khi không có gì.

Đây là lí do tại sao bạn sẽ gặp những bản báo cáo kiểm thử bảo mật chứa đầy những điều vô giá trị và không thể tận dụng ngay được.

Đây thực sự là một trong những lỗi do chính chúng ta gây ra với tư cách là một ngành công nghiệp và với tư cách những chuyên gia bảo mật. Các công ty kiểm thử bảo mật truyền thống đã trở nên tự mãn và đưa ‘lỗ hổng’ vào bất kì bản báo cáo nào chỉ vì lo sợ rằng sẽ có đối thủ cạnh tranh viết một bản báo cáo ‘hay hơn’ với ‘nhiều’ lỗ hổng hơn. Đây là một hành động tự hại lẫn nhau khi đặt giá trị của hai công ty kiểm thử bảo mật lên bàn cân.

Tương tự, người nhận báo cáo cũng không gây khó dễ hoặc đòi hỏi bằng chứng mà lập tức thanh toán – đây là do việc thiếu kiến thức bảo mật và không nắm chính xác nguy cơ của từng loại hình tấn công.

Hiệu quả kinh doanh

Việc tuyển dụng và giữ chân các Pentester rất tốn kém. Số lượng Pentester không nhiều do đặc tính nghề nghiệp đòi hỏi nhiều kỹ năng kết hợp, vì thế lương dành cho Pentester rất cao. Bên cạnh đó, để thực hiện kiểm thử bảo mật, bạn cần lên kế hoạch trước từ 4 đến 6 tuần, và điều này có thể kéo dài hơn nếu những yêu cầu về kiểm thử bảo mật trở nên ‘đặc thù’ hơn – ví dụ bạn chỉ có duy nhất một ứng dụng điện thoại muốn kiểm thử hoặc yêu cầu áp dụng reverse engineering vào một “sản phẩm A” nào đó.

Nói tóm lại, trên đây là những vấn đề và thách thức mà kiểm thử bảo mật truyền thống gặp phải ngày nay. Hãy đón đọc phần thứ hai ra trong tuần này để tìm hiểu cách kiểm thử bảo mật Crowdsourced security giải quyết những vấn đề trên, và liệu phương pháp này có thể thay thế hoàn toàn pentest hay không.

Nhận những bài viết
chất lượng do chúng tôi chọn lọc








Email