Kiểm thử xâm nhập có thể tạo ra cảm giác an toàn giả tạo như thế nào?
Rob Gurzeev, Giám đốc điều hành và đồng sáng lập của CyCognito, một công ty chuyên về quản lý và bảo vệ bình diện tấn công, lo ngại về những điểm mù. Trong bài báo trên DarkReading “Bảo vệ lâu đài: Lịch sử thế giới có thể dạy cho an ninh mạng một bài học như thế nào?”, Gurzeev đã viết: "Các trận chiến quân sự mang lại những bài học trực tiếp, tôi thấy thường dùng như một lời nhắc nhở rằng tấn công các điểm mù đã là gót chân Achilles của những người bảo vệ một thời gian dài”.
Ví dụ, Gurzeev đề cập đến cuộc bao vây Château Gaillard năm 1204 — lâu đài được cho là không thể xuyên thủng. Sau gần một năm cố gắng không thành, bằng cách nào đó, những kẻ tấn công đã xác định được nhà vệ sinh và hệ thống cống rãnh được bảo vệ kém. Các kế hoạch đã được thực hiện và vào đêm tiếp theo, một “đội đặc nhiệm” thời trung cổ đã chui qua hệ thống cống rãnh, xâm nhập vào, đốt cháy các mục tiêu bên trong lâu đài và trong một thời gian ngắn lâu đài đã thất thủ.
"Những kẻ tấn công an ninh mạng ngày nay cũng tuân theo nguyên tắc này", Gurzeev viết. "Các công ty thường có một số lượng lớn tài sản CNTT bên trong lớp phòng thủ vòng ngoài của họ mà họ không giám sát hoặc bảo vệ và có thể không biết về nó ngay từ đầu".
Ví dụ như các chương trình hoặc thiết bị:
- Thiết lập mà không có kiến thức bảo mật, đôi khi thậm chí không có kiến thức về CNTT;
- Không còn được sử dụng và bị lãng quên;
- Được sử dụng để thử nghiệm ngắn hạn nhưng không dừng hoạt động sau đó.
“Nội dung và ứng dụng được tạo hoặc thay đổi liên tục và tốc độ thay đổi rất nhanh và năng động,” Gurzeev nói thêm. "Luôn chú ý đến tất cả những thứ đó là một nhiệm vụ lớn đối với bất kỳ tổ chức an ninh nào".
Tội phạm mạng rất khôn ngoan, không muốn lãng phí thời gian cũng như tiền bạc, tìm cách đơn giản nhất để đạt được mục tiêu của chúng. "Những kẻ tấn công có quyền truy cập vào nhiều công cụ, kỹ thuật và thậm chí cả các dịch vụ có thể giúp tìm ra phần chưa xác định trên bình diện tấn công của tổ chức", Gurzeev nêu rõ. "Tương tự như những kẻ tấn công người Pháp vào thế kỷ 13 ở Château Gaillard, nhưng với sự hấp dẫn của thương vong thấp hơn và chi phí thấp hơn với khả năng thành công cao hơn, những kẻ tấn công thực dụng tìm kiếm bình diện tấn công có thể tiếp cận từ bên ngoài của tổ chức".
Như đã nêu trên, việc bảo vệ hoàn toàn bình diện tấn công mạng của một tổ chức là gần như không thể - một phần do bình diện tấn công là động và một phần do phần mềm và phần cứng thay đổi nhanh như thế nào. Gurzeev giải thích: “Các công cụ thông thường bị cản trở bởi một số thứ mà tôi đã đề cập ở phần đầu: giả định, thói quen và thành kiến. Tất cả các công cụ này đều chỉ tập trung vào nơi chúng được chỉ tới, để lại các tổ chức có những điểm mù không được giải quyết, dẫn đến (những vụ) xâm phạm".
Ở đây Gurzeev đang đề cập đến kiểm thử xâm nhập: "Kiểm thử xâm nhập là một loạt các hoạt động được thực hiện để xác định và khai thác các lỗ hổng bảo mật. Nó giúp xác nhận tính hiệu quả hoặc không hiệu quả của các biện pháp bảo mật đã được triển khai".
Gurzeev lo ngại rằng việc kiểm thử xâm nhập định kỳ thường chọn con đường dễ nhất, gắn với các bình diện tấn công đã biết. Gurzeev giải thích: "Chỉ đánh giá và bảo vệ các phần đã biết của bình diện tấn công đảm bảo rằng những kẻ tấn công sẽ tìm thấy cơ sở hạ tầng mạng, ứng dụng hoặc dữ liệu không được bảo vệ có thể cung cấp quyền truy cập không bị cản trở vào các tài nguyên có giá trị". "Thay vào đó, các tổ chức cần dành nhiều nguồn lực hơn để khám phá và giải quyết những ẩn số trong bình diện tấn công bên ngoài của họ".
Thông cáo báo chí của CyCognito (công ty của Gurzeev) công bố kết quả từ một cuộc khảo sát do Informa Tech thực hiện với sự tham gia của 108 nhà quản lý bảo mật và CNTT từ các tổ chức doanh nghiệp với 3.000 nhân viên trở lên trên hơn 16 ngành dọc.
Báo cáo khảo sát "Thực hành không thành công về kiểm thử xâm nhập" đề cập một cách trực diện: "Trong khi các tổ chức đầu tư đáng kể và phụ thuộc nhiều vào kiểm thử xâm nhập để bảo mật, thì phương pháp được sử dụng rộng rãi này không đo lường chính xác tình trạng bảo mật tổng thể hoặc khả năng bị xâm phạm của họ — hai mục tiêu hàng đầu mà các chuyên gia bảo mật và CNTT nêu ra".
Thông cáo báo chí giải thích lý do nhưu sau: "Nghiên cứu cho thấy rằng khi sử dụng thử nghiệm xâm nhập như một phương pháp bảo mật, các tổ chức thiếu khả năng xem xét đầy đủ các tài sản kết nối với Internet của họ, dẫn đến các điểm mù dễ bị khai thác và xâm phạm".
Để có bối cảnh phù hợp, báo cáo đề cập rằng các tổ chức có 3.000 nhân viên trở lên có hơn 10.000 tài sản kết nối internet. Tuy nhiên:
- 58% người trả lời khảo sát cho biết các thử nghiệm xâm nhập bao gồm 1.000 tài sản hoặc ít hơn.
- 36% người trả lời khảo sát cho biết các thử nghiệm xâm nhập bao gồm 100 tài sản hoặc ít hơn.
Sau đó, báo cáo liệt kê những mối quan tâm được bày tỏ bởi những người tham gia khảo sát:
- 79% tin rằng các thử nghiệm xâm nhập là tốn kém;
- 78% sẽ sử dụng các thử nghiệm xâm nhập trên nhiều ứng dụng hơn nếu chi phí thấp hơn;
- 71% cho biết mất từ một tuần đến một tháng để tiến hành kiểm thử xâm nhập;
- 60% báo cáo rằng thử nghiệm xâm nhập cung cấp cho họ phạm vi đánh giá hạn chế hoặc để lại quá nhiều điểm mù;
- 47% báo cáo kiểm thử xâm nhập chỉ phát hiện các tài sản đã biết chứ không phát hiện các tài sản mới hoặc không xác định;
- 26% đợi từ một đến hai tuần để nhận kết quả kiểm thử.
Về tần suất thực hiện các cuộc kiểm tra thâm nhập, báo cáo khảo sát nêu rõ;
- 45% chỉ tiến hành các bài kiểm thử xâm nhập một hoặc hai lần mỗi năm;
- 27% tiến hành kiểm thử xâm nhập mỗi quý một lần.
Có vẻ hợp lý khi giả định điều tồi tệ nhất nếu chỉ các tài sản đã biết được kiểm tra một vài lần trong năm. Gurzeev nói: “Điểm rút ra lớn nhất từ báo cáo này là những gì các tổ chức muốn hoặc đang hy vọng đạt được thông qua kiểm thử xâm nhập và những gì họ đang đạt được là hai điều rất khác nhau. Có rất ít giá trị trong việc kiểm tra định kỳ một phần bình diện tấn công của tổ chức. Trừ khi liên tục phát hiện và kiểm tra toàn bộ bình diện tấn công bên ngoài của mình, nếu không thì sẽ không có hiểu biết tổng thể về mức độ an toàn của tổ chức mình".
Theo Gurzeev, điểm mấu chốt là nếu một tổ chức có một đường dẫn “tối" (không được biết tới) có thể hấp dẫn tội phạm mạng, chúng sẽ tìm và khai thác nó. Ông nói thêm "Có lẽ các bức tường và vàng đai tổ chức được bảo vệ cẩn thận trong khi một lối đi rộng mở, không có người giám sát lại tồn tại ngay dưới chân".
Nguyễn Anh Tuấn