Đánh giá an ninh thông tin dựa trên Thử nghiệm xâm nhập
Thử nghiệm xâm nhập
Thử nghiệm xâm nhập là quá trình xác định các lỗ hổng trong cơ sở hạ tầng công nghệ thông tin của tổ chức, theo cách giống như một kẻ tấn công thực sự nhằm phát hiện những nguy cơ đối với ATTT của hệ thống.
Về thuật ngữ, thử nghiệm xâm nhập đôi khi được gọi là RED TEAM hoặc cụm từ “đánh giá an ninh” cũng có tương tự với “thử nghiệm xâm nhập”.
Như vậy, thử nghiệm xâm nhập có liên quan đến quét cổng và quản lý lỗ hổng. Tuy vậy, quét cổng sẽ xác định các dịch vụ hoạt động trên mục tiêu; quản lý lỗ hổng sẽ xác định lỗ hổng tiềm ẩn dựa trên phiên bản của hệ điều hành hay ứng dụng, còn thử nghiệm xâm nhập cố gắng tấn công vào mục tiêu để lấy dữ liệu.
Ví dụ, nếu mục tiêu là một tòa thành, thao tác quét cổng giống như việc trinh sát để tìm kiếm vị trí cổng ra/vào, và các vị trí có thể đột nhập. Quản lý lỗ hổng chính là việc đánh giá các vị trí đó an toàn ở mức độ nào. Thử nghiệm xâm nhập là việc chủ động diễn tập tấn công theo các bước đã thống nhất trước nhằm lọt vào bên trong tòa thành.
Mục đích thử nghiệm
Trước tiên, đó là ngăn chặn việc mất mát dữ liệu. Thử nghiệm xâm nhập là cách tốt để mô phỏng một cuộc tấn công, giúp người quản trị mạng biết được có thể bị tấn công như thế nào. Đó là một đợt diễn tập để chắc chắn rằng bạn có sự chuẩn bị tốt để chống lại một cuộc tấn công thực sự.
Tiếp theo là kiểm tra hệ thống bảo vệ an ninh. Tổ chức có thể đã đầu tư biện pháp bảo mật trong hệ thống như tường lửa, mã hóa, DLP và IDS/IPS. Thử nghiệm xâm nhập giúp kiểm tra hệ thống bảo vệ có làm việc tốt hay không.
Thứ ba là đảm bảo bảo mật cho ứng dụng mới. Khi một ứng dụng mới được triển khai, cần thực hiện đánh giá an ninh trước khi phát hành chính thức, đặc biệt là các ứng dụng xử lý các dữ liệu nhạy cảm như: quản lý khách hàng, nhân sự,....
Thứ tư là cung cấp hiện trạng bảo mật của tổ chức. Thông thường, khi có thay đổi về nhân sự và hệ thống, lãnh đạo tổ chức thường tiến hành đánh giá hiện trạng và so sánh với định hướng để đưa ra các quyết định phù hợp.
Cuối cùng là thực hiện tuân thủ theo các tiêu chuẩn và một số quy định như là PCI DSS, yêu cầu thử nghiệm xâm nhập.
Để tiến hành công việc này, trước hết cần xác định rõ qui mô cần thực hiện để xây dựng một quy trình thực hiện hiệu quả.
Xác định qui mô thực hiện đánh giá
Với hệ thống công nghệ ngày càng đa dạng và phức tạp, việc xác định rõ qui mô hệ thống tiến hành đánh giá rất quan trọng. Câu hỏi đầu tiên đặt ra khi tổ chức chuẩn bị là: Tài sản quan trọng nhất cần bảo vệ là gì? Với một hệ thống bán lẻ, đó có thể là cơ sở dữ liệu lưu trữ thông tin thanh toán của khách hàng. Với công ty phần mềm, đó là dữ liệu mã nguồn phần mềm, hoặc với ngân hàng đó là ứng dụng ngân hàng điện tử.
Bước tiếp theo đơn vị thực hiện cần đưa ra thông tin về cách thức, nội dung thử nghiệm xâm nhập, các ngoại lệ không thể hoặc không được tiến hành trong khi thực hiện. Với qui mô xác định, đơn vị thực hiện thử nghiệm có phương pháp đúng đắn và hiệu quả hơn.
Tiến hành đánh giá an ninh
Mỗi cuộc thử nghiệm xâm nhập (hay đánh giá an ninh) có thể khác nhau nhưng sự khác biệt không nhiều và tùy thuộc môi trường, mục tiêu thực hiện. Hình dưới đây minh họa các bước thông thường của một dự án về đánh giá an ninh:
Bước 1: Xác định mục tiêu. Thiết lập các mục tiêu của việc đánh giá an ninh.
Bước 2: Thăm dò mục tiêu. Tìm hiểu càng nhiều càng tốt về tổ chức và các hệ thống trên cả phương diện trực tuyến (online) và ngoại tuyến (offline).
Bước 3: Khám phá mục tiêu. Quét cổng và tìm điểm yếu trong một dải IP để tìm hiểu thêm về thành phần khác.
Bước 4: Khai thác điểm yếu. Sử dụng thông tin về các lỗ hổng để khai thác mục tiêu ở mức hệ điều hành hoặc ứng dụng
Bước 5: Tấn công vét cạn (bruteforce). Kiểm tra tất cả các mật khẩu yếu để chiếm quyền truy cập.
Bước 6: Sử dụng kỹ nghệ xã hội (Social engineering). Khai thác điểm yếu về con người như thư điện tử lừa đảo, mã độc USB,....
Bước 7: Chiếm quyền điều khiển: Truy xuất dữ liệu của mục tiêu, chẳng hạn như mật khẩu, ảnh chụp màn hình, các tập tin, cài đặt keylogger,.... Lợi dụng để tiếp tục tấn công nhiều hơn nữa như vét cạn và lừa đảo.
Bước 8: Chuyển hướng. Tiếp tục khai thác các dải mạng khác nếu có.
Bước 9: Thu thập chứng cứ: Thu thập ảnh chụp màn hình, mật khẩu, các tập tin như là bằng chứng mà tổ chức đã thu được.
Bước 10: Báo cáo. Tạo báo cáo về cách thử nghiệm xâm nhập và các thông tin có thể mất mát.
Bước 11: Sửa lỗi. Chỉ ra các điểm yếu có thể bị lợi dụng xâm nhập vào hệ thống mạng.
Làm sao để thực hiện một cách an toàn?
Quá trình thử nghiệm có thể dẫn đến các sự cố ngoài mong muốn, do việc sử dụng các phương pháp tấn công lợi dụng điểm yếu. Do vậy, điều trước tiên, người thực hiện cần phải có kỹ năng tốt, nhiều kinh nghiệm và đáng tin cậy.
Các phương pháp khai thác thực hiện tương tác với mục tiêu theo những cách đặc biệt. Vì vậy, việc tiếp theo là cần lựa chọn phương pháp đúng đắn để không gây ảnh hưởng đến dịch vụ cung cấp. Thông thường, các bước tiến hành trên hệ thống phát triển ứng dụng (development system). Tuy vậy, cần đảm bảo thông tin trên hệ thống này tương tự trên hệ thống thực (production system) và lựa chọn công cụ hỗ trợ.
Giải pháp của Rapid7 hỗ trợ như thế nào?
Rapid7 là công ty hoạt động trong lĩnh vực quản lý rủi ro và đánh giá an ninh. Từ khi thành lập (năm 2000), công ty đã phát triển giải pháp NeXpose để quản lý các điểm yếu bảo mật của doanh nghiệp. Năm 2009, công ty đã mua lại dự án mã nguồn mở Metasploit, nền tảng thử nghiệm xâm nhập phổ biến nhất với cơ sở dữ liệu lớn nhất thế giới về các cách thức khai thác. Mô hình dưới đây thể hiện chu trình khép kín kiểm soát điểm yếu trong hệ thống của doanh nghiệp:
Với sự kết hợp của NeXpose và Metasploit, các tổ chức sẽ nhận biết được rủi ro tiềm ẩn trên hệ thống của mình với độ chính xác cao và duy trì tình trạng bảo mật ở mức độ cao nhất.
Giải pháp này được áp dụng trên thế giới từ nhiều năm nay và chứng tỏ hiệu quả thực sự của nó. Với sự phát triển về công nghệ thông tin tại Việt Nam, các cơ quan, tổ chức, doanh nghiệp cũng cần có kế hoạch áp dụng sớm để bảo vệ dữ liệu thông tin của mình một cách chủ động.