Cam kết Chọn ngay Chuyên Nghiệp trong phục vụ với hơn 20 Kỹ thuật IT luôn sẵn sàng tới tận nơi sửa chữa và cài đặt ở Tphcm. Báo giá rõ ràng. 100% hài lòng mới thu tiền.


Sửa máy tính cài win PCI

Cam kết Chọn ngay Chuyên Nghiệp trong phục vụ với hơn 20 Kỹ thuật IT luôn sẵn sàng tới tận nơi sửa chữa và cài đặt ở Tphcm. Báo giá rõ ràng. 100% hài lòng mới thu tiền.


Công ty sửa máy tính PCI

Pentest không phải là giải pháp bảo mật, đừng tin vào quảng cáo – Tin Công Nghệ

Pentest không phải là giải pháp bảo mật, đừng tin vào quảng cáo – Tin Công Nghệ Pentest không phải là giải pháp bảo mật, không giúp hệ thống mạng an toàn hơn và pentester không phải là hacker.
Pentest không phải là giải pháp bảo mật, đừng tin vào quảng cáo - Tin Công Nghệ

Nhiều doanh nghiệp tìm về Penetration Testing (Pentest – Kiểm thử thâm nhập) như một giải pháp bảo mật, giúp rời xa tầm tay của hacker. Sự thật, không phải như thế.

Các nhà tham vấn bảo mật tin rằng “To beat a hacker, you gotta think like one” (Tạm dịch: Để đánh bại một hacker, bạn cần suy nghĩ như họ). Sự thật, Pentester (Người kiểm thử thâm nhập) chẳng thể có được suy nghĩ và cách tiến công như một hacker, vì hacker tránh bị giới hạn bởi bất kì điều gì nhưng Pentester thì lại có rất nhiều có hạn về phạm vi, thời gian, kỹ thuật. Do đó yêu cầu thực hiện kiểm thử thâm nhập từ góc nhìn của một hacker là điều chẳng thể xảy ra. Sau đây là những nguyên nhân mà pentester không thể là một hacker.

Pentest không phải là giải pháp bảo mật, đừng tin vào quảng cáo - Tin Công Nghệ

Theo ECQ, công ty tham vấn bảo mật cho rằng pentest chỉ giúp tìm những lỗ hổng bảo mật, cách khai thác và các nguy cơ bị tấn công vào thời điểm kiểm tra, với cấu hình và các cơ chế bảo mật đang có. Không điều gì cũng có thể đáp ứng sau khi thi hành Pentest hệ thống sẽ an toàn.

Ngoài ra, mức độ hiệu quả và bức họa tổng thể về cấu trúc bảo mật của doanh nghiệp còn dựa trên phạm vi kiểm tra, các kỹ thuật được phép sử dụng trong quá trình kiểm thử thâm nhập. Đặt câu hỏi “Điều gì doanh nghiệp sợ nhất lúc bị tiến công mạng?” Để định vị tiêu chuẩn thành công cũng chính là kim chỉ nam để nhóm pentest tập trung đi đúng mục tiêu.

Vulnerability Assessment (VA – Dò quét lỗ hổng bảo mật) và Penetration Testing (Pentest – Kiểm thử thâm nhập) thường bị các trung tâm bảo mật đánh tráo khái niệm, khách hàng thường được đề xuất công ty Pentest nhưng báo cáo nhận lại chỉ nằm ở chừng độ của VA. Giá trị của hai công ty này vẫn bị nhập nhằng và mơ hồ. Vậy điểm không giống nhau thật sự nằm ở đâu?

 

Để dễ hiểu hơn cho hai dịch vụ này, chúng ta có 1 thí dụ mình hoạ: Hãy tưởng tượng một toà nhà có 30 tầng, cửa sổ của tầng 5 và tầng 29 đều mở. Một giả thuyết được đề ra là kẻ trộm có thể vào bên trong bằng cửa sổ. VA sẽ cho ra báo cáo là tầng 5 và tầng 29 mở cửa, chừng độ nguy hiểm như nhau.

Pentest sẽ chỉ tầng 5 là nguy cơ có thật vì đang sẵn có 1 loại thang đủ cao, giúp kẻ trộm trèo tới đây. Pentester phải chứng minh rằng điều này có thật bằng cách anh ta sẽ dùng chiếc thang đó trèo vào bên trong và để lại bằng chứng là anh ta đã tới đây. Còn tầng 29 là lỗ hổng có thật nhưng nguy cơ thấp hơn biết bao vì không có chiếc thang nào có thể giúp ăn trộm leo tới hoặc phải sử dụng trực thăng để tiếp cận. 

Các hoạt động của VA giúp để dành kinh phí và thời gian nhờ sử dụng các công cụ tự động để rà soát các lỗ hổng bảo mật nhưng độ chính xác chưa được đảm bảo. Pentest là công việc được thực hành sau VA và sử dụng thêm các kỹ thuật thủ công để độ chuẩn xác cao hơn. Ngoài ra, Pentest còn hỗ trợ minh chứng các nguy cơ có thật thông qua việc khai thác thành công các lỗ hổng. Do đó, giá thành song song cùng chất lượng, những lời mời gọi kiểm thử đột nhập giá rẻ thực chất giá trị thu được chỉ là bản báo cáo công cụ quét lỗi tự động.

Tóm lại, kiểm thử thâm nhập không giúp bảo mật hơn, đơn vị này chỉ giúp chứng tỏ vào thời điểm ngày nay hệ thống có thể bị tiến công như thế nào. Khả năng tái diễn lỗi vẫn có thể diễn ra do cấu trúc bảo mật, công nghệ, quy trình đã sai ngay từ khi bắt đầu. Bảo mật luôn cần đầy đặn ba nhân tố phòng chống, phát giác và phản ứng. Không hệ thống nào được cho hoàn hảo dù đều đặn thực hành kiểm thử thâm nhập, sẽ là lời nói dối khi trung tâm bảo mật bảo rằng họ có thể kiểm tra hết tất cả những lỗ hổng. Và đừng quên Zero-day (lỗ hổng không được biết tới và không có bản vá lỗi) là phần nào của cuộc sống.

Mọi thông tin liên hệ:
Công ty TNHH E-CQURITY VIỆT NAM (ECQ)
Website: https://www.e-cq.net
Facebook là: https://www.facebook.com/ecqnet
Hotline: +84 28 627 277 04
Văn phòng chính: 33 Ubi Ave 3, #08-66, Vertex, Singapore, 408868
Văn phòng Hồ Chí Minh: 16-18 Xuân Diệu, Phường 4, Quận Tân Bình, Thành phố Hồ Chí Minh

Phương Dung

Pentest, hacker, bảo mật

Bài viết (post) Pentest không phải là giải pháp bảo mật, đừng tin vào quảng cáo – Tin Công Nghệ được tổng hợp và biên tập bởi: suamaytinhpci.com. Mọi ý kiến đóng góp và phản hồi vui lòng gửi Liên Hệ cho suamaytinhpci.com để điều chỉnh. suamaytinhpci.com xin cảm ơn.

Xếp Hạng