Tin công nghệ

Kiểm tra thâm nhập và Phân tích lỗ hổng bảo mật - Xu hướng năm 2016

08/12/2016 - 12:17

“Tương lai của Đánh giá bảo mật, xu hướng cho năm 2016 và xa hơn”

Một trong những dự báo vào năm 2016 rằng đây sẽ là năm của mã Hacking. Mã này có chứa các lỗ hổng (vulnerabilities) và được khai thác với tích hợp ẩn và kết nối với hệ thống các cấp doanh nghiệp, tổ chức khác nhau.

Dự đoán thứ hai là chúng ta sẽ được thấy kết quả của an ninh mạng (cybersecurity) và phản ứng sự cố (incident response) tự động. Điều này liên quan đến bản chất tự nhiên có sai sót của con người trong qua trình làm việc, do đó chúng ta có tự động hóa và thế giới kỹ thuật số được biết đến ngày nay.

Thử nghiệm thâm nhập (Penetration testing / Pentest) ngày nay được nhiều cá nhân, tổ chức coi như một sản phẩm chiến lược. Để có thể nhận được các kết quả tốt nhất, một kỹ sư kiểm thử (pentester) cần kết hợp rất nhiều công cụ và chiến lược khác nhau, từ việc tận dụng sức mạnh của các công cụ tự động, kết hợp giữa thử nghiệm tự động và thủ công, lập trình các công cụ cho công nghệ mới, cập nhật các kiến thức về tấn công hệ thống, đến việc chuẩn bị các kịch bản, kiến thức xã hội, để thâm nhập vào web ẩn…

Rất nhiều công cụ phổ biến phục vụ cho penetration testing giúp các kỹ sư thử nghiệm thâm nhập tạo ra các báo cáo ấn tượng với khách hàng. Sau đó, các công cụ kết hợp các dữ liệu, hệ thống và các lớp ứng dụng web ẩn trực tuyến vào  báo cáo chung với các giản đồ điểm. Thông thường, động lực của thử nghiệm thâm nhập là nhu cầu để tuân thủ và hoàn thiện các quy định, quy trình thay vì là căn cứ để đưa ra các quyết điịnh giúp thực sự cải thiện hệ thống ảo mật.   

Những lợi ích của việc sử dụng công cụ tự động là rất lớn và đây luôn là một ý tưởng tốt để giúp tự động hóa công việc càng nhiều càng tốt. Ta hầu như có thể nghĩ về nó như là một tập kịch bản của các cuộc tấn công thử nghiệm với các thông số tải trọng. Đây không phải đơn thuần là thương mại. Một nguồn lực lớn tồn tại trong cộng đồng mã nguồn mở, bao gồm OWASP. Tất nhiên, với tự động hóa nhiều hơn, sẽ vẫn có sự khác biệt lớn về chất lượng công việc giữa các chuyên gia thử nghiệm thâm nhập hàng đầu và quá trình tự động hóa. Tuy nhiên, sự thay đổi theo hướng tự động hóa có thể là một lựa chọn sử dụng chi phí hiệu quả cho các công ty đang tìm cách để tiết kiệm trên các dịch vụ thử nghiệm thâm nhập cơ bản, và cũng là một cách tốt cho bất kỳ chuyên gia thử nghiệm thâm nhập nào muốn tìm kiếm phương án để tiết kiệm thời gian và nâng cao hiệu quả công việc.

 

Là công cụ và tiện ích mới đang được giới thiệu để giúp tự động hóa các nhiệm vụ thử nghiệm thâm nhập ở mức độ cao và là yêu cầu không tưởng chỉ là một vài năm trước đây. Tất cả là nhờ sự phát triển không ngừng của các xu hướng mới, các ứng dụng phức tạp và công nghệ.

 

Mặc dù tự động hóa là cần thiết cho các pentesters, nhưng vẫn còn nhiều thách thức: mọi ứng dụng đều khác nhau, các công cụ phụ thuộc nhiều vào người sử dụng, công cụ không thể tự phân tích và hiểu được toàn cảnh hệ thống, không có trực giác, không thể ứng biến và điều chỉnh chiến lược... Sau đây là những xu hướng và bộ công cụ được kỳ vọng sẽ phát triển nhanh năm 2016 trong lĩnh vực Penetration testing (Pentest).

Thiết bị di động – các ứng dụng có nguồn gốc dựa trên nền tảng iOS, Android hay Windows, cũng như các ứng dụng hybrid được đánh giá sẽ ngày càng trở nên quan trọng khi các thiết bị di động sẽ được chuyển đổi dần từ mục đích giải trí sang phục vụ kinh doanh, sử dụng để xử lý các dữ liệu tài chính và các dữ liệu nhạy cảm khác.

Điện toán đám mây và ảo hóa – công nghệ network luôn mới và thay đổi liên tục – các mối đe dọa xung quanh nó cũng vì thế mà thay đổi theo. Điều này đòi hỏi việc điều chỉnh kỹ thuật pentesting với một tốc độ phù hợp.

IoT (Internet of things), Hệ thống nhúng (Embedded systems), công nghệ đảo ngược (pentesting/reverse engineering) - tự động hóa nhà ở và văn phòng, phương tiện di chuyển, y tế, thanh toán, hệ thống điều khiển công nghiệp, switches, bộ chuyển đổi năng lượng, bộ phận ngắt mạch, và nhiều thiết bị khác nữa đang được kết nối networks, tất cả đều có nguy cơ bị ảnh hưởng bởi các cuộc tấn công – vì thế các công cụ và phương pháp tiếp cận cần liên tục được đổi mới và cải tiến.

Phát triển JavaScript hiện đại trên nền tảng các ứng dụng web - để đánh giá bảo mật của các ứng dụng như vậy cần phải kết hợp việc thu thập thông tin kiểu cổ điển và scanning với một động cơ trình duyệt web, chương trình gỡ lỗi JavaScript, giải nén/ chặn  snapshots comparer...

Hệ thống Wireless - Software-defined radio (SDR) dựa trên các thiết bị đánh giá bảo mật không dây, WiFi, máy đo thông minh, wearable… - tất cả điều này sẽ đòi hỏi các bộ công cụ và kỹ năng cụ thể.

Machine learning - các thuật toán dò tìm biến số bất thường tiếp tục được cải thiện, nhờ đó các giải pháp ứng phó và xử lý lỗ hổng bảo mật cũng phát triển nhanh chóng.

Đánh giá bảo mật mạng nội bộ - sẽ được sử dụng nhiều hơn, bởi các doanh nghiệp, tổ chức nhận ra tính khả thi và lợi ích của kiểm thử và đánh giá hệ thống mạng nội bộ của họ với các công nghệ social.

Công nghệ Social – là một phần của pentesting, tuy nhiên trong tương lai gần, chúng ta sẽ không thể mong chờ khả năng xuất hiện một robot tự động có thể tới văn phòng công ty và yêu cầu ai đó "in sơ yếu lý lịch của mình" từ một ổ đĩa USB.

Chúng tôi tin rằng trong tương lai gần và xa hơn (ít nhất là cho đến thời điểm khi các ứng dụng được phát triển đầy đủ và tự động được cải thiện bởi các agents thông minh nhân tạo tự động), tài năng và trí thông minh, sự hiểu biết sâu sắc và sử dụng hiệu quả các công cụ của con người vẫn sẽ là yếu tố quan trọng xác định kết quả pentesting thành công nhất.

Tìm hiểu thêm về dịch vụ Đánh giá bảo mậtPenetration testing của Pente tại đây.

Theo Jaro Nemcok (Chuyên gia nghien cứu bảo mật Web - LIFARS LLC)

& Ondrej Krehel (CEO kiêm Nhà sáng lập LIFARS LLC) | pentestmag.com

Tin liên quan