Blog

Penetration Testing là gì?

24/01/2017 - 03:57

Penetration Testing là gì?

Thử nghiệm thâm nhập (Penetration Testing) là một quá trình đánh giá, kiểm tra mức độ bảo mật của một hệ thống. Quá trình này bao gồm các nguyên tắc, thủ tục và phương pháp được thực hiện trong bất kỳ đánh giá mức độ bảo mật hệ thống. Từ quá trình đánh giá này, sẽ giúp những quản trị viên xác định và khắc phục các lỗ hổng có thể tồn tại trên hệ thống và đưa ra các biện pháp khắc phục nhằm tránh những hậu quả có thể xảy với các tổ chức doanh nghiệp.

 

Các giai đoạn trong quá trình thử nghiệm thâm nhập

 

Có 3 hình thức khác nhau của quá trình thử nghiệm thâm nhập:

  • Black-Box Testing: cũng được biết đến với tên gọi “external testing”. Trong hình thức này, người đánh giá bảo mật sẽ dò quét, kiểm tra mức độ bảo mật của hệ thống từ xa. Họ sẽ không được cung cấp bất kỳ một thông tin nào về hệ thống được đánh giá.

  • White-Box Testing: cũng được biết với tên gọi “internal testing”. Trong hình thức này, người đánh giá bảo mật được cung cấp đầy đủ thông tin về hệ thống, các công nghệ được triển khai trên hệ thống.

  • Grey-Box Testing: hình thức này là sự kết hợp của hai phương thức kể trên.

 

Phân biệt đánh khả năng bị tấn công (Vulnerability Assessment) và thử nghiệm thâm nhập (Penetration Testing)

Đánh giá khả năng bị tấn công (Vulnerability Assessment) là một quá trình đánh giá sự kiểm soát bảo mật bên trong và bên ngoài bằng việc xác định các mối đe dọa có thể tồn tại làm ảnh hưởng tới tài sản của một tổ chức. Đánh giá khả năng bị tấn công từ bên trong cung cấp sự chắc chắn cho việc bảo mật hệ thống nội bộ. Còn đánh giá khả năng tấn công từ bên ngoài nhằm đánh giá mức độ bảo mật của các cơ chế bảo vệ hệ thống.

 

Chìa khóa để phân biệt giữa Vulnerability Assessment và Penetration Testing

 

+ Penetration Testing ở cấp độ cao hơn của Vulnerability Assessment. Nó bao gồm quá trình khai thác, leo thang đặc quyền và duy trì truy cập tới hệ thống mục tiêu.

+ Trong khi đó, Vulnerability Assessment chỉ dừng lại ở việc cung cấp một cái nhìn tổng quát về lỗ hổng tồn tại trên hệ thống không bao gồm việc đánh giá các lỗ hổng này có ảnh hưởng tới hệ thống như thế nào.

Tin liên quan