Các phương pháp và tiêu chuẩn kiểm tra thâm nhập – Blog IBM

Không gian trực tuyến tiếp tục phát triển nhanh chóng, mở ra nhiều cơ hội hơn cho các cuộc tấn công mạng xảy ra trong hệ thống máy tính, mạng hoặc ứng dụng web. Để giảm thiểu và chuẩn bị cho những rủi ro như vậy, thử nghiệm thâm nhập là một bước cần thiết để tìm ra các lỗ hổng bảo mật mà kẻ tấn công có thể sử dụng.

Thử nghiệm thâm nhập là gì?

A kiểm tra sự xâm nhập, hay “thử nghiệm bút” là một thử nghiệm bảo mật được thực hiện để mô phỏng một cuộc tấn công mạng đang diễn ra. MỘT Tấn công mạng có thể bao gồm nỗ lực lừa đảo hoặc vi phạm hệ thống an ninh mạng. Có nhiều loại thử nghiệm thâm nhập khác nhau dành cho một tổ chức tùy thuộc vào các biện pháp kiểm soát bảo mật cần thiết. Thử nghiệm có thể được thực hiện thủ công hoặc bằng các công cụ tự động thông qua lăng kính của một quá trình hành động cụ thể hoặc phương pháp thử nghiệm bút.

Tại sao phải thử nghiệm thâm nhập và ai tham gia?

Các điều khoản “hack đạo đức” và “thử nghiệm thâm nhập” đôi khi được sử dụng thay thế cho nhau, nhưng có sự khác biệt. Hack đạo đức là một phạm vi rộng hơn an ninh mạng lĩnh vực bao gồm bất kỳ việc sử dụng kỹ năng hack nào để cải thiện an ninh mạng. Kiểm tra thâm nhập chỉ là một trong những phương pháp mà các hacker có đạo đức sử dụng. Tin tặc có đạo đức cũng có thể cung cấp phân tích phần mềm độc hại, đánh giá rủi ro cũng như các công cụ và kỹ thuật hack khác để phát hiện và khắc phục các điểm yếu về bảo mật thay vì gây hại.

Của IBM Chi phí của một báo cáo vi phạm dữ liệu Năm 2023, chi phí trung bình toàn cầu do vi phạm dữ liệu vào năm 2023 là 4.45 triệu USD, tăng 15% trong 3 năm. Một cách để giảm thiểu những vi phạm này là thực hiện thử nghiệm thâm nhập chính xác và rõ ràng.

Các công ty thuê người kiểm tra bút để khởi động các cuộc tấn công mô phỏng chống lại ứng dụng, mạng và các tài sản khác của họ. Bằng cách dàn dựng các cuộc tấn công giả mạo, người kiểm tra thâm nhập sẽ giúp đội an ninh phát hiện các lỗ hổng bảo mật quan trọng và cải thiện tình trạng bảo mật tổng thể. Những cuộc tấn công này thường được thực hiện bởi đội đỏ, hoặc đội an ninh tấn công. Các đội đỏ mô phỏng các chiến thuật, kỹ thuật và quy trình (TTP) của kẻ tấn công thực sự chống lại hệ thống của chính tổ chức như một cách để đánh giá rủi ro bảo mật.

Có một số phương pháp thử nghiệm thâm nhập cần xem xét khi bạn bắt đầu quá trình thử nghiệm bút. Sự lựa chọn của tổ chức sẽ phụ thuộc vào danh mục của tổ chức mục tiêu, mục tiêu của pen test và phạm vi của kiểm tra bảo mật. Không có cách tiếp cận nào phù hợp cho tất cả. Nó yêu cầu tổ chức phải hiểu các vấn đề bảo mật và chính sách bảo mật của mình để có thể phân tích lỗ hổng một cách công bằng trước quá trình pen testing.

Xem bản demo thử nghiệm bút từ X-Force

5 phương pháp thử nghiệm thâm nhập hàng đầu

Một trong những bước đầu tiên trong quá trình thử nghiệm bút là quyết định nên tuân theo phương pháp nào.

Dưới đây, chúng tôi sẽ đi sâu vào năm khung thử nghiệm thâm nhập và phương pháp thử nghiệm bút phổ biến nhất để giúp hướng dẫn các bên liên quan và tổ chức phương pháp tốt nhất cho nhu cầu cụ thể của họ và đảm bảo nó bao gồm tất cả các lĩnh vực được yêu cầu.

1. Sổ tay phương pháp kiểm tra bảo mật nguồn mở

Sổ tay hướng dẫn phương pháp kiểm tra bảo mật nguồn mở (OSSTMM) là một trong những tiêu chuẩn phổ biến nhất về kiểm tra thâm nhập. Phương pháp này được đánh giá ngang hàng để kiểm tra bảo mật và được tạo ra bởi Viện Phương pháp bảo mật và mở (ISECOM).

Phương pháp này dựa trên cách tiếp cận khoa học để thử nghiệm bút với các hướng dẫn dễ tiếp cận và thích ứng cho người thử nghiệm. OSSTMM bao gồm các tính năng chính, chẳng hạn như trọng tâm hoạt động, kiểm tra kênh, số liệu và phân tích độ tin cậy trong phương pháp của nó.

OSSTMM cung cấp một khuôn khổ để kiểm tra thâm nhập mạng và đánh giá lỗ hổng cho các chuyên gia kiểm tra bút. Nó được coi là một khuôn khổ để các nhà cung cấp tìm và giải quyết các lỗ hổng, chẳng hạn như dữ liệu nhạy cảm và các vấn đề xung quanh việc xác thực.

2. Dự án bảo mật ứng dụng web mở

OWASP, viết tắt của Dự án bảo mật ứng dụng web mở, là một tổ chức nguồn mở chuyên về bảo mật ứng dụng web.

Mục tiêu của tổ chức phi lợi nhuận là làm cho tất cả tài liệu của mình trở nên miễn phí và có thể truy cập dễ dàng đối với bất kỳ ai muốn cải thiện bảo mật ứng dụng web của riêng mình. OWASP có cái riêng của nó Top 10 (liên kết nằm bên ngoài ibm.com), đây là một báo cáo được duy trì tốt nêu rõ các mối lo ngại và rủi ro bảo mật lớn nhất đối với các ứng dụng web, chẳng hạn như tập lệnh chéo trang, xác thực bị hỏng và đứng sau tường lửa. OWASP sử dụng danh sách top 10 làm cơ sở cho Hướng dẫn kiểm tra OWASP. 

Hướng dẫn được chia thành ba phần: Khung thử nghiệm OWASP để phát triển ứng dụng web, phương pháp và báo cáo thử nghiệm ứng dụng web. Phương pháp ứng dụng web có thể được sử dụng riêng biệt hoặc như một phần của khung kiểm tra web để kiểm tra thâm nhập ứng dụng web, kiểm tra thâm nhập ứng dụng di động, kiểm tra thâm nhập API và kiểm tra thâm nhập IoT.

3. Tiêu chuẩn thực hiện thử nghiệm thâm nhập

PTES, hay Tiêu chuẩn thực thi thử nghiệm thâm nhập, là một phương pháp thử nghiệm thâm nhập toàn diện.

PTES được thiết kế bởi một nhóm các chuyên gia bảo mật thông tin và bao gồm bảy phần chính bao gồm tất cả các khía cạnh của pen testing. Mục đích của PTES là có các hướng dẫn kỹ thuật để phác thảo những gì tổ chức nên mong đợi từ thử nghiệm thâm nhập và hướng dẫn họ trong suốt quá trình, bắt đầu từ giai đoạn trước khi tham gia.

PTES nhằm mục đích trở thành cơ sở cho các thử nghiệm thâm nhập và cung cấp một phương pháp tiêu chuẩn hóa cho các chuyên gia và tổ chức bảo mật. Hướng dẫn này cung cấp nhiều tài nguyên, chẳng hạn như các phương pháp hay nhất trong từng giai đoạn của quy trình thử nghiệm thâm nhập, từ đầu đến cuối. Một số tính năng chính của PTES là khai thác và hậu khai thác. Khai thác đề cập đến quá trình giành quyền truy cập vào hệ thống thông qua các kỹ thuật thâm nhập như kỹ thuật xã hội và bẻ khóa mật khẩu. Khai thác sau là khi dữ liệu được trích xuất từ ​​hệ thống bị xâm nhập và quyền truy cập được duy trì.

4. Khung đánh giá an ninh hệ thống thông tin

Khung đánh giá bảo mật hệ thống thông tin (ISSAF) là khung kiểm tra bút được hỗ trợ bởi Nhóm bảo mật hệ thống thông tin (OISSG).

Phương pháp này không còn được duy trì và có thể không phải là nguồn tốt nhất để cung cấp thông tin cập nhật nhất. Tuy nhiên, một trong những điểm mạnh chính của nó là liên kết các bước kiểm tra bút riêng lẻ với các công cụ kiểm tra bút cụ thể. Loại định dạng này có thể là nền tảng tốt để tạo ra một phương pháp cá nhân hóa.

5. Viện Tiêu chuẩn và Công nghệ Quốc gia  

NIST, viết tắt của Viện Tiêu chuẩn và Công nghệ Quốc gia, là một khuôn khổ an ninh mạng cung cấp một bộ tiêu chuẩn kiểm tra bút để chính phủ liên bang và các tổ chức bên ngoài tuân theo. NIST là một cơ quan thuộc Bộ Thương mại Hoa Kỳ và phải được coi là tiêu chuẩn tối thiểu để tuân theo.

Thử nghiệm thâm nhập NIST phù hợp với hướng dẫn do NIST gửi. Để tuân thủ hướng dẫn đó, các tổ chức phải thực hiện các thử nghiệm thâm nhập theo bộ hướng dẫn được xác định trước.

Giai đoạn thử nghiệm bút

Đặt phạm vi

Trước khi bắt đầu thử nghiệm bút, nhóm thử nghiệm và công ty đặt ra phạm vi cho thử nghiệm. Phạm vi phác thảo những hệ thống nào sẽ được kiểm tra, khi nào việc kiểm tra sẽ diễn ra và các phương pháp mà người kiểm tra bút có thể sử dụng. Phạm vi cũng xác định lượng thông tin mà người kiểm tra bút sẽ có trước thời hạn.

Bắt đầu kiểm tra

Bước tiếp theo sẽ là kiểm tra kế hoạch xác định phạm vi và đánh giá các lỗ hổng cũng như chức năng. Ở bước này, việc quét mạng và lỗ hổng có thể được thực hiện để hiểu rõ hơn về cơ sở hạ tầng của tổ chức. Thử nghiệm nội bộ và thử nghiệm bên ngoài có thể được thực hiện tùy thuộc vào nhu cầu của tổ chức. Có nhiều loại thử nghiệm mà người kiểm tra bút có thể thực hiện, bao gồm thử nghiệm hộp đen, thử nghiệm hộp trắng và thử nghiệm hộp xám. Mỗi loại cung cấp mức độ thông tin khác nhau về hệ thống mục tiêu.

Sau khi thiết lập tổng quan về mạng, người kiểm tra có thể bắt đầu phân tích hệ thống và ứng dụng trong phạm vi nhất định. Ở bước này, người kiểm tra bút đang thu thập càng nhiều thông tin càng tốt để hiểu bất kỳ cấu hình sai nào.

Báo cáo kết quả

Bước cuối cùng là báo cáo và phỏng vấn. Ở bước này, điều quan trọng là phát triển một báo cáo thử nghiệm thâm nhập với tất cả các phát hiện từ thử nghiệm bút phác thảo các lỗ hổng được xác định. Báo cáo phải bao gồm kế hoạch giảm thiểu và những rủi ro tiềm ẩn nếu việc khắc phục không được thực hiện.

Kiểm tra bút và IBM

Nếu bạn cố gắng kiểm tra mọi thứ, bạn sẽ lãng phí thời gian, ngân sách và nguồn lực của mình. Bằng cách sử dụng nền tảng giao tiếp và cộng tác với dữ liệu lịch sử, bạn có thể tập trung, quản lý và ưu tiên các mạng, ứng dụng, thiết bị và tài sản khác có rủi ro cao để tối ưu hóa chương trình kiểm tra bảo mật của mình. Cổng thông tin X-Force® Red cho phép mọi người tham gia khắc phục xem kết quả kiểm tra ngay sau khi các lỗ hổng được phát hiện và lên lịch kiểm tra bảo mật một cách thuận tiện.

Khám phá các dịch vụ kiểm tra thâm nhập mạng từ X-Force