Internal Test là gì
PenTest là gì?PenTest là viết tắt của Penetration Testing (Pen Testing Kiểm thử thâm nhập). Đây là một kiểu của Security Testing, dùng để phát hiện ra các lỗ hổng, rủi ro hay mối đe dọa bảo mật mà các hacker có thể khai thác trong ứng dụng phần mềm, mạng hay ứng dụng web. Mục đích của PenTest là xác định và kiểm tra tất cả lỗ hổng bảo mật có thể có trong phần mềm. Show
Lỗ hổng bảo mật (Vulnerability) dùng để chỉ những rủi ro bảo mật, chẳng hạn như các hacker có thể làm gián đoạn hay giành được quyền truy cập vào hệ thống hoặc bất kỳ dữ liệu nào bên trong. Các lỗ hổng thường xuất hiện tình cờ trong giai đoạn triển khai và phát triển phần mềm. Một số lỗ hổng phố biến gồm: lỗi thiết kế, lỗi cấu hình, lỗi phần mềm PenTest phụ thuộc vào hai cơ chế: Vulnerability Assessment và Penetration Testing (gọi chung là VAPT). Nội dung
Tại sao cần Audit Pentest?Vậy lý do chúng ta cần audit PenTest là gì? Đầu tiên, penetration đặc biệt quan trọng đối với các doanh nghiệp, bởi vì:
Có những loại Penetration Testing nào?PenTest thường được phân loại dựa trên phạm vi tấn công. Ngoài ra nó còn phụ thuộc vào việc các tổ chức có muốn mô phỏng cuộc tấn công bởi một nhân viên, Network Admin (Internal Sources) hay bởi External Sources. Có ba loại PenTest khác nhau:
Đối với Black Box Testing, tester sẽ không hề biết gì về hệ thống sắp được test. Tester chỉ có nhiệm vụ thu thập các thông tin về mạng hay hệ thống mục tiêu. Trong hình thức White Box Penetration Testing, tester thường được cung cấp đầy đủ thông tin về mạng hoặc hệ thống sẽ được test. Trong đó bao gồm địa chỉ IP, mã nguồn, chi tiết về hệ điều hành Đây có thể được xem như một cuộc mô phỏng tấn công bởi bất kỳ Internal Source nào. Với Grey Box Penetration Testing, tester sẽ được cung cấp một phần thông tin về hệ thống. Đây có thể được xem như là một cuộc tấn công từ hacker bên ngoài, đã truy cập vào được các tài liệu cơ sở hạ tầng mạng của tổ chức. Cách Audit PenTest là gì?Sau đầy là một số hoạt động cần thiết để triển khai PenTest: Bước 1: Lên kế hoạch
Bước 2: Khám phá
Bước 3: Tấn công Tìm cách khai thác các lỗ hổng khác nhau (Cần có các đặc quyền bảo mật cần thiết) Bước 4: Báo cáo
Nói chung, nhiệm vụ hàng đầu trong PenTest là thu thập thông tin hệ thống. Có hai cách để có thể thu thập thông tin, gồm:
Một số ví dụ về Penetration Testing ToolsHiện nay có rất nhiều công cụ hữu ích để thực hiện Penetration Testing, tiêu biểu trong đó gồm:
Vai trò và trách nhiệm của Penetration TesterVai trò của các tester PenTest:
So sánh Manual Penetration và Automated Penetration TestingManual Penetration TestingAutomated Penetration Testing Cần có các chuyên gia để chạy testCác công cụ tự động cung cấp báo cáo cụ thểYêu cầu có Excel và một số công cụ khác để theo dõiCó các công cụ tập trung và tiêu chuẩnMẫu kết quả sẽ khác nhau với từng testMẫu kết quả giống nhau Người dùng nên ghi nhớ việc Memory CleaningTự động cleanupNhược điểm của PenTest là gì?Tất nhiên, Penetration Testing cũng có những mặt hạn chế của nó. Chẳng hạn như giới hạn thời gian, ngân sách, phạm vi, kỹ năng của tester Sau đây là một số tác dụng phụ phổ biến của PenTest:
Kết luậnNói chung, các tester nên hoạt động như những hacker mũ trắng thực sự, kiểm thử các ứng dụng và hệ thống. Đồng thời kiểm tra xem các code có được viết an toàn hay không. Một PenTest sẽ đạt được hiệu quả tốt nhất nếu có chính sách bảo mật tốt.
5
/
5
(
1
bình chọn
)
|