CEH v13 AI – CEH VIETNAM

Giáo Trình Official Học & Ôn Thi Chứng Chỉ Quốc Tế CEH v12 Module 01 ETHICAL HACKER p3

Chính sách Bảo mật Thông tin Chính sách bảo mật là nền tảng của cơ sở hạ tầng bảo mật. Chính sách bảo mật thông tin xác định các yêu cầu và quy tắc bảo mật cơ bản cần được thực hiện để bảo vệ và bảo mật hệ thống thông tin của tổ chức.…

IT-PRO
Giáo Trình Official Học & Ôn Thi Chứng Chỉ Quốc Tế CEH v12 Module 01 ETHICAL HACKER p2

Chính sách Bảo mật Thông tin

Chính sách bảo mật là nền tảng của cơ sở hạ tầng bảo mật. Chính sách bảo mật thông tin xác định các yêu cầu và quy tắc bảo mật cơ bản cần được thực hiện để bảo vệ và bảo mật hệ thống thông tin của tổ chức. Không có chúng, không thể bảo vệ công ty khỏi các vụ kiện tụng có thể xảy ra, mất doanh thu và quảng cáo xấu, chưa kể đến các cuộc tấn công bảo mật cơ bản.

Các mục tiêu của chính sách bảo mật bao gồm:

  • Duy trì một phác thảo cho quản lý và quản trị bảo mật mạng
  • Bảo vệ tài nguyên máy tính của tổ chức
  • Loại bỏ trách nhiệm pháp lý phát sinh từ nhân viên hoặc bên thứ ba
  • Ngăn chặn lãng phí tài nguyên máy tính của công ty
  • Ngăn chặn sửa đổi trái phép dữ liệu
  • Giảm rủi ro do sử dụng bất hợp pháp tài nguyên hệ thống
  • Phân biệt quyền truy cập của người dùng
  • Bảo vệ thông tin bí mật, độc quyền khỏi bị đánh cắp, lạm dụng, tiết lộ trái phép

Kiểm soát Bảo mật Vật lý

Bảo mật vật lý liên quan đến việc bảo vệ tài sản của tổ chức khỏi các mối đe dọa môi trường và con người. Nó là lớp bảo vệ đầu tiên trong bất kỳ tổ chức nào và được mô tả như các biện pháp an toàn nhất định ngăn chặn truy cập trái phép vào tài sản của tổ chức, và bảo vệ nhân viên và tài sản khỏi thiệt hại hoặc tổn hại (ví dụ: gián điệp, trộm cắp hoặc tấn công khủng bố).

Các loại kiểm soát bảo mật vật lý bao gồm:

  • Kiểm soát Phòng ngừa: Ngăn chặn vi phạm bảo mật và thực thi các cơ chế kiểm soát truy cập khác nhau.
  • Kiểm soát Phát hiện: Phát hiện vi phạm bảo mật và ghi lại bất kỳ nỗ lực xâm nhập nào.
  • Kiểm soát Răn đe: Có thể không ngăn chặn truy cập trực tiếp. Chúng được sử dụng để ngăn cản kẻ tấn công và gửi thông báo cảnh báo để ngăn chặn nỗ lực xâm nhập.
  • Kiểm soát Phục hồi: Được sử dụng trong tình huống nghiêm trọng hơn để khôi phục từ vi phạm bảo mật và khôi phục thông tin và hệ thống về trạng thái ổn định.
  • Kiểm soát Bồi thường: Được sử dụng như một biện pháp kiểm soát thay thế khi các biện pháp kiểm soát dự định không thể được sử dụng.

Quản lý Rủi ro

Quản lý rủi ro là quá trình xác định, đánh giá, phản ứng và thực hiện các hoạt động kiểm soát cách tổ chức quản lý các tác động tiềm ẩn. Nó có một vị trí nổi bật trong suốt vòng đời bảo mật và là một quá trình liên tục và ngày càng phức tạp.

Các giai đoạn chính của quản lý rủi ro bao gồm:

  1. Xác định Rủi ro
  2. Đánh giá Rủi ro
  3. Xử lý Rủi ro
  4. Theo dõi và Xem xét Rủi ro

Mô hình hóa Mối đe dọa

Mô hình hóa mối đe dọa là một phương pháp đánh giá rủi ro để phân tích bảo mật của một ứng dụng bằng cách nắm bắt, tổ chức và phân tích tất cả thông tin ảnh hưởng đến bảo mật của ứng dụng. Quá trình mô hình hóa mối đe dọa bao gồm năm bước:

  1. Xác định Mục tiêu Bảo mật
  2. Tổng quan Ứng dụng
  3. Phân rã Ứng dụng
  4. Xác định Mối đe dọa
  5. Xác định Lỗ hổng

Quản lý Sự cố

Quản lý sự cố là một tập hợp các quy trình được xác định để xác định, phân tích, ưu tiên và giải quyết các sự cố bảo mật để khôi phục hoạt động dịch vụ bình thường càng nhanh càng tốt và ngăn chặn tái diễn sự cố trong tương lai.

Quy trình quản lý sự cố bao gồm các bước sau:

  1. Chuẩn bị cho Xử lý và Phản ứng Sự cố
  2. Phát hiện và Phân tích
  3. Phân loại và Ưu tiên hóa
  4. Thông báo
  5. Kiềm chế
  6. Điều tra Pháp y
  7. Loại bỏ và Khôi phục
  8. Hoạt động Sau Sự cố

Kiểm soát Truy cập và Quản lý Nhận dạng và Truy cập (IAM)

Kiểm soát truy cập là một phương pháp để giảm rủi ro dữ liệu bị ảnh hưởng và để cứu dữ liệu quan trọng của tổ chức bằng cách cung cấp quyền truy cập hạn chế vào tài nguyên máy tính cho người dùng.

IAM là một khuôn khổ cho các thực hành kinh doanh bao gồm người dùng, thủ tục và sản phẩm phần mềm để quản lý danh tính kỹ thuật số của người dùng và quyền truy cập vào tài nguyên của một tổ chức. Nó đảm bảo rằng “đúng người dùng có được quyền truy cập vào đúng thông tin vào đúng thời điểm”.

Ngăn chặn Mất dữ liệu (DLP)

DLP đề cập đến việc xác định và giám sát dữ liệu nhạy cảm để đảm bảo rằng người dùng cuối không gửi thông tin nhạy cảm ra ngoài mạng doanh nghiệp. Nó là sự kết hợp của các kỹ thuật và công cụ khác nhau giúp quản trị viên kiểm soát quyền truy cập dữ liệu.

Sao lưu và Khôi phục Dữ liệu

Sao lưu là quá trình tạo một bản sao dự phòng của dữ liệu quan trọng có thể được sử dụng để khôi phục và phục vụ mục đích khôi phục khi bản sao chính bị mất hoặc bị hỏng do vô tình hoặc có chủ ý. Sao lưu dữ liệu đóng một vai trò quan trọng trong việc duy trì tính liên tục kinh doanh bằng cách giúp các tổ chức khôi phục từ các thảm họa CNTT như hỏng hóc phần cứng, lỗi ứng dụng, vi phạm bảo mật, lỗi con người hoặc phá hoại cố ý, v.v.

Khái niệm Kiểm thử Thâm nhập

Hacking là khả năng phát minh ra những cách làm việc chưa từng biết đến trước đây. Trong bối cảnh này, việc ủng hộ một phương pháp cụ thể để mô phỏng một cuộc hack trong thế giới thực có thể xuất hiện như một sự mâu thuẫn. Lý do đằng sau việc ủng hộ một phương pháp trong kiểm thử thâm nhập xuất phát từ thực tế là hầu hết các hacker đều tuân theo một cách tiếp cận cơ bản chung khi nói đến việc xâm nhập vào một hệ thống.

Phần này cung cấp tổng quan về kiểm thử thâm nhập, tại sao kiểm thử thâm nhập là cần thiết, các loại kiểm thử thâm nhập và các giai đoạn của kiểm thử thâm nhập.

Kiểm thử Thâm nhập là gì?

Kiểm thử thâm nhập là một phương pháp đánh giá bảo mật của một hệ thống thông tin hoặc mạng bằng cách mô phỏng một cuộc tấn công để tìm ra các lỗ hổng mà kẻ tấn công có thể khai thác. Kiểm thử thâm nhập (hay “pen-testing”) phơi bày các khoảng trống trong mô hình bảo mật của một tổ chức và giúp các tổ chức đạt được sự cân bằng giữa kỹ thuật và chức năng kinh doanh từ góc độ các vi phạm bảo mật tiềm ẩn. Điều này có thể giúp trong việc lập kế hoạch khôi phục thảm họa và tính liên tục kinh doanh. Nó mô phỏng các phương pháp được sử dụng bởi kẻ xâm nhập để có quyền truy cập trái phép vào các hệ thống mạng của một tổ chức và sau đó xâm phạm chúng và liên quan đến việc sử dụng các công cụ độc quyền và mã nguồn mở để tiến hành kiểm tra. Ngoài các kỹ thuật tự động, kiểm thử thâm nhập còn liên quan đến các kỹ thuật thủ công để tiến hành kiểm tra mục tiêu trên các hệ thống cụ thể để đảm bảo rằng không có lỗ hổng bảo mật nào trước đó có thể đã bị bỏ qua. Trong bối cảnh kiểm thử thâm nhập, người kiểm tra bị giới hạn bởi tài nguyên: cụ thể là thời gian, nguồn lực có kỹ năng và quyền truy cập vào thiết bị như được nêu trong thỏa thuận kiểm thử thâm nhập.

Kiểm thử thâm nhập liên quan đến phân tích chủ động của cấu hình hệ thống, điểm yếu thiết kế, kiến trúc mạng, lỗ hổng kỹ thuật và các lỗ hổng. Một bài kiểm thử thâm nhập sẽ không chỉ chỉ ra các lỗ hổng, mà còn ghi lại cách các lỗ hổng có thể bị khai thác. Khi hoàn thành quá trình kiểm thử thâm nhập, người kiểm tra thâm nhập cung cấp một báo cáo toàn diện với chi tiết về các lỗ hổng được phát hiện và một bộ các biện pháp đối phó được đề xuất cho các đối tượng quản lý, kỹ thuật và điều hành.

Một người kiểm tra thâm nhập chỉ khác với một kẻ tấn công ở ý định, thiếu ác ý và ủy quyền. Kiểm thử thâm nhập không đầy đủ và không chuyên nghiệp có thể dẫn đến mất dịch vụ và gián đoạn tính liên tục kinh doanh. Do đó, nhân viên hoặc chuyên gia bên ngoài không được tiến hành kiểm tra thâm nhập mà không có sự ủy quyền thích hợp.

Ban quản lý của tổ chức khách hàng nên cung cấp sự cho phép bằng văn bản rõ ràng để thực hiện kiểm thử thâm nhập. Sự chấp thuận này nên bao gồm một phạm vi rõ ràng, mô tả về những gì cần kiểm tra và khi nào việc kiểm tra sẽ diễn ra. Do bản chất của kiểm thử thâm nhập, việc không nhận được sự chấp thuận này có thể dẫn đến việc phạm tội máy tính, bất chấp ý định tốt nhất của một người.

Tại sao Kiểm thử Thâm nhập là Cần thiết

Kiểm thử thâm nhập quan trọng đối với các tổ chức vì những lý do sau:

  • Xác định các mối đe dọa đối với tài sản thông tin của một tổ chức
  • Giảm chi tiêu của tổ chức cho bảo mật CNTT và tăng Lợi nhuận trên Đầu tư Bảo mật (ROSI) bằng cách xác định và khắc phục các lỗ hổng hoặc điểm yếu
  • Cung cấp sự đảm bảo với đánh giá toàn diện về bảo mật của tổ chức bao gồm chính sách, thủ tục, thiết kế và triển khai
  • Đạt được và duy trì chứng nhận theo quy định của ngành (BS7799, HIPAA, v.v.)
  • Áp dụng các thực hành tốt nhất tuân thủ các quy định pháp lý và ngành
  • Kiểm tra và xác nhận hiệu quả của các biện pháp bảo vệ và kiểm soát bảo mật
  • Thay đổi hoặc nâng cấp cơ sở hạ tầng phần mềm, phần cứng hoặc thiết kế mạng hiện có
  • Tập trung vào các lỗ hổng nghiêm trọng cao và nhấn mạnh các vấn đề bảo mật cấp ứng dụng cho các nhóm phát triển và quản lý
  • Cung cấp cách tiếp cận toàn diện về các bước chuẩn bị có thể được thực hiện để ngăn chặn khai thác sắp tới
  • Đánh giá hiệu quả của các thiết bị bảo mật mạng như tường lửa, router và máy chủ web

Các loại Kiểm thử Thâm nhập

Các loại kiểm thử thâm nhập phụ thuộc vào lượng thông tin mà nhóm kiểm thử thâm nhập được cung cấp về tổ chức, trước khi kiểm tra. Người ta có thể tiến hành bất kỳ loại kiểm thử thâm nhập nào hoặc từ bên ngoài (được tiến hành đối với các máy chủ hướng ra Internet) hoặc từ bên trong (được tiến hành đối với các máy chủ bên trong mạng nội bộ của tổ chức). Nếu chúng ta muốn một bài kiểm tra hoàn chỉnh, thì việc kiểm tra cả bên ngoài và bên trong là điều bắt buộc.

Ba loại kiểm thử thâm nhập là như sau:

  • Kiểm thử Black-box (Kiểm thử Không có Kiến thức) Để mô phỏng các cuộc tấn công trong thế giới thực, người kiểm tra thâm nhập có thể chọn thực hiện kiểm thử black-box (hoặc kiểm thử không có kiến thức, không có thông tin hoặc hỗ trợ từ khách hàng), và lập bản đồ mạng trong khi liệt kê các dịch vụ, hệ thống tệp được chia sẻ và hệ điều hành một cách kín đáo. Ngoài ra, người kiểm tra thâm nhập có thể thực hiện “war dialing” (quét và quay số một danh sách số điện thoại) để phát hiện modem đang lắng nghe, và “war driving” (lái xe vòng quanh một khu vực để tìm mạng không dây) để phát hiện các điểm truy cập dễ bị tổn thương, miễn là các hoạt động này là hợp pháp và nằm trong phạm vi của dự án.

Trong kiểm thử black-box, người kiểm tra thâm nhập chỉ có tên công ty. Sau đó, người kiểm tra sử dụng các phương pháp dấu vân tay để có được thông tin về đầu vào và đầu ra dự kiến nhưng không biết về hoạt động nội bộ của hệ thống. Người kiểm tra tiến hành kiểm tra này sau khi nghiên cứu kỹ lưỡng về tổ chức mục tiêu. Kiểm thử black-box mô phỏng một kẻ tấn công bên ngoài. Việc thiết kế các trường hợp kiểm tra là khó khăn mà không có thông số kỹ thuật rõ ràng và ngắn gọn, nhưng nó được thực hiện một khi các thông số kỹ thuật hoàn chỉnh.

Bài kiểm tra này mô phỏng quá trình của một hacker thực sự. Kiểm thử black-box (còn được gọi là “kiểm thử chức năng”) tốn thời gian và tốn kém.

Có hai loại kiểm thử thâm nhập black-box:

o Kiểm thử Mù Trong kiểm thử mù, người kiểm tra thâm nhập có thông tin hạn chế hoặc không biết gì về mục tiêu, nhưng mục tiêu được thông báo về phạm vi kiểm tra (những gì, như thế nào và khi nào người kiểm tra thâm nhập sẽ kiểm tra) trước khi thực hiện kiểm tra.

Kiểm thử mù mô phỏng các hành động và thủ tục của một hacker thực sự. Nhóm kiểm thử thâm nhập cố gắng thu thập càng nhiều thông tin càng tốt về tổ chức mục tiêu từ Internet (trang web công ty, đăng ký tên miền, bảng thảo luận trực tuyến, USENET, v.v.) và các nguồn có thể truy cập công khai khác. Người kiểm tra thâm nhập bắt đầu kiểm tra bảo mật của tổ chức mục tiêu dựa trên thông tin thu thập được. Mặc dù kiểm thử mù cung cấp nhiều thông tin nội bộ (như điểm truy cập Internet, mạng có thể truy cập trực tiếp, thông tin bí mật/độc quyền có sẵn công khai, v.v.) về tổ chức mà có thể không được biết đến nếu không, nhưng nó tốn nhiều thời gian và tốn kém hơn, vì cần nhiều nỗ lực để nghiên cứu mục tiêu.

Ví dụ: Ethical hacking, chiến tranh giả lập, v.v.

o Kiểm thử Mù Kép Trong kiểm thử mù kép (còn được gọi là “kiểm thử không có kiến thức”), người kiểm tra thâm nhập không biết gì về mục tiêu và mục tiêu cũng không được thông báo về phạm vi kiểm tra (những gì, như thế nào và khi nào người kiểm tra thâm nhập sẽ kiểm tra) trước khi thực hiện kiểm tra. Nói cách khác, cả hai bên đều mù quáng về bài kiểm tra. Hầu hết các đánh giá bảo mật ngày nay đều dựa trên chiến lược kiểm thử mù kép, vì nó xác nhận sự hiện diện của các lỗ hổng có thể bị khai thác và khả năng của các cá nhân, quy trình và công cụ của mục tiêu trong việc nhận ra và phản ứng thích hợp với các nỗ lực thâm nhập được thực hiện.

Ví dụ: Kiểm toán black-box, kiểm thử thâm nhập, v.v.

  • Kiểm thử White-box (Kiểm thử Có Kiến thức Đầy đủ) Tổ chức có thể cung cấp thông tin đầy đủ về mạng của họ cho người kiểm tra thâm nhập nếu họ muốn đánh giá bảo mật của mình đối với một loại tấn công cụ thể hoặc một mục tiêu cụ thể. Thông tin được cung cấp có thể bao gồm tài liệu về cấu trúc mạng, kiểm kê tài sản và thông tin đánh giá. Thông thường, một tổ chức sẽ chọn điều này khi họ muốn một cuộc kiểm toán bảo mật hoàn chỉnh. Điều quan trọng cần lưu ý là mặc dù tất cả những điều này, bảo mật thông tin là một quá trình liên tục và kiểm thử thâm nhập cung cấp một bức tranh về tình trạng bảo mật của một tổ chức tại một thời điểm nhất định. Các chuyên gia bảo mật có thể thực hiện kiểm thử white-box với hoặc không có sự hiểu biết của nhân viên CNTT. Ban quản lý cấp cao phải phê duyệt bài kiểm tra nếu nó không liên quan đến nhân viên CNTT của tổ chức.

Các tổ chức thường cung cấp các thông tin sau cho kiểm thử white-box:

o Cơ sở hạ tầng công ty: Bao gồm thông tin liên quan đến các bộ phận khác nhau của tổ chức. Người kiểm tra thâm nhập có thông tin liên quan đến phần cứng, phần mềm và kiểm soát trong một tổ chức.

o Loại mạng: Thông tin loại mạng có thể liên quan đến LAN của tổ chức và cấu trúc liên kết được sử dụng để kết nối các hệ thống. Nó cũng có thể là thông tin về quyền truy cập vào mạng từ xa hoặc Internet.

o Triển khai bảo mật hiện tại: Triển khai bảo mật hiện tại là các biện pháp bảo mật khác nhau được tổ chức áp dụng để bảo vệ thông tin quan trọng khỏi bất kỳ thiệt hại hoặc trộm cắp nào.

o Chi tiết về địa chỉ IP/tường lửa/IDS: Thông tin này bao gồm chi tiết về các địa chỉ IP mà tổ chức sử dụng, tường lửa được sử dụng để bảo vệ dữ liệu khỏi người dùng trái phép và các chi tiết kỹ thuật quan trọng khác về mạng. Các tổ chức thường cung cấp các chính sách tường lửa và IDS cho người kiểm tra thâm nhập.

o Chính sách công ty: Một tổ chức có thể cung cấp chính sách về tính liên tục kinh doanh và bảo mật CNTT cho người kiểm tra thâm nhập, tùy thuộc vào bản chất của bài kiểm tra. Chính sách bảo mật, chính sách pháp lý và chính sách lao động đều có thể hữu ích cho người kiểm tra thâm nhập.

  • Kiểm thử Gray-box (Kiểm thử Có Kiến thức Một phần) Kiểm thử gray-box kết hợp các phương pháp của cả kiểm thử black-box và white-box. Đây là cách tiếp cận phổ biến nhất để kiểm tra các lỗ hổng mà kẻ tấn công có thể tìm thấy và khai thác. Trong một số trường hợp, các tổ chức thích cung cấp cho người kiểm tra thâm nhập kiến thức hoặc thông tin một phần mà hacker có thể tìm thấy, chẳng hạn như máy chủ tên miền. Thông tin này cũng có thể bao gồm tài sản và lỗ hổng được nhận thức công khai của tổ chức. Người kiểm tra thâm nhập cũng có thể tương tác với quản trị viên hệ thống và mạng.

Kiểm thử thâm nhập gray-box cung cấp một cuộc kiểm tra hệ thống đầy đủ, từ cả góc nhìn của nhà phát triển và kẻ tấn công độc hại. Nó là một mô phỏng của một cuộc tấn công có hệ thống bởi kẻ xâm nhập bên ngoài hoặc nội bộ độc hại với quyền truy cập hạn chế.

Có hai cách để thực hiện các loại kiểm thử thâm nhập đã đề cập ở trên:

  • Kiểm thử Được Thông báo Kiểm thử được thông báo là một nỗ lực xâm phạm các hệ thống trên mạng của khách hàng với sự hợp tác và hiểu biết đầy đủ của nhân viên CNTT. Loại kiểm tra này xem xét cơ sở hạ tầng bảo mật hiện có để tìm các lỗ hổng có thể có.

Kiểm thử thâm nhập được thông báo giúp người kiểm tra thâm nhập theo những cách sau:

o Một người kiểm tra thâm nhập có thể dễ dàng có được một cái nhìn tổng quan đầy đủ về cơ sở hạ tầng của tổ chức. o Một người kiểm tra thâm nhập có thể được cung cấp loại quyền truy cập vật lý được cung cấp cho các nhân viên khác nhau trong tổ chức. o Một người kiểm tra thâm nhập có thể có một bức tranh rõ ràng hơn về các biện pháp áp dụng cho bảo mật thông tin và hệ thống của tổ chức.

Nhân viên bảo mật thường tham gia vào các nhóm kiểm thử thâm nhập để tiến hành các cuộc kiểm toán này. Loại kiểm thử thâm nhập này khá hiệu quả đối với bảo mật vật lý của việc kiểm thử thâm nhập.

Ưu điểm: o Hiệu quả hơn o Định hướng theo nhóm

Nhược điểm: o Thiếu bảo mật o Kết quả ít đáng tin cậy hơn

  • Kiểm thử Không được Thông báo Kiểm thử không được thông báo là một nỗ lực xâm phạm các hệ thống trên mạng của khách hàng mà không có kiến thức của nhân viên bảo mật CNTT. Cách tiếp cận này khá hiệu quả để kiểm tra bảo mật của một tổ chức đối với các nỗ lực kỹ thuật xã hội. Trong kiểm thử thâm nhập không được thông báo, chỉ có ban quản lý cấp cao mới biết về các bài kiểm tra này. Nó giúp tổ chức kiểm tra các mối đe dọa bảo mật tổ chức có thể phát sinh do lỗi của con người và/hoặc sự thiếu hiểu biết. Kiểm thử không được thông báo kiểm tra sự nhanh nhẹn của cơ sở hạ tầng bảo mật và khả năng phản ứng của nhân viên CNTT và mức độ nhận thức của họ về các vấn đề nhạy cảm về bảo mật thông tin của tổ chức.

Ưu điểm: o Bảo mật mạnh o Độ tin cậy cao

Nhược điểm: o Ít hiệu quả hơn o Yêu cầu một quy trình nghiêm ngặt

Các giai đoạn của Kiểm thử Thâm nhập

Ba giai đoạn của kiểm thử thâm nhập bao gồm giai đoạn pre-attack, giai đoạn attack và giai đoạn post-attack.

Giai đoạn Pre-Attack

Giai đoạn pre-attack bao gồm lập kế hoạch, chuẩn bị và thiết kế phương pháp để thực hiện kiểm thử thâm nhập. Giai đoạn này tập trung vào việc thu thập càng nhiều thông tin càng tốt về mục tiêu. Nó có thể xâm lấn, chẳng hạn như thu thập thông tin thông qua quét, hoặc nó có thể không xâm lấn, chẳng hạn như xem xét hồ sơ công khai.

Quy tắc Tham gia (ROE) Quy tắc Tham gia (ROE) là các quyền chính thức để tiến hành kiểm thử thâm nhập. Chúng cung cấp một số quyền và hạn chế nhất định cho nhóm kiểm tra để thực hiện bài kiểm tra, và giúp người kiểm tra vượt qua các hạn chế liên quan đến pháp lý, liên bang và chính sách để sử dụng các công cụ và kỹ thuật kiểm thử thâm nhập khác nhau.

ROE có thể cho phép người kiểm tra tiến hành một số hoạt động kỹ thuật và phi kỹ thuật như quét cổng, kỹ thuật xã hội và sniffing mạng, và có thể hạn chế việc tiến hành một số hoạt động nhất định, chẳng hạn như bẻ khóa mật khẩu hoặc tấn công SQL-injection, mà tổ chức có thể cho rằng có hại cho chức năng bình thường của tổ chức hoặc quá xâm lấn. ROE xác định rõ ràng các hoạt động này. Người kiểm tra thâm nhập có thể được phép tiến hành một số hoạt động nhất định mà nếu không sẽ bị coi là bất hợp pháp hoặc vi phạm các hướng dẫn pháp lý, liên bang và chính sách đã thiết lập.

Phạm vi của ROE ROE đóng vai trò như một hướng dẫn cho người kiểm tra thâm nhập và do đó nên giải thích rõ ràng các hoạt động được phép và bị hạn chế trong quá trình kiểm tra.

ROE bao gồm:

  • Các địa chỉ IP/phạm vi cụ thể cần được kiểm tra
  • Bất kỳ máy chủ bị hạn chế nào (tức là các máy chủ, hệ thống hoặc mạng con không được kiểm tra)
  • Danh sách các kỹ thuật kiểm tra được chấp nhận (ví dụ: kỹ thuật xã hội, DoS, v.v.) và công cụ (bẻ khóa mật khẩu, sniffers mạng, v.v.)
  • Thời gian khi kiểm tra được tiến hành (ví dụ: trong giờ làm việc, ngoài giờ làm việc, v.v.)
  • Xác định một khoảng thời gian cụ thể cho việc kiểm tra
  • Địa chỉ IP của các máy mà từ đó kiểm thử thâm nhập sẽ được tiến hành, để quản trị viên có thể phân biệt giữa các cuộc tấn công kiểm thử thâm nhập hợp pháp và các cuộc tấn công độc hại thực sự
  • Điểm liên hệ cho nhóm kiểm thử thâm nhập, các hệ thống được nhắm mục tiêu và mạng
  • Các biện pháp để ngăn chặn việc gọi thực thi pháp luật với cảnh báo sai (được tạo ra bởi việc kiểm tra)
  • Xử lý thông tin được thu thập bởi nhóm kiểm thử thâm nhập

Hiểu Yêu cầu của Khách hàng Trước khi tiến hành kiểm thử thâm nhập, điều quan trọng là phải hiểu đầy đủ yêu cầu của khách hàng để đảm bảo rằng kiểm thử thâm nhập giải quyết chúng một cách đầy đủ.

  • Xác định những gì cần được kiểm tra: HÌNH 1.7: Danh sách kiểm tra các Mục cần được kiểm tra
  • Chọn các lĩnh vực cụ thể cần kiểm tra và chuẩn bị người dùng và quản trị viên
  • Tạo danh sách kiểm tra các yêu cầu kiểm tra
  • Xác định khung thời gian và giờ kiểm tra
  • Phát triển kế hoạch khẩn cấp
  • Đảm bảo tất cả thông tin được sao lưu an toàn trước khi bắt đầu bất cứ điều gì
  • Quyết định định dạng cho báo cáo
  • Xác định ai sẽ tham gia vào báo cáo và giao nhận tài liệu

Tạo Danh sách Kiểm tra các Yêu cầu Kiểm thử Sau đây là một ví dụ về danh sách kiểm tra các yêu cầu kiểm thử thâm nhập:

  • Bạn có bất kỳ chính sách và tiêu chuẩn liên quan đến bảo mật nào không? Nếu có, bạn có muốn chúng được xem xét không?
  • Bố cục mạng là gì (phân đoạn, DMZ, IDS, IPS, v.v.)?
  • Tổ chức khách hàng có yêu cầu phân tích sự hiện diện Internet của họ không?
  • Bạn có muốn xem xét bảo mật vật lý của máy chủ và cơ sở hạ tầng mạng của bạn không?
  • Cấu hình địa chỉ IP cho kết nối mạng nội bộ và bên ngoài là gì?
  • Tổ chức của bạn có yêu cầu kiểm thử thâm nhập các thiết bị mạng như router và switch không? Nếu có,có bao nhiêu router và switch tồn tại trên mạng của bạn?
  • Tổ chức có yêu cầu kiểm thử thâm nhập các máy chủ riêng lẻ không?
  • Có bao nhiêu thiết bị mạng tồn tại trên mạng của khách hàng?
  • Bạn có muốn lập bản đồ sự hiện diện Internet của mình không? Nếu không, bạn có thể cung cấp cho chúng tôi một sơ đồ chi tiết về sự hiện diện Internet của bạn; bao gồm địa chỉ, loại hệ điều hành máy chủ và phần mềm đang được sử dụng trên các máy chủ không? Chúng tôi cũng sẽ cần địa chỉ đang được sử dụng ở cả hai phía của các máy chủ nếu chúng kết nối với cả Internet và mạng nội bộ.
  • Những biện pháp kiểm soát bảo mật nào được triển khai trong toàn tổ chức?
  • Bạn có muốn xem xét bảo mật của các máy trạm trên mạng không? Nếu có, các máy trạm đang chạy hệ điều hành nào? Ngoài ra, bạn muốn kiểm tra bao nhiêu máy trạm?
  • Kiểm thử thâm nhập sẽ bao gồm năm hoặc ít hơn máy chủ của mỗi loại (NT, UNIX và Novell); bạn có muốn xem xét thêm máy chủ không? Nếu có, bao nhiêu máy chủ mỗi loại?
  • Tổ chức có yêu cầu đánh giá mạng không dây không?
  • Tổ chức có yêu cầu đánh giá các thiết bị analog trong mạng không?
  • Tổ chức có triển khai lực lượng lao động di động không? Nếu có, có cần đánh giá bảo mật di động không?
  • Ứng dụng web và dịch vụ nào được cung cấp bởi khách hàng?
  • Tổ chức có yêu cầu đánh giá cơ sở hạ tầng web không?
  • Bạn có muốn nhóm kiểm tra tiến hành kiểm tra từ chối dịch vụ không? Việc kiểm tra này có thể có tác động bất lợi đến các hệ thống được kiểm tra. Chúng tôi có thể sắp xếp để thực hiện kiểm tra này trong giờ không sản xuất.
  • Bạn có muốn nhóm kiểm tra tiến hành quét modem trên các đường điện thoại analog của bạn không?
  • Bạn đang sử dụng loại máy chủ RAS nào và có bao nhiêu modem được sử dụng?
  • Bạn có muốn thăm các địa điểm khác để thực hiện đánh giá trên các hệ thống không?

Xác định Phạm vi Kiểm thử Thâm nhập Phạm vi của kiểm thử thâm nhập xác định các khu vực cần được kiểm tra. Nó đảm bảo rằng nhóm bao gồm tất cả các hệ thống yêu cầu đánh giá.

Phạm vi dự án xem xét các yêu cầu của tất cả các bên liên quan. Tổ chức và nhóm kiểm tra nên xác định rõ ràng tất cả các mục tiêu trước khi tạo phạm vi của dự án. Các mục tiêu sau đây yêu cầu ưu tiên cao hơn:

  • Kết quả: Danh sách các báo cáo sẽ được cung cấp sau khi hoàn thành dự án.
  • Chức năng: Xác minh xem hệ thống có hoạt động như mong đợi không.
  • Định nghĩa dữ liệu: Định nghĩa về hình thức mà kết quả kiểm tra sẽ có.
  • Cấu trúc kỹ thuật: Thiết kế của dự án dưới dạng sơ đồ luồng.

Các thay đổi được đưa vào trong quá trình phát triển dự án ảnh hưởng đến phạm vi của kiểm thử thâm nhập. Thông thường, khách hàng không hiểu tác động của các thay đổi. Dự án càng có nhiều thay đổi, nó sử dụng càng nhiều thời gian và tài nguyên. Trưởng nhóm tham gia nên giải thích ảnh hưởng của các thay đổi trong yêu cầu cho khách hàng. Thường xuyên, một người từ công ty khách hàng liên tục cập nhật về tiến độ của dự án.

Trưởng nhóm tham gia nên cân bằng thời gian và chi phí dự án liên quan đến phạm vi của dự án. Nhóm nên loại bỏ tất cả các thay đổi trong yêu cầu vượt quá phạm vi. Các yếu tố khác cần xem xét khi xác định phạm vi dự án là:

  • Thay đổi quy trình kinh doanh
  • Thay đổi công nghệ
  • Thay đổi địa điểm
  • Thay đổi ứng dụng

Nhóm kiểm tra nên kiểm tra tất cả các tính năng mà dự án sẽ thể hiện như một phần của đặc tả thiết kế. Các tính năng cần được kiểm tra bao gồm các lĩnh vực sau:

  • Bảo mật Mạng: Nhóm kiểm tra nên kiểm tra tất cả các thành phần mạng về bảo mật và cấu hình.
  • Bảo mật Phần mềm Hệ thống: Kiểm thử thâm nhập nên xác định các lỗ hổng phần mềm hệ thống.
  • Bảo mật Ứng dụng Phía Khách hàng: Nhóm kiểm tra nên kiểm tra các ứng dụng phía khách hàng về bảo mật và tuân thủ các yêu cầu hệ thống.
  • Bảo mật Giao tiếp Ứng dụng Phía Khách hàng đến Máy chủ: Nhóm kiểm tra nên kiểm tra việc truyền dữ liệu về bảo mật.
  • Bảo mật Ứng dụng Phía Máy chủ: Nhóm kiểm tra nên kiểm tra các ứng dụng trên máy chủ web và máy chủ ứng dụng về lỗi.
  • Bảo mật Tài liệu: Nhóm kiểm tra nên tư vấn cho tổ chức để nâng cao bảo mật. Nhân viên nên hủy các tài liệu không còn được sử dụng, nhưng chứa các chi tiết quan trọng của tổ chức. Nhóm kiểm tra nên nhấn mạnh việc sử dụng máy hủy tài liệu.
  • Kỹ thuật Xã hội: Triển khai các kỹ thuật kỹ thuật xã hội để lừa các cá nhân tiết lộ thông tin nhạy cảm như mật khẩu, chi tiết dự án, v.v.
  • Bảo mật Giao tiếp Ứng dụng: Đánh giá bảo mật giao tiếp ứng dụng về bất kỳ sự can thiệp trái phép nào.
  • Bảo mật Vật lý: Tổ chức nên hạn chế quyền truy cập vật lý chỉ cho các bộ phận liên quan.
  • Dumpster Diving: Tìm kiếm kho báu (thông tin nhạy cảm) trong rác của mục tiêu.
  • Đồng phạm Nội bộ: Nhóm nên kiểm tra các nhân viên bất mãn, những người có thể tiết lộ thông tin bí mật cho đối thủ cạnh tranh của công ty.
  • Phá hoại Gây nhầm lẫn Kẻ xâm nhập: Các tổ chức thường thực hiện các chiến lược khác nhau như honeypot để gây nhầm lẫn hoặc đánh lạc hướng kẻ xâm nhập. Kẻ xâm nhập sẽ tấn công hệ thống nghĩ rằng nó là thật, nhưng hệ thống đó sẽ là một hệ thống mồi được giám sát bởi quản trị viên. Là một người kiểm tra thâm nhập, bạn phải kiểm tra và vượt qua các chiến lược gây nhầm lẫn kẻ xâm nhập khác nhau.
  • Phát hiện Xâm nhập: Nhóm nên kiểm tra bất kỳ IDS hoặc IPS nào.
  • Phản ứng Xâm nhập: Xác định phản ứng thích hợp cho từng sự cố.

Ký Hợp đồng Kiểm thử Thâm nhập Một hợp đồng kiểm thử thâm nhập nên bao gồm tất cả các điều khoản cần thiết và thông tin và điều kiện khác cho cả hai bên tham gia vào kiểm thử thâm nhập. Nó nên nêu rõ quyền và trách nhiệm của cả hai bên. Hợp đồng kiểm thử thâm nhập phải được soạn thảo bởi một luật sư và được ký bởi người kiểm tra thâm nhập và tổ chức. Một hợp đồng được xây dựng tốt phải nêu rõ tất cả các điểm, chẳng hạn như:

  • Điều khoản không tiết lộ: Tổ chức mục tiêu soạn thảo điều khoản này để bảo vệ thông tin bí mật của họ.
  • Mục tiêu của kiểm thử thâm nhập: Phần này của hợp đồng kiểm thử thâm nhập nêu rõ lý do thực hiện kiểm thử thâm nhập và mục tiêu của bài kiểm tra.
  • Phí và lịch trình dự án: Đây là các tùy chọn thanh toán và giá cả của dịch vụ kiểm thử thâm nhập.
  • Thông tin nhạy cảm: Bao gồm thông tin liên quan đến tài sản điện tử của tổ chức mục tiêu, các ứng dụng đang phát triển, tham số bảo mật mạng hoặc thông tin nhạy cảm khác mà nhóm kiểm thử thâm nhập yêu cầu.
  • Thông tin bí mật: Thông tin bí mật bao gồm thông tin bí mật thương mại, thông tin mạng, thông tin hệ thống điện thoại, dữ liệu khách hàng, tài liệu kinh doanh, v.v. Thông tin này được cung cấp cho người kiểm tra thâm nhập, một cách bí mật, cho mục đích kiểm tra với điều kiện là thông tin bí mật sẽ không được tiết lộ hoặc sao chép cho bất kỳ bên thứ ba, công ty hoặc doanh nghiệp nào khác trừ khi được nêu trong ủy quyền bằng văn bản của bên tiết lộ.
  • Điều khoản bồi thường: Điều khoản này bảo vệ người kiểm tra thâm nhập/cơ quan khỏi bất kỳ trách nhiệm pháp lý hoặc tài chính nào, trong trường hợp kiểm thử thâm nhập dẫn đến mất mát hoặc thiệt hại cho tài sản của tổ chức.
  • Báo cáo và trách nhiệm: Hướng dẫn hợp đồng nêu rõ phương pháp để thực hiện kiểm tra và các thủ tục và lịch trình báo cáo cho nhiệm vụ được giao.

Ký Thỏa thuận Bảo mật và Thỏa thuận Không Tiết lộ (NDA) Hai tài liệu quan trọng cần hoàn thành trước khi bắt đầu bất kỳ kiểm thử thâm nhập nào là thỏa thuận bảo mật và thỏa thuận không tiết lộ (NDA). Thỏa thuận bảo mật nêu rõ rằng thông tin được cung cấp bởi tổ chức mục tiêu là bí mật và độc quyền. Thỏa thuận này cũng bao gồm các khía cạnh chính của sự bất cẩn và trách nhiệm pháp lý cho nhiều vấn đề tiềm ẩn. Tổ chức mục tiêu nên cẩn thận trong việc soạn thảo thỏa thuận, vì nhiều công ty kiểm tra sẽ cố gắng tránh trách nhiệm pháp lý ngay cả trong trường hợp bất cẩn. Đảm bảo rằng công ty cung cấp dịch vụ có bảo hiểm cho các thiệt hại.

Thỏa thuận không tiết lộ (NDA) bảo vệ thông tin bí mật của một tổ chức trong các giao dịch kinh doanh với khách hàng, nhà cung cấp, nhân viên và báo chí. Một NDA bằng văn bản là một công cụ pháp lý mạnh mẽ, quy định rằng không bên nào sẽ tiết lộ bất kỳ bí mật thương mại, bằng sáng chế hoặc thông tin độc quyền nào khác cho bất kỳ ai bên ngoài công ty. Một bên có thể khởi kiện pháp lý đối với bên kia vì bất kỳ vi phạm nào đối với thỏa thuận đã được ghi lại trong khi tổ chức có thể kiện đòi bồi thường thiệt hại và bồi thường. Nhiều tài liệu và thông tin khác liên quan đến kiểm thử thâm nhập chứa thông tin quan trọng có thể gây hại cho một hoặc cả hai bên nếu bị tiết lộ không đúng cách.

Cả hai bên đều phải chịu trách nhiệm bảo vệ các công cụ, kỹ thuật, lỗ hổng và thông tin khỏi việc tiết lộ ngoài các điều khoản được quy định bởi một thỏa thuận bằng văn bản. Các lĩnh vực cụ thể cần xem xét bao gồm:

  • Quyền sở hữu thông tin lưu chuyển trên mạng (nội bộ và trong DMZ)
  • Sử dụng các báo cáo đánh giá
  • Sử dụng phương pháp kiểm tra trong tài liệu khách hàng

Các điểm cần xem xét khi soạn thảo một NDA

  • Xác định thông tin thực sự có giá trị và thông tin quan trọng đối với công ty.
  • Chỉ rõ rằng người ký thỏa thuận không nên tiết lộ những điều được đề cập trong đó.
  • Xác định rõ ràng tất cả các bên trong thỏa thuận.
  • Bao gồm cụ thể ngày bắt đầu và thời gian của thời kỳ không tiết lộ.

Tất cả các bên tham gia vào thỏa thuận NDA nên có nó được xem xét bởi các cố vấn pháp lý tương ứng của họ.

Giai đoạn Pre-Attack: Thu thập Thông tin Trong giai đoạn pre-attack, nhóm kiểm tra sẽ thu thập càng nhiều thông tin càng tốt về công ty mục tiêu. Hầu hết thông tin bị rò rỉ liên quan đến cấu trúc mạng và các loại dịch vụ đang chạy trong tổ chức. Nhóm có thể sử dụng thông tin này để tạm thời lập bản đồ mạng để lập kế hoạch cho một chiến lược tấn công phối hợp hơn sau này.

Giai đoạn này có thể bao gồm việc truy xuất thông tin như sau:

  • Vị trí vật lý và logic của tổ chức: Lập bản đồ giai đoạn này với các công cụ và kỹ thuật được thảo luận trong chương footprinting. Ví dụ bao gồm sử dụng cơ sở dữ liệu WHOIS hoặc công cụ tìm kiếm như Google, và tìm khối mạng bằng cách sử dụng RIR hoặc trang web của công ty. Kỹ thuật này phân tích dữ liệu trả về trong quá trình tương tác bình thường với tổ chức, chẳng hạn như các biểu ngữ và thông báo hệ thống khác được trả về khi kết nối với Web hoặc máy chủ thư.
  • Kết nối analog: Bao gồm đường dây điện thoại, đường fax, đường quay số và các loại kết nối ngoài băng tần khác. Người kiểm tra ghi lại những chi tiết này để sử dụng sau này với các công cụ quay số chiến tranh. Điểm quan trọng ở đây là bỏ qua bảo mật thông thường được cung cấp bởi tường lửa, DMZ và những thứ tương tự bằng cách tận dụng một modem không được bảo vệ.
  • Thông tin liên hệ: Người kiểm tra lấy bất kỳ thông tin liên hệ nào trực tuyến, trong danh bạ điện thoại hoặc ở nơi khác. Người kiểm tra có thể tìm kiếm các nguồn như phương tiện truyền thông in ấn để có được thông tin cá nhân và sử dụng các kỹ thuật kỹ thuật xã hội để trích xuất thông tin. Điều này có thể bao gồm vi phạm bảo mật vật lý (đi theo sau), lục thùng rác và mạo danh.
  • Thông tin về các tổ chức khác: Thông tin về các tổ chức kết nối với tổ chức mục tiêu là một khoảng trống bảo mật quan trọng. Vì bảo mật chỉ mạnh như mắt xích yếu nhất, nên có thể vi phạm bảo mật bằng cách lợi dụng một mắt xích yếu. Ví dụ bao gồm các trang web thương mại của bên thứ ba hoặc đối tác sử dụng cài đặt mặc định của các thành phần ứng dụng Web được biết là có lỗ hổng.
  • Thông tin khác: Thông tin có tiềm năng khai thác có thể bao gồm bài đăng công việc, bài đăng nhóm tin nhắn, thông cáo báo chí và thậm chí cả các cuộc trò chuyện thông thường.

Reconnaissance Thụ động Reconnaissance thụ động là nỗ lực của hacker để do thám hoặc khảo sát các mục tiêu tiềm năng và sau đó điều tra mục tiêu bằng cách sử dụng thông tin có sẵn công khai. Quyền truy cập vào thông tin này độc lập với tài nguyên của tổ chức, và bất kỳ ai cũng có thể truy cập thông tin này một cách tự do. Loại reconnaissance này, do đó, khó phát hiện.

Các bước reconnaissance thụ động được chỉ ra bao gồm (nhưng không giới hạn ở) những điều sau:

  • Xác định cấu trúc thư mục của các máy chủ Web và FTP.
  • Thu thập thông tin tình báo cạnh tranh qua các nhóm tin tức, bảng tin và các trang web phản hồi ngành công nghiệp để tìm tham chiếu và đệ trình từ tổ chức. Người kiểm tra cũng có thể lấy thông tin liên quan từ các bài đăng công việc bao gồm số lượng nhân viên cần thiết, và sơ yếu lý lịch và trách nhiệm. Điều này cũng có thể bao gồm ước tính chi phí của cơ sở hạ tầng hỗ trợ.
  • Xác định giá trị của cơ sở hạ tầng đang giao tiếp với Web — Người kiểm tra có thể thực hiện phân loại tài sản như được mô tả theo ISO 17799. Điều này giúp định lượng rủi ro có thể chấp nhận được đối với doanh nghiệp.
  • Truy xuất thông tin đăng ký mạng từ cơ sở dữ liệu WHOIS, sử dụng các trang web tài chính để xác định tài sản quan trọng và tìm kiếm các dịch vụ kinh doanh liên quan đến bên đã đăng ký.
  • Xác định phạm vi sản phẩm và dịch vụ của công ty mục tiêu có sẵn trực tuyến hoặc có thể yêu cầu trực tuyến — ước tính mức độ đe dọa đối với chúng bằng cách kiểm tra tài liệu có sẵn, các lỗ hổng sản phẩm của bên thứ ba liên quan, crack và phiên bản.
  • Sàng lọc tài liệu — điều này đề cập đến việc thu thập thông tin chỉ từ tài liệu đã xuất bản. Điều này bao gồm xem qua mã nguồn trang web, xác định nhân sự chủ chốt và điều tra thêm về họ bằng cách kiểm tra lý lịch dựa trên sơ yếu lý lịch đã xuất bản, liên kết và thông tin có sẵn công khai như trang web cá nhân, địa chỉ email cá nhân hoặc cơ sở dữ liệu công việc.
  • Kỹ thuật xã hội — điều này đề cập đến việc lừa các cá nhân tiết lộ thông tin nhạy cảm. Mục tiêu ở đây là trích xuất thông tin nhạy cảm và phân loại nó.

Reconnaissance Chủ động Quá trình thu thập thông tin xâm phạm vào lãnh thổ mục tiêu. Trong trường hợp này, kẻ thủ phạm có thể gửi các thăm dò đến mục tiêu dưới dạng quét cổng, quét mạng, liệt kê chia sẻ và tài khoản người dùng, v.v. Hacker có thể áp dụng các kỹ thuật như kỹ thuật xã hội và sử dụng các công cụ tự động hóa các nhiệm vụ này, chẳng hạn như máy quét và sniffer.

  • Lập bản đồ mạng Lập bản đồ mạng bằng cách lấy thông tin từ số đăng ký miền máy chủ được phát hiện trong giai đoạn reconnaissance thụ động. Khối IP tạo thành xương sống của mạng. Điều tra các liên kết mạng cả upstream và downstream. Những điều này bao gồm các máy chủ tên chính và phụ cho các máy chủ và tên miền phụ.

Các bước bao gồm (nhưng không giới hạn ở): o Diễn giải các phản hồi quảng bá từ mạng o Sử dụng ICMP để quét mạng, nếu ICMP không bị chặn o Sử dụng tra cứu tên ngược để xác minh địa chỉ

  • Lập bản đồ vùng ngoài Lập bản đồ vùng ngoài bằng cách traceroute cổng để xác định lớp mạng ngoài và router, và theo dõi dấu vết hệ thống trong nhật ký Web và nhật ký xâm nhập. Người kiểm tra cũng có thể theo dõi dấu vết hệ thống từ các bài đăng Web và bảng tin.

Các bước bao gồm (nhưng không giới hạn ở): o Phân tích phản hồi traceroute và lập bản đồ vùng ngoài bằng cách sử dụng các kỹ thuật Firewalking o Sử dụng các nguồn trực tuyến như Netcraft để tìm hiểu thêm về cơ sở hạ tầng hệ thống thông tin (IS) và dữ liệu hiệu suất lịch sử. Làm như vậy sẽ cho thời gian hoạt động của máy chủ để xác định xem các bản phát hành bản vá mới nhất đã được áp dụng hay chưa. Xác minh chúng.

  • Xác định hệ thống và dịch vụ thông qua quét cổng Điều này sẽ dẫn đến việc xác định các hệ thống và địa chỉ IP của chúng, trạng thái cổng (mở, đóng hoặc được lọc), giao thức được sử dụng (định tuyến hoặc đường hầm), dịch vụ đang hoạt động và loại dịch vụ, loại ứng dụng dịch vụ và mức bản vá, dấu vân tay hệ điều hành, xác định phiên bản, địa chỉ IP nội bộ, v.v.

Các bước bao gồm (nhưng không giới hạn ở): o Triển khai quét kết nối cho tất cả các máy chủ trên mạng. Sử dụng điều này thông qua cổng 1024 để liệt kê các cổng. o Triển khai quét SYN stealth cho các cổng 20, 21, 22, 23, 25, 80 và 443. Mở rộng quét này đến các hệ thống đang hoạt động để phát hiện trạng thái cổng. o Triển khai quét ACK cho các cổng 3100-3150, 10001-10050 và 33500-33550 bằng cách sử dụng cổng TCP 80 làm nguồn để vượt qua tường lửa. o Triển khai quét phân mảnh theo thứ tự ngược với các cờ FIN, NULL và XMAS được đặt cho các cổng 21, 22, 25, 80 và 443. Người kiểm tra sử dụng điều này để liệt kê tập hợp con của các cổng trong kiểm tra phân mảnh gói mặc định. o Triển khai quét bounce FTP và quét không hoạt động cho các cổng 22, 81, 111, 132, 137 và 161 để xâm nhập vào DMZ. o Triển khai quét UDP để kiểm tra lọc cổng trên một tập hợp con nhỏ. o Lập danh mục tất cả các giao thức. Ghi chú bất kỳ giao thức đường hầm hoặc đóng gói nào. o Lập danh mục tất cả các dịch vụ được xác định cho các cổng được phát hiện – dù được lọc hay không. Ghi chú việc ánh xạ lại dịch vụ và chuyển hướng hệ thống. o Lập danh mục tất cả các ứng dụng được xác định bằng cách sử dụng các máy quét như Nmap. Ngoài ra, bạn có thể truy xuất thông tin như mức bản vá và dấu vân tay phiên bản.

  • Lập hồ sơ Web Giai đoạn này sẽ cố gắng lập hồ sơ và lập bản đồ hồ sơ Internet của tổ chức. Thông tin thu được sẽ được sử dụng cho các kỹ thuật tấn công sau này như SQL injection, hack máy chủ và ứng dụng Web, chiếm đoạt phiên, từ chối dịch vụ, v.v.

Các bước bao gồm :

o Lập danh mục tất cả các biểu mẫu dựa trên Web, các loại đầu vào của người dùng và điểm đến gửi biểu mẫu

o Lập danh mục dữ liệu quyền riêng tư Web bao gồm các loại cookie (liên tục hoặc phiên), bản chất và vị trí thông tin được lưu trữ, quy tắc hết hạn cookie và mã hóa được sử dụng

o Lập danh mục thông báo lỗi Web, lỗi trong dịch vụ, liên kết bên thứ ba và ứng dụng; xác định điểm đến

Thông tin thu thập được trong giai đoạn pre-attack bao gồm:

  • Bất kỳ thông tin nào khác có khả năng dẫn đến khai thác có thể xảy ra
  • Thông tin tình báo cạnh tranh
  • Thông tin đăng ký mạng
  • Thông tin máy chủ DNS và máy chủ thư
  • Thông tin hệ điều hành
  • Thông tin người dùng
  • Thông tin xác thực thông tin xác thực
  • Kết nối analog
  • Thông tin liên hệ
  • Thông tin trang web
  • Vị trí vật lý và logic của tổ chức
  • Phạm vi sản phẩm và dịch vụ của công ty mục tiêu có sẵn trực tuyến

Giai đoạn Attack

Thông tin thu thập được trong giai đoạn pre-attack tạo cơ sở cho chiến lược tấn công. Trước khi quyết định về chiến lược tấn công, người kiểm tra có thể chọn thực hiện quá trình thu thập thông tin xâm lấn như quét.

Giai đoạn tấn công liên quan đến việc thực sự xâm phạm mục tiêu. Kẻ tấn công có thể khai thác một lỗ hổng được phát hiện trong giai đoạn pre-attack hoặc sử dụng các lỗ hổng bảo mật như chính sách bảo mật yếu để có quyền truy cập vào hệ thống. Điểm quan trọng ở đây là trong khi kẻ tấn công chỉ cần một cổng xâm nhập, các tổ chức cần phải bảo vệ nhiều cổng. Một khi đã vào bên trong, kẻ tấn công có thể leo thang đặc quyền và cài đặt một cửa hậu để duy trì quyền truy cập vào hệ thống và khai thác nó.

Trong giai đoạn tấn công, người kiểm tra thâm nhập cần:

  • Xâm nhập vòng ngoài
  • Chiếm được mục tiêu
  • Leo thang đặc quyền
  • Thực thi, cài đặt, rút lui

Hoạt động: Kiểm tra Vòng ngoài

Kỹ thuật xã hội sẽ là một hoạt động liên tục trong suốt giai đoạn kiểm tra. Các bài kiểm tra trong bối cảnh này bao gồm, nhưng không giới hạn ở, thực hiện các cuộc gọi điện thoại giả mạo hoặc giả danh để thu thập thông tin nhạy cảm, xác minh thông tin thu thập được thông qua các hoạt động như lục thùng rác, và cố gắng lấy được thông tin xác thực hợp pháp như mật khẩu và đặc quyền truy cập. Các phương tiện khác bao gồm kiểm tra email, thu thập người đáng tin cậy, và cố gắng truy xuất chi tiết xác thực hợp pháp như mật khẩu và đặc quyền truy cập. Người kiểm tra có thể sử dụng thông tin thu thập được ở đây trong kiểm tra ứng dụng web.

  • Kiểm tra Tường lửa

Nhóm kiểm tra thâm nhập sử dụng thông tin thu được trong giai đoạn pre-attack bằng các kỹ thuật như Firewalking. Họ cố gắng vượt qua IDS và tường lửa.

Điều này bao gồm tạo và gửi các gói tin để kiểm tra quy tắc tường lửa – ví dụ, gửi các gói SYN để kiểm tra phát hiện ẩn. Điều này sẽ xác định bản chất của các phản hồi gói tin khác nhau thông qua tường lửa. Người kiểm tra thâm nhập có thể sử dụng các gói TCP/IP tùy chỉnh với các kết hợp cờ khác nhau để liệt kê mạng mục tiêu. Điều này cũng cho biết về kiểm soát cổng nguồn của mục tiêu.

Thông thường, kiểm tra vòng ngoài đo lường khả năng của tường lửa trong việc xử lý phân mảnh, các phân đoạn gói lớn, các phân đoạn chồng chéo, một lượng lớn gói tin, v.v. Các phương pháp kiểm tra bảo mật vòng ngoài bao gồm, nhưng không giới hạn ở, các kỹ thuật sau:

o Đánh giá báo cáo lỗi và quản lý lỗi với các probe ICMP o Kiểm tra danh sách kiểm soát truy cập với các gói được tạo ra o Đo ngưỡng cho từ chối dịch vụ bằng cách cố gắng kết nối TCP liên tục, đánh giá kết nối TCP tạm thời và cố gắng kết nối UDP liên tục o Đánh giá quy tắc lọc giao thức bằng cách cố gắng kết nối sử dụng các giao thức khác nhau như SSH, FTP và Telnet o Đánh giá khả năng IDS bằng cách truyền nội dung độc hại (như URL được tạo sai) và quét mục tiêu khác nhau để đáp ứng với lưu lượng bất thường o Kiểm tra phản ứng của hệ thống bảo mật vòng ngoài đối với việc quét máy chủ web sử dụng nhiều phương pháp như POST, DELETE và COPY

Liệt kê Thiết bị

Một bản kiểm kê thiết bị là một danh mục các thiết bị mạng với mô tả về từng thiết bị. Trong các giai đoạn đầu của kiểm tra thâm nhập, nhóm kiểm tra có thể tham chiếu các thiết bị bằng định danh của chúng trong mạng (như địa chỉ IP, địa chỉ MAC, v.v.). Họ có thể sử dụng các công cụ liệt kê thiết bị và “ping” tất cả các thiết bị trên mạng để tạo một bản kiểm kê tất cả các thiết bị.

Sau đó, khi có kiểm tra bảo mật vật lý, các thiết bị có thể được kiểm tra chéo để xác minh vị trí và danh tính của chúng. Bước này có thể giúp xác định các thiết bị trái phép trên mạng. Một phương pháp khác là thực hiện quét ping để phát hiện phản hồi từ các thiết bị và sau đó tương quan kết quả với bản kiểm kê thực tế.

Sau đây là các tham số có thể có trong một bảng kiểm kê:

  • ID thiết bị
  • Mô tả
  • Tên máy chủ
  • Vị trí vật lý
  • Địa chỉ IP và địa chỉ MAC
  • Khả năng truy cập mạng

Hoạt động: Chiếm được Mục tiêu

Thông thường, việc chiếm được mục tiêu đề cập đến tất cả các hoạt động để khai thác càng nhiều thông tin càng tốt về một máy hoặc hệ thống cụ thể. Chiếm được một mục tiêu đề cập đến tập hợp các hoạt động trong đó người kiểm tra đặt máy mục tiêu vào các thách thức xâm nhập hơn như quét lỗ hổng và đánh giá bảo mật. Điều này giúp thu thập thêm thông tin về mục tiêu và khai thác nó trong giai đoạn khai thác.

Ví dụ về các hoạt động như vậy bao gồm việc đặt máy vào các thủ tục sau:

  • Các cuộc tấn công dò dẫm chủ động: Điều này có thể sử dụng kết quả của các lần quét mạng để thu thập thêm thông tin có thể dẫn đến xâm phạm.
  • Chạy quét lỗ hổng: Các lần quét lỗ hổng được hoàn thành trong giai đoạn này.
  • Đánh giá hệ thống và quy trình đáng tin cậy: Điều này liên quan đến việc cố gắng truy cập tài nguyên của máy bằng cách sử dụng thông tin hợp pháp thu được thông qua kỹ thuật xã hội hoặc các phương tiện khác.

Hoạt động: Leo thang Đặc quyền

Kẻ tấn công lợi dụng các lỗi, thiếu sót trong thiết kế hoặc cấu hình sai trong hệ điều hành hoặc ứng dụng để có quyền truy cập nâng cao vào các tài nguyên thường được bảo vệ từ một ứng dụng hoặc người dùng. Leo thang đặc quyền thường được thực hiện bởi kẻ tấn công để thực hiện các hoạt động độc hại khác nhau như xóa tệp, xem thông tin nhạy cảm hoặc cài đặt các chương trình độc hại như trojan và virus. Do đó, một khi người kiểm tra thâm nhập quản lý xâm nhập vào hệ thống mục tiêu, anh ta hoặc cô ta phải cố gắng khai thác hệ thống và có thêm quyền truy cập vào các tài nguyên được bảo vệ.

Các hoạt động bao gồm (nhưng không giới hạn ở) các kỹ thuật sau:

  • Người kiểm tra có thể lợi dụng các chính sách bảo mật yếu, email hoặc mã web không an toàn để thu thập thông tin có thể dẫn đến leo thang đặc quyền.
  • Sử dụng các kỹ thuật như tấn công vét cạn để đạt được trạng thái đặc quyền. Các công cụ cho mục đích này bao gồm GetAdmin và các công cụ bẻ khóa mật khẩu.
  • Sử dụng trojan và phân tích giao thức.
  • Sử dụng thông tin thu được thông qua các kỹ thuật như kỹ thuật xã hội để có quyền truy cập trái phép vào các tài nguyên đặc quyền.

Hoạt động: Thực thi, Cài đặt và Rút lui

Trong giai đoạn này, người kiểm tra thực sự xâm phạm hệ thống đã chiếm được bằng cách thực thi mã tùy ý. Mục tiêu ở đây là khám phá mức độ mà bảo mật thất bại. Người kiểm tra sẽ cố gắng thực thi mã tùy ý, ẩn các tệp trong hệ thống bị xâm phạm và rời khỏi hệ thống mà không gây ra cảnh báo. Sau đó người kiểm tra sẽ cố gắng quay lại hệ thống một cách bí mật. Các hoạt động bao gồm các quy trình sau:

  • Thực thi các khai thác (exploits) đã có sẵn hoặc được tạo ra đặc biệt để tận dụng các lỗ hổng được xác định trong hệ thống mục tiêu.
  • Đặt hệ thống vào các cuộc tấn công từ chối dịch vụ (denial-of-service attacks). Điều này cũng có thể được thực hiện trong giai đoạn trước.
  • Khai thác tràn bộ đệm (buffer overflow) để lừa hệ thống chạy mã tùy ý. Người kiểm tra có thể tạo ra một shell từ xa và cố gắng tải lên các tệp và che giấu chúng trong hệ thống.
  • Người kiểm tra cũng có thể sử dụng virus, trojan và rootkit lợi dụng các lỗ hổng để khai thác hệ thống. Việc thiết lập một rootkit hoặc trojan có thể dẫn đến việc truy cập các hệ thống quan trọng hơn cũng có thể là một phần của quá trình kiểm tra.
  • Xóa các tệp nhật ký (log files) hoặc ngụy trang các sửa đổi để tránh các hệ quả pháp lý. Các hoạt động trong giai đoạn rút lui bao gồm thao tác các tệp nhật ký kiểm toán để xóa dấu vết của các hoạt động. Ví dụ bao gồm sử dụng các công cụ như Auditpol. Người kiểm tra cũng có thể thay đổi cài đặt hệ thống để duy trì ẩn danh trong quá trình quay lại, thay đổi cài đặt nhật ký, v.v.
  • Quay lại hệ thống bằng cách sử dụng cửa hậu (backdoor) được cài đặt bởi người kiểm tra.

Giai đoạn Post-Attack

Giai đoạn post-attack bao gồm báo cáo, dọn dẹp và hủy các hiện vật (artifact destruction). Giai đoạn này rất quan trọng đối với bất kỳ cuộc kiểm tra thâm nhập nào, vì đó là trách nhiệm của người kiểm tra để khôi phục các hệ thống về trạng thái trước khi kiểm tra. Mục tiêu của bài kiểm tra là chỉ ra nơi bảo mật thất bại, và trừ khi có một mở rộng của thỏa thuận kiểm tra thâm nhập, trong đó người kiểm tra được giao trách nhiệm sửa chữa tư thế bảo mật của các hệ thống, giai đoạn này phải được hoàn thành.

Các hoạt động trong giai đoạn này bao gồm (nhưng không giới hạn ở) những điều sau:

  • Xóa tất cả các tệp đã tải lên hệ thống
  • Dọn dẹp tất cả các mục nhập registry và loại bỏ các lỗ hổng đã tạo
  • Đảo ngược tất cả các thao tác tệp và cài đặt được thực hiện trong quá trình kiểm tra
  • Đảo ngược tất cả các thay đổi trong đặc quyền và cài đặt người dùng
  • Loại bỏ tất cả các công cụ và khai thác khỏi các hệ thống đã kiểm tra
  • Khôi phục mạng về trạng thái trước khi kiểm tra bằng cách loại bỏ các chia sẻ và kết nối
  • Lập bản đồ trạng thái mạng
  • Ghi lại và thu thập tất cả các nhật ký đã đăng ký trong quá trình kiểm tra
  • Phân tích tất cả kết quả và trình bày chúng dưới dạng báo cáo cho tổ chức

Điều quan trọng là người kiểm tra thâm nhập phải ghi lại tất cả các hoạt động và ghi lại tất cả các quan sát và kết quả, để bài kiểm tra có thể được lặp lại và xác minh cho tư thế bảo mật đã cho của tổ chức. Để tổ chức có thể định lượng rủi ro bảo mật theo thuật ngữ kinh doanh, điều cần thiết là người kiểm tra xác định các hệ thống và tài nguyên quan trọng, và lập bản đồ các mối đe dọa cho cả hai.

Luật và Tiêu chuẩn Bảo mật Thông tin

Luật hoạt động như một hệ thống các quy tắc và hướng dẫn được thực thi bởi một quốc gia hoặc cộng đồng cụ thể để quản lý hành vi. Một Tiêu chuẩn là một “tài liệu được thiết lập bằng sự đồng thuận và được phê duyệt bởi một cơ quan được công nhận cung cấp, cho mục đích sử dụng chung và lặp lại, các quy tắc, hướng dẫn hoặc đặc điểm cho các hoạt động hoặc kết quả của chúng, nhằm đạt được mức độ trật tự tối ưu trong một bối cảnh nhất định. Phần này đề cập đến các luật và tiêu chuẩn khác nhau liên quan đến bảo mật thông tin ở các quốc gia khác nhau.

Tiêu chuẩn Bảo mật Dữ liệu PCI (PCI DSS)

Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (Payment Card Industry Data Security Standard – PCI DSS) là một tiêu chuẩn bảo mật thông tin độc quyền cho các tổ chức xử lý thông tin chủ thẻ cho các thẻ ghi nợ, tín dụng, trả trước, e-purse, ATM và POS chính.

PCI DSS áp dụng cho tất cả các thực thể tham gia vào xử lý thẻ thanh toán – bao gồm các thương gia, bộ xử lý, bên thu mua, bên phát hành và nhà cung cấp dịch vụ, cũng như tất cả các thực thể khác lưu trữ, xử lý hoặc truyền dữ liệu chủ thẻ.

Tổng quan cấp cao về các yêu cầu PCI DSS được phát triển và duy trì bởi Hội đồng Tiêu chuẩn Bảo mật PCI bao gồm:

  1. Xây dựng và Duy trì Mạng An toàn
  2. Bảo vệ Dữ liệu Chủ thẻ
  3. Duy trì Chương trình Quản lý Lỗ hổng
  4. Triển khai Các Biện pháp Kiểm soát Truy cập Mạnh mẽ
  5. Giám sát và Kiểm tra Mạng Thường xuyên
  6. Duy trì Chính sách Bảo mật Thông tin

Việc không đáp ứng các yêu cầu PCI DSS có thể dẫn đến các khoản phạt hoặc chấm dứt đặc quyền xử lý thẻ thanh toán.

ISO/IEC 27001:2013

ISO/IEC 27001:2013 quy định các yêu cầu để thiết lập, thực hiện, duy trì và cải tiến liên tục hệ thống quản lý an toàn thông tin trong bối cảnh của tổ chức. Nó nhằm phù hợp với một số loại sử dụng khác nhau, bao gồm:

  • Sử dụng trong các tổ chức để xây dựng các yêu cầu và mục tiêu bảo mật
  • Sử dụng trong các tổ chức như một cách để đảm bảo rằng các rủi ro bảo mật được quản lý hiệu quả về chi phí
  • Sử dụng trong các tổ chức để đảm bảo tuân thủ luật pháp và quy định
  • Định nghĩa các quy trình quản lý an toàn thông tin mới
  • Xác định và làm rõ các quy trình quản lý an toàn thông tin hiện có
  • Sử dụng bởi ban quản lý của các tổ chức để xác định trạng thái của các hoạt động quản lý an toàn thông tin
  • Triển khai an toàn thông tin hỗ trợ kinh doanh
  • Sử dụng bởi các tổ chức để cung cấp thông tin liên quan về an toàn thông tin cho khách hàng

Đạo luật về Trách nhiệm Giải trình và Cách ly Thông tin Y tế (HIPAA)

HIPAA cung cấp các biện pháp bảo vệ liên bang cho thông tin sức khỏe có thể nhận dạng cá nhân được nắm giữ bởi các thực thể được bảo hiểm và các cộng sự kinh doanh của họ và cung cấp cho bệnh nhân một loạt các quyền đối với thông tin đó. Đồng thời, Quy tắc Quyền riêng tư cho phép tiết lộ thông tin sức khỏe cần thiết cho việc chăm sóc bệnh nhân và các mục đích quan trọng khác.

Quy tắc Bảo mật quy định một loạt các biện pháp bảo vệ hành chính, vật lý và kỹ thuật cho các thực thể được bảo hiểm và các cộng sự kinh doanh của họ để sử dụng để đảm bảo tính bảo mật, toàn vẹn và sẵn có của thông tin sức khỏe điện tử được bảo vệ.

Đạo luật Sarbanes-Oxley (SOX)

Được ban hành vào năm 2002, Đạo luật Sarbanes-Oxley nhằm bảo vệ nhà đầu tư và công chúng bằng cách tăng cường độ chính xác và độ tin cậy của các tiết lộ doanh nghiệp. Đạo luật này không giải thích cách một tổ chức cần lưu trữ hồ sơ, nhưng mô tả các hồ sơ mà các tổ chức cần lưu trữ và thời gian lưu trữ. Đạo luật yêu cầu một số cải cách để tăng cường trách nhiệm giải trình của doanh nghiệp, nâng cao tiết lộ tài chính và chống gian lận doanh nghiệp và kế toán.

Đạo luật Bản quyền Kỹ thuật số Thiên niên kỷ (DMCA)

DMCA là luật bản quyền của Hoa Kỳ thực hiện hai hiệp ước năm 1996 của Tổ chức Sở hữu Trí tuệ Thế giới (WIPO): Hiệp ước Bản quyền WIPO và Hiệp ước Biểu diễn và Bản ghi âm WIPO. Nó định nghĩa các cấm đoán pháp lý chống lại việc phá vỡ các biện pháp bảo vệ công nghệ được sử dụng bởi chủ sở hữu bản quyền để bảo vệ tác phẩm của họ, và chống lại việc loại bỏ hoặc thay đổi thông tin quản lý bản quyền để thực hiện nghĩa vụ hiệp ước của Hoa Kỳ.

Đạo luật Quản lý An ninh Thông tin Liên bang (FISMA)

FISMA cung cấp một khuôn khổ toàn diện để đảm bảo hiệu quả của các biện pháp kiểm soát an ninh thông tin đối với tài nguyên thông tin hỗ trợ các hoạt động và tài sản liên bang. Nó bao gồm:

  • Tiêu chuẩn để phân loại thông tin và hệ thống thông tin theo tác động đến nhiệm vụ
  • Tiêu chuẩn cho các yêu cầu bảo mật tối thiểu đối với thông tin và hệ thống thông tin
  • Hướng dẫn lựa chọn các biện pháp kiểm soát bảo mật thích hợp cho hệ thống thông tin
  • Hướng dẫn đánh giá các biện pháp kiểm soát bảo mật trong hệ thống thông tin và xác định hiệu quả của biện pháp kiểm soát bảo mật
  • Hướng dẫn ủy quyền bảo mật của hệ thống thông tin

Đây chỉ là một số ví dụ về các luật và tiêu chuẩn bảo mật thông tin quan trọng. Mỗi quốc gia có thể có các luật và quy định riêng của họ liên quan đến bảo mật thông tin và an ninh mạng. Dưới đây là một số ví dụ về luật an ninh mạng ở các quốc gia khác nhau:

Luật An ninh mạng ở các Quốc gia khác nhau

Luật an ninh mạng hoặc luật Internet đề cập đến bất kỳ luật nào liên quan đến việc bảo vệ Internet và các công nghệ truyền thông trực tuyến khác. Luật an ninh mạng bao gồm các chủ đề như truy cập và sử dụng Internet, quyền riêng tư, tự do biểu đạt và thẩm quyền pháp lý. Các luật này cung cấp sự đảm bảo về tính toàn vẹn, bảo mật, quyền riêng tư và bảo mật của thông tin trong cả tổ chức chính phủ và tư nhân. Những luật này đã trở nên nổi bật do việc sử dụng Internet ngày càng tăng trên toàn thế giới. Luật an ninh mạng khác nhau theo thẩm quyền và quốc gia, vì vậy việc thực hiện các luật này khá thách thức. Vi phạm những luật này dẫn đến các hình phạt từ phạt tiền đến tù giam.

Một số ví dụ về luật an ninh mạng ở các quốc gia khác nhau:

  • Hoa Kỳ: Đạo luật Bảo vệ Cơ sở hạ tầng Thông tin Quốc gia (National Information Infrastructure Protection Act), Đạo luật Gian lận và Lạm dụng Máy tính (Computer Fraud and Abuse Act), Đạo luật Truyền thông Điện tử Riêng tư (Electronic Communications Privacy Act)
  • Vương quốc Anh: Đạo luật Lạm dụng Máy tính 1990 (Computer Misuse Act 1990)
  • Úc: Đạo luật Tội phạm mạng 2001 (Cybercrime Act 2001)
  • Trung Quốc: Luật Bản quyền của Cộng hòa Nhân dân Trung Hoa (sửa đổi ngày 27 tháng 10 năm 2001)
  • Ấn Độ: Đạo luật Công nghệ Thông tin (Information Technology Act)
  • Đức: Điều 202a. Gián điệp Dữ liệu, Điều 303a. Thay đổi Dữ liệu, Điều 303b. Phá hoại Máy tính

Mỗi quốc gia có các luật và quy định riêng của họ để giải quyết các vấn đề an ninh mạng và bảo mật thông tin. Điều quan trọng là các tổ chức và cá nhân phải nhận thức và tuân thủ các luật và quy định áp dụng trong khu vực tài phán của họ.

Tóm tắt Module

Module này kết thúc với một cuộc thảo luận tổng quan về các khái niệm bảo mật thông tin cơ bản. Module tiếp theo sẽ bao gồm một cuộc thảo luận về cách các kẻ tấn công, ethical hacker và kiểm tra viên thâm nhập thực hiện reconnaissance để thu thập thông tin về mục tiêu đánh giá trước một cuộc tấn công hoặc kiểm toán.

Tóm tắt những điểm chính:

  • Độ phức tạp của các yêu cầu bảo mật ngày càng tăng do kết quả của công nghệ đang phát triển, chiến thuật hack thay đổi, các lỗ hổng bảo mật mới nổi, v.v.
  • Hacker hoặc cracker là người truy cập vào hệ thống máy tính bằng cách phá vỡ hệ thống bảo mật của nó.
  • Ethical hacking liên quan đến việc sử dụng các công cụ, thủ thuật và kỹ thuật hacking để xác định các lỗ hổng nhằm đảm bảo bảo mật hệ thống.
  • Ethical hacker giúp tổ chức hiểu rõ hơn về hệ thống bảo mật của họ và xác định các rủi ro, nhấn mạnh các hành động khắc phục, đồng thời giảm chi phí ICT bằng cách giải quyết các lỗ hổng đó.
  • Ethical hacker nên có kiến thức về nền tảng, kiến thức về mạng, chuyên gia máy tính, kiến thức về bảo mật và kiến thức kỹ thuật.
  • Ethical hacking là một thành phần quan trọng của đánh giá rủi ro, kiểm toán, chống gian lận, thực hành tốt nhất và quản trị tốt.

Đây là phần kết thúc của Module 01: Giới thiệu về Ethical Hacking. Module này đã cung cấp một cái nhìn tổng quan về các khái niệm cơ bản, luật pháp và tiêu chuẩn liên quan đến bảo mật thông tin và ethical hacking.

Bây giờ các bạn hãy ôn tập các kiến thức chính qua vài ví dụ minh họa sau đây :

  1. Ví dụ về reconnaissance:

Một ethical hacker của CEH Vietnam được thuê để kiểm tra bảo mật cho một ngân hàng lớn ở Việt Nam. Trong giai đoạn reconnaissance, họ sử dụng các công cụ OSINT (Open Source Intelligence) để thu thập thông tin công khai về ngân hàng. Họ tìm thấy danh sách email của nhân viên trên LinkedIn, thông tin về cơ sở hạ tầng CNTT từ các bài đăng tuyển dụng, và thậm chí cả hình ảnh văn phòng cho thấy mô hình máy chủ đang sử dụng thông qua các bài viết trên mạng xã hội của nhân viên.

  1. Tình huống về social engineering:

Một nhóm kiểm thử của CEH Vietnam thực hiện một cuộc tấn công giả mạo phishing đối với một công ty công nghệ ở TP.HCM. Họ tạo ra một email giả mạo về “Chương trình đào tạo bảo mật mới” và gửi cho nhân viên công ty. Email chứa một liên kết đến trang web giả mạo yêu cầu nhân viên nhập thông tin đăng nhập. Kết quả cho thấy 30% nhân viên đã nhấp vào liên kết và 15% đã nhập thông tin đăng nhập, cho thấy nhu cầu cấp thiết về đào tạo nhận thức bảo mật.

  1. Ví dụ về kiểm tra lỗ hổng:

Các chuyên gia của BCY thực hiện kiểm tra lỗ hổng cho một cổng thông tin điện tử của chính phủ. Họ sử dụng các công cụ quét tự động kết hợp với kiểm tra thủ công và phát hiện ra một lỗ hổng SQL injection trong form tìm kiếm. Họ chứng minh cách lỗ hổng này có thể được sử dụng để truy cập vào cơ sở dữ liệu chứa thông tin cá nhân của công dân, từ đó nhấn mạnh tầm quan trọng của việc kiểm tra bảo mật thường xuyên.

  1. Tình huống về tuân thủ pháp lý:

CEH Vietnam được một công ty đa quốc gia có chi nhánh tại Việt Nam yêu cầu thực hiện đánh giá tuân thủ. Họ phải đảm bảo rằng công ty không chỉ tuân thủ luật an ninh mạng của Việt Nam mà còn cả GDPR của EU (vì công ty xử lý dữ liệu của công dân EU) và PCI DSS (vì họ xử lý thanh toán thẻ tín dụng). CEH Vietnam phải thiết kế một kế hoạch kiểm tra toàn diện để đánh giá sự tuân thủ đối với nhiều khung pháp lý khác nhau.

  1. Ví dụ tổng quát:

CEH Vietnam tổ chức một “Cuộc thi Hack Đạo đức” hàng năm, nơi các sinh viên CNTT từ khắp Việt Nam tham gia. Cuộc thi bao gồm nhiều thử thách khác nhau như:

  • Giai đoạn reconnaissance: Tìm kiếm thông tin về một công ty giả định.
  • Kiểm tra thâm nhập: Tìm và khai thác lỗ hổng trong một hệ thống mô phỏng.
  • Phân tích mã độc: Xác định và phân tích một mẫu malware.
  • Pháp y kỹ thuật số: Trích xuất bằng chứng từ một hệ thống bị xâm nhập.
  • Thử thách tuân thủ: Đánh giá một hệ thống dựa trên các tiêu chuẩn như ISO 27001.

Cuộc thi này không chỉ nâng cao nhận thức về bảo mật thông tin tại Việt Nam mà còn giúp phát hiện tài năng mới trong lĩnh vực an ninh mạng, đồng thời tạo cơ hội cho các chuyên gia chia sẻ kiến thức và kinh nghiệm.

Những ví dụ và tình huống này minh họa cách các khái niệm trong Module 01 được áp dụng trong thực tế, đặc biệt trong bối cảnh của Việt Nam, và làm nổi bật tầm quan trọng của ethical hacking trong việc bảo vệ hệ thống thông tin và tuân thủ pháp luật.

Ngoài ra, các bạn cần tham khảo thêm các thông tin về Luật An Ninh Mạng của Việt Nam để có những hành xử đúng đắn trên không gian mạn.

Tham khảo :

https://thuvienphapluat.vn/van-ban/Cong-nghe-thong-tin/Luat-an-ninh-mang-2018-351416.aspx

https://luatvietnam.vn/an-ninh-quoc-gia/luat-an-ninh-mang-2018-164904-d1.html

Bình luận về bài viết này

Thịnh hành