CEH v13 AI – CEH VIETNAM

CPENT + LPT : Mô-đun 02: Phạm vi Kiểm tra Thâm Nhập và Phương pháp luận

Mục tiêu Mục tiêu của bài thực hành này là để hiểu các bước kiểm tra tiền đột nhập và các vấn đề quản trị trước khi thực hiện. Tình huống Việc tham gia vào một dự án thường được ví như “ném tiền qua cửa sổ” vào mạng, và giống như hầu hết mọi…

IT-PRO

Mục tiêu

Mục tiêu của bài thực hành này là để hiểu các bước kiểm tra tiền đột nhập và các vấn đề quản trị trước khi thực hiện.

Tình huống

Việc tham gia vào một dự án thường được ví như “ném tiền qua cửa sổ” vào mạng, và giống như hầu hết mọi việc trong cuộc sống, một dự án có khởi đầu và kết thúc bằng giấy tờ.

Là Trưởng nhóm Quản trị Dự án (hoặc Thành viên Nhóm Tham gia – ETM), bạn thực hiện một số nhiệm vụ không thể thiếu để đảm bảo dự án thành công và sinh lời. Mặc dù các nhiệm vụ này không phải là nguồn thu nhập trực tiếp, nhưng chúng rất cần thiết để “đảm bảo” tính chuyên nghiệp và tối đa hóa lợi nhuận cho các hoạt động của dự án.

Trong sự vội vàng để bắt đầu kinh doanh một cách nhanh chóng, thật dễ dàng rơi vào cám dỗ cắt giảm thời gian cho các hoạt động không mang lại lợi nhuận trực tiếp. Tuy nhiên, việc cắt giảm này có thể ảnh hưởng đến không chỉ sự chuyên nghiệp mà còn cả lòng trung thành của khách hàng, dẫn đến việc mất khách hàng tiềm năng hoặc khách hàng hiện tại.

Các chuyên gia Công nghệ Thông tin và bảo mật không chỉ bán một dịch vụ kỹ thuật như các doanh nghiệp khác. Bạn cũng đang bán một thứ vô hình: sự yên tâm. Bạn đang bán khả năng ngủ ngon giấc. Bạn đang bán “một chút” sự đảm bảo. Đây là một hình thức bảo hiểm chống lại một cuộc tấn công có thể làm tổn hại đến doanh nghiệp hoặc danh tiếng của họ. Giống như đại lý bảo hiểm của bạn, bạn không thể “đảm bảo” rằng sẽ không có cuộc tấn công nào nhắm vào khách hàng của bạn. Tuy nhiên, giống như đại lý bảo hiểm của bạn, bạn có thể “đảm bảo” rằng sẽ không có sự phản ứng thái quá nếu xảy ra một cuộc tấn công. Bạn đang “đảm bảo” cho khách hàng của mình rằng công việc của bạn sẽ được thực hiện một cách chuyên nghiệp, thông tin của họ được bảo vệ và nếu xảy ra cuộc tấn công, sẽ có một kế hoạch phản ứng có thể thực hiện được. Việc trình bày một chiến lược thích hợp cho các vấn đề tiềm ẩn là rất quan trọng để duy trì lòng trung thành của khách hàng. Bạn phải làm mọi thứ có thể để đảm bảo rằng thông tin của khách hàng không bị xâm phạm trong quá trình lưu giữ.

Một số khách hàng có thể rất đề phòng việc giao thông tin của họ cho bạn. Hãy cam kết giữ bí mật thông tin và xây dựng sự tin tưởng của họ bằng cách xem xét cẩn thận và tránh cắt giảm các bước quan trọng.

Hãy rất nghiêm túc khi xem xét Thư cam kết tham gia để hiểu bạn và nhóm của bạn cần làm gì trong quá trình dự án, bao gồm thiết lập và lưu trữ thông tin dự án và thực hiện thẩm định xung đột lợi ích. Bạn chuẩn bị dự thảo Thư cam kết tham gia đầu tiên.

Bạn hợp tác với Tổ chức mục tiêu (TORG) để đảm bảo tất cả tài liệu được hoàn thiện và tuân thủ các kỳ vọng của TORG được nêu trong Thư cam kết tham gia.

Ngoài các nhiệm vụ hành chính này, bạn còn phối hợp nhân sự và hậu cần.

Đầu tiên, bạn chuẩn bị và cập nhật theo yêu cầu, một kế hoạch về cách bạn sẽ tiến hành dự án và thành viên nhóm nào sẽ tham gia vào các phần cụ thể của công việc được nêu trong Thư cam kết tham gia, bao gồm đánh giá lỗ hổng, phân tích và kiểm tra xâm nhập. Các kênh truyền thông an toàn được thiết lập cho nhóm kiểm tra xâm nhập để đảm bảo thông tin nhạy cảm được bảo vệ.

Việc bố trí phương tiện vận chuyển và chỗ ở cho nhóm kiểm tra xâm nhập được xác định ngắn gọn. Sau khi hoàn thành các bước này, nhóm có tối đa một tuần để chuẩn bị cho giai đoạn tiếp theo của dự án: thực hiện.

Bài tập 1: Lập kế hoạch và Lên lịch Dự án Kiểm tra Đột nhập bằng GanttProject

Tình huống

Lập kế hoạch dự án là một phần của quản lý dự án, liên quan đến việc sử dụng các lịch trình như biểu đồ Gantt để theo dõi và báo cáo tiến độ dự án một cách hiệu quả và kịp thời. GanttProject giúp bạn lập kế hoạch và lên lịch các hoạt động của dự án kiểm tra xâm nhập bằng cách sử dụng tài nguyên một cách hiệu quả. Bài thực hành lập kế hoạch và lên lịch này sẽ giúp bạn hiểu cách lập kế hoạch và lên lịch các hoạt động trong dự án kiểm tra xâm nhập bằng cách sử dụng GanttProject.

Thời lượng bài thực hành: 5 phút

  1. Nhấn tổ hợp phím Ctrl+Alt+Delete
  2. Trong trường mật khẩu, nhấn Password và nhấn Enter
    Bạn có thể sử dụng tùy chọn Gõ Mật khẩu từ menu Lệnh để nhập mật khẩu.
  3. Để cài đặt GanttProject, điều hướng đến E:\CPENT Module 02 Penetration Testing Scoping and Engagement Methodology\GanttProject, nhấp đúp vào ganttproject-2.8.1-r2396.exe và làm theo các bước để cài đặt GanttProject.
    Nếu cửa sổ Cảnh báo Bảo mật Tệp Mở xuất hiện, hãy nhấn Run.
  4. Để khởi động GanttProject, nhấp đúp vào biểu tượng GanttProject trên màn hình.
  5. Cửa sổ chính của GanttProject xuất hiện như được hiển thị trong ảnh chụp màn hình.
  6. Trong cửa sổ chính GanttProject, chuyển đến Project và nhấn New để tạo dự án mới cho việc lập kế hoạch và lên lịch.
  7. Cửa sổ Tạo dự án mới xuất hiện trên màn hình. Trong Bước 1, nhập tên dự án, tên của tổ chức mục tiêu, trang web của tổ chức và mô tả dự án. Ở đây, chúng tôi sử dụng SamplePenTest làm tên dự án, LuxuryTreats làm tên của tổ chức mục tiêu và URL của tổ chức là http://www.luxurytreats.com. Viết một số thông tin về dự án trong khu vực Mô tả. Nhấn Next.
  8. Để nguyên giá trị mặc định trong Bước 2 và nhấn Next.
  9. Một lần nữa, để nguyên giá trị mặc định trong Bước 3 và nhấn OK.
  10. Chuyển đến menu Tasks và nhấn New task.
  11. New Task sẽ được thêm vào tab Gantt với tên mặc định như trong ảnh chụp màn hình.
  12. Đổi tên mặc định bằng nhiệm vụ kiểm tra xâm nhập của bạn là External Penetration Testing. Lên lịch nhiệm vụ này bằng cách chỉ định ngày bắt đầu và ngày kết thúc để hoàn thành nhiệm vụ.
    Nếu nhiệm vụ của bạn không được hiển thị dưới dạng biểu đồ Gantt, hãy nhấn Zoom Out ở góc trên bên trái của tab bên phải cho đến khi bạn nhìn thấy nhiệm vụ được xác định.
  13. Tương tự, lặp lại các bước 10 đến 12 để tạo và xác định nhiệm vụ tiếp theo trong dự án kiểm tra xâm nhập của bạn. Tạo một nhiệm vụ khác và đặt tên là Information Gathering.
  14. Lặp lại các bước 10 đến 12 để lập kế hoạch và lên lịch nhiệm vụ tiếp theo trong dự án kiểm tra xâm nhập của bạn. Tạo một nhiệm vụ khác và đặt tên là Study and Analyze. Nếu có mối quan hệ giữa hai nhiệm vụ được xác định, bạn có thể chỉ định mối quan hệ này bằng mũi tên hướng dẫn như sau.
  15. Trong phần bên phải, nhấn vào nhiệm vụ nguồn và kéo nó đến nhiệm vụ tiếp theo trong mối quan hệ. Mũi tên sẽ được thiết lập giữa hai nhiệm vụ này như được hiển thị trong ảnh chụp màn hình.
    Tương tự, xác định mối quan hệ giữa các nhiệm vụ và hướng của chúng trong biểu đồ Gantt. Để hiển thị mối quan hệ giữa hai nhiệm vụ, kéo từ đầu nhiệm vụ đầu tiên (nhiệm vụ liên kết) đến đầu nhiệm vụ thứ hai (nhiệm vụ liên kết). Khi con trỏ chuột chuyển thành biểu tượng hình mũi tên, hãy thả con trỏ chuột trên nhiệm vụ tiếp theo trong mối quan hệ để hiển thị mối quan hệ giữa các nhiệm vụ.
  16. Để xác định các cột mốc, nhấp chuột phải vào bất kỳ Nhiệm vụ nào từ khung bên trái trong tab Gantt và nhấn Task Properties từ menu ngữ cảnh.
  17. Cửa sổ thuộc tính cho nhiệm vụ xuất hiện. Tại đó, trong Thông tin thu thập, đánh dấu Milestone và nhấn OK.
  18. Các cột mốc được hiển thị dưới dạng ký hiệu hình thoi trong biểu đồ Gantt như được hiển thị trong ảnh chụp màn hình.
  19. Nhấn Resources Chart từ khung bên trái và chuyển đến Resources và sau đó nhấn New Resource để gán tài nguyên cho dự án kiểm tra xâm nhập của bạn.
    Tài nguyên có thể là con người, vật liệu, thiết bị, số tiền ngân sách hoặc bất kỳ thứ gì khác. Thông thường, bạn có thể nhập tên của những người sẽ làm việc trên các nhiệm vụ là tài nguyên.
  20. Cửa sổ Tài nguyên sẽ xuất hiện. Chỉ định tên, điện thoại, email, vai trò, v.v. của tài nguyên như được hiển thị trong ảnh chụp màn hình và nhấn OK.
  21. Tài nguyên được chỉ định sẽ được thêm vào tab Resources Chart của GanttProject.
    Tương tự, bạn có thể thêm bất kỳ số lượng tài nguyên và vai trò của họ làm việc trong dự án kiểm tra xâm nhập của bạn.
  22. Chuyển đến menu Project và nhấn Export để xuất báo cáo lập kế hoạch và lên lịch.
  23. Export Wizard xuất hiện với Select exporter (Bước 1 trong số 2) như được hiển thị trong ảnh chụp màn hình. Nó có thể xuất bản báo cáo ở nhiều định dạng khác nhau như tệp Microsoft Project, tệp hình ảnh Raster, báo cáo HTML, tệp giá trị phân tách bằng dấu phẩy và báo cáo PDF. Chọn định dạng PDF và nhấn Next.
  24. Trong Bước 2 của Export wizard, chọn vị trí bạn muốn lưu báo cáo (ở đây, C:\Users\Administrator) và nhấn OK để tạo báo cáo lập kế hoạch và lên lịch ở định dạng bạn đã chọn.
  25. Trong nhiệm vụ này, chúng tôi đang tạo báo cáo định dạng pdf với tên SamplePenTest.pdf và báo cáo được lưu ở vị trí mặc định C:\Users\Administrator.
  26. Báo cáo lập kế hoạch và lên lịch kiểm tra xâm nhập sẽ được lưu và hiển thị ở định dạng pdf tại vị trí được chỉ định. Nhấp đúp vào SamplePenTest.pdf.
  27. Đóng tất cả các cửa sổ đã mở. Bạn đã lập kế hoạch và lên lịch thành công các hoạt động trong dự án kiểm tra xâm nhập.

Bài tập 2: Lập kế hoạch và Lên lịch Dự án Kiểm tra Đột nhập bằng OpenProj

Tình huống

Phần mềm OpenProj có thể giúp bạn lập kế hoạch và lên lịch nhiệm vụ kiểm tra xâm nhập một cách có cấu trúc và hiệu quả. Phần mềm này được sử dụng để kiểm soát, theo dõi và quản lý các dự án khác nhau trong tổ chức.

Thời lượng bài thực hành: 5 phút

  1. Nhấn tổ hợp phím Ctrl+Alt+Delete.
    Nếu bạn đã đăng nhập, hãy bỏ qua đến bước 3.
  2. Trong trường mật khẩu, nhấn Password và nhấn Enter
    Bạn có thể sử dụng tùy chọn Gõ Mật khẩu từ menu Lệnh để nhập mật khẩu.
  3. Để khởi động OpenProj, nhấp đúp vào phím tắt OpenProj trên màn hình.
  4. Cửa sổ Giấy phép Serena OpenProj xuất hiện, nhấn I Accept.
  5. Cửa sổ chính của OpenProj xuất hiện.
    Cửa sổ bật lên Thông tin khách hàng Serena OpenProj xuất hiện, hãy đăng ký với OpenProj bằng địa chỉ email của bạn và nhấn Cancel.
  6. Cửa sổ chính của OpenProj xuất hiện, cùng với cửa sổ bật lên Mẹo trong ngày. Nhấn Close.
  7. Nhấn cửa sổ Welcome to OpenProj để lập kế hoạch và lên lịch dự án kiểm tra xâm nhập của bạn.
    Bạn cũng có thể tạo dự án mới từ menu Tệp, tức là, File -> New Project menu.
  8. Cửa sổ Dự án mới xuất hiện, hãy nhập tên dự án, ngày bắt đầu dự án, tên người quản lý và nhấn OK. Ở đây:
    *Tên dự án: RedTeamPlan
    *Ngày bắt đầu: Nhập ngày
    *Người quản lý: John
    *Ghi chú: Tùy chọn
  9. Dự án trống được tạo như được hiển thị trong ảnh chụp màn hình.
  10. Nhập tên của nhiệm vụ trực tiếp trong cột Name và lên lịch nhiệm vụ bằng cách thêm ngày bắt đầu/giờ và ngày kết thúc/giờ cho nhiệm vụ trong cột Start và Finish tương ứng.
    Ngày bắt đầu/giờ và ngày kết thúc/giờ có thể khác nhau đối với các nhiệm vụ bạn thực hiện. Bạn có thể cung cấp ngày bắt đầu và ngày kết thúc ưa thích cho phù hợp.
    Kéo phần bên trái sang phải cho đến khi tên cột hiển thị.
    Bạn cũng có thể nhấp đúp vào cột trường để điền chi tiết nhiệm vụ bằng trình hướng dẫn Thông tin nhiệm vụ. Nếu nhiệm vụ hoàn thành trong vòng 8 giờ, bạn cũng có thể thay đổi số giờ nhiệm vụ sẽ mất với sự trợ giúp của trình hướng dẫn Thông tin nhiệm vụ.
  11. Chuyển đến View -> Resources từ menu để thêm các tài nguyên sẽ tham gia vào dự án.
  12. Nhập tất cả chi tiết tài nguyên sẽ tham gia vào các hoạt động của dự án.
  13. Bây giờ nhấn tab Gantt từ phía bên trái (tab 1) và nhập tên của nhiệm vụ trực tiếp trong cột tên và lên lịch nhiệm vụ bằng cách thêm ngày bắt đầu/giờ và ngày kết thúc/giờ cho nhiệm vụ trong cột Start và Finish tương ứng.
    Bạn cũng có thể nhập trực tiếp số ngày mà nhiệm vụ sẽ mất với sự trợ giúp của Thông tin nhiệm vụ.
  14. Nhấp chuột phải vào nhiệm vụ bạn muốn làm nhiệm vụ con và sau đó nhấn Indent (->) từ menu ngữ cảnh để tạo một nhiệm vụ con mới như được hiển thị trong ảnh chụp màn hình.
  15. Một nhiệm vụ con mới được tạo như được hiển thị trong ảnh chụp màn hình. Nhiệm vụ trước đó sẽ có tùy chọn nút, mà bạn có thể mở rộng các nhiệm vụ.
  16. Nhấp đúp vào nhiệm vụ mà tài nguyên phải được gán. Trình hướng dẫn Thông tin nhiệm vụ sẽ bật lên. Chuyển đến tab Resources và nhấn nút Assign Resources. Cửa sổ Gán tài nguyên sẽ xuất hiện, nhấn Assign để gán tài nguyên từ các tài nguyên có sẵn.
    Sau khi bạn đã gán tài nguyên, hãy đóng Gán tài nguyên.
  17. Nhấp đúp vào nhiệm vụ mà bạn muốn đặt ghi chú. Trong trình hướng dẫn Thông tin nhiệm vụ, chuyển đến tab Notes và viết ghi chú của bạn về nhiệm vụ. Nhấn Close.
  18. Ghi chú và Người được chỉ định sẽ được thêm vào Nhiệm vụ như được hiển thị trong ảnh chụp màn hình.
  19. Chuyển đến menu File và nhấn tùy chọn Save As để lưu báo cáo ở định dạng .xml. Chọn loại tệp là .xml từ danh sách thả xuống và nhấn Save.
    Vì đây là phiên bản miễn phí nên bạn không thể lưu hoặc nhập tệp .mpp.
    Một cửa sổ bật lên xuất hiện cho biết bạn chỉ nên sử dụng định dạng xml khi trao đổi với một ứng dụng khác vì một số dữ liệu có thể bị mất. Bạn có muốn tiếp tục không? Nhấn OK hoặc Cancel.
  20. Đóng tất cả các cửa sổ đã mở. Sau khi hoàn thành bài thực hành này, bạn sẽ biết cách lập kế hoạch và lên lịch dự án kiểm tra xâm nhập bằng OpenProj.

Bài tập 3: So sánh các Công cụ GanttProject và OpenProj

Kịch bản

Cả GanttProject và OpenProj đều là các công cụ quản lý dự án hỗ trợ lập kế hoạch và lên lịch dự án kiểm tra xâm nhập, nhưng chúng có những điểm khác biệt chính. Bài thực hành này sẽ giúp bạn hiểu những điểm tương đồng và khác biệt giữa hai công cụ này.

Thời lượng bài thực hành: 5 phút

Tính năngGanttProjectOpenProj
Nền tảngĐa nền tảng (Windows, Linux, macOS)Đa nền tảng (Windows, Linux, macOS)
Giấy phépPhần mềm miễn phí và mã nguồn mở (GPLv3)Phiên bản cộng đồng miễn phí, phiên bản thương mại trả phí
Giao diện người dùngĐơn giản, dễ sử dụngTương tự Microsoft Project
Tính năngLập lịch nhiệm vụ, biểu đồ Gantt, quản lý tài nguyên, theo dõi tiến độ, xuất báo cáoLập lịch nhiệm vụ, biểu đồ Gantt, quản lý tài nguyên, theo dõi tiến độ, biểu đồ PERT, phân tích đường găng, quản lý chi phí, xuất báo cáo
Nhập/XuấtMicrosoft Project (.mpp), tệp CSV, HTML, PDF, hình ảnhMicrosoft Project (.mpp), tệp CSV, HTML, PDF, XML
Hỗ trợCộng đồng, diễn đànHỗ trợ thương mại cho phiên bản trả phí

Kết luận

GanttProject là một công cụ đơn giản và dễ sử dụng, phù hợp cho các dự án nhỏ và vừa. OpenProj cung cấp nhiều tính năng hơn và giao diện người dùng tương tự Microsoft Project, phù hợp cho các dự án phức tạp hơn. Việc lựa chọn công cụ phụ thuộc vào nhu cầu và yêu cầu cụ thể của dự án.

Hãy trả lời các câu hỏi sau( lưu ý cần hoàn thành các bài tập thực hành mới có thể đưa ra đáp án chính xác,đáp án sẽ liên quan đến kết quả thực hành của bạn, ví dụ khi bạn tạo 1 folder tên CPENT thì đáp án trả lời sẽ là CPENT cho tên folder đã tạo và khi submit sẽ có kết quả đúng hoặc sai, hãy chụp kết quả gởi về BQT )

Câu hỏi 2.1.1

“Trong máy Windows Server 2019, hãy sử dụng công cụ GanttProject nằm tại E:\CPENT Module 02 Penetration Testing Scoping and Engagement Methodology\GanttProject để tạo một dự án mới để lập kế hoạch và lên lịch. Nhập tên của thuật ngữ/tùy chọn liên quan đến tên của những cá nhân sẽ thực hiện nhiệm vụ.”

Đáp án :

Câu hỏi 2.2.1

Trong máy Windows Server 2019, sử dụng công cụ OpenProj để tạo một dự án mới. Nhập tên của hàm/tùy chọn được sử dụng để tạo một tác vụ phụ mới sau khi nhấp chuột phải vào một tác vụ.

Đáp án :

Bình luận về bài viết này

Thịnh hành