Góc công nghệ

Với sự phát triển vượt bậc của công nghệ và mạng lưới internet, các doanh nghiệp phải đối mặt với nhiều rủi ro về an ninh thông tin. Bên cạnh đó, việc bảo vệ dữ liệu cũng đòi hỏi các biện pháp phòng ngừa và quản lý hiệu quả hơn để đảm bảo an toàn cho thông tin quan trọng, tránh nguy cơ mất mát và truy cập trái phép. Hiện nay, một trong những phương pháp hàng đầu giúp đảm bảo an toàn bảo mật là kiểm thử xâm nhập, hay còn gọi là Pentest. Vậy Pentest là gì và tại sao cần thực hiện Pentest?

Pentest là gì?

Pentest, viết tắt của “Penetration Testing” (Kiểm thử xâm nhập), là quá trình kiểm tra tính bảo mật của hệ thống, ứng dụng hoặc mạng bằng cách mô phỏng các cuộc tấn công từ bên ngoài hoặc bên trong. Mục tiêu của Pentest là xác định các lỗ hổng bảo mật có thể bị khai thác để từ đó đưa ra biện pháp khắc phục, đảm bảo an toàn cho hệ thống trước những mối đe dọa tiềm ẩn.

Thông qua Pentest, các tổ chức có thể xác định được điểm yếu của hệ thống trước khi kẻ xấu có thể tìm thấy và khai thác chúng. Đặc biệt, Pentest không chỉ giúp đánh giá khả năng chịu đựng của hệ thống trước các cuộc tấn công, mà còn nâng cao mức độ sẵn sàng và phản ứng của doanh nghiệp đối với các sự cố an ninh mạng.

Pentest có thể được thực hiện trên hệ thống máy tính, web app, mobile app, hạ tầng mạng, IoT, ứng dụng và hạ tầng cloud, phần mềm dịch vụ SaaS, API, source code, hoặc một đối tượng IT có kết nối với internet và có khả năng bị tấn công… Tuy nhiên, phổ biến nhất vẫn là pentest web app và mobile app.

Tại sao cần thực hiện Pentest?

Theo đơn vị nghiên cứu thị trường Market Watch, dung lượng thị trường Pentest vào năm 2018 là 920 triệu USD, sẽ tăng lên 2420 triệu USD vào năm 2025 với tốc độ tăng trưởng 14,9%.

Do đó, nhu cầu dành cho việc kiểm tra sức chống chịu của hệ thống trước tội phạm mạng là rất lớn. Điều này là do các mô hình kinh doanh trong nền kinh tế số đòi hỏi tiếp cận – kết nối – giao tiếp – chăm sóc khách hàng qua website, ứng dụng mobile. Bên cạnh đó, doanh nghiệp cũng nỗ lực “số hóa” mô hình kinh doanh, ứng dụng ERP để quản trị khách hàng, CRM để lưu trữ thông tin và chăm sóc khách hàng, các thiết bị IoT trong vận hành,... Nếu không được bảo mật đúng cách, tất cả những sản phẩm kỹ thuật số này đều có thể trở thành nạn nhân của tội phạm mạng.

Hiện nay, các cuộc tấn công mạng ngày càng tinh vi và phức tạp, gây ra rủi ro lớn cho hệ thống công nghệ thông tin của các doanh nghiệp. Việc thực hiện Pentest mang lại nhiều lợi ích quan trọng, bao gồm:

- Ngăn chặn rủi ro bảo mật: Pentest cho phép doanh nghiệp phát hiện sớm các lỗ hổng và khắc phục trước khi chúng có thể bị khai thác, giảm thiểu nguy cơ bị mất dữ liệu cũng như giảm thiệt hại do sự cố an ninh và bảo vệ danh tiếng của doanh nghiệp.

- Tuân thủ các quy định pháp lý: Nhiều quy định bảo mật như PCI DSS (dành cho ngành thanh toán), GDPR (dành cho bảo mật dữ liệu cá nhân tại châu Âu) yêu cầu các tổ chức phải thực hiện kiểm thử xâm nhập định kỳ. Trong đó, Pentest giúp doanh nghiệp đáp ứng các tiêu chuẩn này và tránh được các khoản phạt do vi phạm.

- Bảo vệ dữ liệu quan trọng: Pentest không chỉ nhằm bảo vệ thông tin khách hàng mà còn bảo vệ tài sản trí tuệ, dữ liệu quan trọng của doanh nghiệp khỏi bị truy cập trái phép. Do đó, đây là bước quan trọng để đảm bảo rằng các dữ liệu nhạy cảm được bảo mật an toàn.

Phân loại Pentest

Khi thực hiện kiểm thử thâm nhập, không có một phương pháp nào có thể áp dụng cho mọi tình huống bởi mỗi tổ chức có những điều kiện, rủi ro và đối thủ khác nhau. Vì vậy, hiện nay có nhiều loại kiểm thử được thiết kế để đáp ứng các mục tiêu và mối đe dọa cụ thể của doanh nghiệp. Dưới đây là những loại kiểm thử thâm nhập phổ biến:

- Kiểm thử nội bộ: Đánh giá hệ thống nội bộ để xác định khả năng kẻ tấn công di chuyển trong mạng. Quá trình này gồm nhận dạng hệ thống, liệt kê, phát hiện lỗ hổng, khai thác, di chuyển ngang và tiếp cận mục tiêu.

- Kiểm thử bên ngoài: Đánh giá các hệ thống có kết nối Internet để phát hiện lỗ hổng có thể dẫn đến rò rỉ dữ liệu hoặc truy cập trái phép từ bên ngoài. Quy trình này bao gồm nhận dạng, liệt kê, phát hiện và khai thác lỗ hổng.

- Kiểm thử ứng dụng web: Được chia thành ba giai đoạn: trinh sát (thu thập thông tin về hệ điều hành, dịch vụ và tài nguyên), khám phá lỗ hổng, và khai thác để truy cập dữ liệu nhạy cảm.

- Kiểm thử mối đe dọa nội bộ: Phát hiện những điểm yếu có thể làm lộ thông tin nội bộ. Trong đó, quá trình đánh giá tập trung vào các lỗi như tấn công hủy xác thực, cấu hình sai, tái sử dụng phiên và các thiết bị không dây trái phép.

- Kiểm thử không dây: Đánh giá các lỗ hổng liên quan đến mạng không dây, bao gồm các điểm yếu như tấn công deauth, cấu hình sai, tái sử dụng phiên hoặc thiết bị không dây trái phép.

- Kiểm thử vật lý: Tập trung vào các lỗ hổng liên quan đến an ninh vật lý của hệ thống dữ liệu. Trong đó, các yếu tố như tấn công social engineering, tail-gating, nhân bản thẻ ra vào (badge cloning), và những rủi ro bảo mật vật lý khác đều được xem xét.

Các giai đoạn thực hiện Pentest

Một quy trình Pentest chuyên nghiệp và hiệu quả thường bao gồm các giai đoạn sau:

- Lập kế hoạch và chuẩn bị: Đây là bước đầu tiên, trong đó xác định phạm vi, mục tiêu và phương pháp thực hiện Pentest. Bước này bao gồm trao đổi rõ ràng giữa Pentester và tổ chức về các quyền hạn, mục tiêu cụ thể và các yêu cầu kỹ thuật.

- Thu thập thông tin: Ở giai đoạn này, Pentester tiến hành tìm kiếm và tổng hợp thông tin về hệ thống mục tiêu. Trong đó, các thông tin này bao gồm cấu trúc hệ thống, danh sách các dịch vụ và thiết bị đang sử dụng, từ đó xây dựng chiến lược tấn công phù hợp.

- Xâm nhập và khai thác: Pentester thực hiện các cuộc tấn công giả lập nhằm khai thác các lỗ hổng bảo mật đã xác định, bao gồm việc sử dụng các công cụ và kỹ thuật nhằm tìm cách vượt qua các lớp bảo vệ của hệ thống.

- Phân tích và báo cáo: Sau khi hoàn thành kiểm thử, Pentester sẽ phân tích kết quả và cung cấp báo cáo chi tiết về các lỗ hổng bảo mật. Báo cáo sẽ bao gồm mô tả các lỗ hổng, mức độ nghiêm trọng và phương án khắc phục cụ thể cho từng lỗ hổng.

- Khắc phục và kiểm tra lại: Sau khi nhận được báo cáo, doanh nghiệp sẽ tiến hành khắc phục các lỗ hổng và thực hiện kiểm tra lại để đảm bảo rằng các biện pháp bảo mật đã được triển khai hiệu quả.

Khi nào cần thực hiện Pentest?

Các tổ chức được khuyến cáo thực hiện pentest định kỳ theo chu kỳ hàng năm hoặc quý để đảm bảo an ninh cho hệ thống IT bao gồm hạ tầng mạng và các ứng dụng. Bên cạnh việc triển khai pentest định kỳ, kiểm tra xâm nhập sẽ cần thiết mỗi khi doanh nghiệp:

- Triển khai hoặc cập nhật hệ thống mới: Mỗi khi có hệ thống hoặc ứng dụng mới được triển khai, doanh nghiệp nên thực hiện Pentest để đảm bảo rằng chúng không có lỗ hổng ngay từ đầu.

- Sau khi phát hiện lỗ hổng hoặc sự cố an ninh: Khi hệ thống gặp phải sự cố, việc Pentest lại sẽ giúp đánh giá liệu các biện pháp khắc phục đã hiệu quả hay chưa và kiểm tra xem có các lỗ hổng mới nào khác.

- Khi cần đáp ứng các tiêu chuẩn bảo mật: Để tuân thủ các tiêu chuẩn như PCI DSS, ISO 27001, hoặc các yêu cầu của khách hàng và đối tác, nhiều doanh nghiệp phải tiến hành Pentest định kỳ để đảm bảo hệ thống luôn đáp ứng yêu cầu bảo mật.

Kết luận

Kiểm thử xâm nhập (Pentest) là một phần quan trọng trong chiến lược bảo mật của các tổ chức hiện đại, đặc biệt là trong bối cảnh mối đe dọa an ninh mạng ngày càng gia tăng. Pentest không chỉ giúp phát hiện các lỗ hổng bảo mật tiềm ẩn mà còn góp phần nâng cao tính sẵn sàng của hệ thống trước những cuộc tấn công mạng. Với những lợi ích vượt trội về bảo mật, Pentest là hoạt động mà bất kỳ doanh nghiệp nào cũng nên xem xét thực hiện thường xuyên.

Ransomware là một loại phần mềm độc hại có mục đích tống tiền người dùng bằng cách xâm nhập vào máy tính và thao túng dữ liệu của nạn nhân. Trong những năm gần đây, không phải virus, mà chính ransomware mới là mối đe dọa đối với các tổ chức, doanh nghiệp. Các quản trị viên hệ thống IT luôn tìm mọi cách để ngăn chặn sự xâm nhập của loại “mã độc tống tiền” này.

1. Ransomware là gì?

1.1. Mã độc tống tiền Ransomware

Ransomware là một dạng phần mềm độc hại chuyên mã hóa dữ liệu hoặc khóa quyền truy cập thiết bị của người dùng. Để được trả lại quyền truy cập thiết bị hoặc dữ liệu, người dùng phải trả cho hacker một khoản tiền nhất định, gọi là tiền chuộc. Ransomware còn được biết đến với cái tên phần mềm tống tiền hay mã độc tống tiền.

Mức tiền chuộc thông thường rơi vào khoảng $150 – $500 cho máy tính cá nhân. Đối với các tổ chức, doanh nghiệp thì có thể lên đến hàng ngàn đô. Hacker chủ yếu yêu cầu nạn nhân trả tiền chuộc bằng bitcoin hoặc chuyển khoản. Trong vài năm gần đây, những kẻ phát tán ransomware ưa thích giao dịch tiền chuộc bằng bitcoin vì tính bảo mật cao và khó để truy lùng dấu vết.

1.2. Virus vs. Ransomware: giống hay khác?

Virus máy tính là một khái niệm quen thuộc với người Việt. Cũng chính vì lẽ đó, mà nhiều người gọi chung tất cả các phần mềm độc hại là virus, bao gồm cả ransomware. Thực tế, chúng là 2 khái niệm hoàn toàn khác nhau.

Virus và Ransomware đều là phần mềm độc hại (hay còn gọi là mã độc, tiếng Anh là ‘malware’). Virus là thuật ngữ chỉ những malware có khả năng phát tán và lây lan cực kỳ nhanh, tới mức không thể kiểm soát nổi.

Trong khi đó, Ransomware là những phần mềm được thiết kế với mục đích “tống tiền nạn nhân”. Thông thường, để phát tán ransomware, kẻ xấu cần sử dụng các phương thức lừa đảo phishing để dụ người dùng “cắn câu”.

Do 2 đặc tính khác nhau kể trên, chỉ một số rất ít phần mềm độc hại được xét vào loại Virus Ransomware. Thuật ngữ Virus Ransomware được sử dụng để chỉ những phần mềm tống tiền có tốc độ lây lan “đặc biệt khủng khiếp”. Nổi bật trong đó là virus ransomware có tên WannaCry.

2. Ransomware xâm nhập vào máy tính như thế nào?

Máy tính bị nhiễm mã độc tống tiền ransomware khi:

• Tìm và sử dụng các phần mềm crack, không rõ nguồn gốc
• Click vào file đính kèm trong email (thường là file word, PDF)
• Click vào các quảng cáo chứa mã độc tống tiền
• Truy cập vào website chứa nội dung đồi trụy, không lành mạnh
• Truy cập vào website giả mạo.
• Và còn nhiều cách lây nhiễm ransomware khác do tính sáng tạo của hacker được cải thiện theo thời gian.

3. Phân loại ransomware và cách thức hoạt động

Máy tính người dùng thường bị nhiễm ransomware chỉ ngay sau một thao tác nhỏ mà chính họ cũng không để ý. Hacker tạo cho những file chứa mã độc tống tiền một vẻ ngoài vô hại, giống như một file word, excel hay PDF. Tuy nhiên, thực tế thì đây lại là các file thực thi mã (.exe). Một khi người dùng click vào chúng, các file này sẽ ngay lập tức chạy ngầm trên nền máy tính.

Dựa vào một số điểm khác nhau trong cách thức hoạt động, có thể chia ransomware thành 3 loại chính: Encrypting, Non-encrypting, Leakware. Tuy nhiên hiện nay ransomware đã theo kịp tốc độ phát triển của công nghệ và xuất hiện thêm các chủng ransomware trên mobile (Android và iOS), ransomware trong IoT hay thậm chí máy ảnh DSLR cũng có thể bị lây nhiễm phần mềm độc hại này.

3.1. Ransomware mã hóa (Encrypting)

Encrypting Ransomware là loại phần mềm tống tiền phổ biến nhất, chúng mã hóa dữ liệu (tệp tin và thư mục) của người dùng. Tên khác của Encrypting Ransomware là Crypto Ransomware.

Sau khi xâm nhập vào máy tính của bạn, chúng sẽ âm thầm kết nối với server của kẻ tấn công, tạo ra hai chìa khóa – một khóa công khai để mã hóa các file của bạn, một khóa riêng do server của hacker nắm giữ, dùng để giải mã. Các file này sẽ bị đổi đuôi thành những định dạng nhất định và báo lỗi khi người dùng cố gắng mở.

Sau khi mã hóa file, crypto ransomware sẽ hiển thị một thông báo trên máy tính của bạn, thông báo về việc bạn đã bị tấn công và phải trả tiền chuộc cho chúng. Trong một vài trường hợp, kẻ tấn công còn tạo thêm áp lực bằng cách đòi hỏi nạn nhân phải trả tiền trong thời hạn nhất định. Sau thời hạn đó, khóa giải mã file sẽ bị phá hủy hoặc mức tiền chuộc sẽ tăng lên.

3.2. Ransomware không mã hóa (Non-encrypting)

Non-encrypting ransomware (hay còn gọi là Locker) là loại phần mềm không mã hóa file của nạn nhân. Tuy nhiên, nó khóa và chặn người dùng khỏi thiết bị. Nạn nhân sẽ không thể thực hiện được bất kỳ thao tác nào trên máy tính (ngoại trừ việc bật – tắt màn hình). Trên màn hình cũng sẽ xuất hiện hướng dẫn chi tiết về cách thanh toán tiền chuộc để người dùng có thể truy cập lại và sử dụng thiết bị của mình.

3.3. Leakware (Doxware)

Một số loại ransomware đe dọa công khai dữ liệu của nạn nhân lên mạng nếu không chịu trả tiền chuộc. Nhiều người có thói quen lưu trữ các file nhạy cảm hoặc ảnh cá nhân ở máy tính nên sẽ không tránh khỏi việc hoảng loạn, cố gắng trả tiền chuộc cho hacker. Loại ransonware này thường được gọi là leakware hoặc doxware.

3.4. Mobile ransomware

Với sự phổ biến của smartphone và xu hướng sử dụng điện thoại di động thường xuyên hơn diễn ra trên toàn cầu, ransomware đã xuất hiện trên mobile. Thông thường, Mobile Ransomware xuất hiện dưới dạng phần mềm chặn người dùng khỏi việc truy cập dữ liệu (loại non-encrypting) thay vì mã hóa dữ liệu. Bởi vì dữ liệu trên mobile có thể dễ dàng khôi phục thông qua đồng bộ hóa trực tuyến (online sync).

Mobile ransomware thường nhắm vào nền tảng Android, vì hệ điều hành này cấp quyền “Cài đặt ứng dụng” cho bên thứ ba. Khi người dùng cài đặt file .APK chứa mobile ransomware, sẽ có 2 kịch bản có thể xảy ra:

• Chúng sẽ hiển thị pop-up (tin thông báo) chặn không cho người dùng truy cập vào tất cả các ứng dụng khác.
• Sử dụng hình thức “bắt buộc nhấp chuột” (clickjacking) để khiến người dùng vô tình cấp quyền quản trị thiết bị. Khi đó, mobile ransomware sẽ truy cập sâu hơn vào hệ thống và thực hiện các hình thức vi phạm khác.

Đối với hệ điều hành iOS, kẻ tấn công cần áp dụng những chiến thuật phức tạp hơn, chẳng hạn như khai thác tài khoản iCloud và sử dụng tính năng “Find my iPhone” để khóa quyền truy cập vào thiết bị.

3.5. Ransomware xuất hiện trong IoT và máy ảnh DSLR

Gần đây, các chuyên gia an ninh mạng đã chứng minh rằng ransomware cũng có thể nhắm mục tiêu các kiến ​​trúc ARM. Cũng như có thể được tìm thấy trong các thiết bị Internet-of-Things (IoT) khác nhau, chẳng hạn như các thiết bị IoT công nghiệp.

Vào tháng 8 năm 2019, các nhà nghiên cứu đã chứng minh rằng có thể lây nhiễm máy ảnh DSLR bằng ransomware. Các máy ảnh kỹ thuật số thường sử dụng Giao thức truyền hình ảnh PTP (Picture Transfer Protocol – giao thức chuẩn được sử dụng để truyền ảnh). Các nhà nghiên cứu nhận thấy rằng có thể khai thác lỗ hổng trong giao thức để lây nhiễm máy ảnh mục tiêu bằng ransomware (hoặc thực thi bất kỳ mã tùy ý nào). Cuộc tấn công này đã được thử nghiệm tại hội nghị bảo mật Defcon ở Las Vegas hồi tháng 8 năm nay.

4. Những vụ tấn công ransomware nổi tiếng

4.1. WannaCry

WannaCry chắc hẳn không còn là một cái tên xa lạ với những ai quan tâm đến công nghệ và bảo mật. Năm 2017, mã độc này đã hoành hành với quy mô cực lớn – 250.000 máy tính tại 116 quốc gia, trong đó có Việt Nam.

WannaCry được đánh giá là “vụ tấn công ransomware kinh khủng nhất trong lịch sử” cho đến năm 2017, ước tính tổng thiệt hại lên đến hàng trăm triệu đến hàng tỉ USD. Mã độc này lợi dụng một lỗ hổng trong giao thức SMB của hệ điều hành Microsoft Windows để tự động lan rộng ra các máy tính khác trong cùng mạng lưới.

Chỉ trong 4 ngày, WannaCry đã lan rộng trong 116 nước với hơn 250.000 mã độc được phát hiện. Tại châu Âu, những tổ chức chính phủ, doanh nghiệp lớn như FedEx, Hệ thống Dịch vụ Y tế Quốc gia Anh và Bộ Nội vụ Nga đều đã gánh chịu hậu quả không nhỏ từ loại ransomware này.

Vài tháng sau vụ tấn công, chính phủ Mỹ đã chính thức buộc tội Triều Tiên là quốc gia đứng sau các vụ tấn công WannaCry. Ngay cả chính phủ Anh và Microsoft cũng có suy đoán tương tự.

4.2. GandCrab

GandCrab là mã độc tống tiền được phát hiện vào cuối tháng 1/2018. Mã độc này được phát tán qua các quảng cáo dẫn tới trang đích chứa mã độc hoặc lây nhiễm qua email. Để trả tiền chuộc, người dùng phải cài trình duyệt Tor, thanh toán bằng tiền điện tử Dash hoặc Bitcoin, với giá trị khoảng $200 – $1200 tùy theo số lượng file bị mã hóa.

Theo thống kê của Bkav, vào thời điểm cuối năm 2018, tại Việt Nam đã có 3.900 trường hợp máy tính bị ransomware này mã hóa dữ liệu tống tiền. Hacker cũng liên tục cải tiến nâng cấp qua 4 thế hệ với độ phức tạp ngày càng cao.

4.3. Bad Rabbit

Bad Rabbit là một ransomware đã gây nên đợt tấn công an ninh mạng lớn thứ 3 kể từ đầu 2017 sau WannaCry và NotPetya. Ransomware này đã hoành hành ở nhiều quốc gia Đông Âu, trong đó có cả các đơn vị chính phủ và doanh nghiệp với tốc độ lan truyền rất nhanh. Các nạn nhân của Bad Rabbit có thể kể đến sân bay Odessa ở Thổ Nhĩ Kỳ, hệ thống tàu điện ngầm Kiev ở Ukraine, Bộ giao thông Ukraine và 3 tờ báo của Nga.

Bad Rabbit được phát tán thông qua một yêu cầu cập nhật Adobe Flash giả mạo. Ransomware này dụ người dùng truy cập vào các trang web đã bị hack để tải về file cài đặt Adobe Flash. Đối với người dùng Internet, những thông báo như vậy không còn quá xa lạ. Vậy nên, nếu không cảnh giác sẽ rất dễ mắc bẫy.

4.4. NotPetya

NotPetya cũng lợi dụng lỗ hổng của Microsoft tương tự như WannaCry. Kể từ khi xuất hiện, ransomware này đã lan rộng trên nhiều website của Ukraine, châu Âu,… Chúng có thể lây lan từ máy tính này sang máy tính khác, từ mạng này sang mạng khác mà không cần thông qua thao tác của người dùng. Đặc biệt, NotPetya không chỉ mã hóa các file tài liệu thông thường, chúng phá hủy ổ cứng của máy nạn nhân đến mức không thể khôi phục dù nạn nhân có trả tiền chuộc hay không.

Nhiều chuyên gia đã nghi ngờ cuộc tấn công nhắm vào chính phủ Ukraine này đứng sau bởi chính phủ Nga.

4.5. Một số vụ khác

Ngoài những ransomware kể trên, còn có một vài vụ tấn công tống tiền bằng phần mềm khá nổi tiếng trên thế giới như Reveton (2012), CryptoLocker (2013), CryptoWall (2014), TorrentLocker (2014), Fusob (2015), SamSam (2016). Số tiền thiệt hại mà những phần mềm này gây ra lên tới hàng triệu USD trên toàn cầu.

5. Những ai có thể trở thành nạn nhân của ransomware?

5.1. Doanh nghiệp

Các doanh nghiệp là mục tiêu hàng đầu của phần mềm tống tiền. Không ngạc nhiên khi hacker chọn những doanh nghiệp đang phát triển nhưng có hệ thống bảo mật lỏng lẻo để tấn công ransomware. Những công ty này có tài chính tốt, và thường sẽ chi trả cho hacker khi đứng trước những lời đe dọa xóa hoặc mã hóa dữ liệu khách hàng.

5.2. Tổ chức y tế – chính phủ – giáo dục

Bên cạnh đó, một số tổ chức cũng có thể trở thành đối tượng bị tấn công vì hacker cho rằng họ có khả năng sẽ trả tiền chuộc trong thời gian ngắn. Ví dụ như các cơ quan chính phủ hay các cơ sở, dịch vụ y tế – những đơn vị phải thường xuyên truy cập vào cơ sở dữ liệu. Các công ty luật hoặc các tổ chức sở hữu nhiều dữ liệu nhạy cảm cũng sẽ sẵn sàng bỏ tiền ra để kẻ tấn công giữ im lặng.

Hacker cũng có thể nhắm đến các trường đại học vì các đơn vị này thường có đội ngũ bảo mật nhỏ, trong khi lại sở hữu một nền tảng thông tin người dùng lớn.

5.3. Cá nhân

Bên cạnh các tổ chức, các chiến dịch tống tiền bằng phần mềm độc hại cũng nhắm tới cá nhân. Đã có nhiều vụ tấn công nhắm tới những người mà kẻ xấu tin là có tiền, những CEO – Founder – Manager của các công ty, tập đoàn lớn.

Tuy nhiên, điều đó không có nghĩa là những cá nhân bình thường sử dụng Internet thì không có nguy cơ bị tấn công bởi ransomware. Trên thực tế, bất cứ ai cũng có thể trở thành nạn nhân của ransomware. Bởi hiện nay có rất nhiều loại ransomware có thể tự động lan rộng khắp Internet. Chỉ một cú click đơn giản cũng có thể làm “tê liệt” máy tính người dùng.

6. Cách xử lý khi máy tính nhiễm ransomware

6.1. Có nên trả tiền chuộc?

Mục đích quan trọng nhất của hacker khi cài mã độc vào máy tính của bạn đơn giản là tiền. Bạn càng hoảng loạn và trả tiền càng nhanh, chúng sẽ lại càng lộng hành. Không chỉ vậy, bạn đang đối mặt với một kẻ lừa đảo, và đây không phải một vụ trao đổi công bằng. Trả tiền chuộc cho chúng sẽ không thể đảm bảo được việc bạn có lấy lại được dữ liệu hay không. Chính vì vậy, các chuyên gia an ninh mạng và chính quyền khuyến cáo không nên trả tiền chuộc cho hacker.

Khi bị nhiễm mã độc tống tiền, không nên vội vàng trả tiền chuộc cho hacker vì các lý do: thứ nhất, dù có trả cũng không đảm bảo dữ liệu sẽ an toàn. Thứ hai, đôi khi người dùng bị nhiễm ransomware đã có bộ giải mã. Bạn cần liên hệ ngay với các chuyên gia An ninh mạng để có phương án xử lí ít tốn kém nhất.Ông Nguyễn Hữu Trung – Giám đốc công nghệ, CyStack Security.

6.2. Gỡ bỏ ransomware khỏi máy tính như thế nào?

Nếu máy tính của bạn đang kết nối với mạng chung của công ty, việc đầu tiên bạn cần làm là ngắt kết nối mạng từ thiết bị của mình để mã độc không lan truyền rộng ra nhiều thiết bị khác trên cùng network.

Nếu máy tính của bạn không bị khóa mà chỉ có dữ liệu bị mã hóa, bạn có thể tham khảo hướng dẫn chi tiết cách gỡ bỏ ransomware bằng cách bật chế độ Safe Mode, chạy phần mềm antivirus để loại bỏ ransomware, hoặc gỡ bỏ thủ công.

Nếu máy tính của bạn đã bị khóa, công đoạn gỡ bỏ ransomware sẽ phức tạp hơn và bạn sẽ cần gỡ bỏ CryptoLocker. Trong trường hợp này hãy tìm đến các dịch vụ bảo mật chuyên nghiệp để được hỗ trợ kịp thời.

6.3. Có thể khôi phục dữ liệu được không?

Đối với các loại ransomware nổi tiếng mà nhiều người đã bị nhiễm, một số chuyên gia đã phát triển các chương trình loại bỏ ransomware và khôi phục dữ liệu cho người dùng. Những chương trình này đòi hỏi trình độ chuyên môn nhất định về máy tính. Nếu quan tâm, bạn có thể tham khảo No More Ransom, Free Ransom Decryptors.

Tuy nhiên, thủ đoạn của hacker ngày càng tinh vi, cách thức hoạt động của các loại ransomware cũng không thể lường trước được. Khi một loại ransomware mới bị phát tán, hầu hết các trường hợp bị nhiễm đều không thể khôi phục dữ liệu. Chính vì vậy, điều quan trọng nhất là bạn cần trang bị kiến thức phòng chống ransomware ngay hôm nay, để không gặp phải những tình huống đáng tiếc.

7. Cách phòng chống ransomware hiệu quả

7.1. Sao lưu dữ liệu

Trước tiên, cần phải thường xuyên sao lưu dữ liệu trong máy tính. Đối với lượng dữ liệu cần sao lưu lớn, ổ cứng tách rời là một lựa chọn phù hợp. Đối với lượng dữ liệu cần sao lưu dưới 50GB, bạn có thể bắt đầu với các dịch vụ lưu trữ dữ liệu trên đám mây như Dropbox, Google Drive, Mega hoặc One Drive. Nếu mỗi ngày bạn đều làm việc với các dữ liệu quan trọng thì nên thực hiện backup dữ liệu hàng ngày. Trong trường hợp máy tính bị tấn công, điều này sẽ giúp bạn không cần lo lắng về việc dữ liệu bị phá hủy.

7.2. Thường xuyên cập nhật phần mềm

Các bản cập nhật của phần mềm sẽ thường được vá lỗi bảo mật còn tồn tại trong phiên bản cũ, bảo vệ an toàn thông tin cho người dùng hơn. Bạn nên đặc biệt chú ý cập nhật thường xuyên các chương trình như trình duyệt, Flash, Java.

Ngoài ra, anti-virus cũng là một trong những chương trình quan trọng bạn nên để tâm đến. Nếu máy tính của bạn chưa có phần mềm diệt virus thì hãy cài đặt càng sớm càng tốt. Kaspersky, Norton, McAfee, ESET hoặc Windows Defender – giải pháp phòng chống virus mặc định của Windows đều là những chương trình bạn có thể tin tưởng. Nếu đã cài đặt, hãy thường xuyên cập nhật phiên bản mới nhất của phần mềm. Phần mềm diệt virus sẽ giúp phát hiện các tệp độc hại như ransomware, đồng thời ngăn chặn hoạt động của các ứng dụng không rõ nguồn gốc trong máy tính của bạn.

7.3. Cẩn thận với link hoặc file lạ

Đây là phương thức lừa đảo khá phổ biến của hacker: Gửi email hoặc nhắn tin qua Facebook, đính kèm link download và nói rằng đó là file quan trọng hoặc chứa nội dung hấp dẫn với mục tiêu. Khi tải về, file thường nằm ở dạng .docx, .xlxs, .pptx hoặc .pdf, nhưng thực chất đó là file .exe (chương trình có thể chạy được). Ngay lúc người dùng click mở file, mã độc sẽ bắt đầu hoạt động.

Chính vì vậy, trước khi click download về máy, nên kiểm tra kĩ mức độ tin cậy của địa chỉ người gửi, nội dung email, tin nhắn,… Nếu download về rồi, hãy xem kĩ đuôi file là gì, hoặc sử dụng Word, Excel, PowerPoint,… để mở file thay vì click trực tiếp. Nếu là file .exe giả dạng thì phần mềm sẽ báo lỗi không mở được.

oàn diện trước nguy cơ từ ransomware và các hình thức tấn công mạng khác.

Khi xây dựng ứng dụng công nghệ như web app hay mobile app, một trong những bước không thể thiếu để gia tăng bảo mật cho sản phẩm là kiểm thử xâm nhập – penetration testing, hay còn gọi là pentest. Vậy, pentest thực chất là gì, vai trò cụ thể của module này với ATTT trong doanh nghiệp ra sao? Cùng tìm hiểu trong bài viết dưới đây.

Pentest là gì?

Penetration testing

Pentest, viết tắt của penetration testing (kiểm tra xâm nhập), là hình thức đánh giá mức độ an toàn của một hệ thống IT bằng các cuộc tấn công mô phỏng thực tế. Hiểu đơn giản, pentest cố gắng xâm nhập vào hệ thống để phát hiện ra những điểm yếu tiềm tàng của hệ thống mà tin tặc có thể khai thác và gây thiệt hại.

Mục tiêu của pentest là giúp tổ chức phát hiện càng nhiều lỗ hổng càng tốt, từ đó khắc phục chúng để loại trừ khả năng bị tấn công trong tương lai. Người làm công việc kiểm tra xâm nhập được gọi là pentester.

Pentest có thể được thực hiện trên hệ thống máy tính, web app, mobile app, hạ tầng mạng, IoT, ứng dụng và hạ tầng cloud, phần mềm dịch vụ SaaS, API, source code, hoặc một đối tượng IT có kết nối với internet và có khả năng bị tấn công… nhưng phổ biến nhất là pentest web app và mobile app. Những thành phần trên được gọi là đối tượng kiểm thử (pentest target).

Khi thực hiện xâm nhập, pentester cần có được sự cho phép của chủ hệ thống hoặc phần mềm đó. Nếu không, hành động xâm nhập sẽ được coi là hack trái phép. Thực tế, ranh giới giữa pentest và hack chỉ là sự cho phép của chủ đối tượng. Vì thế, khái niệm pentest có ý nghĩa tương tự như ethical hacking (hack có đạo đức), pentester còn được gọi là hacker mũ trắng (white hat hacker).

Để hiểu rõ hơn về Pentest, ta cần hiểu rõ ba khái niệm cơ bản trong bảo mật là “vulnerabilities”, “exploits”, và “payloads”

• Lỗ hổng bảo mật (vulnerabilities) là những điểm yếu bảo mật của một phần mềm, phần cứng, hệ điều hành, hay ứng dụng web cho phép kẻ tấn công một cơ sở để tấn công hệ thống. Lỗ hổng có thể đơn giản như mật khẩu yếu, hay phức tạp như lỗ hổng SQL hoặc tràn bộ nhớ đệm.
• Khai thác (exploits) là hành động lợi dụng một lỗ hổng, sự cố hay lỗi của phần mềm, đoạn dữ liệu hay một chuỗi các lệnh nhằm gây ra hành vi bất thường không mong muốn xảy ra trên một hệ thống máy tính. Những hành vi đó bao gồm leo thang đặc quyền, đánh cắp thông tin nhạy cảm, tấn công từ chối dịch vụ, v.v.
• Trọng tải (payloads) là một phần của hệ thống đang tồn tại lỗ hổng và là mục tiêu để khai thác.

Các hình thức pentest

• White box Testing: Trong hình thức pentest white box, các chuyên gia kiểm thử được cung cấp đầy đủ thông tin về đối tượng mục tiêu trước khi họ tiến hành kiểm thử. Những thông tin này bao gồm: địa chỉ IP, sơ đồ hạ tầng mạng, các giao thức sử dụng, hoặc source code.
• Gray box Testing: Pentest gray box là hình thức kiểm thử mà pentester nhận được một phần thông tin của đối tượng kiểm thử, ví dụ URL, IP address,… nhưng không có hiểu biết đầy đủ hay quyền truy cập vào đối tượng.
• Black box Testing: Pentest black box, hay còn gọi là ‘blind testing’, là hình thức pentest dưới góc độ của một hacker trong thực tế. Với hình thức này, các chuyên gia kiểm thử không nhận được bất kỳ thông tin nào về đối tượng trước khi tấn công. Các pentester phải tự tìm kiếm và thu thập thông tin về đối tượng để tiến hành kiểm thử. Loại hình pentest này yêu cầu một lượng lớn thời gian tìm hiểu và nỗ lực tấn công, nên chi phí không hề rẻ.

Ngoài ra còn các hình thức pentest khác như: double-blind testing, external testing, internal testing, targeted testing tuy nhiên chúng không phổ biến tại Việt Nam và chỉ được sử dụng với nhu cầu đặc thù của một số doanh nghiệp.

Lịch sử của Penetration Testing

Giữa những năm 1960s, chứng kiến sự gia tăng trong khả năng trao đổi dữ liệu qua mạng máy tính, các chuyên gia đã cảnh báo về nguy cơ chắc chắn sẽ có sự tấn công xâm nhập vào các mạng của chính phủ và doanh nghiệp và giành quyền truy cập vào dữ liệu được trao đổi. Tại Hội nghị Máy tính Chung Thường niên năm 1967 quy tụ hơn 15.000 chuyên gia bảo mật máy tính, các nhà phân tích đã thảo luận và đặt ra thuật ngữ “penetration” (xâm nhập). Các chuyên gia xác định đó là một trong những hiểm họa đối với trao đổi dữ liệu qua mạng máy tính ngày nay.

Cuối năm 1967, tập đoàn RAND đã hợp tác với Cơ quan Dự án Nghiên cứu Tiên tiến (dARPA) tại Hoa Kỳ để tạo ra một báo cáo chuyên đề, được gọi là Willis Report (đặt tên theo người đứng đầu dự án). Báo cáo đã thảo luận về các vấn đề an ninh của mạng internet và đề xuất chính sách, đặt nền móng cho các biện pháp an ninh ngày nay. Dựa trên báo cáo này, chính phủ Hoa Kỳ đã hợp tác với doanh nghiệp và thành lập các nhóm với sứ mệnh “dò tìm các lỗ hổng bảo mật trong hệ thống mạng máy tính để có biện pháp bảo vệ các hệ thống đó khỏi sự xâm nhập và khai thác trái phép”.

Những nhóm pentest đầu tiên trên thế giới có tên Tiger Teams (đặt tên theo lính đặc nhiệm Hoa Kỳ) được hình thành vào cuối những năm 1960s với nhiệm vụ tấn công vào các mạng máy tính để đánh giá khả năng chống chịu của các mạng đó trước các cuộc tấn công thù địch. Kết quả thu được đã khiến các nhà lãnh đạo không khỏi bất ngờ:

Hầu hết các hệ thống được kiểm tra khi đó đều “bị đánh gục một cách dễ dàng và nhanh chóng”.

Chiến dịch thử nghiệm thâm nhập này của RAND Corporation và chính phủ đã chứng minh 2 điều:

• thứ nhất, các hệ thống có thể bị xâm nhập
• thứ hai, sử dụng các kỹ thuật kiểm tra thâm nhập (penetration testing) để xác định các lỗ hổng trong hệ thống, mạng, phần cứng và phần mềm là một phương pháp hữu ích để đánh giá và cải thiện tính bảo mật cho cả hệ thống.

Sau này, học giả Deborah Russell và G. T. Gangemi Sr. nhận xét rằng, những năm 1960s đã “đánh dấu sự khởi đầu thực sự của thời đại bảo mật máy tính”.

The 1960s marked the true beginning of the age of computer security

Deborah Russell & G.T. Gangemi Sr.

Tại sao cần Pentest?

Ngày nay, dưới sự phát triển của công nghệ, kiểm tra thâm nhập đã trở thành một mô-đun không thể thiếu trong hệ thống an toàn thông tin của nhiều doanh nghiệp.

Penetration Testing (kiểm tra thâm nhập) là giải pháp hiệu quả để bảo mật cho web, mobile app, network, IoT,… khỏi cuộc tấn công của tin tặc. Thông qua các cuộc tấn công mô phỏng thực tế, các kỹ sư kiểm thử có thể tìm ra những điểm yếu bảo mật của hệ thống. Qua đó giúp doanh nghiệp vá lỗ hổng kịp thời, trước khi tin tặc khai thác chúng và gây thiệt hại về tiền bạc, danh tiếng cho tổ chức.

Theo đơn vị nghiên cứu thị trường Market Watch, dung lượng thị trường Pentest vào năm 2018 là 920 triệu USD, sẽ tăng lên 2420 triệu USD vào năm 2025 với tốc độ tăng trưởng 14,9% trong giai đoạn 2019 – 2025. Nhu cầu dành cho việc kiểm tra sức chống chịu của hệ thống trước tội phạm mạng là rất lớn. Lý do giải thích cho sự tăng trưởng này đến từ bốn yếu tố.

4 lý do khiến Pentest là không thể thiếu với doanh nghiệp hiện đại

Phát triển web app, mobile app gia tăng

Đầu tiên, các mô hình kinh doanh trong nền kinh tế số đòi hỏi doanh nghiệp phải sử dụng website, ứng dụng mobile để tiếp cận – kết nối – giao tiếp – chăm sóc khách hàng. Điều này vừa là lợi thế, vừa là yêu cầu bắt buộc đối với một số tổ chức. Bởi vì hành vi của người dùng đã thay đổi, họ thích sự tiện lợi, thích làm mọi thứ “online”. Chính vì vậy doanh nghiệp tuy hạn chế được rủi ro khi bán hàng offline như hàng tồn, chi phí mặt bằng; nhưng đồng thời cũng phải gánh thêm các rủi ro mạng: bị hack website, bị hack mobile app, đánh cắp thông tin khách hàng, dữ liệu quan trọng, bị gián đoạn hoạt động, bị nhiễm virus – mã độc, v.v…

Xu hướng chuyển đổi số

Thứ hai, doanh nghiệp hiện đại bị buộc phải chạy theo xu hướng “số hóa” hay “chuyển đổi số”. Việc ứng dụng công nghệ mới vào vận hành doanh nghiệp giúp cắt giảm chi phí nhân lực, vận hành, nhưng cũng làm gia tăng các bề mặt tấn công dành cho tin tặc. Điển hình là ERP dành cho quản trị, CRM giúp lưu trữ thông tin và chăm sóc khách hàng, các thiết bị IoT trong vận hành, v.v. Tất cả những sản phẩm kỹ thuật số này, nếu không được bảo mật đúng cách thì đều có thể trở thành nạn nhân của tội phạm mạng.

Phần mềm SaaS

Thứ ba, xu hướng sử dụng các phần mềm dịch vụ trả tiền theo nhu cầu “as-a-service” gia tăng so với phần mềm mua bản quyền trọn đời (on-premise). Điều này mang lại sự tiện lợi cho người dùng cuối, nhưng cũng làm gia tăng các rủi ro bảo mật cho nhà cung cấp. Việc phân phối các ứng dụng, phần mềm, hạ tầng, nền tảng dưới dạng dịch vụ (SaaS, IaaS, PaaS, FaaS) đòi hỏi kết nối internet liên tục, đồng nghĩa với rủi ro bị tấn công gián đoạn tăng cao, gây ảnh hưởng tới trải nghiệm của người dùng.

Pentest là hình thức phòng ngừa chủ động hiệu quả

Cuối cùng, phương pháp bảo mật bằng hình thức tấn công mô phỏng mang lại cho doanh nghiệp những lợi ích mà các hệ thống phòng thủ tự động không thể có được, dù cho chúng có tiên tiến tới đâu. Bởi các pentester tấn công với tư duy như một tin tặc trong thế giới thực: rất “con người” và đầy tính sáng tạo.

Lợi ích của Pentest

Khi thực hiện pentest định kỳ và đúng cách, doanh nghiệp có thể đạt được những mục tiêu bảo mật quan trọng:

• Tăng cường an ninh cho ứng dụng web, mobile, network, IoT, API, hệ thống cloud, SaaS, phần cứng, v.v. Giảm thiểu tối đa khả năng bị hacker xâm nhập trái phép và gây thiệt hại;
• Các nhà lãnh đạo có cài nhìn toàn cảnh về an ninh ứng dụng & sản phẩm công nghệ của tổ chức;
• Ước tính thiệt hại mà một cuộc tấn công thực tế có thể gây ra;
• Bảo mật cơ sở dữ liệu, các thông tin quan trọng của doanh nghiệp và thông tin người dùng;
• Giúp hệ thống hoạt động ổn định, giảm thiểu khả năng bị tấn công gây gián đoạn;
• Tìm được các lỗ hổng nguy hiểm mà công cụ/phần mềm phòng thủ tự động khó phát hiện ra;
• Đảm bảo tiêu chuẩn bảo mật của từng ngành cụ thể (PCI DSS, HIPAA, ISO 27001,…);
• Củng cố niềm tin cho khách hàng, đối tác, nhà đầu tư.

Thời điểm thích hợp để triển khai pentest?

Các tổ chức được khuyến cáo thực hiện pentest định kỳ theo chu kỳ hàng năm hoặc quý để đảm bảo an ninh cho hệ thống IT bao gồm hạ tầng mạng và các ứng dụng. Bên cạnh việc triển khai pentest định kỳ, kiểm tra xâm nhập sẽ cần thiết mỗi khi doanh nghiệp:

• có thêm hạ tầng mạng hoặc ứng dụng mới;
• cập nhật hay điều chỉnh đáng kể các ứng dụng và hạ tầng;
• chuyển văn phòng sang địa điểm mới và cài đặt lại hệ thống;
• cập nhật bản vá bảo mật mới; hoặc
• điều chỉnh chính sách bảo mật cho người dùng cuối.

Doanh nghiệp nào cần pentest?

Tuy nhiên, pentest không phải dành cho tất cả mọi tổ chức. Cần xem xét các yếu tố sau trước khi thực hiện pentest:

• Quy mô công ty. Những công ty xuất hiện online thường xuyên hơn sẽ có nhiều vector tấn công và trở nên hấp dẫn hơn với tin tặc.
• Các công ty có hạ tầng trên cloud có khả năng sẽ không được phép thực hiện pentest hạ tầng cloud. Tuy nhiên nhà cung cấp sẽ có nghĩa vụ phải thực hiện pentest định kỳ để đảm bảo an ninh cho khách hàng sử dụng tài nguyên đám mây của họ.
• Chi phí pentest không hề thấp, vì thế các công ty có ngân sách an ninh mạng hạn hẹp sẽ khó có thể thực hiện định kỳ.

Điểm yếu của Pentest

Mặc dù Pentest là một giải pháp hiệu quả để chống lại các cuộc tấn công mạng có chủ đích. Nhưng không có phương pháp nào là hoàn hảo tuyệt đối. Dưới đây là một số mặt hạn chế của Kiểm thử thâm nhập:

• Chi phí cao: Đối với dịch vụ pentest thông thường, doanh nghiệp sẽ phải trả phí theo giờ hoặc ngày công làm việc của pentester, và chi phí này không hề thấp. Thực tế nhiều doanh nghiệp có nhu cầu bảo mật web app, mobile app nhưng việc chi một khoản tiền quá lớn cho pentest là một rào cản.
• Thiếu tính đa dạng: Thông thường đội ngũ pentest chỉ bao gồm tối đa 3-5 người, và họ thường kiểm tra theo một quy trình có sẵn, lặp đi lặp lại. Trong khi tin tặc ngoài thực tế không bị bó buộc vào bất kỳ một quy trình nào, và số lượng kẻ xấu là rất nhiều.
• Khó tích hợp nền tảng: Các pentest thông thường sẽ tạo ra một báo cáo dài với các lỗ hổng được liệt kê. Không có sự tích hợp nào trong vòng đời phát triển phần mềm, và điều này làm tăng thêm chi phí hoạt động và làm chậm tốc độ của cả việc khắc phục và phát triển ứng dụng.

Pentest cộng đồng được cho là giải pháp hiệu quả để khắc phục những yếu điểm trên. Với Pentest cộng đồng, doanh nghiệp có thể tiếp cận hàng trăm chuyên gia bảo mật, pentester hay hacker mũ trắng để tìm lỗi cho sản phẩm. Hơn nữa, mô hình tính phí Bug bounty (trả tiền theo lỗi) cho phép doanh nghiệp tối ưu hiệu quả đầu tư với cùng mức chi phí so với Pentest truyền thống.

Công cụ kiểm thử xâm nhập

Pentester thường sử dụng công cụ để phát hiện những lỗ hổng cơ bản. Những công cụ này giúp quét mã nguồn của ứng dụng để tìm ra những đoạn code độc hại có thể mở ra một cuộc tấn công. Bên cạnh đó, pentest tool cũng có thể xem xét công nghệ mã hóa dữ liệu và có thể xác định các giá trị hard-code (ví dụ như username và passwords) để xác minh các lỗ hổng tồn tại trong hệ thống.

Một công cụ pentest tốt phải đáp ứng được:

• Dễ triển khai, thiết lập, sử dụng;
• Quét hệ thống dễ dàng;
• Phân loại lỗ hổng dựa vào mức độ nghiêm trọng và cấp bách;
• Có khả năng tự động quá trình xác minh lỗ hổng;
• Xác minh lại những khai thác trước đó; và
• Xuất báo cáo lỗ hổng và logs chi tiết.

Có rất nhiều công cụ pentest miễn phí và open source (mã nguồn mở) phổ biến. Ví dụ như: Metasploit Project, Nmap, Wireshark, John the Ripper…Pentester sử dụng các công cụ tương tự như hacker mũ đen. Điều đó giúp họ hiểu rõ hơn cách các công cụ này giúp tin tặc xâm nhập vào tổ chức.

Những pentester chuyên nghiệp có khả năng sử dụng công cụ pentest tối ưu để tiết kiệm công sức đồng thời đạt hiệu quả cao nhất.

Quy trình pentest

Có nhiều phương pháp và cách tiếp cận khác nhau khi nói tới quy trình kiểm thử xâm nhập. Tuy nhiên chúng đều theo một tư duy chung gồm 4 bước cơ bản: thu thập thông tin về đối tượng – nghiên cứu các phương án khả thi – khai thác lỗ hổng & xâm nhập – báo cáo.

1. Reconnaissance
2. Enumerate
3. Exploit
4. Documentation

Thu thập thông tin

Đây là giai đoạn pentester thu thập tất cả những thông tin cần thiết về đối tượng. Quá trình này ảnh hưởng to lớn đến kết quả kiểm thử của chuyên gia. Nếu thu thập thông tin chính xác sẽ giúp rút ngắn thời gian kiểm thử đi nhiều lần. Những thông tin có thể thu thập bao gồm: địa chỉ website, loại máy chủ, địa điểm đặt máy chủ, các đường link, tiêu chuẩn mã hóa, thông tin liên hệ, email, số điện thoại,… Các công cụ được sử dụng rất đa dạng, có thể là Google Search hay các công cụ chuyên sâu như Nmap, Wireshark. Đôi khi các pentester cũng phân tích source code của website để tìm kiếm thông tin.

Xác định các cổng truy cập

Việc tiếp theo là xác định toàn bộ các cổng cho phép truy cập vào ứng dụng. Ở bước này, pentester sẽ sử dụng kinh nghiệm và các công cụ hỗ trợ để tìm ra những cổng khả thi giúp truy cập vào phần mềm. Những công cụ thường được sử dụng là Nmap, Wireshark.

Khai thác lỗ hổng và xâm nhập

Sau khi đã có đầy đủ thông tin và các cổng truy cập, pentester thực hiện khai thác các lỗ hổng để có được quyền truy cập vào ứng dụng web/mobile.

Gửi báo cáo lỗ hổng và PoC

Khi đã xâm nhập thành công, các pentester cần gửi báo cáo lỗ hổng cho đơn vị chủ quản của hệ thống để tiến hành xác minh và đánh giá mức độ nghiêm trọng. Ở bước này, pentester cần viết một PoC.

PoC (Proof of Concept) là một bản mô phỏng cuộc tấn công khai thác lỗ hổng trong thế giới thực. Một đoạn mã được viết phục vụ việc mô phỏng được gọi là PoC code. Nếu PoC code bị phát tán rộng rãi trước khi có bản vá bảo mật, sẽ trở thành một Zero-day exploit.

Quá trình pentest hoàn tất khi hai bên (Pentester và Doanh nghiệp) thống nhất báo cáo cuối cùng về các lỗ hổng và mức độ ảnh hưởng của nó tới phần mềm hoặc hệ thống.

Nhiều pentester tìm ra lỗ hổng nguy hiểm, nhưng không chứng minh được mức độ ảnh hưởng của lỗ hổng đó tới tổ chức, thì sẽ không được đánh giá cao. Bởi vậy, việc chứng minh mức độ ảnh hưởng của lỗ hổng rất quan trọng trong quá trình đám phán, và pentester cần tìm hiểu kỹ về tổ chức để trao đổi dễ dàng hơn về phạm vi ảnh hưởng.

Khóa học Penetration Test cho người mới bắt đầu tại VietIS Education

“Kiểm thử bảo mật an ninh hệ thống cho người mới bắt đầu - Penetration Testing” là khóa học chuyên sâu dành cho những ai muốn thử sức với lĩnh vực Kiểm thử bảo mật và trở thành một Pen Tester chuyên nghiệp. Thông qua 1.5 tháng vừa đào tạo kiến thức, vừa thực hành kỹ năng, bạn có thể tự tin nắm vững cách thức phát hiện và đánh giá lỗ hổng bảo mật của hệ thống. 

5 lý do bạn nhất định không nên bỏ qua khóa học Penetration Testing tại VietIS Education

✅ Giảng viên là Trưởng nhóm Bảo mật và Kiểm thử hiệu năng, với hơn 7 năm kinh nghiệm trong lĩnh vực kiểm thử bảo mật, sẵn sàng hỗ trợ học viên trọn đời.

✅ Lộ trình học tập toàn diện từ cơ bản tới nâng cao, kết hợp nhuần nhuyễn với thực hành liên tục tại hệ thống lab ảo gần nhất với tình huống thực tế.

✅ Chi phí hợp lý, hình thức học tập linh hoạt, phù hợp cho học sinh - sinh viên - người đi làm với lịch trình bận rộn.

✅ Môi trường học tập hiện đại, trang thiết bị tiện nghi, đảm bảo trải nghiệm học tập tích cực.

✅ Đội ngũ admin hỗ trợ liên tục 24/7 sẵn sàng giải đáp mọi thắc mắc của học viên. 

Liên hệ tư vấn: https://www.vietis.edu.vn/lien-he/