Khám Phá

Pentest không phải là giải pháp bảo mật, đừng tin vào quảng cáo

Rate this post

Pentest không phải là một giải pháp bảo mật, không làm cho mạng an toàn hơn và pentester không phải là một hacker.

Pentest không phải là giải pháp bảo mật, đừng tin vào quảng cáo - Ảnh 1.

Nhiều doanh nghiệp tìm đến Penetration Testing (Penttest) như một giải pháp bảo mật, giúp tránh xa tầm tay của tin tặc. Thực tế thì không phải như vậy.

Các nhà tư vấn bảo mật tin rằng “Để đánh bại một hacker, bạn phải suy nghĩ như một”. Sự thật là Pentester (Penetration Tester) không thể suy nghĩ và tấn công như một hacker, vì hacker không bị giới hạn bởi bất cứ thứ gì nhưng Pentester có rất nhiều hạn chế về phạm vi và thời gian. thời gian, kỹ thuật. Do đó, không thể yêu cầu thực hiện kiểm tra thâm nhập từ góc độ của hacker. Dưới đây là những lý do tại sao pentester không thể là một hacker

Pentest không phải là giải pháp bảo mật, đừng tin vào quảng cáo - Ảnh 2.

Theo ECQ, công ty tư vấn bảo mật tin rằng pentest chỉ giúp tìm ra các lỗ hổng bảo mật, việc khai thác và các mối đe dọa tại thời điểm thử nghiệm, với các cấu hình và cơ chế bảo mật hiện có. Không có gì đảm bảo rằng sau khi thực hiện Pentest, hệ thống sẽ an toàn.

Ngoài ra, tính hiệu quả và bức tranh tổng thể về cấu trúc bảo mật của doanh nghiệp còn dựa trên phạm vi thử nghiệm, các kỹ thuật được phép sử dụng trong quá trình thử nghiệm thâm nhập. Đặt câu hỏi “Doanh nghiệp sợ nhất điều gì khi bị hack?” xác định tiêu chí thành công cũng là kim chỉ nam để đội ngũ làm việc tập trung vào đúng mục tiêu.

Đánh giá lỗ hổng bảo mật (VA) và kiểm tra thâm nhập (Pentest) thường bị các công ty bảo mật nhầm lẫn, khách hàng thường được gợi ý dịch vụ Pentest nhưng báo cáo lại chỉ nhận được. nằm ở mức của VA. Giá trị của hai dịch vụ này vẫn còn mơ hồ và không rõ ràng. Vậy đâu là sự khác biệt thực sự?

Để dễ hiểu hơn về hai dịch vụ này, bạn hãy hình dung một tòa nhà cao 30 tầng, cửa sổ tầng 5 và tầng 29 đang mở. Một giả thuyết cho rằng kẻ trộm có thể vào bên trong qua cửa sổ. VA sẽ báo rằng tầng 5 và tầng 29 mở cửa, mức độ nguy hiểm như nhau. Pentest sẽ chỉ ra rằng tầng 5 là một nguy cơ thực sự vì có một chiếc thang đủ cao để giúp bọn trộm leo lên đây. Pentester phải chứng minh rằng điều này là có thật bằng cách sử dụng chiếc thang đó để leo vào bên trong và để lại bằng chứng rằng anh ta đã đến đây. Còn tầng 29 là hố thật nhưng rủi ro thấp hơn nhiều vì không có thang giúp bọn trộm leo lên được hoặc phải dùng trực thăng mới tiếp cận được. (Đây chỉ là một ví dụ minh họa)

Hoạt động VA tiết kiệm tiền và thời gian bằng cách sử dụng các công cụ tự động để kiểm tra lỗ hổng bảo mật, nhưng không thể đảm bảo độ chính xác. Pentest là công việc được thực hiện sau VA và sử dụng các kỹ thuật thủ công bổ sung để có độ chính xác cao hơn. Ngoài ra, Pentest còn giúp chứng minh các mối đe dọa thực sự thông qua việc khai thác thành công các lỗ hổng. Vì vậy, giá cả đi đôi với chất lượng, những lời chào mời kiểm tra thâm nhập giá rẻ thực chất giá trị nhận được duy nhất là báo cáo của công cụ quét lỗi tự động.

Tóm lại, thử nghiệm thâm nhập không làm cho nó an toàn hơn, nó chỉ giúp chứng minh tại thời điểm này hệ thống có thể bị tấn công như thế nào. Khả năng lặp lại lỗi vẫn có thể xảy ra do cấu trúc bảo mật, công nghệ và quy trình đã sai ngay từ đầu. Bảo mật luôn cần đầy đủ 3 yếu tố phòng ngừa, phát hiện và ứng phó. Không có hệ thống nào được cho là hoàn hảo mặc dù thử nghiệm thâm nhập thường xuyên, sẽ là dối trá khi một công ty bảo mật nói rằng họ có thể kiểm tra tất cả các lỗ hổng. Và đừng quên Zero-day (chưa biết và chưa được vá) là một phần của cuộc sống.

Xem thêm:  Lý giải biệt danh Sói Trắng, cái tên nói lên tất cả về xuất thân của chàng witcher Geralt

Vừa rồi, bạn vừa mới đọc xong bài viết về
Pentest không phải là giải pháp bảo mật, đừng tin vào quảng cáo

tại Tips Tech.
Hy vọng rằng những kiến thức trong bài viết
Pentest không phải là giải pháp bảo mật, đừng tin vào quảng cáo

sẽ làm cho bạn để tâm hơn tới vấn đề
Pentest không phải là giải pháp bảo mật, đừng tin vào quảng cáo

hiện nay.
Hãy cũng với Tip Techs khám phá thêm nhiều bài viết về
Pentest không phải là giải pháp bảo mật, đừng tin vào quảng cáo

nhé.

Bài viết
Pentest không phải là giải pháp bảo mật, đừng tin vào quảng cáo

đăng bởi vào ngày 2022-05-28 06:47:24. Cảm ơn bạn đã bỏ thời gian đọc bài tại Tips Tech

Nguồn: genk.vn

Xem thêm về
Pentest không phải là giải pháp bảo mật, đừng tin vào quảng cáo

#Pentest #không #phải #là #giải #pháp #bảo #mật #đừng #tin #vào #quảng #cáo
Pentest không phải là giải pháp bảo mật, không giúp hệ thống mạng an toàn hơn và pentester không phải là hacker.

#Pentest #không #phải #là #giải #pháp #bảo #mật #đừng #tin #vào #quảng #cáo

Nhiều doanh nghiệp tìm đến Penetration Testing (Pentest – Kiểm thử thâm nhập) như một giải pháp bảo mật, giúp tránh xa tầm tay của hacker. Sự thật, không phải như thế. Các nhà tư vấn bảo mật tin rằng “To beat a hacker, you gotta think like one” (Tạm dịch: Để đánh bại một hacker, bạn phải suy nghĩ như họ). Sự thật, Pentester (Người kiểm thử thâm nhập) không thể có được suy nghĩ và cách tấn công như một hacker, vì hacker không bị giới hạn bởi bất kì điều gì nhưng Pentester thì lại có rất nhiều hạn chế về phạm vi, thời gian, kỹ thuật. Do đó yêu cầu thực hiện kiểm thử thâm nhập từ góc nhìn của một hacker là điều không thể xảy ra. Sau đây là những lý do mà pentester không thể là một hackerTheo ECQ, công ty tư vấn bảo mật cho rằng pentest chỉ giúp tìm những lỗ hổng bảo mật, cách khai thác và các nguy cơ bị tấn công vào thời điểm kiểm tra, với cấu hình và các cơ chế bảo mật đang có. Không điều gì có thể đảm bảo sau khi thực hiện Pentest hệ thống sẽ an toàn. Ngoài ra, mức độ hiệu quả và bức tranh tổng thể về cấu trúc bảo mật của doanh nghiệp còn dựa trên phạm vi kiểm tra, các kỹ thuật được phép sử dụng trong quá trình kiểm thử thâm nhập. Đặt câu hỏi “Điều gì doanh nghiệp sợ nhất khi bị tấn công mạng?” để xác định tiêu chí thành công cũng là kim chỉ nam để nhóm pentest tập trung đi đúng mục tiêu. Vulnerability Assessment (VA – Dò quét lỗ hổng bảo mật) và Penetration Testing (Pentest – Kiểm thử thâm nhập) thường bị các công ty bảo mật đánh tráo khái niệm, khách hàng thường được đề xuất dịch vụ Pentest nhưng báo cáo nhận lại chỉ nằm ở mức độ của VA. Giá trị của hai dịch vụ này vẫn bị nhập nhằng và mơ hồ. Vậy điểm khác nhau thật sự nằm ở đâu? Để dễ hiểu hơn cho hai dịch vụ này, hãy tưởng tượng một toà nhà có 30 tầng, cửa sổ của tầng 5 và tầng 29 đều mở. Một giả thuyết được đặt ra là kẻ trộm có thể vào bên trong bằng cửa sổ. VA sẽ cho ra báo cáo là tầng 5 và tầng 29 mở cửa, mức độ nguy hiểm như nhau. Pentest sẽ chỉ tầng 5 là nguy cơ có thật vì đang có một loại thang đủ cao, giúp kẻ trộm trèo tới đây. Pentester phải chứng minh rằng điều này có thật bằng cách anh ta sẽ dùng chiếc thang đó trèo vào bên trong và để lại bằng chứng là anh ta đã tới đây. Còn tầng 29 là lỗ hổng có thật nhưng nguy cơ thấp hơn rất nhiều vì không có chiếc thang nào có thể giúp ăn trộm leo tới hoặc phải sử dụng trực thăng để tiếp cận. (Đây chỉ là ví dụ minh hoạ) Các hoạt động của VA giúp tiết kiệm chi phí và thời gian nhờ sử dụng các công cụ tự động để rà soát các lỗ hổng bảo mật nhưng độ chính xác không được đảm bảo. Pentest là công việc được thực hiện sau VA và sử dụng thêm các kỹ thuật thủ công để độ chính xác cao hơn. Ngoài ra, Pentest còn giúp chứng minh các nguy cơ có thật thông qua việc khai thác thành công các lỗ hổng. Do đó, giá cả đi đôi cùng chất lượng, những lời mời gọi kiểm thử xâm nhập giá rẻ thực chất giá trị nhận được chỉ là bản báo cáo công cụ quét lỗi tự động. Tóm lại, kiểm thử thâm nhập không giúp bảo mật hơn, dịch vụ này chỉ giúp chứng minh vào thời điểm hiện tại hệ thống có thể bị tấn công như thế nào. Khả năng lặp lại lỗi vẫn có thể xảy ra do cấu trúc bảo mật, công nghệ, quy trình đã sai ngay từ khi bắt đầu. Bảo mật luôn cần đầy đủ ba yếu tố phòng chống, phát hiện và phản ứng. Không hệ thống nào được cho hoàn hảo dù thường xuyên thực hiện kiểm thử thâm nhập, sẽ là lời nói dối khi công ty bảo mật nói rằng họ có thể kiểm tra hết tất cả các lỗ hổng. Và đừng quên Zero-day (lỗ hổng chưa được biết đến và không có bản vá lỗi) là một phần của cuộc sống.Chuyên gia Việt phát hiện 6 lỗ hổng bảo mật nghiêm trọng của Microsoft, Adobe

Xem thêm:  Đã có game về Covid- 19, ai cũng có thể trở thành dũng sĩ “Vượt Cô Vy” cùng Cốc Cốc

#Pentest #không #phải #là #giải #pháp #bảo #mật #đừng #tin #vào #quảng #cáo
Pentest không phải là giải pháp bảo mật, không giúp hệ thống mạng an toàn hơn và pentester không phải là hacker.

#Pentest #không #phải #là #giải #pháp #bảo #mật #đừng #tin #vào #quảng #cáo

Nhiều doanh nghiệp tìm đến Penetration Testing (Pentest – Kiểm thử thâm nhập) như một giải pháp bảo mật, giúp tránh xa tầm tay của hacker. Sự thật, không phải như thế. Các nhà tư vấn bảo mật tin rằng “To beat a hacker, you gotta think like one” (Tạm dịch: Để đánh bại một hacker, bạn phải suy nghĩ như họ). Sự thật, Pentester (Người kiểm thử thâm nhập) không thể có được suy nghĩ và cách tấn công như một hacker, vì hacker không bị giới hạn bởi bất kì điều gì nhưng Pentester thì lại có rất nhiều hạn chế về phạm vi, thời gian, kỹ thuật. Do đó yêu cầu thực hiện kiểm thử thâm nhập từ góc nhìn của một hacker là điều không thể xảy ra. Sau đây là những lý do mà pentester không thể là một hackerTheo ECQ, công ty tư vấn bảo mật cho rằng pentest chỉ giúp tìm những lỗ hổng bảo mật, cách khai thác và các nguy cơ bị tấn công vào thời điểm kiểm tra, với cấu hình và các cơ chế bảo mật đang có. Không điều gì có thể đảm bảo sau khi thực hiện Pentest hệ thống sẽ an toàn. Ngoài ra, mức độ hiệu quả và bức tranh tổng thể về cấu trúc bảo mật của doanh nghiệp còn dựa trên phạm vi kiểm tra, các kỹ thuật được phép sử dụng trong quá trình kiểm thử thâm nhập. Đặt câu hỏi “Điều gì doanh nghiệp sợ nhất khi bị tấn công mạng?” để xác định tiêu chí thành công cũng là kim chỉ nam để nhóm pentest tập trung đi đúng mục tiêu. Vulnerability Assessment (VA – Dò quét lỗ hổng bảo mật) và Penetration Testing (Pentest – Kiểm thử thâm nhập) thường bị các công ty bảo mật đánh tráo khái niệm, khách hàng thường được đề xuất dịch vụ Pentest nhưng báo cáo nhận lại chỉ nằm ở mức độ của VA. Giá trị của hai dịch vụ này vẫn bị nhập nhằng và mơ hồ. Vậy điểm khác nhau thật sự nằm ở đâu? Để dễ hiểu hơn cho hai dịch vụ này, hãy tưởng tượng một toà nhà có 30 tầng, cửa sổ của tầng 5 và tầng 29 đều mở. Một giả thuyết được đặt ra là kẻ trộm có thể vào bên trong bằng cửa sổ. VA sẽ cho ra báo cáo là tầng 5 và tầng 29 mở cửa, mức độ nguy hiểm như nhau. Pentest sẽ chỉ tầng 5 là nguy cơ có thật vì đang có một loại thang đủ cao, giúp kẻ trộm trèo tới đây. Pentester phải chứng minh rằng điều này có thật bằng cách anh ta sẽ dùng chiếc thang đó trèo vào bên trong và để lại bằng chứng là anh ta đã tới đây. Còn tầng 29 là lỗ hổng có thật nhưng nguy cơ thấp hơn rất nhiều vì không có chiếc thang nào có thể giúp ăn trộm leo tới hoặc phải sử dụng trực thăng để tiếp cận. (Đây chỉ là ví dụ minh hoạ) Các hoạt động của VA giúp tiết kiệm chi phí và thời gian nhờ sử dụng các công cụ tự động để rà soát các lỗ hổng bảo mật nhưng độ chính xác không được đảm bảo. Pentest là công việc được thực hiện sau VA và sử dụng thêm các kỹ thuật thủ công để độ chính xác cao hơn. Ngoài ra, Pentest còn giúp chứng minh các nguy cơ có thật thông qua việc khai thác thành công các lỗ hổng. Do đó, giá cả đi đôi cùng chất lượng, những lời mời gọi kiểm thử xâm nhập giá rẻ thực chất giá trị nhận được chỉ là bản báo cáo công cụ quét lỗi tự động. Tóm lại, kiểm thử thâm nhập không giúp bảo mật hơn, dịch vụ này chỉ giúp chứng minh vào thời điểm hiện tại hệ thống có thể bị tấn công như thế nào. Khả năng lặp lại lỗi vẫn có thể xảy ra do cấu trúc bảo mật, công nghệ, quy trình đã sai ngay từ khi bắt đầu. Bảo mật luôn cần đầy đủ ba yếu tố phòng chống, phát hiện và phản ứng. Không hệ thống nào được cho hoàn hảo dù thường xuyên thực hiện kiểm thử thâm nhập, sẽ là lời nói dối khi công ty bảo mật nói rằng họ có thể kiểm tra hết tất cả các lỗ hổng. Và đừng quên Zero-day (lỗ hổng chưa được biết đến và không có bản vá lỗi) là một phần của cuộc sống.Chuyên gia Việt phát hiện 6 lỗ hổng bảo mật nghiêm trọng của Microsoft, Adobe

Xem thêm:  4 điều cần lưu ý khi mua tủ lạnh lần đầu

Trần Tiến

Tôi là một người yêu công nghệ và đã có hơn 5 năm trong việc mày mò về máy tính. Mong rằng những chia sẻ về thông tin và thủ thuật công nghệ của tôi hữu ích đối với bạn.
Back to top button