Kiểm thử bảo mật và đánh giá an toàn thông tin

Q: Gần đây tôi nghe nhiều người nhắc tới thuật ngữ Pentest, kiểm thử bảo mật, thuật ngữ đó nghĩa là gì vậy chị?
A: Pentest là hoạt động đánh giá sức khỏe của hệ thống thông tin dựa trên kỹ thuật thử nghiệm tấn công hệ thống. Hệ thống có thể hiểu là website, máy chủ, mạng,… và thậm chí cả con người.
Q: Kỳ lạ nhỉ. Có gì nhầm lẫn chăng khi chị tấn công vào hệ thống để đo sức khoẻ?
A: Đúng thế. Nhiều người có cùng thắc mắc như vậy. Hoạt động tấn công được tiến hành dưới sự cho phép và giám sát của người chủ hoặc người đại diện hệ thống thông tin. Thông thường, hoạt động này được sắp xếp tiến hành trên các hệ thống chạy thử nghiệm. Quá trình thử nghiệm tấn công xác định với các kĩ thuật được thực hiện thì hệ thống phản ứng có đúng đắn không? Có các lỗi nào xuất hiện? Dựa trên kết quả thu được sẽ đánh giá tương đối sức khỏe của hệ thống và có biện pháp khắc phục phù hợp. Về mặt nào đó, nếu coi hệ thống thông tin như cơ thể người thì hoạt động này tương tự với tiêm vắc xin vào cơ thể vậy.
Q: Hoạt động này diễn ra như thế nào?
A: Sau khi hai bên xác định phạm vi công việc, thủ tục không thể thiếu đó là ký kết thỏa thuận không tiết lộ thông tin (NDA). Đơn vị cung cấp dịch vụ khảo sát và đưa ra danh mục các kỹ thuật tấn công sẽ thực hiện. Quá trình thực hiện có thể lấy ra các dữ liệu thuộc loại nhạy cảm, làm hệ thống ngừng hoạt động,… Chính vì vậy, hoạt động này không nên tiến hành trên hệ thống chính thức (production system). Kết quả của một loạt công việc trên là các báo cáo kiểm thử và đánh giá mức độ an toàn thông tin.
Q: Chị nói vậy thì hoạt động này tiềm ẩn cả rủi ro nữa, ví dụ như mất cắp thông tin. Cách nào giúp phòng tránh hoặc giảm thiểu rủi ro?
A: Đúng là có một số rủi ro khi thực hiện hoạt động này cho nên nếu thuê dịch vụ bên ngoài, bạn cần chọn nhà cung cấp uy tín và chất lượng, chú ý các ràng buộc hợp đồng và điều khoản về bảo mật thông tin. Về mặt kỹ thuật, bộ phận quản trị cần triển khai hệ thống giám sát mất mát thông tin để theo dõi liên tục. Hoạt động này nên tiến hành thường xuyên mỗi khi hệ thống có các thay đổi lớn.
Q: Rủi ro tiềm tàng như vậy thì lợi ích của công việc này là gì?
A: Hoạt động này có lợi ích thiết thực đó là giúp người quản trị có góc nhìn toàn diện về các rủi ro an ninh từ hướng người bảo vệ và người tấn công. Nhà quản lý nhận diện sâu sắc hơn rủi ro thông tin trên hệ thống của họ. Dựa trên báo cáo, việc khắc phục sẽ thực hiện tập trung và hiệu quả bảo vệ/phòng ngừa cao hơn.
Q: Chị nói kết quả của một loạt công việc thử nghiệm xâm nhập là báo cáo. Vậy chị hãy mô tả thêm về kết quả này?
A: Báo cáo thử nghiệm xâm nhập và đánh giá bảo mật là kết quả cuối cùng và quan trọng nhất đối với người chủ sở hữu hệ thống. Thông thường, báo cáo chia ra làm 2 loại dựa trên đối tượng đọc báo cáo. Một là, báo cáo tổng hợp dành cho cấp quản lý – những người quá bận rộn, nội dung thường gồm, phạm vi kiểm thử và đánh giá, số lượng và mức độ nguy hiểm của các phát hiện và khuyến nghị giải pháp. Loại báo cáo thứ hai, báo cáo chi tiết, trong đó mô tả chi tiết nhất có thể: phương pháp thực hiện, các kiểm tra được thực thi, các phát hiện điểm yếu được tìm thấy, các minh chứng về điểm yếu ví dụ như dữ liệu, các khuyến nghị chi tiết,…
Q: Báo cáo là kết quả cho nên chất lượng báo cáo hết sức quan trọng. Chị chia sẻ giúp về đánh giá chất lượng báo cáo như thế nào?
A: Đây là câu hỏi thú vị. Chất lượng báo cáo thể hiện ở mức độ chi tiết của nội dung, khả năng thực thi nhanh của báo cáo. Một báo cáo có chất lượng tốt giúp đội ngũ vận hành tìm ra gốc rễ vấn đề và khắc phục trong thời gian nhanh nhất. Có câu hỏi tương tự mà nhiều người đưa ra đó là “Trong phạm vi thực hiện, báo cáo đã phát hiện toàn bộ các điểm yếu thực sự trên hệ thống chưa?”. Không ai có thể khẳng định báo cáo đã mô tả toàn bộ điểm yếu và hệ thống không còn điểm yếu nào gây ra mất mát dữ liệu nữa. An toàn, về bản chất, là yếu tố có tính chất thời điểm và báo cáo chỉ có giá trị ngay tại lúc đánh giá. Để đảm bảo tính an toàn, đơn vị chủ quản cần áp dụng nhiều biện pháp bổ sung khác nữa ví dụ như giám sát thường xuyên.

(Còn nữa…)