Pentest sẽ sớm bị soán ngôi bởi BAS

Bas 01

Khái niệm cơ bản về Pentest

Pentest, viết tắt của penetration testing (kiểm tra xâm nhập), là hình thức đánh giá mức độ an toàn của một hệ thống IT bằng các cuộc tấn công mô phỏng thực tế. Hiểu đơn giản, pentest cố gắng xâm nhập vào hệ thống để phát hiện ra những điểm yếu tiềm tàng của hệ thống mà tin tặc có thể khai thác và gây thiệt hại. Mục tiêu của pentest là giúp tổ chức phát hiện càng nhiều lỗ hổng càng tốt, từ đó khắc phục chúng để loại trừ khả năng bị tấn công trong tương lai. Người làm công việc kiểm tra xâm nhập được gọi là pentester.

Pentest có thể được thực hiện trên hệ thống máy tính, web app, mobile app, hạ tầng mạng, IoT, ứng dụng và hạ tầng cloud, phần mềm dịch vụ SaaS, API, source code, hoặc một đối tượng IT có kết nối với internet và có khả năng bị tấn công… nhưng phổ biến nhất là pentest web app và mobile app. Những thành phần trên được gọi là đối tượng kiểm thử (pentest target). Khi thực hiện xâm nhập, pentester cần có được sự cho phép của chủ hệ thống hoặc phần mềm đó. Nếu không, hành động xâm nhập sẽ được coi là hack trái phép. Thực tế, ranh giới giữa pentest và hack chỉ là sự cho phép của chủ đối tượng. Vì thế, khái niệm pentest có ý nghĩa tương tự như ethical hacking (hack có đạo đức), pentester còn được gọi là hacker mũ trắng (white hat hacker).

BAS là gì?

Giải pháp giả lập tấn công vào hệ thống mạng (BAS) đại diện cho một xu hướng mới nổi trong giới an ninh mạng. BAS thực hiện kiểm tra bảo mật tự động thông qua việc thánh thức cơ sở hạ tầng bảo mật hiện có và đưa vào một số mô hình chuỗi tấn công để xác định đâu là con đường có khả năng cao nhất mà các hacker sẽ xử dụng để tấn công hệ thống.

Các sản phẩm ứng dụng BAS đang trở nên ngày càng phổ biến hơn và đã bắt đầu làm thay đổi bức tranh toàn cảnh của ngành bảo mật. Giả lập tấn công (BAS) sẽ đóng vai trò quan trọng trong việc bảo vệ các tài sản quan trọng của tổ chức bằng cách mô phỏng các kỹ thuật tấn công có khả năng xảy ra trên tất cả các vectơ tấn công, sau đó cung cấp hướng dẫn khắc phục. Bằng cách thực hiện điều này một cách tự động, liên tục, BAS cung cấp khả năng bảo vệ toàn thời gian và cho phép những người phụ trách hoạt động tích cực hơn để duy trì an ninh trên tất cả các khía cạnh của môi trường an ninh mạng.

Ha 01

Pentest sẽ sớm bị soán ngôi bởi BAS

Nếu bạn hiểu về Pentest, bạn sẽ nhận ra rằng nó không khác biệt nhiều so với các công cụ đánh giá lỗ hổng bảo mật. Tuy nhiên, vẫn có những sự khác biệt nhất định khi mà Pentest không những tìm kiếm các lỗ hổng tiềm tàng mà còn khai thác chúng. Việc khai thác này giúp các Hacker mũ trắng di chuyển đến những điểm khác nhau trong hệ thống, cho phép họ thực hiện những khai thác sâu hơn.

BAS giúp tự động hóa pentest một cách đơn giản, thực hiện chu trình vòng lặp quét / khai thác cho đến khi làm chủ được mọi thứ. Nếu như có khả năng làm điều đó chỉ với một cú nhấp chuột đơn giản, tại sao phải tốn kém nhân lực để làm điều đó? Công cụ ứng dụng BAS có thể đảm bảo tính nhất quán, cung cấp báo cáo tốt hơn và nhanh hơn. Chưa kể yêu cầu ít kỹ năng hơn (bạn thậm chí không cần biết cách sử dụng Metasploit!).

Bas Pentest

Tuy nhiên, có thể vẫn tồn tại thắc mắc rằng không phải ai cũng sẽ mua và triển khai các công cụ đó, vì vậy vẫn còn các nhà cung cấp dịch vụ pentest cơ bản. Nhưng không, sẽ tới lúc bạn không cần mua BAS và triển khai trên môi trường của mình. Giống như tất cả các công cụ bảo mật khác, BAS cũng sẽ được cung cấp dưới dạng SaaS, nghĩa là bạn có thể “thuê nó” . Điều này đơn giản hơn so với việc thuê pentesters và mang lại kết quả tốt hơn.

Tại Việt Nam, Pama là đơn vị tiên phong phân phối giải pháp ứng ụng BAS đến từ Picus – hãng bảo mật hàng đầu thế giới cung cấp giải pháp giả lập tấn công vào hệ thống mạng (Breach and attack simulation) giúp đánh giá khả năng phòng thủ của hệ thống.

Tham khảo thêm về kĩ thuật BAS với giải pháp Picus tại đây: https://www.picussecurity.com/

—–

Nguồn:

searchsecurity.techtarget.com

blogs.gartner.com

xmcyber.com

 

Dịch giả: Nguyễn Thùy Trang

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *