Comptia PENTEST + Chương 4 VULN SCAN / CEH VIETNAM

Hiểu Lý Thuyết – Vững Thực Hành – Lấy Chứng Chỉ Comptia PENTEST+

Chương 4: Quét lỗ hổng bảo mật

Các nhóm an ninh mạng có thể sử dụng nhiều công cụ khác nhau để để xác định
các lỗ hổng trong hệ điều hành, nền tảng và ứng dụng. Máy quét lỗ hổng bảo mật tự
động có khả năng quét nhanh các hệ thống và toàn bộ mạng trong nỗ lực tìm kiếm và
phát hiện các lỗ hổng chưa được xác định trước đó bằng cách sử dụng một loạt các
bài kiểm tra.
Các chương trình quản lý lỗ hổng bảo mật tìm cách xác định, ưu tiên và khắc phục
những lỗ hổng này trước khi kẻ tấn công khai thác chúng để làm suy yếu tính bảo mật,
tính toàn vẹn hoặc tính sẵn có của tài sản thông tin doanh nghiệp. Các chương trình
quản lý lỗ hổng hiệu quả sử dụng phương pháp tiếp cận có tổ chức để quét các tài sản
thông tin của doanh nghiệp tìm lỗ hổng, sử dụng quy trình làm việc xác định để khắc
phục các lỗ hổng đó và thực hiện đánh giá liên tục để cung cấp cho các nhà quản lý
cái nhìn sâu sắc về tình trạng an ninh mạng của doanh nghiệp hiện nay.
Người kiểm tra thâm nhập (và cả tin tặc!) sử dụng những công cụ tương tự nhau
để phát triển ý thức về tư thế bảo mật của tổ chức và xác định các mục tiêu tiềm năng
để thăm dò và khai thác chuyên sâu hơn.

Phát triển kế hoạch Quét lỗ hổng bảo mật

Hãy cùng xem lại kiểm tra thâm nhập của MCDS, LLC mà bạn đã bắt đầu ở Chương 3.
Khi chúng ta tạm dừng, bạn đã tiến hành quét Nmap để xác định máy chủ và dịch vụ
đang hoạt động trên phạm vi mạng được MCDS sử dụng.
Khi bạn đọc hết chương này, hãy phát triển một kế hoạch sử dụng tính năng quét lỗ
hổng bảo mật để tiếp tục thu thập thông tin mà bạn đã bắt đầu. Trả lời các câu hỏi
sau:
■ ✓ Bạn sẽ thiết lập phạm vi quét lỗ hổng bảo mật cho mạng MCDS như thế nào?
■ ✓ Bạn sẽ áp dụng những giới hạn nào đối với quá trình quét? Bạn sẽ giới hạn quá
trình quét đối với các dịch vụ mà bạn nghi ngờ đang chạy trên máy chủ MCDS từ kết
quả Nmap của mình hay bạn sẽ tiến hành quét toàn bộ?
■ ✓ Bạn có cần chạy bản quét của mình một cách “lén lút” hay âm thầm để tránh bị
phát hiện bởi nhóm an ninh mạng MCDS không?

Bạn có cần bổ sung tính năng quét lỗ hổng mạng của mình bằng cách quét ứng
dụng web hay quét cơ sở dữ liệu hay không?
■ ✓ Quét lỗi có thể đạt được nhiều mục tiêu đồng thời không? Ví dụ: kết quả
quét có thể được sử dụng để phát hiện cấu hình tuân thủ các tiêu chuẩn của tổ
chức không? Hoặc họ có thể đưa vào quy trình khắc phục tự động hay không?

Bạn sẽ được yêu cầu thiết kế một kế hoạch kiểm tra lỗ hổng bảo mật trả lời
những câu hỏi này trong một bài tập phòng thí nghiệm ở cuối chương này.

Comptia PENTEST + Chương 4 VULN SCAN / CEH VIETNAM

Xác định các yêu cầu quản lý lỗ hổng bảo mật
Về bản chất, các công cụ quét lỗ hổng bảo mật được sử dụng bởi các nhóm an ninh mạng doanh nghiệp
để theo dõi liên tục và những công cụ được sử dụng bởi những người kiểm tra thâm nhập có sự chồng
chéo đáng kể. Trong nhiều trường hợp, những người kiểm tra thâm nhập tận dụng các phiên bản giống
nhau của các công cụ đó để tiết kiệm thời gian và giảm chi phí. Nếu một doanh nghiệp có một chương
trình quản lý lỗ hổng bảo mật mạnh mẽ, chương trình đó có thể đóng vai trò như một nguồn thông tin
có giá trị cho những người kiểm tra khả năng thâm nhập. Do đó, chúng ta sẽ bắt đầu chương này bằng
cách khám phá quy trình tạo chương trình quản lý lỗ hổng bảo mật cho doanh nghiệp và sau đó mở
rộng sang các cách sử dụng cụ thể của các công cụ này để kiểm tra thâm nhập.

Khi một tổ chức bắt đầu phát triển một chương trình quản lý lỗ hổng, trước tiên tổ chức đó phải thực
hiện việc xác định bất kỳ yêu cầu bên trong hoặc bên ngoài nào để quét lỗ hổng bảo mật. Các yêu cầu
này có thể đến từ (các) môi trường pháp lý mà tổ chức hoạt động hoặc chúng có thể đến từ các yêu cầu
định hướng chính sách nội bộ.

Regulatory Environment (Môi trường pháp lý)

Nhiều tổ chức bị ràng buộc bởi các luật và quy định chi phối cách họ lưu trữ, xử lý và truyền tải thông
tin. Điều này đặc biệt đúng khi tổ chức xử lý thông tin cá nhân nhạy cảm hoặc thông tin thuộc các cơ
quan chính phủ.
Nhiều luật trong số này không quy định hay đề cập cụ thể việc thực hiện chương trình quản lý lỗ hổng
bảo mật. Ví dụ: Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế (HIPAA) quy
định cách các nhà cung cấp dịch vụ chăm sóc sức khỏe, công ty bảo hiểm và các đối tác kinh doanh
của họ xử lý thông tin sức khỏe được bảo vệ. Tương tự, Đạo luật Gramm-Leach-Bliley (GLBA) điều
chỉnh cách các tổ chức tài chính có thể xử lý hồ sơ tài chính của khách hàng. Cả hai luật này đều không
yêu cầu cụ thể rằng các tổ chức được bảo hiểm phải tiến hành quét lỗ hổng bảo mật.
Tuy nhiên, hai chương trình quy định bắt buộc cụ thể việc triển khai chương trình quản lý lỗ hổng bảo
mật là: Tiêu chuẩn Bảo mật Dữ liệu Ngành Thẻ Thanh toán (PCI DSS) và Đạo luật Quản lý Bảo
mật Thông tin Liên bang (FISMA).

Payment Card Industry Data Security Standard (PCI DSS)

Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS)
PCI DSS quy định các biện pháp kiểm soát bảo mật cụ thể cho những người bán xử lý các giao dịch
thẻ tín dụng và các nhà cung cấp dịch vụ hỗ trợ người bán thực hiện các giao dịch này. Tiêu chuẩn này
bao gồm những gì được cho là yêu cầu cụ thể nhất để quét lỗ hổng bảo mật trong bất kỳ tiêu chuẩn
nào.

Trái ngược với những gì một số người tin tưởng, PCI DSS không phải là luật. Tiêu chuẩn được
duy trì bởi một nhóm ngành được gọi là Hội đồng Tiêu chuẩn Bảo mật Ngành Thẻ Thanh toán
(PCI SSC), được ngành này tài trợ để duy trì các yêu cầu. Các tổ chức phải tuân theo PCI DSS
vì yêu cầu hợp đồng hơn là yêu cầu pháp lý.

PCI DSS quy định nhiều chi tiết về quét lỗ hổng bảo mật:
 ■ ✓ Các tổ chức phải chạy quét lỗ hổng bên trong và cả bên ngoài (yêu cầu PCI DSS 11.2).
■ ✓ Các tổ chức phải thực hiện quét ít nhất hàng quý và “sau bất kỳ thay đổi đáng kể nào trong
mạng (chẳng hạn như cài đặt thành phần hệ thống mới, thay đổi cấu trúc liên kết mạng, sửa đổi quy
tắc tường lửa, nâng cấp sản phẩm)” (Yêu cầu PCI DSS 11.2).
■ ✓ Quét nội bộ phải được tiến hành bởi nhân viên có trình độ (yêu cầu PCI DSS 11.2.1).
■ ✓ Các tổ chức phải khắc phục mọi lỗ hổng có nguy cơ cao và quét lặp lại để xác nhận rằng chúng
đã được giải quyết cho đến khi họ nhận được báo cáo quét “sạch” (yêu cầu PCI DSS 11.2.1).
■ ✓ Quét bên ngoài phải được thực hiện bởi Nhà cung cấp quét lỗ hổng bảo mật được chấp thuận
(ASV) được PCI SSC ủy quyền (yêu cầu PCI DSS 11.2.2).
Quét lỗ hổng bảo mật để tuân thủ PCI DSS là một ngành đang phát triển mạnh và cạnh tranh, và
nhiều nhà cung cấp dịch vụ tư vấn bảo mật chuyên về các công việc quét này. Nhiều tổ chức chọn
tự tiến hành quét đầu tiên để tự đảm bảo rằng họ sẽ đạt được kết quả đậu trước khi yêu cầu quét
toàn bộ từ ASV.

Bạn không bao giờ nên tiến hành quét lỗ hổng bảo mật trừ khi bạn được phép rõ ràng để làm
như vậy. Chạy quét mà không được phép có thể vi phạm nghiêm trọng chính sách bảo mật
của tổ chức và cũng có thể là tội phạm.

Federal Information Security Management Act (FISMA)

Đạo luật quản lý bảo mật thông tin liên bang (FISMA)
Đạo luật Quản lý An ninh Thông tin Liên bang năm 2002 (FISMA) yêu cầu các cơ quan chính phủ và
các tổ chức khác vận hành hệ thống thay mặt cho các cơ quan chính phủ phải tuân thủ một loạt các
tiêu chuẩn bảo mật. Các biện pháp kiểm soát cụ thể theo yêu cầu của các tiêu chuẩn này phụ thuộc
vào việc chính phủ chỉ định hệ thống là tác động thấp, tác động trung bình hay tác động cao, theo các
khái niệm cụ thể được thể hiện trong Hình 4.1. Hướng dẫn thêm về cation phân loại hệ thống được
tìm thấy trong Tiêu chuẩn xử lý thông tin liên bang (FIPS) 199:
Tiêu chuẩn phân loại bảo mật của hệ thống thông tin và thông tin liên bang FIgure 4.1 FIPS 199 Standards
POTENTIAL
IMPACT
Security
LOW MODERATE HIGH
Objective
Confidentiality The unauthorized The unauthorized The unauthorized
Preserving disclosure of disclosure of disclosure of
authorized information could information could information could
restrictions on be expected to be expected to be expected to
information have a limited have a serious have a severe or
access and
adverse effect on adverse effect on catastrophic
disclosure,
including means organizational organizational adverse effect on
for protecting operations, operations, organizational
personal privacy organizational organizational operations,
and proprietary assets, or assets, or organizational
information. individuals. individuals. assets, or
[44 U.S.C., SEC. individuals.
3542]

Comptia PENTEST + Chương 4 VULN SCAN / CEH VIETNAM

 Integrity The unauthorized The unauthorized The unauthorized
Guarding against modification or modification or modification or
improper destruction of destruction of destruction of
information information could information could information could
modification or be expected to be expected to be expected to
destruction, and have a limited have a serious have a severe or
includes ensuring adverse effect on adverse effect on catastrophic
information organizational organizational adverse effect on
nonrepudiation
operations, operations, organizational
and authenticity.
organizational organizational operations,
[44 U.S.C., SEC.
assets, or assets, or organizational
3542]
individuals. individuals. assets, or
individuals.
Availability The disruption of The disruption of The disruption of
Ensuring timely access to or use access to or use access to or use
and reliable of information or of information or of information or
access to and use an information an information an information
of information. system could be system could be system could be
[44 U.S.C., SEC. expected to have expected to have expected to have
3542] a limited adverse a serious a severe or
effect on adverse effect on catastrophic
organizational organizational adverse effect on
operations, operations, organizational
organizational organizational operations,
assets, or assets, or organizational
individuals. individuals. assets, or
individuals.
Source: National Institute of Standards and Technology (NIST). Federal Information Processing Standards
(FIPS) PUB 199: Standards for Security Categorization of Federal Information and Information Systems. February 2004.
https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.199.pdf

Năm 2014, Tổng thống Obama đã ký Đạo luật Hiện đại hóa An ninh Thông tin Liên bang ( cũng
được viết tắt một cách khó hiểu là FISMA!) Thành luật . FISMA năm 2014 đã cập nhật các yêu
cầu của FISMA năm 2002 để cung cấp quyền truy cập mạng mạnh mẽ trong môi trường mối
đe dọa đang thay đổi. Hầu hết mọi người sử dụng thuật ngữ FISMA để chỉ tác động tổng hợp
của cả hai luật này.

Tất cả các hệ thống thông tin liên bang, bất kể phân loại tác động của chúng, phải đáp ứng các yêu
cầu cơ bản để quét lỗ hổng bảo mật trong Ấn phẩm đặc biệt NIST 800-53, Kiểm soát bảo mật và
quyền riêng tư dành cho các tổ chức và hệ thống thông tin liên bang. Mỗi tổ chức tuân theo FISMA
phải đáp ứng các yêu cầu sau, được mô tả trong phần “Mô tả kiểm soát” (https://nvd.nist.gov/800-
53/Rev4/control/RA-5):
a. Quét các lỗ hổng trong hệ thống thông tin và các ứng dụng được lưu trữ và khi các lỗ hổng mới
có khả năng ảnh hưởng đến hệ thống / ứng dụng được xác định và báo cáo;
b. Sử dụng các công cụ và kỹ thuật quét lỗ hổng bảo mật tạo điều kiện cho khả năng tương tác giữa
các công cụ và tự động hóa các phần của quy trình quản lý lỗ hổng bằng cách sử dụng các tiêu chuẩn
cho:
1. Liệt kê các nền tảng, lỗi phần mềm và cấu hình không phù hợp;
 2. Định dạng danh sách kiểm tra và thủ tục kiểm tra; và
3. Đo lường tác động của tính dễ bị tổn thương;
c. Phân tích các báo cáo quét lỗ hổng bảo mật và kết quả từ các đánh giá kiểm soát an ninh;
d. Khắc phục các lỗ hổng hợp pháp phù hợp với đánh giá rủi ro của tổ chức; và
e. Chia sẻ thông tin thu được từ quá trình quét lỗ hổng bảo mật và đánh giá kiểm soát bảo mật để
giúp loại bỏ các lỗ hổng tương tự trong các hệ thống thông tin khác (tức là các điểm yếu hoặc thiếu
sót của hệ thống)
Các yêu cầu này thiết lập đường cơ sở cho tất cả các hệ thống thông tin liên bang. NIST 800-
53 sau đó mô tả tám cải tiến kiểm soát có thể được yêu cầu tùy thuộc vào các trường hợp:
1. Tổ chức sử dụng các công cụ quét lỗ hổng bảo mật bao gồm khả năng cập nhật dễ dàng các
lỗ hổng hệ thống thông tin cần quét.
2. Tổ chức cập nhật các lỗ hổng của hệ thống thông tin được quét trước một lần quét mới (và /
hoặc) khi các lỗ hổng mới được xác định và báo cáo.
3. Tổ chức sử dụng các quy trình quét lỗ hổng bảo mật có thể xác định độ rộng và độ sâu của
phạm vi bảo hiểm (tức là các thành phần hệ thống thông tin được quét và kiểm tra các lỗ hổng
bảo mật).
4. Tổ chức xác định thông tin nào về hệ thống thông tin có thể được phát hiện bởi đối thủ và
sau đó thực hiện các hành động sửa chữa do tổ chức xác định.
5. Hệ thống thông tin thực hiện phân quyền truy cập đặc quyền vào các thành phần của hệ
thống thông tin cho các hoạt động quét lỗ hổng đã chọn.
6. Tổ chức sử dụng các cơ chế tự động để so sánh kết quả quét lỗ hổng theo thời gian để xác
định xu hướng của lỗ hổng hệ thống thông tin.
7. (Được rút bởi NIST)
8. Tổ chức xem xét nhật ký đánh giá lịch sử để xác định xem một lỗ hổng được xác định trong
hệ thống thông tin đã được khai thác trước đó hay chưa.
9. (Được rút bởi NIST)
10. Tổ chức so sánh kết quả đầu ra từ các công cụ quét lỗ hổng để xác định sự hiện diện của
các vectơ tấn công đa lỗ hổng / đa bước nhảy Lưu ý rằng yêu cầu 7 và 9 là các cải tiến kiểm
soát trước đây đã được đưa vào tiêu chuẩn nhưng sau đó đã bị rút lại.
Trong trường hợp cơ quan liên bang xác định rằng hệ thống thông tin thuộc loại có tác động vừa
phải, thì cơ quan đó phải thực hiện tối thiểu các cải tiến kiểm soát 1, 2 và 5. Nếu cơ quan xác định
một hệ thống có tác động cao, nó phải thực hiện ít nhất các cải tiến kiểm soát 1, 2, 4 và 5.

Corporate Policy
Chính sách công ty
Các yêu cầu bảo mật theo quy định của PCI DSS và FISMA bao gồm các tổ chức liên quan đến việc
xử lý các giao dịch bán lẻ và vận hành hệ thống của chính phủ, nhưng hai loại đó chỉ chiếm một phần
nhỏ trong số tất cả các doanh nghiệp. Các chuyên gia an ninh mạng đồng ý rộng rãi rằng quản lý lỗ
hổng bảo mật là một thành phần quan trọng của bất kỳ chương trình bảo mật thông tin nào và vì lý do
này, nhiều tổ chức bắt buộc quét lỗ hổng bảo mật trong chính sách của công ty, ngay cả khi đó không
phải là yêu cầu quy định.

Comptia PENTEST + Chương 4 VULN SCAN / CEH VIETNAM

Support for Penetration Testing
Hỗ trợ kiểm tra thâm nhập
Mặc dù những người kiểm tra khả năng thâm nhập thường dựa trên việc quét lỗ hổng bảo mật mà các
tổ chức thực hiện cho các mục đích khác, họ cũng có thể có các yêu cầu quét chuyên biệt để hỗ trợ các
nỗ lực kiểm tra thâm nhập cụ thể.
Nếu một nhóm kiểm tra thâm nhập có kế hoạch tiến hành kiểm tra một mạng hoặc môi trường cụ thể,
họ có thể tiến hành quét sâu về môi trường đó như một trong những bước đầu tiên trong giai đoạn thu
thập thông tin của họ. Tương tự, nếu nhóm có kế hoạch nhắm mục tiêu một dịch vụ cụ thể, họ có thể
thiết kế và thực hiện quét tập trung vào dịch vụ đó. Ví dụ: một tổ chức có thể quyết định tiến hành thử
nghiệm thâm nhập tập trung vào môi trường Internet vạn vật (IoT) mới được triển khai. Trong trường
hợp đó, những người kiểm tra thâm nhập có thể tiến hành quét lỗ hổng tập trung vào các mạng chứa
các thiết bị đó và sử dụng các thử nghiệm tập trung vào các lỗ hổng IoT đã biết.
Identifying Scan Targets
Xác định Mục tiêu Quét
Khi một tổ chức quyết định tiến hành quét lỗ hổng bảo mật và xác định các yêu cầu quy định, nếu có,
áp dụng cho việc quét của mình, tổ chức đó sẽ chuyển sang các giai đoạn chi tiết hơn của quá trình lập
kế hoạch. Bước tiếp theo là xác định các hệ thống sẽ được bao phủ bởi quá trình quét lỗ hổng bảo mật.
Một số tổ chức chọn bao gồm tất cả các hệ thống trong quy trình quét của họ, trong khi những tổ chức
khác quét các hệ thống khác nhau (hoặc hoàn toàn không) tùy thuộc vào câu trả lời cho các câu hỏi
như sau:
■ ✓ Phân loại dữ liệu của thông tin được hệ thống lưu trữ, xử lý hoặc truyền đi là gì?
■ ✓ Hệ thống có được tiếp xúc với Internet hoặc các mạng công cộng hoặc bán công cộng khác không?
Xác định các yêu cầu quản lý lỗ hổng bảo mật
■ ✓ Hệ thống cung cấp những dịch vụ nào?
■ ✓ Hệ thống có phải là hệ thống sản xuất, thử nghiệm hay phát triển không?
Các tổ chức cũng sử dụng các kỹ thuật tự động để xác định các hệ thống có thể được quét. Các chuyên
gia an ninh mạng sử dụng các công cụ quét để tiến hành quét khám phá tìm kiếm trên mạng các hệ
thống được kết nối, cho dù chúng đã được biết đến trước đó hay chưa biết và xây dựng một bản kiểm
kê tài sản. Hình 4.2 cho thấy một ví dụ về bản đồ tài sản được phát triển bằng chức năng kiểm kê tài
sản QualysGuard.
FIgure 4.2 QualysGuard asset map
 Quản trị viên có thể bổ sung khoảng không quảng cáo này với thông tin bổ sung về loại hệ thống
và thông tin nó xử lý. Thông tin này sau đó giúp đưa ra quyết định về hệ thống nào là quan trọng và
hệ thống nào là không quan trọng. Thông tin quan trọng và kiểm kê nội dung giúp hướng dẫn các
quyết định về loại quét được thực hiện, tần suất của các lần quét đó và các quản trị viên ưu tiên nên
đặt vào việc khắc phục các lỗ hổng được phát hiện bởi quá trình quét.

Determining Scan Frequency

Xác định tần số quét
Các chuyên gia an ninh mạng phụ thuộc vào tự động hóa để giúp họ thực hiện nhiệm vụ của mình một
cách hiệu quả. Các công cụ quét lỗ hổng bảo mật cho phép lập lịch tự động quét để giảm gánh nặng
cho quản trị viên. Hình 4.3 cho thấy một ví dụ về cách các bản quét này có thể được cấu hình trong
sản phẩm Tenable’s Nessus. Quản trị viên có thể chỉ định một lịch trình đáp ứng các yêu cầu về bảo
mật, tuân thủ và kinh doanh của họ.
FIgure 4.3 Configuring a Nessus scan

Comptia PENTEST + Chương 4 VULN SCAN / CEH VIETNAM

Quản trị viên nên định cấu hình các lần quét này để cung cấp cảnh báo tự động khi họ phát hiện ra các
lỗ hổng mới. Nhiều nhóm bảo mật định cấu hình quá trình quét của họ để tạo ra các báo cáo email tự
động về kết quả quét, chẳng hạn như báo cáo được hiển thị trong Hình 4.4. Người kiểm tra thâm nhập
thường yêu cầu quyền truy cập tương tác vào bảng điều khiển quét để họ có thể truy xuất báo cáo từ
các lần quét đã thực hiện trước đó của các hệ thống khác nhau khi sự chú ý của họ thay đổi. Quyền
truy cập này cũng cho phép người kiểm tra thâm nhập tạo thành các lần quét đặc biệt khi trọng tâm
của kiểm tra thâm nhập phát triển để bao gồm các hệ thống, dịch vụ và lỗ hổng bảo mật mà có thể
chưa được các lần quét trước đó che đậy.
FIgure 4.4 Sample Nessus scan report

Nhiều yếu tố ảnh hưởng đến tần suất một tổ chức quyết định tiến hành quét lỗ hổng bảo mật đối với
hệ thống của mình:
■ ✓ Khẩu vị rủi ro của tổ chức là sự sẵn sàng chấp nhận rủi ro trong môi trường. Nếu một tổ chức
cực kỳ sợ rủi ro, tổ chức đó có thể chọn tiến hành quét thường xuyên hơn để giảm thiểu khoảng thời
gian từ khi xuất hiện lỗ hổng bảo mật đến khi được phát hiện bằng cách quét.
■ ✓ Các yêu cầu quy định, chẳng hạn như PCI DSS hoặc FISMA, có thể quy định tần suất tối thiểu
để quét lỗ hổng bảo mật. Những yêu cầu này cũng có thể đến từ các chính sách của công ty.
■ ✓ Các hạn chế kỹ thuật có thể hạn chế tần suất quét. Ví dụ: hệ thống quét có thể chỉ có khả năng
thực hiện một số lần quét nhất định mỗi ngày và các tổ chức có thể cần điều chỉnh tần số quét để đảm
bảo rằng tất cả các lần quét đều hoàn thành thành công.
■ ✓ Các ràng buộc kinh doanh có thể ngăn tổ chức tiến hành quét lỗ hổng bảo mật sử dụng nhiều
nguồn lực trong thời gian hoạt động kinh doanh cao để tránh làm gián đoạn các quy trình quan trọng.
■ ✓ Các giới hạn cấp phép có thể hạn chế băng thông được tiêu thụ bởi máy quét hoặc số lần quét
có thể được tiến hành đồng thời.
■ ✓ Những hạn chế trong hoạt động có thể hạn chế khả năng giám sát và phản ứng kịp thời với các
kết quả quét của nhóm an ninh mạng.
Các chuyên gia an ninh mạng phải cân bằng tất cả những cân nhắc này khi lập kế hoạch cho một
chương trình quét lỗ hổng bảo mật. Thông thường, khôn ngoan là nên bắt đầu quy mô nhỏ và từ từ
mở rộng phạm vi và tần suất quét lỗ hổng bảo mật theo thời gian để tránh áp đảo cơ sở hạ tầng quét
hoặc hệ thống doanh nghiệp.
Người kiểm tra thâm nhập phải hiểu các quyết định đánh đổi được đưa ra khi tổ chức thiết kế
chương trình quản lý lỗ hổng bảo mật hiện có của mình. Những hạn chế này có thể chỉ ra các khu vực
mà người kiểm tra thâm nhập nên bổ sung các bản quét hiện có của tổ chức bằng các bản quét tùy
chỉnh được thiết kế đặc biệt cho mục đích thử nghiệm thâm nhập.

Configuring and Executing Vulnerability Scans

Định cấu hình và thực hiện quét lỗ hổng bảo mật
Cho dù việc quét đang được thực hiện bởi các nhà phân tích an ninh mạng tập trung vào việc xây dựng
một chương trình quản lý lỗ hổng lâu dài hay những người kiểm tra thâm nhập tiến hành quét một lần
như một phần của thử nghiệm, các cơ quan quản lý phải định cấu hình các công cụ quản lý lỗ hổng để
thực hiện quét theo các thông số kỹ thuật quét dựa trên yêu cầu. Các nhiệm vụ này bao gồm xác định
phạm vi thích hợp cho mỗi lần quét, định cấu hình các lần quét để đáp ứng yêu cầu của tổ chức và duy
trì đơn vị tiền tệ của công cụ quét lỗ hổng bảo mật.

Scoping Vulnerability Scans

Xác định phạm vi quét lỗ hổng
Phạm vi quét lỗ hổng bảo mật mô tả mức độ quét, bao gồm câu trả lời cho các câu hỏi sau:
■ ✓ Hệ thống, mạng, dịch vụ, ứng dụng và giao thức nào sẽ được bao gồm trong quá trình quét lỗ
hổng?
■ ✓ Các biện pháp kỹ thuật nào sẽ được sử dụng để kiểm tra xem các hệ thống có trên mạng hay
không?
■ ✓ Những thử nghiệm nào sẽ được thực hiện đối với các hệ thống được phát hiện bởi quá trình quét
lỗ hổng?

Khi thiết kế quét lỗ hổng bảo mật như một phần của chương trình đang diễn ra, trước tiên quản trị
viên nên trả lời những câu hỏi này theo nghĩa chung và đảm bảo rằng họ có sự đồng thuận của nhân
viên kỹ thuật và ban quản lý rằng việc quét là phù hợp và không có khả năng gây gián đoạn cho công
việc kinh doanh. Khi họ đã xác định rằng các bản quét được thiết kế tốt và không có khả năng gây ra
các vấn đề nghiêm trọng, họ có thể chuyển sang kiểm tra các bản quét trong công cụ quản lý lỗ hổng
bảo mật.
Khi quá trình quét đang diễn ra như một phần của thử nghiệm thâm nhập, người kiểm tra thâm nhập
vẫn nên tránh làm gián đoạn hoạt động kinh doanh trong phạm vi có thể. Tuy nhiên, mức độ xâm nhập
của thử nghiệm và mức độ phối hợp với ban quản lý phải được hướng dẫn bởi tuyên bố công việc
(SOW) đã thỏa thuận đối với thử nghiệm thâm nhập. Nếu những người kiểm tra độ thâm nhập có
quyền sử dụng bất kỳ kỹ thuật nào có sẵn cho họ mà không có sự phối hợp trước, thì không cần thiết
phải tham khảo ý kiến của ban giám đốc. Tuy nhiên, người kiểm tra phải luôn ở trong phạm vi đã thỏa
thuận của SOW của họ.

Tại thời điểm này, thực tế là những người kiểm tra thâm nhập phải nỗ lực để duy trì trong
các tham số xác định của SOW của họ không phải là tin tức đối với bạn. Hãy ghi nhớ thông tin
này khi bạn làm bài kiểm tra PenTest +. Nếu bạn thấy các câu hỏi hỏi bạn liệu một quyết định
có phù hợp hay không, phản ứng đầu tiên của bạn là tham khảo ý kiến của SOW.

Comptia PENTEST + Chương 4 VULN SCAN / CEH VIETNAM

Scoping Compliance Scans
Phạm vi là một công cụ quan trọng trong bộ công cụ an ninh mạng vì nó cho phép các nhà phân tích giảm
các vấn đề xuống kích thước có thể quản lý được. Ví dụ, một tổ chức xử lý thẻ tín dụng có thể phải đối mặt
với nhiệm vụ dường như không thể vượt qua là đạt được sự tuân thủ PCI DSS trên toàn bộ mạng bao gồm
hàng nghìn hệ thống của mình.

Thông qua việc sử dụng hợp lý việc phân đoạn mạng và các kỹ thuật khác, quản trị viên có thể cô lập một số
hệ thống thực sự tham gia vào quá trình xử lý thẻ tín dụng, tách biệt chúng khỏi phần lớn các hệ thống trên
mạng của tổ chức. Khi được thực hiện đúng cách, việc phân đoạn này sẽ giảm phạm vi tuân thủ PCI DSS
xuống mạng cô lập nhỏ hơn nhiều dành riêng cho xử lý thẻ thanh toán.

Khi tổ chức có thể giảm phạm vi của mạng PCI DSS, nó cũng giảm phạm vi của nhiều kiểm soát PCI DSS bắt
buộc, bao gồm cả việc quét lỗ hổng bảo mật. Thay vì ký hợp đồng với nhà cung cấp dịch vụ quét đã được
phê duyệt để tiến hành quét tuân thủ hàng quý trên toàn bộ mạng của tổ chức, họ có thể giảm phạm vi
quét đó xuống những hệ thống thực sự tham gia vào quá trình xử lý thẻ. Điều này sẽ làm giảm đáng kể chi
phí của việc tham gia quét và khối lượng công việc khắc phục mà các chuyên gia an ninh mạng phải đối mặt
sau khi quá trình quét hoàn tất

Configuring Vulnerability Scans

Định cấu hình quét lỗ hổng bảo mật
Các giải pháp quản lý lỗ hổng bảo mật cung cấp khả năng thu thập nhiều thông số khác nhau liên quan
đến việc quét. Ngoài việc lập lịch quét tự động và tạo báo cáo, quản trị viên có thể tùy chỉnh các loại
kiểm tra do máy quét thực hiện, cung cấp thông tin đăng nhập để truy cập máy chủ mục tiêu, cài đặt
tác nhân quét trên máy chủ mục tiêu và tiến hành quét từ nhiều góc độ mạng khác nhau.

Các ví dụ trong chương này sử dụng các công cụ quét lỗ hổng phổ biến của Nessus và
QualysGuard. Đây là những sản phẩm thương mại. Các tổ chức đang tìm kiếm một giải pháp
nguồn mở có thể muốn xem xét dự án OpenVAS, có sẵn tại http://www.openvas.org/.

Scan Sensitivity Levels

Các chuyên gia bảo mật mạng xác định việc quét lỗ hổng bảo mật nên chú ý cẩn thận đến các cài đặt
xác minh liên quan đến mức độ nhạy quét. Mặc dù có thể thích hợp trong một số trường hợp để tiến
hành quét toàn bộ bằng cách sử dụng tất cả các bài kiểm tra lỗ hổng có sẵn, nhưng việc điều chỉnh cài
đặt quét phù hợp với nhu cầu cụ thể của quá trình đánh giá hoặc kiểm tra thâm nhập đang được thực
hiện sẽ hiệu quả hơn.
Cài đặt độ nhạy quét xác định các loại kiểm tra mà máy quét sẽ thực hiện và phải được tùy chỉnh để
đảm bảo rằng quá trình quét đáp ứng các mục tiêu của nó trong khi giảm thiểu khả năng làm gián đoạn
môi trường mục tiêu.
Thông thường, quản trị viên tạo một bản quét mới bằng cách bắt đầu với một mẫu. Đây có thể là mẫu
do nhà cung cấp quản lý lỗ hổng cung cấp và được tích hợp sẵn trong sản phẩm, chẳng hạn như mẫu
Nessus được hiển thị trong Hình 4.5 hoặc có thể là mẫu được phát triển tùy chỉnh được tạo để sử dụng
trong tổ chức. Khi quản trị viên tạo các định dạng quét của riêng họ, họ nên cân nhắc lưu các cài đặt
định nghĩa chung trong các mẫu để cho phép sử dụng lại hiệu quả công việc của họ, tiết kiệm thời gian
và giảm lỗi khi định cấu hình quét trong tương lai.
FIgure 4.5 Nessus scan templates

Quản trị viên cũng có thể cải thiện hiệu quả quét của họ bằng cách định cấu hình các trình cắm cụ
thể sẽ chạy trong mỗi lần quét. Mỗi trình cắm thực hiện kiểm tra lỗ hổng cụ thể và các trình cắm
này thường được nhóm thành các nhóm dựa trên hệ điều hành, ứng dụng hoặc thiết bị mà chúng
liên quan. Việc tắt các plug-in không cần thiết sẽ cải thiện tốc độ quét bằng cách bỏ qua các kiểm
tra không cần thiết và cũng có thể giảm số lượng kết quả dương tính giả do máy quét phát hiện.
Ví dụ: một tổ chức không sử dụng hệ điều hành Amazon Linux có thể chọn tắt tất cả các kiểm tra
liên quan đến Amazon Linux trong mẫu quét của tổ chức đó. Hình 4.6 cho thấy một ví dụ về việc
tắt các trình cắm thêm này trong Nessus. Tương tự như vậy, một tổ chức chặn việc sử dụng một số
giao thức tại tường lửa mạng có thể không muốn tốn thời gian thực hiện quét bên ngoài bằng các
giao thức đó.
FIgure 4.6 Disabling unused plug-ins

Comptia PENTEST + Chương 4 VULN SCAN / CEH VIETNAM

Scanning Fragile Systems
Một số công cụ quét plug-in thực hiện các thử nghiệm có thể thực sự làm gián đoạn hoạt động trên một hệ
thống sản xuất mỏng manh hoặc trong trường hợp xấu nhất là làm hỏng nội dung trên các hệ thống đó. Các
trình cắm thêm này đưa ra một tình huống khó khăn. Quản trị viên muốn chạy quá trình quét vì họ có thể
xác định các vấn đề có thể bị khai thác bởi một nguồn độc hại. Đồng thời, các chuyên gia an ninh mạng rõ
ràng không muốn gây ra sự cố trên mạng của tổ chức!

Những lo ngại này càng tăng cao đối với các mạng chứa tài sản tính toán phi truyền thống, chẳng hạn như
mạng chứa hệ thống điều khiển công nghiệp (ICS), thiết bị Internet vạn vật (IoT), thiết bị y tế chuyên dụng
hoặc các hệ thống có khả năng dễ hỏng khác. Mặc dù các thử nghiệm thâm nhập sẽ phát hiện ra những
khiếm khuyết trong các hệ thống này, nhưng không nên làm gián đoạn hoạt động sản xuất bằng các bản
quét có cấu hình kém nếu có thể tránh được.

Một cách để giải quyết vấn đề này là duy trì một môi trường thử nghiệm có chứa các bản sao của cùng một
hệ thống đang chạy trên mạng sản xuất và chạy quét các hệ thống thử nghiệm đó trước. Nếu quá trình quét
phát hiện sự cố trong môi trường thử nghiệm, quản trị viên có thể khắc phục các nguyên nhân cơ bản trên
cả mạng thử nghiệm và sản xuất trước khi chạy quét trên mạng sản xuất
Trong các thử nghiệm thâm nhập, người thử nghiệm có thể muốn định cấu hình các bản quét của họ
để chạy dưới dạng quét ẩn, quá trình này sẽ rất lâu để tránh sử dụng các thử nghiệm có thể thu hút sự
chú ý. Điều này đặc biệt đúng nếu nhóm an ninh mạng của tổ chức không biết rằng một thử nghiệm
thâm nhập đang được tiến hành. Dịch vụ gián đoạn, thông báo lỗi và mục nhập nhật ký gây ra bởi quá
trình quét có thể thu hút sự chú ý từ nhóm an ninh mạng khiến họ phải điều chỉnh các biện pháp phòng
thủ theo cách cản trở quá trình kiểm tra thâm nhập. Việc sử dụng tính năng quét ẩn sẽ ước lượng tốt
hơn hoạt động của kẻ tấn công có kỹ năng, dẫn đến kiểm tra khả năng thâm nhập thực tế hơn.

Supplementing Network Scans

Tính năng quét lỗ hổng cơ bản chạy qua mạng, thăm dò hệ thống từ xa. Điều này cung cấp một cái
nhìn thực tế về bảo mật của hệ thống bằng cách mô phỏng những gì kẻ tấn công có thể nhìn thấy từ
một điểm thuận lợi mạng khác. Tuy nhiên, tường lửa, hệ thống ngăn chặn xâm nhập và các kiểm soát
bảo mật khác tồn tại trên đường dẫn giữa máy quét và máy chủ mục tiêu có thể ảnh hưởng đến kết quả
quét, cung cấp cái nhìn không chính xác về bảo mật của máy chủ độc lập với các kiểm soát đó.
Ngoài ra, rất nhiều lỗ hổng bảo mật rất khó xác nhận chỉ bằng cách quét từ xa. Quét lỗ hổng bảo
mật chạy qua mạng có thể phát hiện khả năng có lỗ hổng bảo mật nhưng không thể xác nhận nó một
cách chắc chắn, gây ra kết quả dương tính giả đòi hỏi quản trị viên tốn nhiều thời gian điều tra.

Virtualization and Container Security

Nhiều tổ chức CNTT sử dụng công nghệ ảo hóa và công nghệ container như một phương tiện để nâng
cao hiệu quả sử dụng tài nguyên của họ. Các phương pháp ảo hóa cho phép quản trị viên chạy nhiều
hệ điều hành “khách” ảo trên một hệ thống “máy chủ” vật lý. Điều này cho phép khách chia sẻ CPU,
bộ nhớ, bộ nhớ và các tài nguyên khác. Nó cũng cho phép quản trị viên nhanh chóng phân bổ lại các
nguồn lực khi nhu cầu thay đổi.

Containerization đưa công nghệ ảo hóa lên một bước cao hơn trong ngăn xếp. Thay vì chỉ chạy trên
phần cứng dùng chung, như trường hợp của máy ảo, các container chạy trên hệ điều hành dùng chung
nhưng vẫn cung cấp tính di động và khả năng phân bổ động của ảo hóa.

Quản trị viên và người kiểm tra thâm nhập làm việc trong cả môi trường ảo hóa và môi trường chứa
nên chú ý cẩn thận đến cách tương tác giữa các thành phần trong các môi trường đó có thể ảnh hưởng
đến kết quả quét lỗ hổng. Ví dụ, giao tiếp mạng giữa các máy ảo hoặc các ứng dụng được chứa trong
bộ chứa có thể diễn ra hoàn toàn trong giới hạn của môi trường ảo hóa hoặc bộ chứa bằng cách sử
dụng các mạng ảo tồn tại trong bộ nhớ trên máy chủ. Các dịch vụ chỉ hiển thị trong những môi trường
đó có thể không được phát hiện bằng cách quét lỗ hổng bảo mật dựa trên mạng truyền thống.

Quét dựa trên tác nhân có thể hoạt động hiệu quả hơn trong những môi trường này. Nhiều công cụ
quản lý lỗ hổng bảo mật hiện cũng đã được ảo hóa và nhận biết vùng chứa, cho phép chúng xử lý
thông tin cấu hình và lỗ hổng bảo mật cho các thành phần chứa trong các môi trường này
Các giải pháp quản lý lỗ hổng bảo mật hiện đại có thể bổ sung cho các lần quét từ xa này thông tin
đáng tin cậy về cấu hình máy chủ. Thông tin này có thể được thu thập theo hai cách. Đầu tiên, quản
trị viên có thể cung cấp cho máy quét thông tin xác thực cho phép máy quét kết nối với máy chủ mục
tiêu và truy xuất thông tin cấu hình. Sau đó, thông tin này có thể được sử dụng để xác định liệu lỗ
hổng bảo mật có tồn tại hay không, cải thiện độ chính xác của quá trình quét so với các lựa chọn thay

Comptia PENTEST + Chương 4 VULN SCAN / CEH VIETNAM

thế không được xác thực. Ví dụ: nếu quá trình quét lỗ hổng phát hiện ra một vấn đề tiềm ẩn có thể
được sửa chữa bằng gói dịch vụ hệ điều hành, thì quá trình quét thông tin xác thực có thể kiểm tra
xem gói dịch vụ đã được cài đặt trên hệ thống chưa trước khi báo cáo lỗ hổng.

Quét thông tin xác thực được sử dụng rộng rãi trong các chương trình quản lý lỗ hổng doanh nghiệp
và cũng có thể là một trò chơi công bằng khi sử dụng chúng trong các bài kiểm tra thâm nhập. Tuy
nhiên, điều này phụ thuộc vào các thông số của thử nghiệm thâm nhập và liệu nhóm thử nghiệm được
cho là có quyền truy cập “hộp trắng” vào thông tin nội bộ khi họ tiến hành công việc của mình hay
không. Nếu một bài kiểm tra thâm nhập nhằm mục đích là một bài tập “hộp đen”, việc cung cấp cho
nhóm các kết quả quét lỗ hổng bảo mật thông thường sẽ nằm ngoài giới hạn của bài kiểm tra. Như
thường lệ, nếu tồn tại các câu hỏi về điều gì phù hợp hoặc không phù hợp trong quá trình thử nghiệm
thâm nhập, hãy tham khảo SOW đã thỏa thuận.

Hình 4.7 cho thấy một ví dụ về các tùy chọn quét thông tin xác thực có sẵn trong QualysGuard.
Quét được xác thực có thể truy cập hệ điều hành, cơ sở dữ liệu và ứng dụng, trong số các nguồn khác.
FIgure 4.7 Configuring authenticated scanning

Quét được xác thực thường chỉ lấy thông tin từ máy chủ đích và không thực hiện thay đổi đối
với chính máy chủ. Do đó, quản trị viên nên thực thi nguyên tắc đặc quyền ít nhất bằng cách
cung cấp cho máy quét một tài khoản chỉ đọc trên máy chủ. Điều này làm giảm khả năng xảy
ra sự cố bảo mật liên quan đến quyền truy cập được xác thực của máy quét.

Ngoài việc quét thông tin xác thực, một số máy quét bổ sung cách tiếp cận dựa trên máy chủ truyền
thống để quét lỗ hổng bảo mật bằng cách tiếp cận dựa trên tác nhân bổ sung. Trong cách tiếp cận này,
quản trị viên cài đặt các tác nhân phần mềm nhỏ trên mỗi máy chủ mục tiêu. Các tác nhân này tiến
hành quét hình thức máy chủ, cung cấp quét lỗ hổng “từ trong ra ngoài”, sau đó báo cáo thông tin trở
lại nền tảng quản lý lỗ hổng để phân tích và báo cáo.

Quản trị viên hệ thống thường cảnh giác với việc cài đặt tác nhân trên máy chủ mà họ quản
lý vì sợ rằng tác nhân sẽ gây ra các vấn đề về hiệu suất hoặc độ ổn định. Nếu bạn chọn sử
dụng cách tiếp cận dựa trên tác nhân để quét, bạn nên tiếp cận khái niệm này một cách thận
trọng, bắt đầu bằng việc triển khai thử nghiệm nhỏ để xây dựng lòng tin đối với tác nhân trước
khi tiếp tục triển khai rộng rãi hơn.
Scan Perspective
Các chương trình quản lý lỗ hổng toàn diện cung cấp khả năng tiến hành quét từ nhiều góc độ quét
khác nhau. Mỗi phối cảnh quét tiến hành quét từ một vị trí khác nhau trên mạng, cung cấp một cái
nhìn khác về các lỗ hổng. Người kiểm tra thâm nhập phải nhận thức sâu sắc về cấu trúc liên kết mạng
của môi trường đang thử nghiệm và vị trí của các công cụ của họ trên mạng có thể ảnh hưởng như thế
nào đến kết quả quét.

Ví dụ, một quá trình quét bên ngoài được thực hiện từ Internet, cung cấp cho quản trị viên cái nhìn
về những gì kẻ tấn công ở bên ngoài tổ chức sẽ coi là lỗ hổng tiềm ẩn. Quét nội bộ có thể chạy từ một
máy quét trên mạng chung của công ty, cung cấp chế độ xem mà kẻ nội gián độc hại có thể gặp phải.
Cuối cùng, máy quét đặt bên trong trung tâm dữ liệu và các tác nhân đặt trên máy chủ cung cấp cái
nhìn chính xác nhất về trạng thái thực của máy chủ bằng cách hiển thị các lỗ hổng có thể bị chặn bởi
các biện pháp kiểm soát bảo mật khác trên mạng..

Việc quét bên trong và bên ngoài theo yêu cầu của PCI DSS là một ví dụ điển hình về việc quét
được thực hiện từ các góc độ khác nhau. Tổ chức có thể tiến hành quét nội bộ của riêng mình
nhưng phải bổ sung bằng các quá trình quét bên ngoài do nhà cung cấp quét được chấp thuận
thực hiện.

Nền tảng quản lý lỗ hổng có khả năng quản lý các máy quét khác nhau và cung cấp chế độ xem tổng
hợp về kết quả quét, biên dịch dữ liệu từ các nguồn khác nhau. Hình 4.8 cho thấy một ví dụ về cách
quản trị viên có thể chọn máy quét cho một quá trình quét được thiết lập mới bằng cách sử dụng
QualysGuard.

FIgure 4.8 Choosing a scan appliance

Như họ làm khi chọn có sử dụng kết quả của các lần quét được chứng nhận hay không, người kiểm
tra thâm nhập nên thận trọng và tham khảo tuyên bố công việc khi xác định các phối cảnh quét thích
hợp để sử dụng trong quá trình kiểm tra. Người kiểm tra thâm nhập không được có quyền truy cập

Comptia PENTEST + Chương 4 VULN SCAN / CEH VIETNAM

vào các bản quét đang chạy bằng cách sử dụng phối cảnh bên trong nếu họ đang tiến hành kiểm tra
thâm nhập hộp đen.

Scanner Maintenance
Giống như bất kỳ sản phẩm công nghệ nào, các giải pháp quản lý lỗ hổng bảo mật cần được chăm sóc
và duy trì. Quản trị viên nên tiến hành bảo trì thường xuyên máy quét lỗ hổng bảo mật của họ để đảm
bảo rằng phần mềm quét và nguồn cấp lỗ hổng vẫn được cập nhật.

Các hệ thống quét cung cấp khả năng cập nhật tự động giúp máy quét và nguồn cấp dữ liệu
về lỗ hổng bảo mật của nó luôn được cập nhật. Các tổ chức có thể và nên tận dụng các tính
năng này, nhưng tốt hơn hết là nên kiểm tra một lần và xác minh thủ công rằng máy quét
đang cập nhật đúng cách.

Scanner Software
Bản thân các hệ thống quét không tránh khỏi các lỗ hổng bảo mật. Như trong Hình 4.9, ngay cả
những máy quét lỗ hổng bảo mật cũng có thể gặp vấn đề về bảo mật! Việc vá lỗi thường xuyên của
phần mềm máy quét bảo vệ tổ chức khỏi các lỗ hổng do máy quét chỉ định và cũng cung cấp các lỗi
quan trọng và cải tiến tính năng để cải thiện chất lượng quét.
FIgure 4.9 National Cyber Awareness System Vulnerability Summary

(Source: NIST/US-CERT CVE 2014-7280)

Vulnerability Plug-In Feeds

Các nhà nghiên cứu bảo mật phát hiện ra các lỗ hổng mới mỗi tuần và các trình quét lỗ hổng chỉ có
thể chống lại các lỗ hổng này hiệu quả nếu họ nhận được các bản cập nhật thường xuyên cho các plug-
in của họ. Quản trị viên nên định cấu hình máy quét của họ để truy xuất các trình cắm mới một cách
thường xuyên, tốt nhất là hàng ngày. May mắn thay, như trong Hình 4.10, quá trình này được tự động
hóa một cách dễ dàng.
FIgure 4.10 Setting automatic updates in Nessus
Comptia PENTEST + Chương 4 VULN SCAN / CEH VIETNAM
Security Content Automation protocol (SCAp)
Giao thức Tự động hóa Nội dung Bảo mật (SCAP) là một nỗ lực của cộng đồng bảo
mật, dẫn đầu bởi Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST), nhằm tạo ra một
cách tiếp cận chuẩn hóa để truyền đạt thông tin liên quan đến bảo mật. Tiêu chuẩn
hóa này rất quan trọng đối với việc tự động hóa các tương tác giữa các thành phần
bảo mật. Các tiêu chuẩn SCAP bao gồm những điều sau:

Common Configuration Enumeration (CCE) Cung cấp một danh pháp tiêu chuẩn để
thảo luận về các vấn đề cấu hình hệ thống
Common Platform Enumeration (CPE) Cung cấp một danh pháp tiêu chuẩn để mô
tả tên và phiên bản sản phẩm
Common Vulnerabilities and Exposures (CVE) Cung cấp một danh pháp tiêu chuẩn
để mô tả các lỗi phần mềm liên quan đến bảo mật.
Common Vulnerability Scoring System (CVSS) Cung cấp phương pháp tiếp cận được
tiêu chuẩn hóa để đo lường và mô tả mức độ nghiêm trọng của các lỗi phần mềm
liên quan đến bảo mật
Extensible Configuration Checklist Description Format (XCCDF) Là một ngôn ngữ để
chỉ định danh sách kiểm tra và báo cáo kết quả danh sách kiểm tra
Open Vulnerability and Assessment Language (OVAL) Là một ngôn ngữ để chỉ định
các quy trình kiểm tra cấp thấp được sử dụng bởi danh sách kiểm tra.
Để biết thêm thông tin về SCAP, hãy xem NIST SP 800-117: Hướng dẫn Áp
dụng và Sử dụng Giao thức Tự động hóa Nội dung Bảo mật (SCAP) Phiên bản
1.0 hoặc trang web SCAP (http://scap.nist.gov).

Software Security Testing

Bất kể nhóm phát triển ứng dụng có kỹ năng đến đâu, sẽ có một số sai sót trong
mã của họ và người kiểm tra thâm nhập nên bao gồm các công cụ kiểm tra bảo
mật phần mềm trong bộ công cụ của họ.
Các chỉ số năm 2017 của Veracode cho các ứng dụng dựa trên thử nghiệm của
nó cho thấy rằng nhiều hơn 70% trong số hơn 400.000 ứng dụng mà họ đã quét
không vượt qua được quy trình kiểm tra 10 vấn đề bảo mật hàng đầu của OWASP
(Open Web Application Security Project). Con số đó cho thấy nhu cầu lớn về
việc tiếp tục tích hợp tốt hơn kiểm thử bảo mật phần mềm vào vòng đời phát
triển phần mềm.

Ngoài các số liệu thống kê trước đó, Veracode cung cấp một đánh giá
hàng năm hữu ích về tình trạng bảo mật phần mềm. Bạn có thể đọc
thêm báo cáo năm 2017 tại https://info.veracode.com/report-state-
of-softwaresecurity.html .

Có rất nhiều công cụ và phương pháp kiểm tra thủ công và tự động có sẵn
cho người kiểm tra thâm nhập và nhà phát triển. May mắn thay, các công cụ tự
động đã tiếp tục được cải thiện, cung cấp một cách dễ dàng hơn để kiểm tra tính
bảo mật của mã so với việc thực hiện các bài kiểm tra thủ công tẻ nhạt. Trong
vài trang tiếp theo, chúng tôi sẽ xem xét một số phương pháp và công cụ kiểm
tra bảo mật phần mềm quan trọng hiện có.

Analyzing and Testing Code

Mã nguồn là cơ sở của mọi ứng dụng và chương trình có thể chứa nhiều lỗi khác
nhau, từ lỗi lập trình và cú pháp đến các vấn đề với logic nghiệp vụ, xử lý lỗi và
tích hợp với các dịch vụ và hệ thống khác. Điều quan trọng là có thể phân tích
mã để hiểu mã làm gì, chúng thực hiện nhiệm vụ đó như thế nào và nơi lỗi có
thể xảy ra trong chính chương trình. Thông tin này có thể chỉ ra các lỗ hổng
nghiêm trọng chưa được phát hiện có thể bị khai thác trong quá trình kiểm tra
thâm nhập.
Kiểm tra mã thường được thực hiện thông qua phân tích mã tĩnh hoặc động cùng
với các phương pháp kiểm tra như fuzzing và tiêm lỗi. Sau khi các thay đổi được
thực hiện đối với mã và được triển khai, chúng phải được kiểm tra hồi quy để
đảm bảo rằng các dữ liệu được đưa vào không tạo ra các vấn đề bảo mật mới!

Static Code Analysis

Phân tích mã tĩnh (đôi khi được gọi là phân tích mã nguồn) được tiến hành
bằng cách xem xét mã cho một ứng dụng. Vì phân tích tĩnh sử dụng mã nguồn
cho một ứng dụng, nó có thể được coi là một loại kiểm thử hộp trắng với khả

Comptia PENTEST + Chương 4 VULN SCAN / CEH VIETNAM

năng hiển thị đầy đủ cho người kiểm tra. Điều này có thể cho phép người thử
nghiệm tìm ra các vấn đề mà các thử nghiệm khác có thể bỏ sót, do logic không
được tiếp xúc với các phương pháp thử nghiệm khác hoặc do các vấn đề logic
nghiệp vụ nội bộ.

Không giống như nhiều phương pháp khác, phân tích tĩnh không chạy
chương trình đang được phân tích; thay vào đó, nó tập trung vào việc hiểu
chương trình được viết như thế nào và mã dự định làm gì. Phân tích mã tĩnh có
thể được tiến hành bằng các công cụ tự động hoặc theo cách thủ công bằng cách
xem lại mã — một quá trình đôi khi được gọi là “hiểu mã”. Phân tích mã tĩnh tự
động có thể rất hiệu quả trong việc giải quyết các vấn đề đã biết và phân tích mã
tĩnh thủ công giúp xác định các lỗi do lập trình viên gây ra.

Dynamic Code Analysis

Phân tích mã động dựa vào việc thực thi mã trong khi cung cấp đầu vào để
kiểm tra phần mềm. Giống như phân tích mã tĩnh, phân tích mã động có thể được
thực hiện thông qua các công cụ tự động hoặc thủ công, nhưng có sự ưu tiên
mạnh mẽ đối với kiểm thử tự động vì khối lượng kiểm tra cần được thực hiện
trong hầu hết các quy trình kiểm tra mã động.

Người kiểm tra thâm nhập có nhiều khả năng thấy mình có thể tiến hành phân
tích động mã hơn là phân tích tĩnh vì các điều khoản của SOW kiểm tra thâm
nhập thường hạn chế quyền truy cập vào mã nguồn.

Fuzzing
Kiểm tra Fuzz, hoặc fuzzing, liên quan đến việc gửi dữ liệu ngẫu nhiên hoặc
không hợp lệ đến một ứng dụng để kiểm tra khả năng xử lý dữ liệu không mong
muốn của ứng dụng. Ứng dụng được giám sát để xác định xem nó có bị treo, bị
lỗi hoặc phản hồi không chính xác hay không. Fuzzing thường được tự động hóa
do lượng dữ liệu lớn mà kiểm tra fuzz liên quan đến và đặc biệt hữu ích để phát
hiện các vấn đề logic và xác thực đầu vào cũng như rò rỉ bộ nhớ và xử lý lỗi.

Kiểm tra Fuzz thường có thể được thực hiện bên ngoài mà không có bất kỳ
quyền truy cập đặc quyền nào vào hệ thống và do đó là một kỹ thuật phổ biến
trong số những người kiểm tra thâm nhập. Tuy nhiên, fuzzing cũng là một
phương pháp kiểm tra “ồn ào” có thể thu hút sự chú ý quá mức từ các nhóm an
ninh mạng.

Web Application Vulnerability Scanning

Nhiều ứng dụng mà các tổ chức của chúng ta sử dụng ngày nay là dựa trên
web và chúng cung cấp các cơ hội duy nhất để thử nghiệm do tiêu chuẩn hóa
tương đối của các giao diện web dựa trên HTML. Đầu chương này, các bạn đã
xem xét các công cụ quét lỗ hổng như Nessus và QualysGuard, các công cụ này
quét các lỗ hổng đã biết trong hệ thống, trong dịch vụ và ở một mức độ hạn chế
trong các ứng dụng web. Máy quét lỗ hổng ứng dụng web chuyên dụng cung cấp
một bộ công cụ thậm chí còn rộng hơn được thiết kế đặc biệt để xác định các sự
cố với ứng dụng và máy chủ web, cơ sở dữ liệu và cơ sở hạ tầng bên dưới của
chúng.
Có hàng tá công cụ quét lỗ hổng ứng dụng web thương mại có sẵn, nhưng một
số công cụ phổ biến nhất là Acunetix WVS, Arachni, Burp Suite, IBM’s
AppScan, HP’s WebInspect, Netsparker, QualysGuard’s Web Application
Scanner và W3AF. Dự án nguồn mở Nikto cũng cung cấp khả năng quét ứng
dụng web.
Máy quét ứng dụng web có thể được chạy trực tiếp trên một ứng dụng, nhưng
cũng có thể được hướng dẫn thông qua ứng dụng để đảm bảo rằng chúng tìm
thấy tất cả các thành phần mà bạn muốn kiểm tra. Giống như các công cụ quét lỗ
hổng truyền thống, các công cụ quét ứng dụng web cung cấp một báo cáo về các
vấn đề mà họ phát hiện ra khi chúng được thực hiện, như thể hiện trong Hình
4.11. Thông tin chi tiết bổ sung, bao gồm nơi phát hiện sự cố và mọi hướng dẫn
khắc phục, cũng thường có sẵn bằng cách đi sâu vào mục báo cáo.
Nikto là một công cụ quét ứng dụng web mã nguồn mở có sẵn miễn phí cho
mọi người sử dụng. Như trong hình 4.12, nikto sử dụng giao diện dòng lệnh và
hiển thị kết quả dưới dạng văn bản. Bạn nên làm quen với việc giải thích kết quả
quét Nikto khi làm bài kiểm tra.

Comptia PENTEST + Chương 4 VULN SCAN / CEH VIETNAM

122 Chapter 4 ■ Vulnerability Scanning

FIgure 4.11 Acunetix web application scan vulnerability report

FIgure 4.12 Nikto web application scan results

Hầu hết các tổ chức đều sử dụng máy quét ứng dụng web, nhưng họ chọn sử dụng
các sản phẩm thương mại cung cấp các tính năng nâng cao và giao diện thân thiện
với người dùng. Trong khi có các máy quét ứng dụng web chuyên dụng, chẳng
hạn như Acunetix, trên thị trường, nhiều công ty chọn sử dụng khả năng quét ứng
dụng web của các máy quét lỗ hổng mạng truyền thống, chẳng hạn như Nessus,
 Software Security Testing 123

QualysGuard và Nexpose. Hình 4.13 cho thấy một ví dụ về Nessus được sử dụng
trong vai trò quét web.
FIgure 4.13 Nessus web application scanner

Ngoài việc sử dụng máy quét lỗ hổng ứng dụng web tự động, quét thủ công
thường xuyên được tiến hành để xác định các vấn đề mà máy quét tự động có thể
bỏ sót. Kiểm tra thủ công với dữ liệu đầu vào được chèn bằng tay, nhưng người
kiểm tra thường sử dụng các công cụ được gọi là proxy chặn cho phép họ nắm
bắt thông tin liên lạc giữa trình duyệt và máy chủ web. Sau khi proxy nắm bắt
thông tin, người kiểm tra có thể sửa đổi dữ liệu được gửi và nhận.
Một proxy plug-in của trình duyệt web như TamperData cho Chrome hoặc
Firefox có thể cho phép bạn sửa đổi các giá trị phiên trong khi kết nối trực tiếp,
như thể hiện trong Hình 4.14. Sử dụng proxy chặn để thu thập thông tin qua một
ứng dụng cung cấp thông tin chi tiết về dữ liệu mà ứng dụng web sử dụng và
cách bạn có thể tấn công ứng dụng.
Có một số công cụ proxy phổ biến, từ các plug-in dành riêng cho trình duyệt
như TamperData và HttpFox đến các công cụ bất khả tri cho trình duyệt như
Fiddler, chạy như một proxy chuyên dụng. Ngoài ra, các công cụ như Burp Suite
cung cấp một loạt các khả năng, bao gồm proxy ứng dụng, trình thu thập dữ liệu,
quét ứng dụng web và các công cụ nâng cao khác nhằm giúp kiểm tra thâm nhập
ứng dụng web dễ dàng hơn.

Comptia PENTEST + Chương 4 VULN SCAN / CEH VIETNAM

124 Chapter 4 ■ Vulnerability Scanning

Database Vulnerability Scanning

Cơ sở dữ liệu chứa nhiều thông tin nhạy cảm nhất của tổ chức và là mục tiêu
béo bở cho những kẻ tấn công. Mặc dù hầu hết các cơ sở dữ liệu được bảo vệ
khỏi truy cập trực tiếp từ bên ngoài bởi tường lửa, các ứng dụng web cung cấp
một cổng thông tin vào các cơ sở dữ liệu đó và những kẻ tấn công có thể tận dụng
các ứng dụng web được hỗ trợ bởi cơ sở dữ liệu để tấn công trực tiếp vào cơ sở
dữ liệu, bao gồm cả tấn công SQL injection.
Máy quét lỗ hổng cơ sở dữ liệu là công cụ cho phép người kiểm tra thâm nhập,
các chuyên gia bảo mật khác và kẻ tấn công quét cả cơ sở dữ liệu và ứng dụng
web để tìm các lỗ hổng có thể ảnh hưởng đến bảo mật cơ sở dữ liệu. Sqlmap là
một trình quét lỗ hổng cơ sở dữ liệu mã nguồn mở thường được sử dụng cho
phép quản trị viên bảo mật thăm dò các ứng dụng web để tìm lỗ hổng cơ sở dữ
liệu. Hình 4.15 cho thấy một ví dụ về Sqlmap quét một ứng dụng web
.
FIgure 4.14 Tamper data session showing login data

FIgure 4.15 Scanning a database-backed application with Sqlmap

 Software Security Testing 125

Comptia PENTEST + Chương 4 VULN SCAN / CEH VIETNAM

Developing a Remediation Workflow
Quét lỗ hổng bảo mật thường tạo ra một loạt các vấn đề bảo mật đòi hỏi sự chú
ý từ các chuyên gia an ninh mạng, kỹ sư hệ thống, nhà phát triển phần mềm, kỹ
sư mạng và các nhà công nghệ khác. Các lần quét môi trường ban đầu có thể tạo
ra một số lượng lớn các vấn đề yêu cầu ưu tiên hay khắc phục sau cùng. Các tổ
chức nên phát triển một quy trình khắc phục cho phép ưu tiên các lỗ hổng và theo
dõi việc khắc phục thông qua chu trình phát hiện, khắc phục và thử nghiệm được
thể hiện trong Hình 4.16.
FIgure 4.16 Vulnerability management life cycle

Testing
Detection

Remediation

Quy trình khắc phục này phải được tự động hóa hết mức có thể, với các công
cụ có sẵn cho tổ chức. Nhiều sản phẩm quản lý lỗ hổng bao gồm một cơ chế quy
trình làm việc tích hợp cho phép các chuyên gia an ninh mạng theo dõi các lỗ
hổng thông qua quá trình khắc phục và tự động đóng các lỗ hổng sau khi kiểm
tra xác nhận rằng việc khắc phục đã thành công. Mặc dù những công cụ này hữu
ích, nhưng các tổ chức khác thường chọn không sử dụng chúng vì lợi ích của
việc theo dõi các lỗ hổng trong công cụ quản lý dịch vụ CNTT (ITSM) mà tổ
chức sử dụng cho các vấn đề công nghệ khác. Cách tiếp cận này tránh yêu cầu
các nhà công nghệ sử dụng hai hệ thống theo dõi vấn đề khác nhau và cải thiện
việc tuân thủ quy trình khắc phục. Tuy nhiên, chúng cũng yêu cầu lựa chọn các
công cụ quản lý lỗ hổng tích hợp nguyên bản với công cụ ITSM của tổ chức
(hoặc ngược lại) hoặc xây dựng sự tích hợp giữa các công cụ nếu một công cụ
chưa tồn tại.

penetration Testing and the remediation Workflow

Các bài kiểm tra thâm nhập thường là nguồn cung cấp thông tin về lỗ hổng bảo mật
mới mà một tổ chức cuối cùng sẽ cung cấp vào quy trình khắc phục của mình để ưu
tiên và khắc phục. Cách tiếp cận được sử dụng bởi những người kiểm tra thâm nhập
trong lĩnh vực này là một nguồn căng thẳng phổ biến giữa những người kiểm tra và
đội an ninh mạng của doanh nghiệp.

Các câu hỏi chính xoay quanh thời gian thích hợp để thông báo cho các nhóm bảo
mật về lỗ hổng bảo mật và không có câu trả lời rõ ràng. Cũng như các lĩnh vực tiềm
ẩn sự mơ hồ khác, đây là một vấn đề quan trọng cần giải quyết trong SOW.
Một cách tiếp cận phổ biến cho vấn đề này là đồng ý về một ngưỡng cho các lỗ hổng
bảo mật mà trên đó người kiểm tra thâm nhập phải báo cáo ngay phát hiện của họ
cho ban quản lý. Ví dụ: nếu người kiểm tra tìm thấy một lỗ hổng nghiêm trọng có thể
bị kẻ tấn công khai thác từ xa, điều này cần được khắc phục ngay lập tức và có thể sẽ
yêu cầu báo cáo ngay lập tức. Mặt khác, thông tin về các lỗ hổng cấp thấp hơn có thể
được giữ lại để sử dụng trong quá trình kiểm tra thâm nhập và chỉ được công bố khi
kết quả cuối cùng được chuyển đến khách hàng

Một xu hướng quan trọng trong quản lý lỗ hổng bảo mật là chuyển hướng sang
việc quét liên tục và giám sát liên tục. Quá trình quét đang diễn ra sẽ thay đổi
cách tiếp cận quét theo lịch trình đã kiểm tra các hệ thống theo lịch trình hàng
tuần hoặc hàng tháng và thay vào đó, định cấu hình máy quét để quét hệ thống
một cách đơn giản, kiểm tra các lỗ hổng thường xuyên khi tài nguyên quét cho
phép. Cách tiếp cận này có thể tốn nhiều băng thông và tài nguyên, nhưng nó
cung cấp khả năng phát hiện sớm hơn các lỗ hổng. Giám sát liên tục kết hợp dữ
liệu từ các phương pháp tiếp cận dựa trên tác nhân để phát hiện lỗ hổng bảo mật
và báo cáo các thay đổi cấu hình liên quan đến bảo mật cho nền tảng quản lý lỗ
hổng ngay khi chúng xảy ra, cung cấp khả năng phân tích những thay đổi đó cho
các lỗ hổng tiềm ẩn.

Prioritizing Remediation
Khi các nhà phân tích an ninh mạng làm việc theo cách của họ thông qua các
báo cáo quét lỗ hổng bảo mật, họ phải đưa ra các quyết định quan trọng về việc
ưu tiên khắc phục nhằm sử dụng các nguồn lực hạn chế của họ để giải quyết các
vấn đề gây nguy hiểm lớn nhất cho tổ chức. Không có công thức cụ thể để ưu
tiên các lỗ hổng. Thay vào đó, các nhà phân tích phải tính đến một số yếu tố
quan trọng khi chọn nơi để chuyển sự chú ý của họ trước tiên.
Comptia PENTEST + Chương 4 VULN SCAN / CEH VIETNAM
Một số yếu tố quan trọng nhất trong quá trình ra quyết định ưu tiên khắc phục
được liệt kê ở đây:
Criticality of the Systems and Information Affected by the Vulnerability
Các biện pháp phê bình phải tính đến các yêu cầu về tính bảo mật, tính toàn vẹn
và tính khả dụng, tùy thuộc vào bản chất của lỗ hổng. Ví dụ, trong trường hợp có
sẵn, nếu lỗ hổng cho phép tấn công từ chối dịch vụ, các nhà phân tích an ninh
mạng nên xem xét tác động đối với tổ chức nếu hệ thống trở nên không sử dụng
được do bị tấn công. Và trong trường hợp bảo mật, nếu lỗ hổng cho phép đánh
cắp thông tin được lưu trữ từ cơ sở dữ liệu, các nhà phân tích an ninh mạng nên
xem xét tác động đối với tổ chức nếu thông tin đó bị đánh cắp. Cuối cùng, trong
trường hợp toàn vẹn, nếu một lỗ hổng cho phép thay đổi trái phép thông tin, các
nhà phân tích an ninh mạng nên xem xét tác động của những thay đổi đó.

Difficulty of Remediating the Vulnerability

Nếu việc sửa chữa một lỗ hổng bảo mật sẽ đòi hỏi một cam kết không cần thiết
về nguồn nhân lực hoặc tài chính, thì điều đó cần được đưa vào quá trình ra quyết
định. Các nhà phân tích an ninh mạng có thể thấy rằng họ có thể khắc phục năm
vấn đề được xếp hạng từ số 2 đến số 6 ở mức độ ưu tiên cho cùng một khoản đầu
tư được yêu cầu để giải quyết vấn đề hàng đầu. Điều này không có nghĩa là họ
nhất thiết phải chọn đưa ra quyết định chỉ dựa trên chi phí và khó khăn, nhưng
đó là sự cân nhắc trong quá trình sắp xếp thứ tự ưu tiên.

Severity of the Vulnerability

Một vấn đề càng nghiêm trọng, thì điều quan trọng là phải sửa chữa vấn đề đó.
Các nhà phân tích có thể chuyển sang Hệ thống chấm điểm lỗ hổng chung
(CVSS) để cung cấp xếp hạng mức độ nghiêm trọng tương đối cho các lỗ hổng
khác nhau. Hãy nhớ ở phần trước trong chương này rằng CVSS là một thành
phần của SCAP.
Exposure of the Vulnerability
Các nhà phân tích an ninh mạng cũng nên xem xét mức độ dễ bị khai thác tiềm
ẩn của lỗ hổng bảo mật. Ví dụ: nếu một máy chủ nội bộ có lỗ hổng SQL injection
nghiêm trọng nhưng máy chủ đó chỉ có thể truy cập được từ các mạng nội bộ,
việc khắc phục sự cố đó có thể có mức độ ưu tiên thấp hơn so với việc khắc phục
một sự cố ít nghiêm trọng hơn được tiếp xúc với Internet và do đó, dễ bị tấn công
hơn tấn công từ bên ngoài.
 Việc xác định thứ tự tối ưu để khắc phục các lỗ hổng bảo mật là một nghệ
thuật hơn là một khoa học. Các nhà phân tích an ninh mạng phải đánh giá tất cả
thông tin theo ý của họ và đưa ra quyết định sáng suốt về trình tự khắc phục sẽ
mang lại giá trị bảo mật cao nhất cho tổ chức của họ.

Testing and Implementing Fixes

Trước khi triển khai bất kỳ hoạt động khắc phục nào, các chuyên gia an ninh
mạng và các nhà công nghệ khác nên kiểm tra kỹ lưỡng các bản sửa lỗi đã lên
kế hoạch của họ trong môi trường hộp cát. Điều này cho phép các nhà công
nghệ xác định bất kỳ tác dụng phụ không lường trước được của việc khắc phục
và giảm khả năng các hoạt động khắc phục sẽ làm gián đoạn hoạt động kinh
doanh hoặc gây thiệt hại cho tài sản thông tin của tổ chức.

Overcoming Barriers to Vulnerability

Scanning
Quét lỗ hổng bảo mật thường là ưu tiên cao của các chuyên gia an ninh mạng,
nhưng các nhà công nghệ khác trong tổ chức có thể không coi đó là một hoạt
động quan trọng. Các nhà phân tích an ninh mạng nên biết những rào cản mà
những người khác đưa ra đối với việc quét lỗ hổng bảo mật và cách giải quyết
những mối lo ngại đó. Một số rào cản phổ biến cần vượt qua như sau:
Service Degradations Rào cản đối với việc quét lỗ hổng bảo mật thường được
các chuyên gia công nghệ nêu ra. Quét lỗ hổng bảo mật tiêu tốn băng thông mạng
và buộc tài nguyên trên các hệ thống là mục tiêu của quá trình quét. Điều này có
thể làm suy giảm chức năng hệ thống và có nguy cơ làm gián đoạn các quy trình
kinh doanh. Các chuyên gia an ninh mạng có thể giải quyết những lo ngại này
bằng cách điều chỉnh quá trình quét để tiêu thụ ít băng thông hơn và điều phối
thời gian quét với lịch trình hoạt động. Quét lỗ hổng bảo mật của các ứng dụng
web cũng có thể sử dụng điều chỉnh truy vấn để giới hạn tốc độ mà máy quét gửi
yêu cầu đến một ứng dụng web. Hình 4.17 cho thấy các cách mà quản trị viên có
thể điều chỉnh cường độ quét trong QualysGuard.

Comptia PENTEST + Chương 4 VULN SCAN / CEH VIETNAM

FIgure 4.17 QualysGuard scan performance settings

Customer Commitments Có thể tạo ra rào cản đối với việc quét lỗ hổng bảo
mật. Các biên bản ghi nhớ (MOU) và thỏa thuận cấp độ dịch vụ (SLA) với
khách hàng có thể tạo ra các kỳ vọng liên quan đến thời gian hoạt động, hiệu
suất và bảo mật mà tổ chức phải đáp ứng. Nếu quá trình quét tác động tiêu cực
đến khả năng của tổ chức trong việc đáp ứng các cam kết với khách hàng, thì
khách hàng có thể cần phải tham gia vào quá trình ra quyết định.

Các chuyên gia an ninh mạng có thể tránh các vấn đề với MOU và SLA
bằng cách đảm bảo rằng họ tham gia vào việc tạo ra các thỏa thuận
đó ngay từ đầu. Có thể tránh được nhiều lo ngại nếu các thỏa thuận
của khách hàng bao gồm ngôn ngữ dự đoán việc quét lỗ hổng bảo mật
và thừa nhận rằng chúng có thể có tác động đến hiệu suất. Hầu hết
khách hàng sẽ hiểu tầm quan trọng của việc tiến hành quét lỗ hổng
miễn là bạn cung cấp cho họ thông báo trước về thời gian và tác động
tiềm ẩn của việc quét.

IT Governance and Change Management Processes Có thể tạo ra các rào

cản quan liêu trong việc thực hiện các thay đổi quy cách hợp lý cần thiết để hỗ
trợ quét. Các nhà phân tích an ninh mạng nên làm việc trong các quy trình quản
trị tổ chức này để có được các nguồn lực và hỗ trợ cần thiết để hỗ trợ chương
trình quản lý lỗ hổng bảo mật..

Summary
Quét lỗ hổng bảo mật cung cấp cho những người thử nghiệm thâm nhập một
nguồn thông tin vô giá khi họ bắt đầu thử nghiệm. Kết quả quét lỗ hổng xác
định các hệ thống có khả năng bị khai thác và thậm chí có thể chỉ ra các hành
vi khai thác cụ thể cho phép kẻ tấn công có được chỗ đứng trên mạng hoặc có
được các đặc quyền cao hơn sau khi đạt được quyền truy cập ban đầu.
Bất kỳ ai tiến hành quét lỗ hổng đều nên bắt đầu bằng cách xác định các yêu
cầu quét. Điều này bao gồm việc xem xét các mục tiêu quét có thể có và lựa
chọn tần số quét. Khi những quyết định ban đầu này được đưa ra, các nhà phân
tích có thể định cấu hình và thực hiện quét lỗ hổng bảo mật một cách thường
xuyên, tốt nhất là thông qua việc sử dụng hệ thống lập lịch quét tự động.
Trong Chương 5, bạn sẽ học cách phân tích kết quả quét lỗ hổng bảo mật và
sử dụng những kết quả đó trong một bài kiểm tra thâm nhập.

Comptia PENTEST + Chương 4 VULN SCAN / CEH VIETNAM