Professional Documents
Culture Documents
Hiểu Lý Thuyết – Vững Thực Hành – Lấy Chứng Chỉ Comptia PENTEST+
Bạn có cần bổ sung tính năng quét lỗ hổng mạng của mình bằng cách quét ứng
dụng web hay quét cơ sở dữ liệu hay không?
■ ✓ Quét lỗi có thể đạt được nhiều mục tiêu đồng thời không? Ví dụ: kết quả
quét có thể được sử dụng để phát hiện cấu hình tuân thủ các tiêu chuẩn của tổ
chức không? Hoặc họ có thể đưa vào quy trình khắc phục tự động hay không?
Bạn sẽ được yêu cầu thiết kế một kế hoạch kiểm tra lỗ hổng bảo mật trả lời
những câu hỏi này trong một bài tập phòng thí nghiệm ở cuối chương này.
Khi một tổ chức bắt đầu phát triển một chương trình quản lý lỗ hổng, trước tiên tổ chức đó phải thực
hiện việc xác định bất kỳ yêu cầu bên trong hoặc bên ngoài nào để quét lỗ hổng bảo mật. Các yêu cầu
này có thể đến từ (các) môi trường pháp lý mà tổ chức hoạt động hoặc chúng có thể đến từ các yêu cầu
định hướng chính sách nội bộ.
Trái ngược với những gì một số người tin tưởng, PCI DSS không phải là luật. Tiêu chuẩn được
duy trì bởi một nhóm ngành được gọi là Hội đồng Tiêu chuẩn Bảo mật Ngành Thẻ Thanh toán
(PCI SSC), được ngành này tài trợ để duy trì các yêu cầu. Các tổ chức phải tuân theo PCI DSS
vì yêu cầu hợp đồng hơn là yêu cầu pháp lý.
PCI DSS quy định nhiều chi tiết về quét lỗ hổng bảo mật:
■ ✓ Các tổ chức phải chạy quét lỗ hổng bên trong và cả bên ngoài (yêu cầu PCI DSS 11.2).
■ ✓ Các tổ chức phải thực hiện quét ít nhất hàng quý và “sau bất kỳ thay đổi đáng kể nào trong
mạng (chẳng hạn như cài đặt thành phần hệ thống mới, thay đổi cấu trúc liên kết mạng, sửa đổi quy
tắc tường lửa, nâng cấp sản phẩm)” (Yêu cầu PCI DSS 11.2).
■ ✓ Quét nội bộ phải được tiến hành bởi nhân viên có trình độ (yêu cầu PCI DSS 11.2.1).
■ ✓ Các tổ chức phải khắc phục mọi lỗ hổng có nguy cơ cao và quét lặp lại để xác nhận rằng chúng
đã được giải quyết cho đến khi họ nhận được báo cáo quét “sạch” (yêu cầu PCI DSS 11.2.1).
■ ✓ Quét bên ngoài phải được thực hiện bởi Nhà cung cấp quét lỗ hổng bảo mật được chấp thuận
(ASV) được PCI SSC ủy quyền (yêu cầu PCI DSS 11.2.2).
Quét lỗ hổng bảo mật để tuân thủ PCI DSS là một ngành đang phát triển mạnh và cạnh tranh, và
nhiều nhà cung cấp dịch vụ tư vấn bảo mật chuyên về các công việc quét này. Nhiều tổ chức chọn
tự tiến hành quét đầu tiên để tự đảm bảo rằng họ sẽ đạt được kết quả đậu trước khi yêu cầu quét
toàn bộ từ ASV.
Bạn không bao giờ nên tiến hành quét lỗ hổng bảo mật trừ khi bạn được phép rõ ràng để làm
như vậy. Chạy quét mà không được phép có thể vi phạm nghiêm trọng chính sách bảo mật
của tổ chức và cũng có thể là tội phạm.
Năm 2014, Tổng thống Obama đã ký Đạo luật Hiện đại hóa An ninh Thông tin Liên bang ( cũng
được viết tắt một cách khó hiểu là FISMA!) Thành luật . FISMA năm 2014 đã cập nhật các yêu
cầu của FISMA năm 2002 để cung cấp quyền truy cập mạng mạnh mẽ trong môi trường mối
đe dọa đang thay đổi. Hầu hết mọi người sử dụng thuật ngữ FISMA để chỉ tác động tổng hợp
của cả hai luật này.
Tất cả các hệ thống thông tin liên bang, bất kể phân loại tác động của chúng, phải đáp ứng các yêu
cầu cơ bản để quét lỗ hổng bảo mật trong Ấn phẩm đặc biệt NIST 800-53, Kiểm soát bảo mật và
quyền riêng tư dành cho các tổ chức và hệ thống thông tin liên bang. Mỗi tổ chức tuân theo FISMA
phải đáp ứng các yêu cầu sau, được mô tả trong phần “Mô tả kiểm soát” (https://nvd.nist.gov/800-
53/Rev4/control/RA-5):
a. Quét các lỗ hổng trong hệ thống thông tin và các ứng dụng được lưu trữ và khi các lỗ hổng mới
có khả năng ảnh hưởng đến hệ thống / ứng dụng được xác định và báo cáo;
b. Sử dụng các công cụ và kỹ thuật quét lỗ hổng bảo mật tạo điều kiện cho khả năng tương tác giữa
các công cụ và tự động hóa các phần của quy trình quản lý lỗ hổng bằng cách sử dụng các tiêu chuẩn
cho:
1. Liệt kê các nền tảng, lỗi phần mềm và cấu hình không phù hợp;
2. Định dạng danh sách kiểm tra và thủ tục kiểm tra; và
3. Đo lường tác động của tính dễ bị tổn thương;
c. Phân tích các báo cáo quét lỗ hổng bảo mật và kết quả từ các đánh giá kiểm soát an ninh;
d. Khắc phục các lỗ hổng hợp pháp phù hợp với đánh giá rủi ro của tổ chức; và
e. Chia sẻ thông tin thu được từ quá trình quét lỗ hổng bảo mật và đánh giá kiểm soát bảo mật để
giúp loại bỏ các lỗ hổng tương tự trong các hệ thống thông tin khác (tức là các điểm yếu hoặc thiếu
sót của hệ thống)
Các yêu cầu này thiết lập đường cơ sở cho tất cả các hệ thống thông tin liên bang. NIST 800-
53 sau đó mô tả tám cải tiến kiểm soát có thể được yêu cầu tùy thuộc vào các trường hợp:
1. Tổ chức sử dụng các công cụ quét lỗ hổng bảo mật bao gồm khả năng cập nhật dễ dàng các
lỗ hổng hệ thống thông tin cần quét.
2. Tổ chức cập nhật các lỗ hổng của hệ thống thông tin được quét trước một lần quét mới (và /
hoặc) khi các lỗ hổng mới được xác định và báo cáo.
3. Tổ chức sử dụng các quy trình quét lỗ hổng bảo mật có thể xác định độ rộng và độ sâu của
phạm vi bảo hiểm (tức là các thành phần hệ thống thông tin được quét và kiểm tra các lỗ hổng
bảo mật).
4. Tổ chức xác định thông tin nào về hệ thống thông tin có thể được phát hiện bởi đối thủ và
sau đó thực hiện các hành động sửa chữa do tổ chức xác định.
5. Hệ thống thông tin thực hiện phân quyền truy cập đặc quyền vào các thành phần của hệ
thống thông tin cho các hoạt động quét lỗ hổng đã chọn.
6. Tổ chức sử dụng các cơ chế tự động để so sánh kết quả quét lỗ hổng theo thời gian để xác
định xu hướng của lỗ hổng hệ thống thông tin.
7. (Được rút bởi NIST)
8. Tổ chức xem xét nhật ký đánh giá lịch sử để xác định xem một lỗ hổng được xác định trong
hệ thống thông tin đã được khai thác trước đó hay chưa.
9. (Được rút bởi NIST)
10. Tổ chức so sánh kết quả đầu ra từ các công cụ quét lỗ hổng để xác định sự hiện diện của
các vectơ tấn công đa lỗ hổng / đa bước nhảy Lưu ý rằng yêu cầu 7 và 9 là các cải tiến kiểm
soát trước đây đã được đưa vào tiêu chuẩn nhưng sau đó đã bị rút lại.
Trong trường hợp cơ quan liên bang xác định rằng hệ thống thông tin thuộc loại có tác động vừa
phải, thì cơ quan đó phải thực hiện tối thiểu các cải tiến kiểm soát 1, 2 và 5. Nếu cơ quan xác định
một hệ thống có tác động cao, nó phải thực hiện ít nhất các cải tiến kiểm soát 1, 2, 4 và 5.
Corporate Policy
Chính sách công ty
Các yêu cầu bảo mật theo quy định của PCI DSS và FISMA bao gồm các tổ chức liên quan đến việc
xử lý các giao dịch bán lẻ và vận hành hệ thống của chính phủ, nhưng hai loại đó chỉ chiếm một phần
nhỏ trong số tất cả các doanh nghiệp. Các chuyên gia an ninh mạng đồng ý rộng rãi rằng quản lý lỗ
hổng bảo mật là một thành phần quan trọng của bất kỳ chương trình bảo mật thông tin nào và vì lý do
này, nhiều tổ chức bắt buộc quét lỗ hổng bảo mật trong chính sách của công ty, ngay cả khi đó không
phải là yêu cầu quy định.
Nhiều yếu tố ảnh hưởng đến tần suất một tổ chức quyết định tiến hành quét lỗ hổng bảo mật đối với
hệ thống của mình:
■ ✓ Khẩu vị rủi ro của tổ chức là sự sẵn sàng chấp nhận rủi ro trong môi trường. Nếu một tổ chức
cực kỳ sợ rủi ro, tổ chức đó có thể chọn tiến hành quét thường xuyên hơn để giảm thiểu khoảng thời
gian từ khi xuất hiện lỗ hổng bảo mật đến khi được phát hiện bằng cách quét.
■ ✓ Các yêu cầu quy định, chẳng hạn như PCI DSS hoặc FISMA, có thể quy định tần suất tối thiểu
để quét lỗ hổng bảo mật. Những yêu cầu này cũng có thể đến từ các chính sách của công ty.
■ ✓ Các hạn chế kỹ thuật có thể hạn chế tần suất quét. Ví dụ: hệ thống quét có thể chỉ có khả năng
thực hiện một số lần quét nhất định mỗi ngày và các tổ chức có thể cần điều chỉnh tần số quét để đảm
bảo rằng tất cả các lần quét đều hoàn thành thành công.
■ ✓ Các ràng buộc kinh doanh có thể ngăn tổ chức tiến hành quét lỗ hổng bảo mật sử dụng nhiều
nguồn lực trong thời gian hoạt động kinh doanh cao để tránh làm gián đoạn các quy trình quan trọng.
■ ✓ Các giới hạn cấp phép có thể hạn chế băng thông được tiêu thụ bởi máy quét hoặc số lần quét
có thể được tiến hành đồng thời.
■ ✓ Những hạn chế trong hoạt động có thể hạn chế khả năng giám sát và phản ứng kịp thời với các
kết quả quét của nhóm an ninh mạng.
Các chuyên gia an ninh mạng phải cân bằng tất cả những cân nhắc này khi lập kế hoạch cho một
chương trình quét lỗ hổng bảo mật. Thông thường, khôn ngoan là nên bắt đầu quy mô nhỏ và từ từ
mở rộng phạm vi và tần suất quét lỗ hổng bảo mật theo thời gian để tránh áp đảo cơ sở hạ tầng quét
hoặc hệ thống doanh nghiệp.
Người kiểm tra thâm nhập phải hiểu các quyết định đánh đổi được đưa ra khi tổ chức thiết kế
chương trình quản lý lỗ hổng bảo mật hiện có của mình. Những hạn chế này có thể chỉ ra các khu vực
mà người kiểm tra thâm nhập nên bổ sung các bản quét hiện có của tổ chức bằng các bản quét tùy
chỉnh được thiết kế đặc biệt cho mục đích thử nghiệm thâm nhập.
Khi thiết kế quét lỗ hổng bảo mật như một phần của chương trình đang diễn ra, trước tiên quản trị
viên nên trả lời những câu hỏi này theo nghĩa chung và đảm bảo rằng họ có sự đồng thuận của nhân
viên kỹ thuật và ban quản lý rằng việc quét là phù hợp và không có khả năng gây gián đoạn cho công
việc kinh doanh. Khi họ đã xác định rằng các bản quét được thiết kế tốt và không có khả năng gây ra
các vấn đề nghiêm trọng, họ có thể chuyển sang kiểm tra các bản quét trong công cụ quản lý lỗ hổng
bảo mật.
Khi quá trình quét đang diễn ra như một phần của thử nghiệm thâm nhập, người kiểm tra thâm nhập
vẫn nên tránh làm gián đoạn hoạt động kinh doanh trong phạm vi có thể. Tuy nhiên, mức độ xâm nhập
của thử nghiệm và mức độ phối hợp với ban quản lý phải được hướng dẫn bởi tuyên bố công việc
(SOW) đã thỏa thuận đối với thử nghiệm thâm nhập. Nếu những người kiểm tra độ thâm nhập có
quyền sử dụng bất kỳ kỹ thuật nào có sẵn cho họ mà không có sự phối hợp trước, thì không cần thiết
phải tham khảo ý kiến của ban giám đốc. Tuy nhiên, người kiểm tra phải luôn ở trong phạm vi đã thỏa
thuận của SOW của họ.
Tại thời điểm này, thực tế là những người kiểm tra thâm nhập phải nỗ lực để duy trì trong
các tham số xác định của SOW của họ không phải là tin tức đối với bạn. Hãy ghi nhớ thông tin
này khi bạn làm bài kiểm tra PenTest +. Nếu bạn thấy các câu hỏi hỏi bạn liệu một quyết định
có phù hợp hay không, phản ứng đầu tiên của bạn là tham khảo ý kiến của SOW.
Thông qua việc sử dụng hợp lý việc phân đoạn mạng và các kỹ thuật khác, quản trị viên có thể cô lập một số
hệ thống thực sự tham gia vào quá trình xử lý thẻ tín dụng, tách biệt chúng khỏi phần lớn các hệ thống trên
mạng của tổ chức. Khi được thực hiện đúng cách, việc phân đoạn này sẽ giảm phạm vi tuân thủ PCI DSS
xuống mạng cô lập nhỏ hơn nhiều dành riêng cho xử lý thẻ thanh toán.
Khi tổ chức có thể giảm phạm vi của mạng PCI DSS, nó cũng giảm phạm vi của nhiều kiểm soát PCI DSS bắt
buộc, bao gồm cả việc quét lỗ hổng bảo mật. Thay vì ký hợp đồng với nhà cung cấp dịch vụ quét đã được
phê duyệt để tiến hành quét tuân thủ hàng quý trên toàn bộ mạng của tổ chức, họ có thể giảm phạm vi
quét đó xuống những hệ thống thực sự tham gia vào quá trình xử lý thẻ. Điều này sẽ làm giảm đáng kể chi
phí của việc tham gia quét và khối lượng công việc khắc phục mà các chuyên gia an ninh mạng phải đối mặt
sau khi quá trình quét hoàn tất
Các ví dụ trong chương này sử dụng các công cụ quét lỗ hổng phổ biến của Nessus và
QualysGuard. Đây là những sản phẩm thương mại. Các tổ chức đang tìm kiếm một giải pháp
nguồn mở có thể muốn xem xét dự án OpenVAS, có sẵn tại http://www.openvas.org/.
Quản trị viên cũng có thể cải thiện hiệu quả quét của họ bằng cách định cấu hình các trình cắm cụ
thể sẽ chạy trong mỗi lần quét. Mỗi trình cắm thực hiện kiểm tra lỗ hổng cụ thể và các trình cắm
này thường được nhóm thành các nhóm dựa trên hệ điều hành, ứng dụng hoặc thiết bị mà chúng
liên quan. Việc tắt các plug-in không cần thiết sẽ cải thiện tốc độ quét bằng cách bỏ qua các kiểm
tra không cần thiết và cũng có thể giảm số lượng kết quả dương tính giả do máy quét phát hiện.
Ví dụ: một tổ chức không sử dụng hệ điều hành Amazon Linux có thể chọn tắt tất cả các kiểm tra
liên quan đến Amazon Linux trong mẫu quét của tổ chức đó. Hình 4.6 cho thấy một ví dụ về việc
tắt các trình cắm thêm này trong Nessus. Tương tự như vậy, một tổ chức chặn việc sử dụng một số
giao thức tại tường lửa mạng có thể không muốn tốn thời gian thực hiện quét bên ngoài bằng các
giao thức đó.
FIgure 4.6 Disabling unused plug-ins
Những lo ngại này càng tăng cao đối với các mạng chứa tài sản tính toán phi truyền thống, chẳng hạn như
mạng chứa hệ thống điều khiển công nghiệp (ICS), thiết bị Internet vạn vật (IoT), thiết bị y tế chuyên dụng
hoặc các hệ thống có khả năng dễ hỏng khác. Mặc dù các thử nghiệm thâm nhập sẽ phát hiện ra những
khiếm khuyết trong các hệ thống này, nhưng không nên làm gián đoạn hoạt động sản xuất bằng các bản
quét có cấu hình kém nếu có thể tránh được.
Một cách để giải quyết vấn đề này là duy trì một môi trường thử nghiệm có chứa các bản sao của cùng một
hệ thống đang chạy trên mạng sản xuất và chạy quét các hệ thống thử nghiệm đó trước. Nếu quá trình quét
phát hiện sự cố trong môi trường thử nghiệm, quản trị viên có thể khắc phục các nguyên nhân cơ bản trên
cả mạng thử nghiệm và sản xuất trước khi chạy quét trên mạng sản xuất
Trong các thử nghiệm thâm nhập, người thử nghiệm có thể muốn định cấu hình các bản quét của họ
để chạy dưới dạng quét ẩn, quá trình này sẽ rất lâu để tránh sử dụng các thử nghiệm có thể thu hút sự
chú ý. Điều này đặc biệt đúng nếu nhóm an ninh mạng của tổ chức không biết rằng một thử nghiệm
thâm nhập đang được tiến hành. Dịch vụ gián đoạn, thông báo lỗi và mục nhập nhật ký gây ra bởi quá
trình quét có thể thu hút sự chú ý từ nhóm an ninh mạng khiến họ phải điều chỉnh các biện pháp phòng
thủ theo cách cản trở quá trình kiểm tra thâm nhập. Việc sử dụng tính năng quét ẩn sẽ ước lượng tốt
hơn hoạt động của kẻ tấn công có kỹ năng, dẫn đến kiểm tra khả năng thâm nhập thực tế hơn.
Containerization đưa công nghệ ảo hóa lên một bước cao hơn trong ngăn xếp. Thay vì chỉ chạy trên
phần cứng dùng chung, như trường hợp của máy ảo, các container chạy trên hệ điều hành dùng chung
nhưng vẫn cung cấp tính di động và khả năng phân bổ động của ảo hóa.
Quản trị viên và người kiểm tra thâm nhập làm việc trong cả môi trường ảo hóa và môi trường chứa
nên chú ý cẩn thận đến cách tương tác giữa các thành phần trong các môi trường đó có thể ảnh hưởng
đến kết quả quét lỗ hổng. Ví dụ, giao tiếp mạng giữa các máy ảo hoặc các ứng dụng được chứa trong
bộ chứa có thể diễn ra hoàn toàn trong giới hạn của môi trường ảo hóa hoặc bộ chứa bằng cách sử
dụng các mạng ảo tồn tại trong bộ nhớ trên máy chủ. Các dịch vụ chỉ hiển thị trong những môi trường
đó có thể không được phát hiện bằng cách quét lỗ hổng bảo mật dựa trên mạng truyền thống.
Quét dựa trên tác nhân có thể hoạt động hiệu quả hơn trong những môi trường này. Nhiều công cụ
quản lý lỗ hổng bảo mật hiện cũng đã được ảo hóa và nhận biết vùng chứa, cho phép chúng xử lý
thông tin cấu hình và lỗ hổng bảo mật cho các thành phần chứa trong các môi trường này
Các giải pháp quản lý lỗ hổng bảo mật hiện đại có thể bổ sung cho các lần quét từ xa này thông tin
đáng tin cậy về cấu hình máy chủ. Thông tin này có thể được thu thập theo hai cách. Đầu tiên, quản
trị viên có thể cung cấp cho máy quét thông tin xác thực cho phép máy quét kết nối với máy chủ mục
tiêu và truy xuất thông tin cấu hình. Sau đó, thông tin này có thể được sử dụng để xác định liệu lỗ
hổng bảo mật có tồn tại hay không, cải thiện độ chính xác của quá trình quét so với các lựa chọn thay
Quét thông tin xác thực được sử dụng rộng rãi trong các chương trình quản lý lỗ hổng doanh nghiệp
và cũng có thể là một trò chơi công bằng khi sử dụng chúng trong các bài kiểm tra thâm nhập. Tuy
nhiên, điều này phụ thuộc vào các thông số của thử nghiệm thâm nhập và liệu nhóm thử nghiệm được
cho là có quyền truy cập “hộp trắng” vào thông tin nội bộ khi họ tiến hành công việc của mình hay
không. Nếu một bài kiểm tra thâm nhập nhằm mục đích là một bài tập “hộp đen”, việc cung cấp cho
nhóm các kết quả quét lỗ hổng bảo mật thông thường sẽ nằm ngoài giới hạn của bài kiểm tra. Như
thường lệ, nếu tồn tại các câu hỏi về điều gì phù hợp hoặc không phù hợp trong quá trình thử nghiệm
thâm nhập, hãy tham khảo SOW đã thỏa thuận.
Hình 4.7 cho thấy một ví dụ về các tùy chọn quét thông tin xác thực có sẵn trong QualysGuard.
Quét được xác thực có thể truy cập hệ điều hành, cơ sở dữ liệu và ứng dụng, trong số các nguồn khác.
FIgure 4.7 Configuring authenticated scanning
Quét được xác thực thường chỉ lấy thông tin từ máy chủ đích và không thực hiện thay đổi đối
với chính máy chủ. Do đó, quản trị viên nên thực thi nguyên tắc đặc quyền ít nhất bằng cách
cung cấp cho máy quét một tài khoản chỉ đọc trên máy chủ. Điều này làm giảm khả năng xảy
ra sự cố bảo mật liên quan đến quyền truy cập được xác thực của máy quét.
Ngoài việc quét thông tin xác thực, một số máy quét bổ sung cách tiếp cận dựa trên máy chủ truyền
thống để quét lỗ hổng bảo mật bằng cách tiếp cận dựa trên tác nhân bổ sung. Trong cách tiếp cận này,
quản trị viên cài đặt các tác nhân phần mềm nhỏ trên mỗi máy chủ mục tiêu. Các tác nhân này tiến
hành quét hình thức máy chủ, cung cấp quét lỗ hổng “từ trong ra ngoài”, sau đó báo cáo thông tin trở
lại nền tảng quản lý lỗ hổng để phân tích và báo cáo.
Quản trị viên hệ thống thường cảnh giác với việc cài đặt tác nhân trên máy chủ mà họ quản
lý vì sợ rằng tác nhân sẽ gây ra các vấn đề về hiệu suất hoặc độ ổn định. Nếu bạn chọn sử
dụng cách tiếp cận dựa trên tác nhân để quét, bạn nên tiếp cận khái niệm này một cách thận
trọng, bắt đầu bằng việc triển khai thử nghiệm nhỏ để xây dựng lòng tin đối với tác nhân trước
khi tiếp tục triển khai rộng rãi hơn.
Scan Perspective
Các chương trình quản lý lỗ hổng toàn diện cung cấp khả năng tiến hành quét từ nhiều góc độ quét
khác nhau. Mỗi phối cảnh quét tiến hành quét từ một vị trí khác nhau trên mạng, cung cấp một cái
nhìn khác về các lỗ hổng. Người kiểm tra thâm nhập phải nhận thức sâu sắc về cấu trúc liên kết mạng
của môi trường đang thử nghiệm và vị trí của các công cụ của họ trên mạng có thể ảnh hưởng như thế
nào đến kết quả quét.
Ví dụ, một quá trình quét bên ngoài được thực hiện từ Internet, cung cấp cho quản trị viên cái nhìn
về những gì kẻ tấn công ở bên ngoài tổ chức sẽ coi là lỗ hổng tiềm ẩn. Quét nội bộ có thể chạy từ một
máy quét trên mạng chung của công ty, cung cấp chế độ xem mà kẻ nội gián độc hại có thể gặp phải.
Cuối cùng, máy quét đặt bên trong trung tâm dữ liệu và các tác nhân đặt trên máy chủ cung cấp cái
nhìn chính xác nhất về trạng thái thực của máy chủ bằng cách hiển thị các lỗ hổng có thể bị chặn bởi
các biện pháp kiểm soát bảo mật khác trên mạng..
Việc quét bên trong và bên ngoài theo yêu cầu của PCI DSS là một ví dụ điển hình về việc quét
được thực hiện từ các góc độ khác nhau. Tổ chức có thể tiến hành quét nội bộ của riêng mình
nhưng phải bổ sung bằng các quá trình quét bên ngoài do nhà cung cấp quét được chấp thuận
thực hiện.
Nền tảng quản lý lỗ hổng có khả năng quản lý các máy quét khác nhau và cung cấp chế độ xem tổng
hợp về kết quả quét, biên dịch dữ liệu từ các nguồn khác nhau. Hình 4.8 cho thấy một ví dụ về cách
quản trị viên có thể chọn máy quét cho một quá trình quét được thiết lập mới bằng cách sử dụng
QualysGuard.
Như họ làm khi chọn có sử dụng kết quả của các lần quét được chứng nhận hay không, người kiểm
tra thâm nhập nên thận trọng và tham khảo tuyên bố công việc khi xác định các phối cảnh quét thích
hợp để sử dụng trong quá trình kiểm tra. Người kiểm tra thâm nhập không được có quyền truy cập
Scanner Maintenance
Giống như bất kỳ sản phẩm công nghệ nào, các giải pháp quản lý lỗ hổng bảo mật cần được chăm sóc
và duy trì. Quản trị viên nên tiến hành bảo trì thường xuyên máy quét lỗ hổng bảo mật của họ để đảm
bảo rằng phần mềm quét và nguồn cấp lỗ hổng vẫn được cập nhật.
Các hệ thống quét cung cấp khả năng cập nhật tự động giúp máy quét và nguồn cấp dữ liệu
về lỗ hổng bảo mật của nó luôn được cập nhật. Các tổ chức có thể và nên tận dụng các tính
năng này, nhưng tốt hơn hết là nên kiểm tra một lần và xác minh thủ công rằng máy quét
đang cập nhật đúng cách.
Scanner Software
Bản thân các hệ thống quét không tránh khỏi các lỗ hổng bảo mật. Như trong Hình 4.9, ngay cả
những máy quét lỗ hổng bảo mật cũng có thể gặp vấn đề về bảo mật! Việc vá lỗi thường xuyên của
phần mềm máy quét bảo vệ tổ chức khỏi các lỗ hổng do máy quét chỉ định và cũng cung cấp các lỗi
quan trọng và cải tiến tính năng để cải thiện chất lượng quét.
FIgure 4.9 National Cyber Awareness System Vulnerability Summary
Common Configuration Enumeration (CCE) Cung cấp một danh pháp tiêu chuẩn để
thảo luận về các vấn đề cấu hình hệ thống
Common Platform Enumeration (CPE) Cung cấp một danh pháp tiêu chuẩn để mô
tả tên và phiên bản sản phẩm
Common Vulnerabilities and Exposures (CVE) Cung cấp một danh pháp tiêu chuẩn
để mô tả các lỗi phần mềm liên quan đến bảo mật.
Common Vulnerability Scoring System (CVSS) Cung cấp phương pháp tiếp cận được
tiêu chuẩn hóa để đo lường và mô tả mức độ nghiêm trọng của các lỗi phần mềm
liên quan đến bảo mật
Extensible Configuration Checklist Description Format (XCCDF) Là một ngôn ngữ để
chỉ định danh sách kiểm tra và báo cáo kết quả danh sách kiểm tra
Open Vulnerability and Assessment Language (OVAL) Là một ngôn ngữ để chỉ định
các quy trình kiểm tra cấp thấp được sử dụng bởi danh sách kiểm tra.
Để biết thêm thông tin về SCAP, hãy xem NIST SP 800-117: Hướng dẫn Áp
dụng và Sử dụng Giao thức Tự động hóa Nội dung Bảo mật (SCAP) Phiên bản
1.0 hoặc trang web SCAP (http://scap.nist.gov).
Ngoài các số liệu thống kê trước đó, Veracode cung cấp một đánh giá
hàng năm hữu ích về tình trạng bảo mật phần mềm. Bạn có thể đọc
thêm báo cáo năm 2017 tại https://info.veracode.com/report-state-
of-softwaresecurity.html .
Có rất nhiều công cụ và phương pháp kiểm tra thủ công và tự động có sẵn
cho người kiểm tra thâm nhập và nhà phát triển. May mắn thay, các công cụ tự
động đã tiếp tục được cải thiện, cung cấp một cách dễ dàng hơn để kiểm tra tính
bảo mật của mã so với việc thực hiện các bài kiểm tra thủ công tẻ nhạt. Trong
vài trang tiếp theo, chúng tôi sẽ xem xét một số phương pháp và công cụ kiểm
tra bảo mật phần mềm quan trọng hiện có.
Không giống như nhiều phương pháp khác, phân tích tĩnh không chạy
chương trình đang được phân tích; thay vào đó, nó tập trung vào việc hiểu
chương trình được viết như thế nào và mã dự định làm gì. Phân tích mã tĩnh có
thể được tiến hành bằng các công cụ tự động hoặc theo cách thủ công bằng cách
xem lại mã — một quá trình đôi khi được gọi là “hiểu mã”. Phân tích mã tĩnh tự
động có thể rất hiệu quả trong việc giải quyết các vấn đề đã biết và phân tích mã
tĩnh thủ công giúp xác định các lỗi do lập trình viên gây ra.
Người kiểm tra thâm nhập có nhiều khả năng thấy mình có thể tiến hành phân
tích động mã hơn là phân tích tĩnh vì các điều khoản của SOW kiểm tra thâm
nhập thường hạn chế quyền truy cập vào mã nguồn.
Fuzzing
Kiểm tra Fuzz, hoặc fuzzing, liên quan đến việc gửi dữ liệu ngẫu nhiên hoặc
không hợp lệ đến một ứng dụng để kiểm tra khả năng xử lý dữ liệu không mong
muốn của ứng dụng. Ứng dụng được giám sát để xác định xem nó có bị treo, bị
lỗi hoặc phản hồi không chính xác hay không. Fuzzing thường được tự động hóa
do lượng dữ liệu lớn mà kiểm tra fuzz liên quan đến và đặc biệt hữu ích để phát
hiện các vấn đề logic và xác thực đầu vào cũng như rò rỉ bộ nhớ và xử lý lỗi.
Kiểm tra Fuzz thường có thể được thực hiện bên ngoài mà không có bất kỳ
quyền truy cập đặc quyền nào vào hệ thống và do đó là một kỹ thuật phổ biến
trong số những người kiểm tra thâm nhập. Tuy nhiên, fuzzing cũng là một
phương pháp kiểm tra “ồn ào” có thể thu hút sự chú ý quá mức từ các nhóm an
ninh mạng.
Hầu hết các tổ chức đều sử dụng máy quét ứng dụng web, nhưng họ chọn sử dụng
các sản phẩm thương mại cung cấp các tính năng nâng cao và giao diện thân thiện
với người dùng. Trong khi có các máy quét ứng dụng web chuyên dụng, chẳng
hạn như Acunetix, trên thị trường, nhiều công ty chọn sử dụng khả năng quét ứng
dụng web của các máy quét lỗ hổng mạng truyền thống, chẳng hạn như Nessus,
Software Security Testing 123
QualysGuard và Nexpose. Hình 4.13 cho thấy một ví dụ về Nessus được sử dụng
trong vai trò quét web.
FIgure 4.13 Nessus web application scanner
Ngoài việc sử dụng máy quét lỗ hổng ứng dụng web tự động, quét thủ công
thường xuyên được tiến hành để xác định các vấn đề mà máy quét tự động có thể
bỏ sót. Kiểm tra thủ công với dữ liệu đầu vào được chèn bằng tay, nhưng người
kiểm tra thường sử dụng các công cụ được gọi là proxy chặn cho phép họ nắm
bắt thông tin liên lạc giữa trình duyệt và máy chủ web. Sau khi proxy nắm bắt
thông tin, người kiểm tra có thể sửa đổi dữ liệu được gửi và nhận.
Một proxy plug-in của trình duyệt web như TamperData cho Chrome hoặc
Firefox có thể cho phép bạn sửa đổi các giá trị phiên trong khi kết nối trực tiếp,
như thể hiện trong Hình 4.14. Sử dụng proxy chặn để thu thập thông tin qua một
ứng dụng cung cấp thông tin chi tiết về dữ liệu mà ứng dụng web sử dụng và
cách bạn có thể tấn công ứng dụng.
Có một số công cụ proxy phổ biến, từ các plug-in dành riêng cho trình duyệt
như TamperData và HttpFox đến các công cụ bất khả tri cho trình duyệt như
Fiddler, chạy như một proxy chuyên dụng. Ngoài ra, các công cụ như Burp Suite
cung cấp một loạt các khả năng, bao gồm proxy ứng dụng, trình thu thập dữ liệu,
quét ứng dụng web và các công cụ nâng cao khác nhằm giúp kiểm tra thâm nhập
ứng dụng web dễ dàng hơn.
Testing
Detection
Remediation
Quy trình khắc phục này phải được tự động hóa hết mức có thể, với các công
cụ có sẵn cho tổ chức. Nhiều sản phẩm quản lý lỗ hổng bao gồm một cơ chế quy
trình làm việc tích hợp cho phép các chuyên gia an ninh mạng theo dõi các lỗ
hổng thông qua quá trình khắc phục và tự động đóng các lỗ hổng sau khi kiểm
tra xác nhận rằng việc khắc phục đã thành công. Mặc dù những công cụ này hữu
ích, nhưng các tổ chức khác thường chọn không sử dụng chúng vì lợi ích của
việc theo dõi các lỗ hổng trong công cụ quản lý dịch vụ CNTT (ITSM) mà tổ
chức sử dụng cho các vấn đề công nghệ khác. Cách tiếp cận này tránh yêu cầu
các nhà công nghệ sử dụng hai hệ thống theo dõi vấn đề khác nhau và cải thiện
việc tuân thủ quy trình khắc phục. Tuy nhiên, chúng cũng yêu cầu lựa chọn các
công cụ quản lý lỗ hổng tích hợp nguyên bản với công cụ ITSM của tổ chức
(hoặc ngược lại) hoặc xây dựng sự tích hợp giữa các công cụ nếu một công cụ
chưa tồn tại.
Các câu hỏi chính xoay quanh thời gian thích hợp để thông báo cho các nhóm bảo
mật về lỗ hổng bảo mật và không có câu trả lời rõ ràng. Cũng như các lĩnh vực tiềm
ẩn sự mơ hồ khác, đây là một vấn đề quan trọng cần giải quyết trong SOW.
Một cách tiếp cận phổ biến cho vấn đề này là đồng ý về một ngưỡng cho các lỗ hổng
bảo mật mà trên đó người kiểm tra thâm nhập phải báo cáo ngay phát hiện của họ
cho ban quản lý. Ví dụ: nếu người kiểm tra tìm thấy một lỗ hổng nghiêm trọng có thể
bị kẻ tấn công khai thác từ xa, điều này cần được khắc phục ngay lập tức và có thể sẽ
yêu cầu báo cáo ngay lập tức. Mặt khác, thông tin về các lỗ hổng cấp thấp hơn có thể
được giữ lại để sử dụng trong quá trình kiểm tra thâm nhập và chỉ được công bố khi
kết quả cuối cùng được chuyển đến khách hàng
Một xu hướng quan trọng trong quản lý lỗ hổng bảo mật là chuyển hướng sang
việc quét liên tục và giám sát liên tục. Quá trình quét đang diễn ra sẽ thay đổi
cách tiếp cận quét theo lịch trình đã kiểm tra các hệ thống theo lịch trình hàng
tuần hoặc hàng tháng và thay vào đó, định cấu hình máy quét để quét hệ thống
một cách đơn giản, kiểm tra các lỗ hổng thường xuyên khi tài nguyên quét cho
phép. Cách tiếp cận này có thể tốn nhiều băng thông và tài nguyên, nhưng nó
cung cấp khả năng phát hiện sớm hơn các lỗ hổng. Giám sát liên tục kết hợp dữ
liệu từ các phương pháp tiếp cận dựa trên tác nhân để phát hiện lỗ hổng bảo mật
và báo cáo các thay đổi cấu hình liên quan đến bảo mật cho nền tảng quản lý lỗ
hổng ngay khi chúng xảy ra, cung cấp khả năng phân tích những thay đổi đó cho
các lỗ hổng tiềm ẩn.
Prioritizing Remediation
Khi các nhà phân tích an ninh mạng làm việc theo cách của họ thông qua các
báo cáo quét lỗ hổng bảo mật, họ phải đưa ra các quyết định quan trọng về việc
ưu tiên khắc phục nhằm sử dụng các nguồn lực hạn chế của họ để giải quyết các
vấn đề gây nguy hiểm lớn nhất cho tổ chức. Không có công thức cụ thể để ưu
tiên các lỗ hổng. Thay vào đó, các nhà phân tích phải tính đến một số yếu tố
quan trọng khi chọn nơi để chuyển sự chú ý của họ trước tiên.
Comptia PENTEST + Chương 4 VULN SCAN / CEH VIETNAM
Một số yếu tố quan trọng nhất trong quá trình ra quyết định ưu tiên khắc phục
được liệt kê ở đây:
Criticality of the Systems and Information Affected by the Vulnerability
Các biện pháp phê bình phải tính đến các yêu cầu về tính bảo mật, tính toàn vẹn
và tính khả dụng, tùy thuộc vào bản chất của lỗ hổng. Ví dụ, trong trường hợp có
sẵn, nếu lỗ hổng cho phép tấn công từ chối dịch vụ, các nhà phân tích an ninh
mạng nên xem xét tác động đối với tổ chức nếu hệ thống trở nên không sử dụng
được do bị tấn công. Và trong trường hợp bảo mật, nếu lỗ hổng cho phép đánh
cắp thông tin được lưu trữ từ cơ sở dữ liệu, các nhà phân tích an ninh mạng nên
xem xét tác động đối với tổ chức nếu thông tin đó bị đánh cắp. Cuối cùng, trong
trường hợp toàn vẹn, nếu một lỗ hổng cho phép thay đổi trái phép thông tin, các
nhà phân tích an ninh mạng nên xem xét tác động của những thay đổi đó.
Customer Commitments Có thể tạo ra rào cản đối với việc quét lỗ hổng bảo
mật. Các biên bản ghi nhớ (MOU) và thỏa thuận cấp độ dịch vụ (SLA) với
khách hàng có thể tạo ra các kỳ vọng liên quan đến thời gian hoạt động, hiệu
suất và bảo mật mà tổ chức phải đáp ứng. Nếu quá trình quét tác động tiêu cực
đến khả năng của tổ chức trong việc đáp ứng các cam kết với khách hàng, thì
khách hàng có thể cần phải tham gia vào quá trình ra quyết định.
Các chuyên gia an ninh mạng có thể tránh các vấn đề với MOU và SLA
bằng cách đảm bảo rằng họ tham gia vào việc tạo ra các thỏa thuận
đó ngay từ đầu. Có thể tránh được nhiều lo ngại nếu các thỏa thuận
của khách hàng bao gồm ngôn ngữ dự đoán việc quét lỗ hổng bảo mật
và thừa nhận rằng chúng có thể có tác động đến hiệu suất. Hầu hết
khách hàng sẽ hiểu tầm quan trọng của việc tiến hành quét lỗ hổng
miễn là bạn cung cấp cho họ thông báo trước về thời gian và tác động
tiềm ẩn của việc quét.
Summary
Quét lỗ hổng bảo mật cung cấp cho những người thử nghiệm thâm nhập một
nguồn thông tin vô giá khi họ bắt đầu thử nghiệm. Kết quả quét lỗ hổng xác
định các hệ thống có khả năng bị khai thác và thậm chí có thể chỉ ra các hành
vi khai thác cụ thể cho phép kẻ tấn công có được chỗ đứng trên mạng hoặc có
được các đặc quyền cao hơn sau khi đạt được quyền truy cập ban đầu.
Bất kỳ ai tiến hành quét lỗ hổng đều nên bắt đầu bằng cách xác định các yêu
cầu quét. Điều này bao gồm việc xem xét các mục tiêu quét có thể có và lựa
chọn tần số quét. Khi những quyết định ban đầu này được đưa ra, các nhà phân
tích có thể định cấu hình và thực hiện quét lỗ hổng bảo mật một cách thường
xuyên, tốt nhất là thông qua việc sử dụng hệ thống lập lịch quét tự động.
Trong Chương 5, bạn sẽ học cách phân tích kết quả quét lỗ hổng bảo mật và
sử dụng những kết quả đó trong một bài kiểm tra thâm nhập.