Nhiều doanh nghiệp tìm đến Penetration Testing (Pentest – Kiểm thử thâm nhập) như một giải pháp bảo mật, giúp tránh xa tầm tay của hacker. Sự thật, không phải như thế.

Các nhà tư vấn bảo mật tin rằng “To beat a hacker, you gotta think like one” (Tạm dịch: Để đánh bại một hacker, bạn phải suy nghĩ như họ). Sự thật, Pentester (Người kiểm thử thâm nhập) không thể có được suy nghĩ và cách tấn công như một hacker, vì hacker không bị giới hạn bởi bất kì điều gì nhưng Pentester thì lại có rất nhiều hạn chế về phạm vi, thời gian, kỹ thuật. Do đó yêu cầu thực hiện kiểm thử thâm nhập từ góc nhìn của một hacker là điều không thể xảy ra. Sau đây là những lý do mà pentester không thể là một hacker.

Theo ECQ, công ty tư vấn bảo mật cho rằng pentest chỉ giúp tìm những lỗ hổng bảo mật, cách khai thác và các nguy cơ bị tấn công vào thời điểm kiểm tra, với cấu hình và các cơ chế bảo mật đang có. Không điều gì có thể đảm bảo sau khi thực hiện Pentest hệ thống sẽ an toàn.

Ngoài ra, mức độ hiệu quả và bức tranh tổng thể về cấu trúc bảo mật của doanh nghiệp còn dựa trên phạm vi kiểm tra, các kỹ thuật được phép sử dụng trong quá trình kiểm thử thâm nhập. Đặt câu hỏi “Điều gì doanh nghiệp sợ nhất khi bị tấn công mạng?” Để xác định tiêu chí thành công cũng là kim chỉ nam để nhóm pentest tập trung đi đúng mục tiêu.

Vulnerability Assessment (VA - Dò quét lỗ hổng bảo mật) và Penetration Testing (Pentest - Kiểm thử thâm nhập) thường bị các công ty bảo mật đánh tráo khái niệm, khách hàng thường được đề xuất dịch vụ Pentest nhưng báo cáo nhận lại chỉ nằm ở mức độ của VA. Giá trị của hai dịch vụ này vẫn bị nhập nhằng và mơ hồ. Vậy điểm khác nhau thật sự nằm ở đâu?

Để dễ hiểu hơn cho hai dịch vụ này, chúng ta có một ví dụ mình hoạ: Hãy tưởng tượng một toà nhà có 30 tầng, cửa sổ của tầng 5 và tầng 29 đều mở. Một giả thuyết được đặt ra là kẻ trộm có thể vào bên trong bằng cửa sổ. VA sẽ cho ra báo cáo là tầng 5 và tầng 29 mở cửa, mức độ nguy hiểm như nhau.

Pentest sẽ chỉ tầng 5 là nguy cơ có thật vì đang có một loại thang đủ cao, giúp kẻ trộm trèo tới đây. Pentester phải chứng minh rằng điều này có thật bằng cách anh ta sẽ dùng chiếc thang đó trèo vào bên trong và để lại bằng chứng là anh ta đã tới đây. Còn tầng 29 là lỗ hổng có thật nhưng nguy cơ thấp hơn rất nhiều vì không có chiếc thang nào có thể giúp ăn trộm leo tới hoặc phải sử dụng trực thăng để tiếp cận. 

Các hoạt động của VA giúp tiết kiệm chi phí và thời gian nhờ sử dụng các công cụ tự động để rà soát các lỗ hổng bảo mật nhưng độ chính xác không được đảm bảo. Pentest là công việc được thực hiện sau VA và sử dụng thêm các kỹ thuật thủ công để độ chính xác cao hơn. Ngoài ra, Pentest còn giúp chứng minh các nguy cơ có thật thông qua việc khai thác thành công các lỗ hổng. Do đó, giá cả đi đôi cùng chất lượng, những lời mời gọi kiểm thử xâm nhập giá rẻ thực chất giá trị nhận được chỉ là bản báo cáo công cụ quét lỗi tự động.

Tóm lại, kiểm thử thâm nhập không giúp bảo mật hơn, dịch vụ này chỉ giúp chứng minh vào thời điểm hiện tại hệ thống có thể bị tấn công như thế nào. Khả năng lặp lại lỗi vẫn có thể xảy ra do cấu trúc bảo mật, công nghệ, quy trình đã sai ngay từ khi bắt đầu. Bảo mật luôn cần đầy đủ ba yếu tố phòng chống, phát hiện và phản ứng. Không hệ thống nào được cho hoàn hảo dù thường xuyên thực hiện kiểm thử thâm nhập, sẽ là lời nói dối khi công ty bảo mật nói rằng họ có thể kiểm tra hết tất cả các lỗ hổng. Và đừng quên Zero-day (lỗ hổng chưa được biết đến và không có bản vá lỗi) là một phần của cuộc sống.

 - Tôi cố gắng nghĩ là do vợ chồng sống thiên về tình cảm, không quan trọng chuyện chăn gối, nhưng có những đêm, khi anh đang say giấc nồng thì tôi lại bứt rứt rồi đau khổ đến chảy nước mắt.

TIN BÀI KHÁC

Cụ thể, tỉnh Thanh Hóa đã chấp thuận kết quả xét 28 lao động hợp đồng giáo viên dạy mầm non thuộc UBND TP Sầm Sơn.

Huyện Bá Thước được chấp thuận 95 giáo viên dạy mầm non, 16 giáo viên tiếng Anh dạy tiểu học. Huyện Tĩnh Gia là 104 giáo viên dạy mầm non.

Chủ tịch tỉnh Thanh Hóa giao Chủ tịch các huyện, TP thực hiện việc ký hợp đồng lao động đối với những giáo viên nói trên theo quy định.

Đầu năm học 2017-2018, tỉnh Thanh Hóa thống nhất cho hợp đồng lao động với hơn 1.000 giáo viên bậc học mầm non, giáo viên Tiếng Anh dạy tiểu học đối với các địa phương trên địa bàn tỉnh.

Trước đó, năm học 2016-2017, trên địa bàn tỉnh Thanh Hóa đã có hàng nghìn giáo viên, nhân viên bị cắt hợp đồng lao động khiến địa phương này rơi vào tình cảnh thừa, thiếu giáo viên cục bộ ở nhiều địa phương, nhiều cấp học.

Nguyên nhân của việc trên là do các địa phương thực hiện không đúng các quy định của Nhà nước trong việc hợp đồng lao động đối với giáo viên, nhân viên hành chính.

Lê Dương

Tạm dừng việc chấm dứt hợp đồng với 500 giáo viên mất việc

Lãnh đạo tỉnh Đắk Lắk đã chỉ đạo UBND huyện Krông Pắk tạm dừng việc chấm dứt hợp đồng đối với các giáo viên dư thừa để nghiên cứu, đưa ra các giải pháp phù hợp, đúng quy định pháp luật.