Kiểm thử xâm nhập (Penetration Testing) – Liều Vaccine thời kinh tế số

FPT IS

Ngày 29/02/2024

Penetration testing (Pentesting), hay kiểm thử xâm nhập, là một lĩnh vực quan trọng trong ngành bảo mật mạng, đóng vai trò thiết yếu trong việc bảo vệ hệ thống và dữ liệu khỏi các cuộc tấn công mạng ngày càng tinh vi.

Lịch sử phát triển của Penetration testing (Pentesting)

Ít ai biết rằng, nguồn gốc của pentesting bắt nguồn từ những hoạt động “phreaking” vào thập niên 1960.

Vào những năm 60 của thế kỷ trước, trong giai đoạn phát triển rực rỡ của ngành viễn thông và công nghệ điện toán tại Hoa Kỳ đánh dấu cho một kỷ nguyên mới và vĩnh viễn thay đổi cuộc sống của con người từ đó về sau, khi các phương pháp liên lạc, trao đổi thông tin giữa người với người (điện thoại, vô tuyến,…) và các cỗ máy điện toán có những bước tiến vượt bậc hơn rất nhiều, và tất cả những công nghệ này được thương mại hóa, dẫn đến việc bất cứ người nào cũng có thể tiếp cận và sử dụng.

Đây cũng là lúc mà các hành động khai thác bắt đầu sinh ra, và được coi là thời gian khai sinh ra của thứ mà bây giờ chúng ta gọi là “hacking”. Bắt nguồn từ một nhóm nhỏ những người dùng mạng điện thoại, sau một thời gian sử dụng và quan sát, họ phát hiện ra một số lỗ hổng trên hệ thống chuyển mạch của mạng điện thoại cho phép họ có thể thực hiện nhiều hành vi khác nhau: giả mạo cuộc gọi, gọi điện miễn phí, nghe lén, đánh cắp thông tin,… Những hành vi này nhanh chóng được lan rộng và chia sẻ đến nhiều người khác (mặc dù chúng là phi pháp, nhưng trong thời điểm đó chưa có đạo luật nào được ban hành cho những hành vi này). Từ đó, những người có chung đam mê và các kiến thức chuyên sâu về việc khai thác này tập hợp lại với nhau, tạo thành từng nhóm cộng đồng và hoạt động rất sôi nổi. Thuật ngữ “phreaking” ra đời, để định nghĩa cho các hành động khai thác này, và những người thực hiện các hành động đó, họ tự gọi mình là “phreaker”.

Ảnh mô tả hoạt động Phreaking của một nhóm phreaker năm 1971 bởi Bob Gudgel dăng trên tạp chí Wired

Vào đầu những năm 70 sau đó, khi hoạt động Phreaking phát triển rầm rộ, một số nhóm phreakers còn phát triển thành những thiết bị chuyên dụng để thực hiện khai thác tự động, và bán chúng cho người dùng phổ thông, gây thiệt hại rất lớn cho các nhà mạng viễn thông. Chính phủ Hoa Kỳ và Bộ quốc phòng Hoa Kỳ xác định đây là hành vi phạm tội, tuy nhiên họ cũng nhận thấy rủi ro tiềm tàng liên quan đến an ninh quốc phòng và sẽ có ảnh hưởng sâu rộng trong tương lai gần. Chính vì vậy, chính phủ và doanh nghiệp chung tay thành lập và bảo trợ cho các nhóm gọi là “tiger teams”. Nhiệm vụ của nhóm này là nghiên cứu các hệ thống mạng/hệ thống máy tính để tìm kiếm các lỗ hổng hay các rủi ro, và tìm cách khai thác chúng, trước khi các nhóm phreaker hoặc bất kì ai khác tìm ra. Từ đây, khai sinh ra thuật ngữ “Penetration Testing”, hay ngày nay chúng ta vẫn gọi ngắn gọn là “pen-testing” hoặc “pentest”.

Nhắc đến pentesting, sẽ thật thiếu sót khi không nhắc đến James P. Anderson, một nhà khoa học máy tính và là một chuyên gia bảo mật, người đã đưa ra một quy trình phổ quát và hoàn thiện giúp “tiger team” hoạt động chuyên nghiệp hơn và tăng độ hiệu quả của hoạt động pentesting, mà đến bây giờ mô hình đó vẫn được coi là nền tảng. Vì những đóng góp to lớn ấy, nhiều người coi ông là cha đẻ của pentesting.

Từ phreaking thuở sơ khai, giờ đây lĩnh vực pentesting nói riêng và bảo mật nói chung đã trở thành một phần quan trọng của tất cả các tổ chức, từ chính phủ đến doanh nghiệp, khi nhân loại đang sống trong một thời đại mới, thời đại của kinh tế số.

Từ đó, pentesting được áp dụng rộng rãi trong nhiều lĩnh vực, từ quân đội đến các tổ chức thương mại. Các kỹ thuật và công cụ pentesting ngày càng được phát triển, giúp nâng cao hiệu quả và tính chính xác của việc đánh giá an ninh hệ thống.

Tầm quan trọng và giá trị của Pentesting trong thời kỳ kinh tế số

Trong thời kỳ kinh tế số, khi dữ liệu trở thành tài sản quý giá và sự gia tăng của tội phạm mạng, pentesting càng trở nên quan trọng hơn bao giờ hết. Đặc biệt với các hệ thống/sản phẩm quan trọng chứa nhiều thông tin nhạy cảm, việc pentest thường sẽ được thực hiện liên tục từ lúc bắt đầu, cho tới khi hết vòng đời của sản phẩm.

Mô tả quy trình thực hiện pentest (Nguồn: Cobalt.io).

Ngày nay, pentesting đóng vai trò thiết yếu trong việc bảo vệ các doanh nghiệp khỏi các cuộc tấn công mạng:

Phát hiện và khắc phục các lỗ hổng bảo mật: Pentesting giúp xác định các điểm yếu trong hệ thống, ứng dụng và mạng lưới, từ đó cho phép tổ chức thực hiện các biện pháp khắc phục kịp thời để ngăn chặn sớm các cuộc tấn công mạng.
Nâng cao khả năng phòng thủ: Pentesting giúp tổ chức đánh giá mức độ an toàn của hệ thống và đưa ra các biện pháp phòng ngừa hiệu quả để giảm thiểu rủi ro bị tấn công, từ đó có một cái nhìn rõ hơn về bức tranh tổng thể về bảo mật, về những vấn đề phải đối mặt và cách để giải quyết chúng.
Tăng cường niềm tin của khách hàng: Việc thực hiện Pentesting và khắc phục các lỗ hổng bảo mật giúp tăng cường niềm tin của khách hàng vào khả năng bảo vệ dữ liệu của tổ chức, giúp sản phẩm dịch vụ ngày càng trở lên hoàn thiện và ổn định.
Tuân thủ các quy định: Nhiều quy định về bảo mật dữ liệu yêu cầu các tổ chức phải thực hiện Pentesting định kỳ để đảm bảo tuân thủ.
Nâng cao nhận thức về bảo mật: Pentesting giúp nâng cao nhận thức của nhân viên về tầm quan trọng của việc bảo mật và khuyến khích họ thực hiện các biện pháp bảo vệ an toàn cho hệ thống.

“Liều vaccine” bảo vệ dữ liệu cho doanh nghiệp thời đại số

Sau 60 năm, nhân loại đã có những bước nhảy vọt, các phreaker với hệ thống điện thoại cổ điển đã là một phần của lịch sử, tội phạm mạng giờ đây cũng đã tiến hóa và phát triển trở thành những thế lực nguy hiểm và là mối đe dọa thường trực với bất kì tổ chức, cá nhân nào. Nhưng theo thời gian, đội ngũ “white-hat hackers” (ở đây là pentesters) cũng càng ngày càng trở lên chuyên nghiệp và đạt đến trình độ rất cao. Họ vẫn đang âm thầm ngày đêm săn tìm các lỗ hổng, các rủi ro tiềm tàng trong hệ thống và đưa ra cảnh báo đến các doanh nghiệp/tổ chức để xử lý ngay lập tức trước khi tội phạm mạng tìm thấy và lợi dụng chúng.

Số liệu thống kê cuộc tấn công mạng tại Việt Nam (Nguồn: Bộ TTTT, báo cáo ngày 19/01/2024)

Năm 2023, Bộ Thông tin và Truyền thông cảnh báo và hướng dẫn xử lý 12.846 cuộc tấn công mạng, tăng 5,3% so với năm 2022. Các mục tiêu chịu nhiều cuộc tấn công nhất trong năm qua là các cơ quan chính phủ, hệ thống ngân hàng, tổ chức tài chính, hệ thống công nghiệp và các hệ thống trọng yếu khác. Trong bối cảnh đó, Dịch vụ Pentest trở thành nhu cầu cấp thiết và liên tục, giúp các tổ chức, doanh nghiệp kiểm tra phát hiện lỗ hổng bảo mật và kiểm thử xâm nhập hệ thống.

Quy mô Thị trường Kiểm thử xâm nhập được ước tính dự kiến đạt 12,76 tỷ USD vào năm 2029, tăng trưởng với tốc độ CAGR là 24,59% trong giai đoạn dự báo (2024-2029) (báo cáo Mordor Intelligence). Sự phát triển nóng của thị trường kéo theo sự xuất hiện của hàng loạt các cá nhân, tổ chức cung cấp dịch vụ an ninh mạng đã tạo ra thách thức cho các khách hàng khi cần tìm một nhà cung cấp ATTT có đủ năng lực chuyên môn và đáng tin cậy. Từ đó, việc trở thành thành viên chính thức của tổ chức CREST giúp FPT IS có thể chứng minh được uy tín, năng lực trong lĩnh vực kiểm thử ATTT; đồng thời mở ra nhiều cơ hội kết nối tới hơn 300 đối tác, khách hàng tiềm năng thuộc cộng đồng CREST.

Đến thời điểm hiện tại, số lượng cuộc tấn công mạng có xu hướng gia tăng nhanh theo từng năm, bất cứ cá nhân hay tổ chức nào đều có thể trở thành “miếng mồi ngon” của tội phạm mạng. Vậy nên, việc trang bị cho hệ thống của mình những liều “vaccine” là hết sức cần thiết để đảm bảo an toàn trong một môi trường mạng đầy năng động, nhiều cơ hội nhưng cũng không ít rủi ro.

Ở Việt Nam hiện tại cũng đã có rất nhiều các cá nhân đạt trình độ quốc tế, hoặc các tổ chức cung cấp dịch vụ pentest tiêu chuẩn và đã được các tổ chức quốc tế đánh giá và trao chứng chỉ, vậy nên chúng ta có thể hoàn toàn tự tin rằng Việt Nam có đủ năng lực cạnh tranh sòng phẳng với bạn bè quốc tế và đem lại dịch vụ với chất lượng cao và các giá trị tốt nhất cho khách hàng, đối tác.

Vừa qua, Dịch vụ kiểm thử xâm nhập (Pentest) của FPT IS đã vượt qua vòng đánh giá nghiêm ngặt của tổ chức CREST, đưa FPT IS trở thành một trong số ít các công ty hoạt động trong lĩnh vực ATTT tại Việt Nam đủ điều kiện là thành viên chính thức của CREST. FPT IS hiện cũng là đơn vị duy nhất tại Việt Nam sở hữu bộ đôi chứng nhận CREST cho dịch vụ Pentest và PCI.QSA cho dịch vụ tư vấn, đánh giá, cấp chứng nhận PCI.DSS.