Mô phỏng vi phạm và tấn công so với Kiểm thử xâm nhập tự động

18 tháng 12, 2022

Có rất nhiều sự nhầm lẫn trên thị trường xung quanh sự khác biệt giữa “Mô phỏng vi phạm và tấn công” và “Kiểm thử xâm nhập tự động”. Đây là những công nghệ khác nhau mang lại kết quả khác nhau. Chúng ta cùng làm rõ sự khác biệt này nhé.

MÔ PHỎNG VI PHẠM VÀ TẤN CÔNG


Mục đích chính của công nghệ mô phỏng vi phạm  và tấn công BAS là kiểm tra tính hiệu quả của các biện pháp kiểm soát bảo mật hoạt động bằng cách mô phỏng các vi phạm bảo mật trong mạng nội bộ của bạn. 


Để tận dụng hết khả năng của công nghệ BAS, bạn phải triển khai các tác nhân BAS trên tất cả các máy chủ nội bộ của mình và triển khai các máy ảo trong các vùng chính trong toàn bộ kiến ​​trúc bảo mật.


Tác nhân dựa trên máy chủ BAS thường được sử dụng để xác định các lỗ hổng trên máy chủ bằng cách thu thập các bản vá còn thiếu và để mô phỏng các tình huống vi phạm dựa trên máy chủ. Nhiều công nghệ BAS sử dụng khung MITRE ATT&CK làm cơ sở cho các mô phỏng vi phạm, có thể bao gồm mô phỏng lây nhiễm phần mềm độc hại để xác định xem các biện pháp kiểm soát bảo mật dựa trên máy chủ có phát hiện hoạt động và cảnh báo cho đội ngũ vận hành bảo mật hay không.


Các máy ảo BAS được sử dụng để mô phỏng các cuộc tấn công mạng nhằm kiểm tra tính hiệu quả của IDS/IPS dựa trên mạng hoặc tường lửa thế hệ tiếp theo và xem liệu chúng có cảnh báo cho nhóm vận hành bảo mật của bạn hay không.


BAS chắc chắn gia tăng giá trị cho các tổ chức; tuy nhiên, có một số hạn chế quan trọng đối với công nghệ BAS cần xem xét:

  • Vì các tác nhân BAS được triển khai trên các hệ thống nội bộ nên không có mô phỏng các cuộc tấn công dựa trên internet nhằm vào các hệ thống vành đai, điều này khá quan trọng khi xét đến việc những kẻ tấn công đang ở trên internet. Trên thực tế, chúng tôi cho rằng việc kiểm tra khả năng phòng thủ vành đai trước các cuộc tấn công internet là một trong những khía cạnh quan trọng nhất của pentest và BAS đơn giản là không thể cung cấp điều đó.
  • Do các máy ảo BAS thường được triển khai nội bộ nên các mô phỏng dựa trên mạng chỉ được kiểm tra nội bộ. Nếu bạn sáng tạo, có thể triển khai một máy ảo trên internet để kiểm tra khả năng phát hiện mối đe dọa trên internet của mình.
  • Tất cả các lần quét lỗ hổng bảo mật được xác thực hoặc dựa trên tác nhân đều báo cáo một số lượng lớn các lỗ hổng bảo mật, trong đó hầu hết chúng không có bất kỳ cách khai thác nào đang hoạt động và do đó không thực sự gây ra rủi ro cho doanh nghiệp.
  • Các công nghệ BAS không thực hiện các cuộc tấn công thực sự và khai thác lỗ hổng thực tế để xác minh rằng chúng là có thật, điều đó có nghĩa là khoảng 99% lỗ hổng sẽ không thể khai thác được.
  • Các công nghệ BAS cũng không ảnh hưởng đến các ứng dụng web, điều đó có nghĩa là các lĩnh vực quan trọng trong doanh nghiệp sẽ không được đánh giá.
  • Khoảng 80% tất cả các vi phạm bảo mật bắt nguồn từ mật khẩu bị rò rỉ từ các vi phạm bảo mật của bên thứ ba mà các công nghệ BAS không theo dõi hoặc kiểm tra.
  • Mô phỏng tấn công BAS thường không được công nhận là mối đe dọa và kém hiệu quả hơn mô phỏng các cuộc tấn công thực.
  • BAS không thể kích hoạt một cách an toàn các cuộc tấn công phá hoại như phần mềm độc hại và ransomware, điều này đặt ra câu hỏi về tính thực tế của các mô phỏng.


Điều này chứng tỏ rằng giải pháp BAS đã mang đến giá trị bằng cách kiểm tra tính hiệu quả của các biện pháp kiểm soát an ninh hoạt động của bạn; tuy nhiên, nó rõ ràng không phải là một Kiểm thử xâm nhập, vì vậy bây giờ chúng ta hãy tìm hiểu Kiểm thử xâm nhập tự động bao gồm những gì.


KIỂM THỬ XÂM NHẬP TỰ ĐỘNG


Mục đích chính của Kiểm thử xâm nhập tự động là thực hiện Kiểm thử xâm nhập liên tục vào tổ chức để xác định và xác minh các rủi ro thực sự đối với doanh nghiệp trên các hệ thống bên ngoài và bên trong, các ứng dụng và thậm chí cả chuỗi cung ứng (nhà cung cấp bên thứ ba).


Điều này đạt được thông qua đánh giá hộp đen mà không yêu cầu cài đặt bất kỳ tác nhân nào trên bất kỳ hệ thống nào, cho phép triển khai nhanh chóng và tiết kiệm chi phí.


CÁC LOẠI KIỂM THỬ XÂM NHẬP TỰ ĐỘNG


Các tính năng khác nhau tùy theo nhà cung cấp, trong đó nhiều tính năng chỉ tập trung vào cơ sở hạ tầng nội bộ, vì vậy chúng tôi sẽ sử dụng nhiều khả năng Kiểm thử xâm nhập tự động hơn được cung cấp trong Đám mây tự động hóa bảo mật Evolve:

  • Phát triển Kiểm thử xâm nhập bên ngoài tự động
  • Phát triển Kiểm thử xâm nhập nội bộ tự động
  • Phát triển Kiểm thử xâm nhập chuỗi cung ứng tự động
  • Phát triển Kiểm thử bảo mật ứng dụng DevOps tự động
  • Ứng dụng web và API



PHƯƠNG PHÁP KIỂM THỬ XÂM NHẬP TỰ ĐỘNG


Kiểm thử xâm nhập tự động đầy đủ của Evolve bao gồm năm giai đoạn:

  1. Khảo sát Internet tự động
  2. Lấy dấu vân tay và quét tự động
  3. Tấn công và khai thác tự động
  4. Tự động sau khai thác và chuyển động bên
  5. Báo cáo tự động


Thay vì thực hiện mô phỏng, Kiểm thử xâm nhập tự động thực hiện các cuộc tấn công theo ngữ cảnh dành riêng cho tổ chức mà những kẻ tấn công thực sự sẽ thực hiện để tiết lộ những rủi ro thực tế đối với doanh nghiệp. Các cuộc tấn công theo ngữ cảnh này bao gồm:

  • Trích xuất thông tin chi tiết của nhân viên từ các mạng truyền thông xã hội để dự đoán địa chỉ email của nhân viên và tìm mật khẩu bị rò rỉ của họ từ hàng nghìn vi phạm bảo mật của bên thứ ba đến vi phạm các dịch vụ quản trị bị lộ.
  • Xác định các lỗ hổng theo thời gian thực, khai thác theo ngữ cảnh an toàn thông minh và sau khai thác, bẻ khóa mật khẩu và các cuộc tấn công di chuyển ngang để chứng minh và ưu tiên các lỗ hổng có thể khai thác thực tế và tác động tương ứng.
  • Kiểm thử xâm nhập chuỗi cung ứng thụ động đối với các nhà cung cấp bên thứ ba bằng cách sử dụng các nguồn thông tin tình báo để tìm ra thông tin nhân viên, địa chỉ email, mật khẩu bị rò rỉ, tên miền và địa chỉ IP, phiên bản phần mềm, lỗ hổng, khai thác mới nhất và cấu hình khai thác được đề xuất.
  • Ứng dụng web và nhận dạng lỗ hổng API bằng cách sử dụng tự động hóa thông minh các yêu cầu theo ngữ cảnh dành riêng cho ứng dụng để đảm bảo rằng các luồng kinh doanh (business flows) được tuân thủ và dữ liệu ứng dụng thực được sử dụng để cung cấp phạm vi bảo mật ứng dụng rộng và sâu.


Để cung cấp cái nhìn sâu sắc về việc triển khai cần thiết so với BAS, Kiểm thử xâm nhập tự động cần rất ít thiết lập ban đầu, điều này khác nhau tùy thuộc vào bên ngoài và bên trong.


Gần như không cần thiết lập gì cho “Kiểm thử xâm nhập bên ngoài tự động” và “Kiểm thử xâm nhập chuỗi cung ứng tự động” nên để khởi động và chạy hệ thống theo đúng nghĩa đen trong vòng chưa đầy 5 phút.


“Kiểm thử xâm nhập nội bộ tự động”: chỉ cần một thiết bị ảo được định cấu hình sẵn duy nhất được triển khai thông qua “tải xuống và khởi động” đơn giản, hỗ trợ proxy và xác thực. Không cần thay đổi tường lửa, điều đó có nghĩa là Kiểm tra xâm nhập nội bộ tự động có thể được triển khai trong vòng vài phút.


“Kiểm tra bảo mật ứng dụng DevOps tự động” có thể được tích hợp với các quy trình DevOps chỉ trong 10 phút và sẽ tự động sắp xếp môi trường Kiểm tra bảo mật ứng dụng tự động khi code commit (đóng góp mã nguồn mới) mà không cần bất kỳ hành động nào khác từ bất kỳ thành viên nào trong nhóm.


Vì Kiểm thử xâm nhập tự động gửi các cuộc tấn công qua mạng, cả bên trong và bên ngoài, IDS/IPS và hệ thống phát hiện tường lửa thế hệ tiếp theo được kích hoạt bằng cách sử dụng một loạt các cuộc tấn công cho phép kiểm tra các biện pháp kiểm soát bảo mật hoạt động.


Vì khai thác thông minh an toàn được sử dụng để chủ động sắp xếp các hệ thống, thực hiện báo cáo đặc quyền và thực hiện hậu khai thác, nên các biện pháp kiểm soát bảo mật dựa trên máy chủ được kiểm tra về tính hiệu quả và thường làm nổi bật các lỗ hổng không mong muốn trong hoạt động bảo mật. Một ví dụ quan trọng là nơi mã độc được phát hiện, nhưng nhóm vận hành bảo mật không thể xác định được nơi khai thác bắt nguồn do các kết nối đi qua proxy hoặc cân bằng tải (load balancers) hoặc đơn giản là thông tin kết nối mạng không tồn tại.


KẾT LUẬN


Nếu bạn chỉ đơn thuần xem xét việc kiểm tra tính hiệu quả của các biện pháp kiểm soát bảo mật hoạt động nội bộ của mình, chẳng hạn như hiệu quả của SOC để đối phó với vi phạm bảo mật, thì BAS có thể là công nghệ mà bạn đang theo đuổi.


Tuy nhiên, nếu doanh nghiệp cần xác định, xác minh và quản lý rủi ro thực sự đối với doanh nghiệp, trên cơ sở hạ tầng và ứng dụng bên ngoài và bên trong, cũng như chuỗi cung ứng , để chủ động ngăn chặn vi phạm bảo mật, đồng thời đạt được lợi ích bổ sung từ việc hợp lý hóa nhóm bảo mật thông qua các hoạt động khắc phục ưu tiên và cũng như kiểm tra các hoạt động bảo mật, thì bạn cần Kiểm thử xâm nhập tự động.



Nguồn: threatintelligence.com

Bạn cũng có thể quan tâm

TP-Link sửa lỗi RCE nghiêm trọng trong bộ định tuyến chơi game C5400X phổ biến

4 tháng 6, 2024
Bộ định tuyến chơi game TP-Link Archer C5400X dễ mắc phải các lỗi bảo mật có thể cho phép kẻ tấn công từ xa, không được xác thực thực thi các lệnh trên thiết bị.

Tin tặc nhắm mục tiêu VPN Check Point để xâm nhập mạng doanh nghiệp

3 tháng 6, 2024
Ngày 27 tháng 5 Check Point đã cảnh báo rằng các tác nhân đe dọa đang nhắm mục tiêu vào các thiết bị VPN truy cập từ xa của Check Point trong một chiến dịch đang diễn ra nhằm xâm phạm mạng doanh nghiệp.

Sav-Rx tiết lộ vụ tấn công dữ liệu ảnh hưởng đến 2,8 triệu người Mỹ

31 tháng 5, 2024
Công ty quản lý đơn thuốc Sav-Rx cảnh báo hơn 2,8 triệu cá nhân ở Hoa Kỳ việc họ đã bị vi phạm dữ liệu và dữ liệu cá nhân của họ đã bị đánh cắp trong một cuộc tấn công mạng năm 2023.
Thêm bài viết
Share by: