ĐÀO TẠO AN TOÀN THÔNG TIN THEO CHUẨN QUỐC TẾ TRỰC TUYẾN

Tài liệu hướng dẫn về Truyền thông trong Quá trình Kiểm thử Xâm nhập

Mục tiêu:

• Giải thích tầm quan trọng của truyền thông trong quá trình kiểm thử xâm nhập.

Chủ đề 17A: Xác định Đường truyền Thông tin

Trong bất kỳ dự án nào, giao tiếp là chìa khóa dẫn đến thành công. Điều này đặc biệt đúng trong kiểm tra xâm nhập (penetration testing hay pentest), nơi sự hợp tác chặt chẽ giữa Đội ngũ Pentest của Security365 và tổ chức khách hàng là điều cần thiết. Thiết lập các kênh liên lạc hiệu quả từ đầu giúp đảm bảo rằng tất cả các bên liên quan đều được thông báo, các sự cố được giải quyết kịp thời và phát hiện được chia sẻ một cách thích hợp. Nó cũng giúp xây dựng lòng tin, điều rất quan trọng khi xử lý các vấn đề nhạy cảm và ảnh hưởng cao như trong pentest.

Giao tiếp tốt với tất cả các bên liên quan trong suốt quá trình PenTest là điều cần thiết cho sự thành công của PenTest.
Có một lộ trình leo thang (escalation path) cho các liên lạc bảo vệ nhóm khỏi việc phải đưa ra các quyết định rủi ro hoặc có khả năng gây thiệt hại.
Thống nhất về ngưỡng và giao thức bao gồm:

• Khi nào và bằng cách nào khách hàng sẽ thông báo cho nhóm PenTest rằng một bài kiểm tra đang gây cản trở hoạt động/hiệu suất hệ thống ở mức không thể chấp nhận được.
• Khi nào và bằng cách nào nhóm PenTest sẽ liên quan bộ phận CNTT của khách hàng nếu xảy ra sự cố hoặc hệ thống trở nên mất ổn định hoặc không phản hồi.

Ví dụ: Trước khi bắt đầu kiểm tra xâm nhập cho comptia.edu.vn, Đội ngũ Pentest của Security365 làm việc với nhóm CNTT của tổ chức để thiết lập các ngưỡng rõ ràng. Họ thống nhất rằng nếu băng thông mạng vượt quá 75% trong hơn 10 phút, nhóm CNTT sẽ thông báo cho trưởng nhóm pentest và kiểm tra sẽ tạm dừng cho đến khi xác định được nguyên nhân. Họ cũng thỏa thuận một quy trình leo thang để xử lý bất kỳ sự cố nào, bao gồm các kênh liên lạc chuyên dụng.

Trong một bài PenTest, điều quan trọng là phải đảm bảo rằng đúng người được thông báo và thông tin nào nên được chia sẻ.

• Người quản lý CNTT và CIO/CISO của khách hàng nên biết về cuộc kiểm tra.
• Các trưởng phòng ban chính nên biết, trong trường hợp các sự cố không lường trước ảnh hưởng đến phòng ban của họ.
• Tuy nhiên, tổ chức có thể không muốn tất cả nhân viên biết khi nào một bài PenTest đang diễn ra
• Đặc biệt nếu họ muốn kiểm tra hiệu quả của việc sử dụng kỹ thuật xã hội để tiến hành một cuộc tấn công

Ví dụ: Đội ngũ Pentest của Security365 lập kế hoạch một cuộc thử nghiệm thâm nhập bao gồm một cuộc tấn công lừa đảo nhắm vào nhân viên của comptia.edu.vn. Để bài kiểm tra trở nên thực tế nhất có thể, họ quyết định chỉ thông báo cho một nhóm nhỏ những người ra quyết định chính, bao gồm CISO và các trưởng phòng nhân sự và pháp lý. Điều này đảm bảo rằng phần lớn nhân viên sẽ phản ứng với email lừa đảo như thể chúng là mối đe dọa thực sự.

Đội trưởng được chỉ định của nhóm PenTesting phải có sự giao tiếp chặt chẽ với người đối tác của khách hàng (quản lý CNTT).
Để giảm bớt sự nhầm lẫn, tất cả các liên lạc giữa nhóm PenTesting và khách hàng phải đi qua các điểm liên hệ này.
Cả hai vai trò dẫn đầu đều phải trực tiếp tham gia.
Điều này cho phép phản ứng ngay lập tức trong trường hợp xảy ra sự cố, phát hiện bất ngờ và các yêu cầu bổ sung của khách hàng.

Ví dụ: Trong suốt quá trình kiểm tra xâm nhập tại comptia.edu.vn, trưởng nhóm pentest giữ liên lạc hàng ngày với quản lý CNTT của tổ chức. Họ tổ chức các cuộc họp cập nhật trạng thái hàng ngày, trong đó trưởng nhóm chia sẻ tiến trình và bất kỳ phát hiện nào, trong khi quản lý CNTT nêu bất kỳ thay đổi nào về phạm vi hoặc mối quan tâm nào. Khi đội phát hiện một lỗ hổng nghiêm trọng trên máy chủ cơ sở dữ liệu sản xuất, họ thông báo ngay cho quản lý CNTT, người sau đó triệu tập một cuộc họp khẩn cấp để xác định các bước tiếp theo.

Người liên hệ chính – chịu trách nhiệm xử lý dự án từ phía khách hàng.

• Đây thường có thể là CISO hoặc bên khác chịu trách nhiệm về các quyết định chính xung quanh bài kiểm tra xâm nhập.
  Người liên hệ kỹ thuật – chịu trách nhiệm xử lý các yếu tố công nghệ
• Họ có kiến thức chuyên sâu hơn về các khía cạnh kỹ thuật của hệ thống, tác động của các hoạt động trong mạng của khách hàng và các ràng buộc của bài PenTest.
  Liên hệ khẩn cấp – có sẵn trong trường hợp các vấn đề khẩn cấp.
• Theo lý tưởng, liên hệ khẩn cấp phải có sẵn 24/7 hoặc ít nhất là trong giờ hoạt động nếu được thực hiện trong giờ làm việc.

Ví dụ: Trước khi bắt đầu dự án, Đội ngũ Pentest của Security365 và comptia.edu.vn thiết lập một ma trận truyền thông với các vai trò và trách nhiệm rõ ràng. CISO được chỉ định là người liên hệ chính, đóng vai trò là người ra quyết định cuối cùng về phạm vi và vấn đề nhạy cảm. Trưởng nhóm cơ sở hạ tầng đóng vai trò là người liên hệ kỹ thuật, cung cấp thông tin chi tiết về kiến trúc mạng và hỗ trợ trong việc triển khai các công cụ kiểm tra. Họ cũng chỉ định một liên hệ khẩn cấp sẵn sàng 24/7 để xử lý bất kỳ sự cố nào.

Hoạt động ôn tập:

1. Giải thích tại sao việc giao tiếp tốt với tất cả các bên liên quan trong quá trình PenTest lại rất quan trọng.
2. Mô tả lý do tại sao nhóm nên thực hiện các bước để đảm bảo rằng đúng người được thông báo và thông tin nào nên được chia sẻ.
3. Thảo luận tầm quan trọng của việc duy trì giao tiếp với các đối tác khách hàng của nhóm
4. Liệt kê một số người liên hệ chính tham gia vào quá trình PenTest.

Chủ đề 17B: Các Sự kiện Kích hoạt việc Giao tiếp (Communication Triggers)

Trong khi thiết lập các kênh giao tiếp trong kiểm thử xâm nhập rất quan trọng, điều cũng cần thiết là phải xác định những tình huống kích hoạt việc giao tiếp. Không phải mọi tình huống đều đáng để làm gián đoạn dự án, tuy nhiên có một số sự kiện đòi hỏi cảnh báo và phối hợp ngay lập tức. Những sự kiện này có thể bao gồm mọi thứ, từ phát hiện các lỗ hổng nghiêm trọng đến gặp phải hệ thống không phản hồi. Bằng cách xác định rõ các ngưỡng kích hoạt và nghĩa vụ báo cáo từ trước, Đội ngũ Pentest của Security365 và tổ chức khách hàng có thể đảm bảo giao tiếp trơn tru và giảm thiểu sự gián đoạn.

Tất cả các khía cạnh của giao tiếp cần được đánh giá và xác định những gì sẽ kích hoạt giao tiếp chính thức.
Dưới đây là một vài ví dụ về lý do để bắt đầu giao tiếp:

• Báo cáo trạng thái là báo cáo tiến độ thường xuyên với khách hàng
• Trường hợp khẩn cấp phải được xử lý riêng biệt, mặc dù các vấn đề đang diễn ra như chậm trễ hoặc các vấn đề khác nên được đưa ra tại các cuộc họp tình trạng.
• Các phát hiện quan trọng là các vấn đề được xác định ngụ ý rủi ro rất cao đối với tổ chức của khách hàng.

Ví dụ: Trong một cuộc kiểm tra cho comptia.edu.vn, Đội ngũ Pentest của Security365 đồng ý cung cấp báo cáo trạng thái email hàng ngày tóm tắt tiến trình và bất kỳ vấn đề nào. Họ cũng thiết lập một quy trình để báo cáo các phát hiện quan trọng, chẳng hạn như bất kỳ lỗ hổng nào có thể cho phép truy cập quản trị từ xa vào các hệ thống sản xuất. Khi gặp bất kỳ hệ thống nào gặp sự cố trong quá trình kiểm tra, họ liên hệ ngay với người liên hệ khẩn cấp được chỉ định.

Bản chất của một bài PenTest là nó là một quá trình linh hoạt
Nhóm phải có khả năng ưu tiên các phát hiện khi chúng xảy ra.

• Thông tin được phát hiện trong giai đoạn trinh sát định hướng các quyết định về khai thác nào cần thử và cuối cùng là giải pháp nào sẽ đề xuất.
  Nhận thức về sự cần thiết của kế hoạch dự phòng cho chính cuộc kiểm thử xâm nhập cho phép bạn kết hợp nó vào kế hoạch của mình
• Có thể yêu cầu nhóm ưu tiên lại các mục tiêu của một hoạt động hoặc các phần lớn của bài PenTest.

Ví dụ: Trong quá trình quét mạng, Đội ngũ Pentest của Security365 phát hiện một hệ thống lỗi thời chạy phần mềm dễ bị tổn thương. Họ quyết định ưu tiên đánh giá hệ thống này, vì nó đại diện cho một rủi ro đáng kể. Tuy nhiên, trong quá trình khai thác, họ vô tình làm cho hệ thống không phản hồi. Họ nhanh chóng thông báo cho người liên hệ kỹ thuật và làm việc với họ để khôi phục hệ thống trước khi tiếp tục kiểm tra các mục tiêu khác.

Trong quá trình PenTest, một tình huống có thể cần được giải quyết nếu nỗ lực PenTest bị phát hiện.
Trong những trường hợp này, đội cần truyền đạt những tình huống này cho các liên hệ thích hợp từ phía khách hàng.
Cung cấp nhận thức tình huống cho nhân sự khách hàng chính có thể giúp giải quyết xung đột về sự xâm nhập.

• Điều này sau đó sẽ cho phép PenTest tiếp tục để các vấn đề bổ sung có thể được tìm thấy, khai thác và phân tích.
  

Ví dụ: Trong quá trình thử nghiệm thâm nhập một máy chủ web tại comptia.edu.vn, một trong những quét port aggressively của Đội ngũ Pentest của Security365 kích hoạt một cảnh báo trong hệ thống giám sát bảo mật. Quản trị viên hệ thống, không biết về cuộc kiểm tra, bắt đầu điều tra và chuẩn bị ngắt kết nối máy chủ. Trưởng nhóm pentest nhanh chóng liên hệ với người liên hệ chính và giải thích tình hình, giúp tránh sự gián đoạn không cần thiết.

Một công ty có nghĩa vụ tiết lộ đầy đủ các lỗ hổng và vi phạm cho bất kỳ ai có thể bị tổn hại do vi phạm. Trong quá trình PenTest, nếu nhóm phát hiện ra lỗ hổng và vi phạm, bất kỳ phát hiện nào cũng phải được giữ bí mật tuyệt đối.

• Ngoại lệ của điều này là nếu nhóm phát hiện ra hành vi phạm tội
• Trong trường hợp này, bạn có thể có nghĩa vụ thông báo cho cơ quan thực thi pháp luật. Bạn nên tham khảo ý kiến của luật sư trong nhóm của bạn để biết thêm chi tiết.

Ví dụ: Trong khi đánh giá máy trạm của nhân viên tại comptia.edu.vn, Đội ngũ Pentest của Security365 phát hiện bằng chứng về hoạt động trộm cắp dữ liệu của một nhân viên. Các tệp nhạy cảm đang được sao chép vào một ổ USB bên ngoài định kỳ. Thay vì thông báo cho khách hàng ngay lập tức, họ ghi lại phát hiện của mình một cách an toàn và liên hệ với cố vấn pháp lý của công ty. Sau khi xem xét, luật sư khuyên họ báo cáo hành vi này cho người liên hệ chính của khách hàng, người sau đó có thể quyết định có thông báo cho các cơ quan chức năng hay không.

Các quét tự động có khả năng tạo ra một số lượng lớn kết quả dương tính giả (false positives). Một số lý do có thể kích hoạt kết quả dương tính giả:

• Trình quét đang sử dụng cơ sở dữ liệu lỗ hổng với các định nghĩa lỗi thời.
• Trình quét chấm điểm sai một lỗ hổng nghiêm trọng hơn hoặc dễ khai thác hơn so với thực tế.
• Các tùy chỉnh trong môi trường mục tiêu vô tình kích hoạt trình quét để xác định một lỗ hổng.
• Trình quét không được định cấu hình đúng cách

Ví dụ: Khi chạy một quét lỗ hổng tự động trên mạng của comptia.edu.vn, công cụ của Đội ngũ Pentest của Security365 báo cáo hàng trăm phát hiện, nhiều phát hiện trong số đó được đánh dấu ở mức độ nghiêm trọng cao. Tuy nhiên, khi điều tra sâu hơn, họ phát hiện ra rằng nhiều cảnh báo là kết quả của các cấu hình tùy chỉnh trên các hệ thống khách hàng. Định nghĩa lỗ hổng lỗi thời trong trình quét cũng đang làm sai lệch kết quả. Đội lọc danh sách và tập trung nỗ lực của họ vào một tập hợp con các lỗ hổng được xác nhận.

Là một PenTester, bạn phải có khả năng xác định khi nào kết quả cho thấy một manh mối sai về lỗ hổng. Có một số chiến thuật bạn có thể sử dụng để xác định kết quả dương tính giả (false positives); một trong những chiến thuật hiệu quả nhất là xác thực kết quả. Có thể có những khoảng trống trong kiến thức của bạn, đặc biệt nếu bạn đang tiến hành kiểm tra trong môi trường không xác định.

• Trong trường hợp này, bạn sẽ cần cố gắng hết sức với những gì bạn có và thừa nhận rằng bạn sẽ không nhất thiết có thể tránh hoàn toàn các kết quả dương tính giả.
• Bạn có thể chọn tiến hành trinh sát thêm về môi trường mục tiêu nếu bạn quyết tâm tránh càng nhiều kết quả dương tính giả càng tốt.

Ví dụ: Trong một bài kiểm tra hộp đen (black-box test), Đội ngũ Pentest của Security365 có rất ít thông tin về môi trường của comptia.edu.vn. Khi quét một máy chủ web, công cụ của họ báo cáo một lỗ hổng nghiêm trọng cho phép thực thi mã từ xa. Tuy nhiên, khi họ cố gắng khai thác nó, nó không hoạt động như mong đợi. Thay vì bỏ qua nó, họ thực hiện một số nghiên cứu bổ sung và phát hiện ra rằng máy chủ đang chạy một bản vá tùy chỉnh ngăn chặn cuộc tấn công. Họ ghi lại kết quả dương tính giả và tiếp tục với các mục tiêu khác.

Hoạt động ôn tập:

1. Liệt kê một số lý do để bắt đầu giao tiếp trong quá trình PenTest
2. Thảo luận về lý do tại sao nhóm phải có khả năng ưu tiên các phát hiện khi chúng xảy ra.
3. Mô tả lý do tại sao việc cung cấp nhận thức tình huống lại rất quan trọng
4. Xem lại phương pháp tốt nhất nếu nhóm quan sát thấy bằng chứng về hoạt động tội phạm
5. Liệt kê các lý do có thể gây ra kết quả dương tính giả
6. Giải thích lý do tại sao bạn có thể cần xác định khi nào kết quả cho thấy một manh mối sai về lỗ hổng.

Chủ đề 17C: Sử dụng các Công cụ Tích hợp để Báo cáo Báo cáo là một khía cạnh quan trọng của kiểm thử xâm nhập, truyền đạt các phát hiện kỹ thuật phức tạp theo cách dễ hiểu và hành động. Tuy nhiên, tạo báo cáo có thể là một nhiệm vụ tẻ nhạt, đặc biệt đối với các dự án quy mô lớn với nhiều mục tiêu và kết quả quét lỗ hổng. May mắn thay, có một số công cụ và khuôn khổ được thiết kế đặc biệt để hợp lý hóa quy trình này, cho phép Đội ngũ Pentest của Security365 tạo các báo cáo nhất quán, đầy đủ thông tin mà không mất quá nhiều công sức. Bằng cách tận dụng chức năng báo cáo tích hợp này, đội có thể dành nhiều thời gian hơn cho phân tích và ít thời gian hơn cho tài liệu.

Một cách để chia sẻ phát hiện của bạn là sử dụng một tiêu chuẩn đã được thiết lập, chẳng hạn như Tiêu chuẩn Thực thi Kiểm tra Xâm nhập (PTES).

• Cung cấp hướng dẫn về cách trình bày kết quả theo cách dễ đọc và có ý nghĩa. Dưới đây là một ví dụ về cách đánh giá và phân loại các lỗ hổng:
• Mức Phân loại Lỗ hổng
• Lỗ hổng Kỹ thuật
• Lỗ hổng Logic
• Tóm tắt Kết quả

Ví dụ: Khi báo cáo kết quả của một bài kiểm tra cho comptia.edu.vn, Đội ngũ Pentest của Security365 tuân theo định dạng mà PTES khuyến nghị. Họ chia các phát hiện thành “Lỗ hổng Kỹ thuật”, bao gồm các vấn đề như cấu hình sai máy chủ và bản vá lỗi thời, và “Lỗ hổng Logic”, chẳng hạn như kiểm soát truy cập kém trong các ứng dụng web. Họ cũng cung cấp tóm tắt cấp điều hành về các kết quả chính và các khuyến nghị hành động. Điều này giúp đảm bảo tính nhất quán và rõ ràng trong báo cáo cho mọi khách hàng.

Framework Dradis có thể giúp giảm đáng kể sự lặp lại

• Điều này sẽ giúp cung cấp tính nhất quán của báo cáo khi các phần khác nhau đã được các thành viên làm việc từ đầu.
• Framework này tập trung vào việc chia sẻ chi tiết về giai đoạn thu thập thông tin, các lỗi khai thác hữu ích và các phát hiện báo cáo.
• Điều này đảm bảo rằng nhóm của bạn không bỏ sót các khu vực quan trọng để quét hoặc hai thành viên trong nhóm đang làm việc trên cùng một lỗi khai thác cùng một lúc.

Ví dụ: Đội ngũ Pentest của Security365 sử dụng Dradis để cộng tác trong suốt cuộc kiểm tra tại Comptia.edu.vn. Mỗi thành viên trong nhóm ghi lại ghi chú, screenshot và kết quả quét trong framework khi họ làm việc. Điều này cho phép đồng nghiệp của họ xem nhanh các khu vực của mạng đã được bao phủ, các phát hiện thú vị và bất kỳ lỗi khai thác đã được xác nhận nào, tránh công việc trùng lặp. Khi đến lúc tạo báo cáo cuối cùng, toàn bộ thông tin đã có sẵn trong Dradis, giúp quá trình diễn ra nhanh hơn nhiều.

Nessus là một trình quét lỗ hổng đã được thiết lập từ lâu với một mô-đun chuyên dụng để tạo báo cáo

• Mô-đun này có thể được mở rộng với việc sử dụng các mẫu xác định cấu trúc của báo cáo.
• Mục tiêu là cung cấp tính nhất quán, ngay cả trên các khách hàng khác nhau
• Có thể giúp xác định các lỗ hổng và vấn đề phổ biến được tìm thấy trên các cơ sở hạ tầng khác nhau.

Ví dụ: Sau khi hoàn thành quá trình quét lỗ hổng cho comptia.edu.vn, Đội ngũ Pentest của Security365 xuất kết quả từ Nessus vào một mẫu báo cáo tùy chỉnh mà họ đã phát triển. Mẫu này tự động tổ chức các phát hiện thành các danh mục dựa trên mức độ nghiêm trọng và loại hệ thống bị ảnh hưởng, đồng thời cung cấp ngôn ngữ chuẩn cho các phần tóm tắt và giới thiệu. Điều này cho phép nhóm tạo báo cáo trông chuyên nghiệp và đầy đủ thông tin với chỉ một vài cú nhấp chuột.

Hoạt động ôn tập:

1. Thảo luận về một số phương pháp hay nhất về cách trình bày tốt nhất các phát hiện của PenTest
2. Thảo luận về lý do tại sao nhóm có thể chọn sử dụng Dradis để cung cấp chi tiết về PenTest
3. Giải thích lợi ích của việc tạo báo cáo với Nessus

Tổng kết bài học:

Trong bài học này, chúng ta đã khám phá một khía cạnh quan trọng nhưng thường bị bỏ qua của kiểm tra xâm nhập: giao tiếp. Giao tiếp hiệu quả là chìa khóa để đảm bảo thành công của cuộc kiểm tra, vì nó thiết lập sự tin tưởng, tránh hiểu lầm và rất nhiều điều khác mà các bạn chỉ có thể nắm bắt được qua sự trãi nghiệm.

Trình bày bởi : Vinh Nguyen Trần Tường
Tài liệu hỗ trợ học tập và ôn thi Chứng Chỉ Quốc Tế CompTIA Pentest +
Chú ý : Các ví dụ chỉ là giả định cho dễ hiểu, không phải là tình huống thực tế.