Bởi vì tốc độ phát triển nhanh chóng trong lĩnh vực thông tin và công nghệ, câu chuyện thành công của thử nghiệm thâm nhập là tương đối ngắn.
Khi cần bảo vệ nhiều hơn cho các hệ thống, thường xuyên hơn bạn cần thực hiện kiểm thử phần mềm thâm nhập để giảm khả năng tấn công thành công đến mức được công ty đánh giá cao.
Giới hạn thời gian - Như tất cả chúng ta đều biết, kiểm thử phần mềm thâm nhập không phải là bài tập ràng buộc mọi lúc; tuy nhiên, các chuyên gia kiểm thử thâm nhập đã phân bổ một lượng thời gian cố định cho mỗi thử nghiệm.
Mặt khác, những kẻ tấn công không bị hạn chế về thời gian, họ lên kế hoạch cho nó trong một tuần, tháng hoặc thậm chí nhiều năm.
Giới hạn phạm vi - Nhiều tổ chức không kiểm thử mọi thứ, vì những hạn chế của riêng họ, bao gồm các hạn chế về tài nguyên, hạn chế bảo mật, hạn chế về ngân sách, v.v. dễ bị tổn thương hơn nhiều và có thể là một ngách hoàn hảo cho kẻ tấn công.
Giới hạn về quyền truy cập - Người kiểm thử thường xuyên hơn đã hạn chế quyền truy cập vào môi trường đích.
Ví dụ: nếu một công ty đã thực hiện thử nghiệm thâm nhập đối với các hệ thống DMZ của mình từ tất cả các mạng internet của mình, nhưng điều gì sẽ xảy ra nếu những kẻ tấn công tấn công qua cổng internet thông thường.
Giới hạn của Phương pháp - Có nhiều khả năng hệ thống mục tiêu có thể gặp sự cố trong quá trình kiểm thử thâm nhập, do đó, một số phương pháp tấn công cụ thể có thể sẽ bị tắt khỏi bàn đối với người kiểm thử phần mềm thâm nhập chuyên nghiệp.
Ví dụ: tạo ra một lũ từ chối dịch vụ để chuyển hướng một quản trị viên hệ thống hoặc mạng khỏi một phương thức tấn công khác, thường là một chiến thuật lý tưởng cho một kẻ thực sự xấu, nhưng nó có khả năng nằm ngoài các quy tắc tham gia đối với hầu hết những người thử nghiệm thâm nhập chuyên nghiệp .
Giới hạn bộ kỹ năng của Người kiểm thử thâm nhập - Thông thường, người kiểm thử thâm nhập chuyên nghiệp bị hạn chế vì họ có kỹ năng hạn chế bất kể chuyên môn và kinh nghiệm trong quá khứ của họ. Hầu hết trong số họ tập trung vào một công nghệ cụ thể và có kiến thức hiếm về các lĩnh vực khác.
Giới hạn của khai thác đã biết - Nhiều người thử nghiệm chỉ biết những khai thác đó là công khai. Trên thực tế, sức mạnh tưởng tượng của họ không được phát triển như những kẻ tấn công. Những kẻ tấn công thường nghĩ nhiều hơn suy nghĩ của người kiểm thử phần mềm và phát hiện ra lỗ hổng để tấn công.
Giới hạn Thử nghiệm - Hầu hết những người thử nghiệm bị ràng buộc về thời gian và làm theo các hướng dẫn đã được cung cấp cho họ bởi tổ chức hoặc người cao niên của họ.
Họ không thử một cái gì đó mới. Họ không nghĩ xa hơn những chỉ dẫn đã cho. Mặt khác, những kẻ tấn công có thể tự do suy nghĩ, thử nghiệm và tạo ra một số con đường mới để tấn công.
Hơn nữa, kiểm thử thâm nhập không thể thay thế các kiểm thử bảo mật CNTT thông thường, cũng không thể thay thế chính sách bảo mật chung, mà thay vào đó, kiểm thử thâm nhập bổ sung cho các quy trình xem xét đã thiết lập và phát hiện ra các mối đe dọa mới.
Khi cần bảo vệ nhiều hơn cho các hệ thống, thường xuyên hơn bạn cần thực hiện kiểm thử phần mềm thâm nhập để giảm khả năng tấn công thành công đến mức được công ty đánh giá cao.
 |
| Học kiểm thử phần mềm chuyên nghiệp |
Sau đây là những hạn chế chính của Kiểm thử thâm nhập
Giới hạn thời gian - Như tất cả chúng ta đều biết, kiểm thử phần mềm thâm nhập không phải là bài tập ràng buộc mọi lúc; tuy nhiên, các chuyên gia kiểm thử thâm nhập đã phân bổ một lượng thời gian cố định cho mỗi thử nghiệm.
Mặt khác, những kẻ tấn công không bị hạn chế về thời gian, họ lên kế hoạch cho nó trong một tuần, tháng hoặc thậm chí nhiều năm.
Giới hạn phạm vi - Nhiều tổ chức không kiểm thử mọi thứ, vì những hạn chế của riêng họ, bao gồm các hạn chế về tài nguyên, hạn chế bảo mật, hạn chế về ngân sách, v.v. dễ bị tổn thương hơn nhiều và có thể là một ngách hoàn hảo cho kẻ tấn công.
Giới hạn về quyền truy cập - Người kiểm thử thường xuyên hơn đã hạn chế quyền truy cập vào môi trường đích.
Ví dụ: nếu một công ty đã thực hiện thử nghiệm thâm nhập đối với các hệ thống DMZ của mình từ tất cả các mạng internet của mình, nhưng điều gì sẽ xảy ra nếu những kẻ tấn công tấn công qua cổng internet thông thường.
Giới hạn của Phương pháp - Có nhiều khả năng hệ thống mục tiêu có thể gặp sự cố trong quá trình kiểm thử thâm nhập, do đó, một số phương pháp tấn công cụ thể có thể sẽ bị tắt khỏi bàn đối với người kiểm thử phần mềm thâm nhập chuyên nghiệp.
Ví dụ: tạo ra một lũ từ chối dịch vụ để chuyển hướng một quản trị viên hệ thống hoặc mạng khỏi một phương thức tấn công khác, thường là một chiến thuật lý tưởng cho một kẻ thực sự xấu, nhưng nó có khả năng nằm ngoài các quy tắc tham gia đối với hầu hết những người thử nghiệm thâm nhập chuyên nghiệp .
Giới hạn bộ kỹ năng của Người kiểm thử thâm nhập - Thông thường, người kiểm thử thâm nhập chuyên nghiệp bị hạn chế vì họ có kỹ năng hạn chế bất kể chuyên môn và kinh nghiệm trong quá khứ của họ. Hầu hết trong số họ tập trung vào một công nghệ cụ thể và có kiến thức hiếm về các lĩnh vực khác.
Giới hạn của khai thác đã biết - Nhiều người thử nghiệm chỉ biết những khai thác đó là công khai. Trên thực tế, sức mạnh tưởng tượng của họ không được phát triển như những kẻ tấn công. Những kẻ tấn công thường nghĩ nhiều hơn suy nghĩ của người kiểm thử phần mềm và phát hiện ra lỗ hổng để tấn công.
Giới hạn Thử nghiệm - Hầu hết những người thử nghiệm bị ràng buộc về thời gian và làm theo các hướng dẫn đã được cung cấp cho họ bởi tổ chức hoặc người cao niên của họ.
Họ không thử một cái gì đó mới. Họ không nghĩ xa hơn những chỉ dẫn đã cho. Mặt khác, những kẻ tấn công có thể tự do suy nghĩ, thử nghiệm và tạo ra một số con đường mới để tấn công.
Hơn nữa, kiểm thử thâm nhập không thể thay thế các kiểm thử bảo mật CNTT thông thường, cũng không thể thay thế chính sách bảo mật chung, mà thay vào đó, kiểm thử thâm nhập bổ sung cho các quy trình xem xét đã thiết lập và phát hiện ra các mối đe dọa mới.
Không có nhận xét nào:
Đăng nhận xét