Trong vũ trụ từ điển về các hình thức đánh giá bảo mật thì Penetration Testing (Kiểm thử xâm nhập) và Vulnerability Assessment (Đánh giá lỗ hổng bảo mật) được coi là 2 kỹ thuật khá quen thuộc và điển hình hay được sử dụng nhiều nhất. Tuy về mặt chức năng, cách thức và kỹ thuật thực hiện có thể khác biệt nhưng về kết quả cuối cùng thì cả 2 hình thức này đều nhằm đến việc đánh gía được sức mạnh bảo mật của hệ thống.
Để làm rõ hơn cho doanh nghiệp trong việc lựa chọn hình thức đánh giá bảo mật nào phù hợp hơn cho mình, chúng tôi sẽ liệt kê một số điểm khác biệt cơ bản như bên dưới.
Thế nào là Vulnerability Assessment (Đánh giá lỗ hổng bảo mật) – Viết tắt là VA?
Đúng như tên gọi của nó, VA là hình thức đánh giá bảo mật mà thông qua hình thức này, doanh nghiệp có thể tìm ra được nhiều nhất các lỗ hổng có thể có. Bằng VA, tổ chức sẽ ứng phó được các cuộc tấn công mạng vào hệ thống nhờ vào việc nhận diện, phân loại và giải quyết các rủi ro bảo mật cùng hướng dẫn để giảm thiểu các rủi ro một cách tốt nhất.
Khuyến cáo: Đơn vị thực hiện VA có thể chưa có nhân sự chuyên môn hoặc hệ thống quản trị chưa được trang bị nhiều công cụ bảo mật, nhưng có thể đã xác định được mục tiêu rà soát các lỗ hổng trong hệ thống để có khuyến cáo phù hợp.
Hình thức VA cơ bản mà các đơn vị này thực hiện thường tập trung vào việc đánh giá bảo mật trên website, ứng dụng, … cho đến hạ tầng công nghệ thông tin của doanh nghiệp.
Tại sao cần đánh giá lỗ hổng bảo mật – Vulnerability Assessment?
Mọi chuyên gia an toàn thông tin đều khuyến nghị doanh nghiệp cần đánh giá VA càng sớm càng tốt vì hệ thống core value của doanh nghiệp cần được đảm bảo mức độ an toàn tối đa trước khi mở rộng hoặc nâng cấp theo tốc độ phát triển kinh doanh của đơn vị. Sau đây là 4 lý do cơ bản:
Thứ nhất, VA giúp xác định sớm các mối đe doạ và điểm yếu trong việc bảo mật hệ thống CNTT
Thứ hai, sau VA bộ phận CNTT sẽ cần cso các hành động khắc phục để thu hẹp các lỗ hổng và bảo vệ hệ thống thông tin nhạy cảm
Thứ ba, VA giúp doanh nghiệp áp dụng triển khai và đáp ứng các yêu cầu tuân thủ, và các quy định an ninh mạng hiện hành như HIPAA và PCI DSS
Thứ tư, VA giúp bảo vệ chống lại các vi phạm dữ liệu và truy cập trái phép
Chỉ khi doanh nghiệp có đội ngũ bảo mật hoặc quản trị thông tin chuyên biệt mới nên thực hiện Penetration Testing?
Không đúng hoàn toàn. Việc thực hiện Đánh giá kiểm thử thông qua các chuyên gia bảo mật sẽ là hình thức đánh giá đi khá sâu vào hệ thống CNTT của doanh nghiệp nhằm mục tiêu phát hiện ra những điểm yếu tiềm tàng và đánh giá được mức độ an toàn của hệ thống. Có nhiều mô hình và cách thức triển khai đánh giá bảo mật để doanh nghiệp lựa chọn để giảm thiểu rủi ro bẻ vỡ cấu trúc bảo mật của hệ thống như Pentest As A Service, Network Pentest, Web Application Pentest, Mobile Application Pentest, API Pentest, …
Trong đa số trường hợp, các doanh nghiệp cần kiểm tra năng lực phòng thủ của đội ngũ sẽ lựa chọn hình thức đánh giá bảo mật Penetration Testing thậm chí là Red Team (Đánh giá thâm nhập sâu) để kiểm tra khả năng của hệ thống lẫn trình độ chuyên môn của chính đội ngũ nhân sự.
Tuy nhiên, lựa chọn hình thức nào thì doanh nghiệp cũng đều cần đưa ra những mục tiêu rõ ràng, các nguyên tắc và giới hạn hình thức tấn công để đảm bảo quản trị được các rủi ro trong quá trình thực hiện đánh giá bảo mật.