Pentest và Red Team là hai khái niệm dễ gây nhầm lẫn trong giới bảo mật. Vậy chính xác thì sự khác biệt giữa 2 thuật ngữ này là gì? Trong bài viết này, chúng tôi sẽ giải thích, với mục tiêu giúp bạn tìm hiểu thêm về dịch vụ nào có thể phù hợp nhất với tổ chức của bạn.
Penetration Testing – Kiểm thử thâm nhập:
Pentester là người có các kỹ năng và kiến thức như một Hacker, thông qua góc nhìn của 1 hacker để thực hiện các bước kiểm tra mạng, ứng dụng, thiết bị, tìm kiếm những cơ hội để vượt qua các phương pháp bảo vệ, rào cản vật lý (bypass) nhằm phát hiện các lỗ hổng bảo mật của mục tiêu, tổ chức. Một pentester có kinh nghiệm có thể truy vết ra những điểm yếu của mục tiêu, đồng thời xây dựng các kịch bản hacker có thể tấn công, cách thức khai thác, phạm vi ảnh hưởng,… từ đó đưa ra những khuyến nghị xử lý và phòng thủ tốt nhất cho hệ thống.
Trong hoạt động này, Pentester sử dụng các công nghệ kiểm tra tự động có thể xác định một số vấn đề an ninh mạng, và kiểm tra thủ công để xem xét các lỗ hổng của tổ chức để tấn công.
Trong bối cảnh an ninh mạng ngày càng diễn biến phức tạp, pentest đã trở thành yêu cầu bắt buộc đối với hầu hết các ngành công nghiệp trong việc đảm bảo an toàn cho dữ liệu. Ngay cả những doanh nghiệp có thể nghĩ rằng họ không có bất kỳ thông tin giá trị nào để bảo vệ cũng có thể gặp rủi ro khi bị tin tặc chiếm quyền điều khiển, cài đặt các phần mềm độc hại, làm gián đoạn dịch vụ,… gây ảnh hưởng nghiệm trọng trong quá trình vận hành.
Mặc dù nhiều đơn vị vẫn có nhóm IT phát triển, duy trì và giám sát chương trình bảo mật hàng ngày. Tuy nhiên, dù làm tốt, các đơn vị vẫn nên thông qua pentest để có thêm góc nhìn của bên thứ 3 trên phương diện tấn công nhằm đánh giá khả năng phòng thủ một cách đa chiều.
Red Team
Mục tiêu của Pentest là tìm càng nhiều lỗ hổng và các vấn đề về cấu hình càng tốt, khai thác chúng và xác định mức độ rủi ro. Khác với pentest tìm mọi lỗ hổng có thể tồn tại, Red team sẽ lập kế hoạch tấn công, có kế hoạch cụ thể và tập trung hoàn toàn vào đối tượng.
Red team thường là một đội với nhiều người, cần nguồn lực và thời gian bởi họ đào sâu để tìm hiểu đầy đủ mức độ rủi ro và khả năng bị tấn công thực tế về cả phương diện kỹ thuật, con người và vật lý (tài sản, vật chất) của một tổ chức.
Red Team sử dụng rất nhiều cách thức để tấn công, từ việc lừa đảo thông thường và tấn công phi kỹ thuật (social engineering) nhắm vào nhân viên tới việc mạo danh một nhân viên với mục đích chiếm được quyền truy cập của quản trị viên. Để đảm bảo hiệu quả tấn công, Red Team là những người thông thạo các chiến thuật, kỹ thuật và quy trình mà một kẻ tấn công có thể sử dụng.
Red team thường được tuyển dụng bởi các tổ chức có vị thế lớn trong ngành bảo mật thông tin. Sau khi đã thực hiện pentest và vá hầu hết hết các lỗ hổng, họ sẽ cần người thực hiện tấn công lại vào hệ thống phòng thủ (bypass) theo bất cứ cách nào có thể, từ nhiều góc độ khác nhau.
Hoạt động của Red team
Red team bắt đầu bằng việc do thám để thu thập càng nhiều thông tin càng tốt với mục tiêu tìm hiểu về con người, công nghệ và môi trường để xây dựng và có được các công cụ phù hợp cho cuộc tấn công. Sử dụng Open Source Intelligence Gathering, các thành viên trong Red team có thể hiểu sâu hơn về cơ sở hạ tầng, cơ sở vật chất và các nhân viên để hiểu rõ hơn về mục tiêu và hoạt động của nó. Điều này cho phép đào sâu các cuộc tấn công, chẳng hạn như tạo mã độc, cấu hình trojan phần cứng,…
Các thành viên trong Red team sẽ thực hiện các hoạt động tấn công, lừa đảo kỹ thuật và phi kỹ thuật để tìm ra điểm yếu trong hệ thống và quy trình của mục tiêu. Sau đấy khai thác những điểm yếu và tấn công vào máy chủ / ứng dụng / mạng hoặc vượt qua (bypass) các kiểm soát vật lý để chuẩn bị tấn công leo thang.
Việc sử dụng Red team sẽ đưa lại cho tổ chức một góc nhìn đa chiều về hệ thống và quy trình của họ cùng sự hỗ trợ của các chuyên gia bảo mật để sửa chữa, vá lỗi, khắc phục, đào tạo, và bất kì điều gì khác cần làm để đảm bảo những rủi ro đó sẽ không tồn tại nữa.