Để Trở Thành Chuyên Gia Bảo Mật (Module1 – P3) Tấn Công

Quy Trình Tấn Công Thử Nghiệm

Khác với hacker thông thường những ethical hacker tấn công hệ thống để đánh giá tính bảo mật thông tin. Vì vậy khi thực hiện công việc penetration test hay security audit phải tuân theo quy trình chặt chẽ, cần chú ý điến tác động mà việc thử nghiệm tấn công. Khi thực hiện công việc các ethical cần đặc biệt chú ý nhu cầu và ý kiến của người sử dụng.
Sau đây là các bước hướng dẫn trong quá trình kiểm định bảo mật hệ thống :

  1. Trao đổi với client (người sử dụng cuối) để thảo luận về tính cần thiết của việc thử nghiệm và biện pháp xử lý sự cố có thể gặp trong quá trình thực hiện.
  2. Chuẩn bị văn bản lấy chữ kí xác nhận của người dùng gọi là nondisclosure agreement
    (NDA) trước khi thực hiện công việc nhằm bảo đảm tính hợp lệ của việc tấn.
  3. Thành lập nhóm làm việc gồm các ethical hacker và lên kế hoạch thực hiện với thời gian cụ thể.
  4. Thực hiện kiểm định theo quy trình đề ra.
  5. Phân tích kết quả của quá trình kiểm tra và chuẩn bị báo cáo.
  6. Trình bày báo cáo với khách hàng

Tạo Bản Kế Hoạch Đánh Giá Bảo Mật

  1. Preparation – Đây là giai đọan chuẩn bị, trong bước này các bản hợp đồng sẽ
    được kí kết nhằm bảo vệ chính bản thân các Ethical Hacker khi có những rắc rối xảy ra ví dụ như vi phạm vào các điều luật an tòan thông tin, ngòai ra bản hợp
    đồng còn quy định những phạm vi hay tài nguyên mà Ethical hacker được quyền khảo sát và tấn công thử nghiệm.
  2. Conduct – Trong giai đọan này các bản kế họach về quá trình khảo sát, báo cáo mang tính chất kỹ thuật sẽ được trình bày và tiến hành quá trình ethical hacking.
  3. Conclusion – Cuối cùng là những kết luận về tình trạng an toàn của hệ thống, các lỗi bảo mật nào có thể bị khai thác và giải pháp khắc phục như thế nào….

Các Kiểu Tấn Công Của Ethical Hacker

Ethical hacker có thể sử dụng nhiều phương pháp khác nhau để đánh giá tính an toàn của hệ thống thông qua việc tấn công thử nghiệm, những phương pháp này bao gồm :

  • Remote network – Giả lập các cuộc tấn công từ xa hay từ hệ thống internet.
  • Remote dial-up network – Tiến hành các cuộc tấn công vào hệ thống modem hay các kết nối dial-up của hệ thống như máy chủ VPN
  • Local network – Giả làm nhân viên của tổ chức và thực hiện các cuộc tấn công
    lên các tài nguyên để tìm ra các điểm sơ hở trong chính sách bảo mật hay điểm nhạy cảm của hệ thống.
  • Stolen equipment – Giả lập mộttình huống đánh cắp tài nguyên để dự đóan các thiệt hại và tác động của nó lên quá trình kinh doanh. Đã có tình huống một sân bay của Úc bị hacker giả làm nhân viên bảo trì đánh cắp ổ cứng làm hệ thống điều khiển và vận hành bị tâ liệt trong vòng 2 giờ.
  • Social engineering – Quá trình này dùng để kiểm tra sự hiểu biết của người dùng và các kiến thức về an tòan thông tin, phòng chống bị các đối tượng xấu giả mạo,
    đánh lừa nhằm lất cắp thông tin quan trọng.
  • Physical entry – Trong mô hình này các ethical hacker sẽ tiến hành tấnc ông trực tiếp và cáo thành phần vật lý của hệ thống như các máy chủ, hệ thống lưu điện v.v nhằm kiểm tra xem các tài nguyênnày có được đặt dưới sự bảo vệ tốt hay không.

Các Mô Hình Thử Nghiệm

Tấn Công Có hai mô hình thử nghiệm tấn công hay penetratiom test (gọi tắt là pentest) là black box
tương ứng với tình huống tấn công hay pentest từ bên ngoài hệ thống. Ngược lại khi ethical hacker tiến hành tấn công mạng máy tính từ vị trí bên trong của tổ chức sẽ được gọi là white box.

Ethical Hacking Report

Kết quả của tiến trình penetration test hay kiểm điểm anh toàn thông tin được gọi là ethical hacking report, bản báo cáo này bao gồm thông tin chi tiết các hoạt động tấn công thử nghiệm, mô hình tấn công và các phương pháp đã sử dụng, nội dung được so sánh tương ứng với từng giai đoạn trong Conduct Security Evaluation. Trong bản báo cáo này các lổ hỗng cần được mô tả chi tiết kèm theo những hướng dẫn hay khuyến nghị về
phương pháp phòng chống. Do tính chất quan trọng nên những bản báo cáo quá trình tấn công thử nghiệm cần được gởi bằng định dạng hard-copy nhằm bảo đảm an toàn.
Thông tin lỗi kèm theo phải được giữ bí mật nhằm tránh bị kẻ xấu lợi dụng tấn công, khai thác nếu không những tài liệu này sẽ trở nên phản tác dụng


Bài viết khác

Những trở ngại lớn trong con đường làm SEO

Trong thời buổi hiện nay, tình trạng các sinh viên ra trường thất nghiệp và phải làm những công việc trái ngành nghề được đào tạo đang khá phổ biến ngay cả ở giữa đất thủ đô này. Đi theo câu nói của các đấng tiền bối: “Phi thương bất phú” thì các ngành nghề…

Tặng Free trọn bộ 500 Preset cho Lightroom

Sống ảo chưa bao giờ dễ hơn với bộ hơn 500 Preset cho Lightroom. Nếu bạn muốn dùng thử bộ preset Lightroom miễn phí cho mỗi bộ sưu tập, thì hôm nay có một tin tốt cho bạn, CITGROUP sẽ tặng đến bạn bộ Preset nó là gói miễn phí đầu tiên trong bộ preset…

Chiến lược tăng doanh thu cho SPA, Thẩm Mĩ Viện dịp Tết 2021

Chào các bạn mình là Công Nghệ CIT hôm nay mình sẽ giới thiệu đên các bạn một trong những giải pháp giúp doanh nghiệp cửa hàng của kinh doanh Spa làm đẹp có thể tăng doanh thu. Đặc biệt là dịp tết nguyên đán đang cận kề như hiện nay. Làm thế nào để…

Backlink là gì? Cách xây xựng backlink hiệu quả trong SEO – CIT Group

Backlink là gì? Đây là cụm từ khóa được tìm kiếm với hàng triệu lượt truy cập, điều này cho thấy rằng nó đang là một phương pháp quan trọng và hữu hiệu. Chắc hẳn các bạn làm SEO không xa lạ gì với từ khóa này rồi. Để giúp trang web có thể lên…

Marketing Online: chủ kinh doanh nên bắt đầu từ đâu?

Marketing Online không còn là một cụm từ xa lạ với dân kinh doanh. Nhưng khi tổ chức các hoạt động Marketing Online cho người mới bắt đầu, đâu mới là nền móng cơ bản để phát triển đồng bộ và lâu dài về cả doanh thu và thương hiệu? Có nhiều công cụ mở…

E-A-T là gì? Ứng dụng vào xây dựng Content Marketing bền vững

Từ sau đợt cập nhật thuật toán của Google vào tháng 8 năm 2018, thuật ngữ E-A-T được nhiều người quan tâm hơn (đặc biệt là các SEOer). Bởi E-A-T tập trung vào đánh giá chất lượng nội dung trên website, tác động đến thứ hạng từ khóa trên bảng xếp hạng tìm kiếm. Vậy…

BỘ LỌC TÌM KIẾM Google cập nhật thuật toán quan trọng

Google Tìm kiếm đang thử nghiệm một tính năng tìm kiếm mới cho phép bạn lọc kết quả tìm kiếm theo các trang cũng đề cập đến các từ cụ thể. Google thêm một hộp vào bên phải của trang kết quả tìm kiếm cho phép bạn đánh dấu những từ đó và sau đó Google…

Khóa học SEO trên dự án thực tế

Học SEO tại biên Hòa, Đào tạo SEO trên dự án thực tế, trương trình dạy SEO từ cơ bản đến chuyên sâu, giảng dạy bời ✅ chuyên gia 05 năm kinh nghiệm ✅ 100% lên TOP ✅ Học SEO tại Biên Hòa – Khóa học SEO không còn là khái niệm quá mới mẻ…

0922.272.868