Tiếp nối nội dung về PTES tại PTES #1 chúng ta đến với PTES #2!
3. Threat Modeling - Mô hình hóa mối đe dọa
Tổng quan
Phương pháp mô hình hóa mối đe dọa được yêu cầu để thực hiện đúng một bài kiểm thử xâm nhập. Tiêu chuẩn này không sử dụng một mô hình cụ thể, mà yêu cầu mô hình được sử dụng phải nhất quán về mặt biểu diễn các mối đe dọa, khả năng của chúng, sự phù hợp của chúng với tổ chức được kiểm thử, và khả năng áp dụng lại để thu được kết quả giống nhau trong các lần kiểm thử sau.
Tiêu chuẩn tập trung vào hai yếu tố chính của mô hình hóa mối đe dọa truyền thống – tài sản (assets) và kẻ tấn công (cộng đồng/đối tượng đe dọa). Mỗi yếu tố được phân chia thành tài sản doanh nghiệp và quy trình doanh nghiệp, cũng như đối tượng đe dọa và năng lực của chúng. Tối thiểu, cả bốn yếu tố này phải được xác định và ghi chép rõ ràng trong mỗi bài kiểm thử xâm nhập.
Khi mô hình hóa phía kẻ tấn công, ngoài cộng đồng đe dọa (thường mang tính ngữ nghĩa và có thể liên kết với phân tích SWOT doanh nghiệp) và năng lực (chủ yếu là kỹ thuật), còn cần bổ sung các khía cạnh của mô hình hóa động cơ. Những yếu tố bổ sung này sẽ đánh giá giá trị của các tài sản khác nhau tại mục tiêu và kết hợp với chi phí để chiếm đoạt chúng. Là một mô hình bổ sung, mô hình hóa tác động (impact modeling) cũng nên được thực hiện cho tổ chức để cung cấp cái nhìn chính xác hơn về các tình huống “nếu… thì sao?” xung quanh sự cố mất mát mỗi tài sản đã được xác định. Điều này cần tính đến giá trị “thực” của tài sản, giá trị nội tại của nó và các chi phí phát sinh gián tiếp liên quan đến sự cố mất mát.
Giai đoạn mô hình hóa mối đe dọa trong bất kỳ hoạt động kiểm thử xâm nhập nào đều rất quan trọng đối với cả pentester và tổ chức. Nó cung cấp sự rõ ràng về rủi ro và mức độ ưu tiên của tổ chức (tài sản nào quan trọng hơn? đối tượng đe dọa nào phù hợp hơn?). Ngoài ra, nó giúp pentester tập trung vào việc mô phỏng một cách trung thực các công cụ, kỹ thuật, khả năng, mức độ truy cập và hồ sơ chung của kẻ tấn công, trong khi vẫn lưu ý đến các mục tiêu thực sự bên trong tổ chức – để kiểm thử các biện pháp kiểm soát, quy trình và cơ sở hạ tầng có liên quan thay vì chỉ kiểm kê danh sách tài sản CNTT.
Mô hình mối đe dọa nên được xây dựng phối hợp với tổ chức được kiểm thử khi có thể. Ngay cả trong trường hợp black-box hoàn toàn – khi pentester không có thông tin trước về tổ chức – tester vẫn phải tạo mô hình dựa trên góc nhìn của kẻ tấn công kết hợp với OSINT về tổ chức mục tiêu.
Mô hình phải được ghi chép rõ ràng và đi kèm trong báo cáo cuối cùng vì các phát hiện trong báo cáo sẽ tham chiếu mô hình mối đe dọa để đưa ra mức độ liên quan và điểm rủi ro phù hợp với tổ chức (thay vì chỉ là điểm kỹ thuật chung chung).
Quy trình mô hình hóa mối đe dọa ở cấp độ cao
- Thu thập tài liệu liên quan.
- Xác định và phân loại tài sản chính và phụ.
- Xác định và phân loại mối đe dọa và đối tượng đe dọa.
- Ánh xạ các đối tượng đe dọa vào tài sản chính và phụ.
Ví dụ
Trong một bài đánh giá theo PTES:
- Ứng dụng CRM được lưu trữ nội bộ có thể nằm trong phạm vi kiểm thử.
- Thông tin khách hàng được lưu trữ trong cơ sở dữ liệu back-end là tài sản chính dễ nhận biết vì nó liên kết trực tiếp với ứng dụng trong phạm vi.
- Khi xem xét thiết kế kỹ thuật của máy chủ cơ sở dữ liệu, ta có thể nhận ra rằng cơ sở dữ liệu nhân sự HR được lưu trữ trên cùng một máy chủ cũng là tài sản phụ.
- Một kẻ tấn công có thể sử dụng ứng dụng CRM như bàn đạp để chiếm đoạt thông tin nhân viên.
Trong mô hình hóa mối đe dọa cơ bản, một số đối tượng đe dọa có thể được xem là không liên quan khi chỉ xét ứng dụng CRM, nhưng khi xác định thêm các tài sản phụ, bức tranh về mối đe dọa lập tức thay đổi.
Dưới đây là bản dịch đầy đủ không rút gọn phần “High-level modeling tools” (Công cụ mô hình hóa cấp cao) và các mục tiếp theo trong phần Threat Modeling của tiêu chuẩn PTES (Penetration Testing Execution Standard):
Công cụ mô hình hóa cấp cao
Có một số công cụ có thể hỗ trợ trong việc lập mô hình các môi trường lớn và phức tạp. Nhiều công cụ trong số này thuộc về lĩnh vực "quản lý mô hình đe dọa" hoặc "quản lý rủi ro kinh doanh", và rất có thể sẽ không khả dụng đối với phần lớn những người thực hiện kiểm thử xâm nhập. Tuy nhiên, vẫn nên hiểu được các khả năng của những công cụ này, bởi vì khi được triển khai đúng cách, chúng có thể giúp tổ chức quản lý hiệu quả hơn các hoạt động kiểm thử xâm nhập.
Các công cụ mô hình hóa cấp cao thường được triển khai ở cấp độ doanh nghiệp và có thể tích hợp với hệ thống quản lý tài sản CNTT, CMDB (cơ sở dữ liệu quản lý cấu hình), hệ thống giám sát, và các nguồn dữ liệu khác nhằm cung cấp cái nhìn toàn diện về cơ sở hạ tầng CNTT. Với các thông tin này, những công cụ như vậy có thể giúp xác định mối tương quan giữa các tài sản, luồng dữ liệu, quy trình kinh doanh, và các mối đe dọa đã biết.
Mục tiêu cuối cùng của những công cụ này là hỗ trợ trong việc xác định và ưu tiên các mối đe dọa đối với doanh nghiệp bằng cách lập mô hình các tác động tiềm ẩn mà chúng có thể gây ra. Trong nhiều trường hợp, chúng có thể được sử dụng để tự động hóa các khía cạnh nhất định của quá trình lập mô hình đe dọa, như phát hiện điểm yếu, xác định chuỗi tấn công khả thi, hoặc lập bản đồ giữa các mối đe dọa và mục tiêu kinh doanh.
Kết nối giữa lập mô hình đe dọa và các pha kiểm thử xâm nhập
Lập mô hình đe dọa không phải là một hoạt động diễn ra độc lập mà nên được tích hợp chặt chẽ với toàn bộ quy trình kiểm thử xâm nhập. Việc hiểu rõ các mối đe dọa liên quan đến một hệ thống cụ thể có thể định hướng các pha sau như thu thập thông tin, khai thác, và hậu khai thác.
Ví dụ: Nếu một tổ chức phụ thuộc mạnh vào một hệ thống ERP cụ thể và lập mô hình đe dọa đã xác định được một số điểm yếu trong quy trình xác thực hoặc luồng dữ liệu trong hệ thống đó, thì những lỗ hổng đó sẽ là mục tiêu ưu tiên cao trong suốt quá trình kiểm thử. Điều này đảm bảo rằng kiểm thử xâm nhập không chỉ tập trung vào các vấn đề kỹ thuật đơn lẻ, mà còn nhắm tới các mối đe dọa thực sự có thể gây ảnh hưởng đến hoạt động kinh doanh cốt lõi.
Cập nhật mô hình đe dọa
Một khi mô hình đe dọa đã được tạo ra, nó cần phải được cập nhật định kỳ. Mối đe dọa thay đổi theo thời gian, cũng như công nghệ và các quy trình kinh doanh. Một mô hình đe dọa tĩnh có thể nhanh chóng trở nên lỗi thời và do đó sẽ không còn hiệu quả trong việc định hướng nỗ lực bảo mật.
Việc cập nhật mô hình đe dọa có thể được tích hợp như một phần của các quy trình bảo mật định kỳ, chẳng hạn như đánh giá rủi ro hàng năm hoặc sau các thay đổi lớn về hạ tầng hoặc dịch vụ CNTT. Trong môi trường Agile hoặc DevOps, mô hình đe dọa nên được cập nhật bất cứ khi nào có thay đổi đáng kể trong kiến trúc ứng dụng, luồng dữ liệu, hoặc khi thêm hoặc thay đổi dịch vụ.
Các dữ liệu và tài sản được định nghĩa
| Loại Dữ liệu / Tài sản | Mô tả | Ví dụ / Nội dung điển hình |
|---|---|---|
| Dữ liệu tổ chức | Các chính sách, kế hoạch, thủ tục nội bộ giúp hiểu cách tổ chức vận hành | Chính sách bảo mật, quy trình kinh doanh, kế hoạch phát triển |
| Thông tin sản phẩm | Dữ liệu liên quan đến sản phẩm, giá trị kinh doanh | Bí mật thương mại, nghiên cứu và phát triển (R&D), mã nguồn |
| Thông tin tiếp thị | Kế hoạch, chiến lược, và các hoạt động PR | Kế hoạch ra mắt sản phẩm, đối tác, truyền thông, hợp đồng quảng cáo |
| Thông tin tài chính | Dữ liệu tài chính nhạy cảm | Thông tin ngân hàng, tài khoản tín dụng, tài khoản đầu tư |
| Thông tin kỹ thuật | Thiết kế hạ tầng và cấu hình hệ thống | Sơ đồ mạng, cấu hình hệ thống, chính sách cứng hóa, danh sách phần mềm |
| Thông tin xác thực | Thông tin đăng nhập của người dùng | Tài khoản người dùng thường, tài khoản quản trị viên |
| Dữ liệu nhân viên | Dữ liệu cá nhân và thông tin nhạy cảm của nhân viên | Số định danh quốc gia, PII, thông tin sức khỏe, tài chính cá nhân |
| Dữ liệu khách hàng | Thông tin cá nhân và tài chính của khách hàng | Số định danh, PII, PHI, tài khoản ngân hàng |
| Dữ liệu nhà cung cấp | Thông tin liên quan đến nhà cung cấp và hợp đồng | Thông tin nhà cung cấp, điều khoản hợp đồng, bí mật thương mại liên quan |
| Dữ liệu đối tác | Thông tin các đối tác, tài khoản dịch vụ đám mây | Tài khoản dịch vụ cloud, hợp đồng dịch vụ |
| Tài sản con người | Nhân sự quan trọng có thể bị lợi dụng để tấn công hoặc gây ảnh hưởng | Ban lãnh đạo, nhân viên kỹ thuật, quản lý, trợ lý, nhân sự có quyền truy cập vật lý |
4. Vulnerability Analysis - Phân tích lỗ hổng
Khái niệm
Kiểm thử lỗ hổng là quá trình xác định các điểm yếu trong hệ thống hoặc ứng dụng mà kẻ tấn công có thể khai thác, bao gồm lỗi cấu hình máy chủ/dịch vụ hoặc thiết kế ứng dụng không an toàn.
Quá trình kiểm thử cần:
-
Xác định phạm vi kiểm thử (độ sâu và bề rộng):
- Độ sâu: Mức độ chi tiết của kiểm thử như vị trí công cụ, yêu cầu xác thực, mức độ khai thác (ví dụ: chỉ kiểm tra biện pháp giảm thiểu hay kiểm tra sâu với quyền xác thực).
- Phạm vi (bề rộng): Các thành phần được kiểm thử như mạng, phân đoạn mạng, máy chủ, ứng dụng, hay nhóm tài sản cụ thể.
-
Thiết kế kiểm thử phù hợp với mục tiêu: Đảm bảo kiểm thử đủ sâu và đủ rộng để đạt được kết quả mong muốn.
-
Xác nhận phạm vi và độ sâu: Đảm bảo tất cả các thành phần đã được kiểm thử đầy đủ và kết quả đánh giá đúng như kỳ vọng (ví dụ: xác thực xem tất cả máy chủ đã được kiểm tra hay chưa, tất cả tài sản trong danh mục đã được quét hay chưa).
Kiểm thử chủ động (Active Testing)
Là việc tương tác trực tiếp với thành phần mục tiêu để phát hiện lỗ hổng bảo mật, có thể ở tầng thấp (như TCP stack) hoặc tầng cao (như giao diện web quản trị). Có 2 cách:
- Tự động (Automated): Dùng phần mềm để quét, phân tích phản hồi và phát hiện lỗ hổng, tiết kiệm thời gian so với kiểm thử thủ công.
- Thủ công (Manual): Kiểm tra trực tiếp để xác nhận kết quả, phát hiện lỗi mà tự động có thể bỏ sót.
| STT | Hạng mục | Công việc cụ thể | Ghi chú / Kiểm tra |
|---|---|---|---|
| 1 | Chuẩn bị và xác định phạm vi | - Xác định thành phần mục tiêu (mạng, dịch vụ, ứng dụng web, VPN, VoIP...) | |
| - Định nghĩa phạm vi kiểm thử (mạng, máy chủ, ứng dụng...) | |||
| - Xác định độ sâu kiểm thử (công cụ, mức xác thực, loại lỗ hổng mong muốn) | |||
| 2 | Kiểm thử tự động | - Chạy quét dựa trên cổng (Port Scanning) | Ghi lại trạng thái cổng |
| - Kiểm tra trạng thái cổng: mở/đóng/filtered | |||
| - Chạy quét dựa trên dịch vụ (Service Scanning) | Xác định dịch vụ trên cổng mở | ||
| - Thu thập banner (Banner Grabbing) để lấy tên dịch vụ, phiên bản | So sánh với cơ sở dữ liệu lỗ hổng | ||
| 3 | Quét ứng dụng web | - Thu thập thông tin site: URL, cấu trúc thư mục, trang, form, API... | |
| - Kiểm thử lỗi phổ biến: SQLi, XSS, cấu hình sai, lộ thông tin qua lỗi | |||
| - Liệt kê thư mục ẩn / Brute force (dùng danh sách phổ biến hoặc thử brute force tên thư mục) | Theo dõi tải server khi brute | ||
| - Xác định phiên bản web server và so sánh lỗ hổng liên quan | |||
| - Kiểm tra các phương thức HTTP không an toàn: OPTIONS, PUT, DELETE, TRACE/TRACK, WebDAV | |||
| 4 | Kiểm thử lỗ hổng mạng/giao thức đặc thù | - Kiểm thử VPN với công cụ chuyên biệt (nhận dạng thiết bị, phiên bản, cơ chế xác thực) | |
| - Kiểm thử mạng thoại: War dialing, quét VoIP | |||
| 5 | Kiểm thử thủ công | - Xác nhận kết quả tự động đã thu thập | |
| - Kiểm tra trực tiếp các giao thức, dịch vụ nghi ngờ | |||
| - Tìm kiếm vectơ tấn công chưa phát hiện bởi công cụ tự động | |||
| 6 | Kiểm thử ẩn danh | - Sử dụng nhiều nút thoát (proxy, TOR) để ẩn IP nguồn | |
| - Kỹ thuật trốn tránh IDS: thao tác chuỗi, đa hình, cắt nhỏ phiên |
Kiểm thử bị động (Passive)
-
Phân tích Metadata: Xem thông tin mô tả file như tác giả, ngày tạo, địa chỉ IP nội bộ… Metadata có thể tiết lộ thông tin nhạy cảm mà không cần tấn công trực tiếp. Công ty nên xóa metadata trước khi công khai tài liệu để tránh rò rỉ thông tin.
-
Giám sát lưu lượng: Thu thập dữ liệu mạng nội bộ để phân tích. Có thể phát hiện rò rỉ thông tin qua các lỗi cấu hình như tràn bộ nhớ đệm ARP/MAC, lỗi Etherleak, cấu hình sai cụm máy chủ/load balancer hoặc hub cắm vào mạng, làm lộ dữ liệu cho các phần mạng khác nhau.
- Tràn bộ nhớ đệm ARP/MAC khiến gói tin được phát sóng trên mạng, thường gặp trên switch Cisco cấu hình sai.
- Etherleak: Driver cũ hoặc nhúng sử dụng bộ nhớ hệ thống để đệm gói ARP, làm lộ thông tin nội bộ nếu thu thập đủ gói ARP.
- Cụm máy chủ hoặc cân bằng tải cấu hình sai.
- Kết nối hub vật lý vào mạng.
Một số trường hợp chỉ làm rò rỉ dữ liệu trong một subnet nhỏ, nhưng có thể mở rộng ra nhiều phân đoạn mạng lớn hơn.
Xác thực (Validation)
| Mục (Tiếng Việt) | Nội dung tóm tắt |
|---|---|
| Đối chiếu giữa các công cụ | - Có 2 kiểu đối chiếu: cụ thể và theo nhóm. - Cụ thể: nhóm theo ID lỗ hổng, hostname, IP,... - Theo nhóm: nhóm theo loại vấn đề, tiêu chuẩn bảo mật (NIST, OWASP...). - Tránh lặp lại dữ liệu gây sai lệch rủi ro. |
| Kiểm thử thủ công / Giao thức cụ thể | - VPN: xác định thiết bị, phân tích cơ chế xác thực (pre-shared key, group ID mặc định). - Citrix: liệt kê ứng dụng, người dùng qua cấu hình mặc định. - DNS: thu thập thông tin phiên bản, phát hiện chuyển vùng (zone transfer). - Web: kiểm tra thủ công nhiều cổng, vì công cụ tự động không đầy đủ. - Mail: xác thực tài khoản hợp lệ, phát hiện lỗ hổng mail relay, brute force giao diện web mail. |
| Lộ trình tấn công (Attack Avenues) | - Xây dựng và cập nhật cây tấn công xuyên suốt kiểm thử. - Kiểm thử trong phòng thí nghiệm riêng biệt: mô phỏng môi trường thật để tăng độ chính xác và tránh lỗi do bảo vệ đặc biệt. |
| Xác nhận trực quan | - Kiểm tra thủ công hệ thống, dịch vụ để xác thực kết quả công cụ. - Phát hiện dịch vụ trên cổng lạ hoặc logic tùy chỉnh mà công cụ bỏ sót. |
Nghiên cứu
Danh mục đề xuất pentester cần thực hiện "đào sâu":
| Mục | Mô tả tóm tắt |
|---|---|
| Nghiên cứu công khai | Xác minh độ chính xác và khả năng khai thác lỗ hổng đã báo cáo trong phần mềm hoặc quy trình. |
| Cơ sở dữ liệu lỗ hổng | Sử dụng CVE, OSVDB... để kiểm tra và xác nhận các lỗ hổng được công cụ phát hiện. |
| Thông báo nhà cung cấp | Tham khảo thông báo bảo mật, nhật ký thay đổi để có thông tin chi tiết về lỗ hổng. |
| Cơ sở dữ liệu khai thác | Tìm kiếm mã khai thác công khai hoặc trong framework để đánh giá khả năng khai thác. |
| Mật khẩu mặc định/phổ biến | Kiểm tra mật khẩu mặc định, phổ biến và tài khoản không công bố qua tài liệu, diễn đàn, mailing list. |
| Hướng dẫn bảo mật/lỗi cấu hình | Nghiên cứu hướng dẫn bảo mật và các lỗi cấu hình thường gặp để phát hiện điểm yếu. |
| Nghiên cứu riêng | Thiết lập môi trường ảo hóa để thử nghiệm; fuzzing để tìm lỗi; phân tích mã nguồn, dịch ngược. |
5. Exploitation - Khai thác
Mục đích
Giai đoạn khai thác trong kiểm thử xâm nhập nhằm mục tiêu chiếm quyền truy cập vào hệ thống hoặc tài nguyên bằng cách vượt qua các biện pháp bảo mật. Dựa trên kết quả phân tích lỗ hổng đã được thực hiện kỹ lưỡng, giai đoạn này tập trung vào tấn công chính xác vào điểm vào quan trọng và các tài sản có giá trị cao, ưu tiên các phương án có xác suất thành công và tác động lớn nhất đến tổ chức.
Biện pháp đối phó
Biện pháp đối phó là các công nghệ hoặc kiểm soát phòng ngừa nhằm ngăn chặn việc khai thác thành công. Công nghệ này có thể là Hệ thống Phòng chống Xâm nhập chủ động (Host Based Intrusion Prevention System), Bảo vệ an ninh (Security Guard), Tường lửa Ứng dụng Web (Web Application Firewall), hoặc các phương pháp phòng ngừa khác. Khi thực hiện khai thác, cần cân nhắc nhiều yếu tố. Nếu gặp công nghệ phòng ngừa, cần tính đến kỹ thuật vượt qua. Khi không thể vượt qua, cần cân nhắc các phương pháp khai thác thay thế.Mục tiêu chung là giữ được tính ẩn mình khi tấn công tổ chức; nếu kích hoạt cảnh báo, mức độ đánh giá có thể bị giảm. Nếu có thể, biện pháp đối phó nên được liệt kê trước khi kích hoạt khai thác, có thể bằng cách thử tấn công giả hoặc xác định công nghệ.
| Biện pháp phòng ngừa | Mô tả | Ghi chú / Phương pháp vượt qua |
|---|---|---|
| Host Based Intrusion Prevention System (HIPS) | Hệ thống phát hiện và ngăn chặn xâm nhập trên máy chủ. | Cần kỹ thuật né tránh hoặc sử dụng phương pháp khác. |
| Security Guard | Công cụ bảo vệ an ninh để ngăn chặn các hành vi nguy hiểm. | Đánh giá và tìm cách vượt qua hoặc tránh phát hiện. |
| Web Application Firewall (WAF) | Tường lửa ứng dụng web, bảo vệ khỏi các cuộc tấn công web. | Thử nghiệm các kỹ thuật bypass WAF trong kiểm thử. |
| Anti-Virus (AV) | Phát hiện và ngăn chặn phần mềm độc hại trên hệ thống. | Sử dụng encoding, packing, encrypting để tránh bị phát hiện. |
| Encoding | Mã hóa làm mờ dữ liệu/code để ẩn mục đích thực thi. | Giúp mã không bị nhận diện bởi AV. |
| Packing | Nén/xáo trộn dữ liệu để che giấu mã nguồn. | Tương tự encoding, giúp né tránh AV. |
| Encrypting | Mã hóa mã thực thi, chỉ giải mã khi chạy trong bộ nhớ. | Tăng tính khó phát hiện, tránh phân tích tĩnh. |
| Whitelist | Danh sách trắng cho phép chạy các ứng dụng đã xác thực trên hệ thống. | Vượt qua bằng truy cập bộ nhớ trực tiếp (memory injection). |
| Process Injection | Tiêm mã vào tiến trình tin cậy đang chạy để che dấu hành vi. | Khó bị công nghệ phòng ngừa phát hiện. |
| Data Execution Prevention (DEP) | Ngăn chặn thực thi mã tại vùng nhớ không được phép. | Cần kỹ thuật bypass DEP. |
| Address Space Layout Randomization (ASLR) | Ngẫu nhiên hóa địa chỉ bộ nhớ để tránh tấn công trỏ đến mã độc. | Cần kỹ thuật dò tìm/đánh bại ASLR. |
Một số kỹ thuật ứng dụng trong giai đoạn khai thác thường được các pentester sử dụng: Dưới đây là tóm tắt nội dung bạn vừa cung cấp:
-
Tránh phát hiện (Evasion): Kỹ thuật né tránh bị phát hiện bởi hệ thống bảo mật hoặc con người trong quá trình tấn công, như làm mờ payload, mã hóa dữ liệu, hoặc tránh camera giám sát.
-
Tấn công chính xác (Precision Strike): Kiểm thử xâm nhập cần tập trung tấn công có trọng tâm, tránh làm ồn ào hoặc thử mọi khai thác; phương pháp này giúp đánh giá chính xác mức độ bảo mật của tổ chức.
-
Khai thác tùy chỉnh (Customized Exploitation): Mỗi tình huống tấn công cần được điều chỉnh theo công nghệ và môi trường cụ thể để đảm bảo hiệu quả.
-
Chỉnh sửa khai thác (Tailored Exploits): Các khai thác có sẵn thường cần tùy chỉnh để phù hợp với phiên bản hệ điều hành hoặc phần mềm mục tiêu. Xây dựng môi trường mô phỏng gần giống với hệ thống thực tế giúp khai thác thành công hơn, đặc biệt khi phải tùy biến khai thác cho các phiên bản khác nhau.
-
Zero-Day Angle là phương án cuối cùng, thường dùng khi các phương pháp tấn công thông thường không hiệu quả, đặc biệt với các tổ chức có hệ thống bảo mật cao. Phương pháp này đòi hỏi nghiên cứu sâu như đảo ngược mã, fuzzing hoặc phát hiện lỗ hổng chưa được biết đến. Khi sử dụng zero-day, cần mô phỏng môi trường mục tiêu càng chính xác càng tốt, bao gồm hệ điều hành, bản vá và các biện pháp phòng ngừa. Thông tin về hệ thống mục tiêu rất quan trọng để khai thác thành công, nhưng đôi khi không thể thu thập đủ do hạn chế về quyền truy cập hoặc khả năng quét. Dưới đây là tóm tắt và bảng bằng Markdown cho nội dung bạn cung cấp về Example Avenues of Attack và Overall Objective:
Tổng quan
Các con đường tấn công (attack avenues) nên được chọn dựa trên kịch bản và phạm vi của kiểm thử. Một số ví dụ phổ biến gồm tấn công ứng dụng web, kỹ thuật xã hội, tấn công vật lý, khai thác dựa trên bộ nhớ, man-in-the-middle, VLAN hopping, USB/Flash Drive deployment, reverse engineering, zero-day, tấn công người dùng, bẻ khóa mã hóa, phân tích lưu lượng, phishing, giả mạo nhân viên,... Dù thế, giá trị của kiểm thử xâm nhập nằm ở sự sáng tạo và khả năng xác định lỗ hổng, khai thác chính xác.
Mục tiêu tổng thể của giai đoạn khai thác là tìm đường vào tổ chức với ít kháng cự nhất, không bị phát hiện, và gây tác động lớn nhất đến khả năng sinh lợi của tổ chức &Hiểu rõ cách tổ chức hoạt động và tạo doanh thu là cơ sở để lựa chọn vector tấn công chính xác, nhằm mô phỏng thiệt hại thật sự tổ chức có thể chịu khi bị tấn công.
Ví dụ các con đường tấn công (Example Avenues of Attack)
| Nhóm tấn công | Ví dụ cụ thể |
|---|---|
| Web Application Attacks | SQL injection, XSS, CSRF |
| Social Engineering | Phishing, pretexting, impersonation |
| Physical Attack Avenues | Truy cập vật lý, lấy cắp thiết bị |
| Memory Based Exploits | Buffer overflow, heap overflow, use-after-free |
| Network Attacks | Man in the Middle, VLAN hopping, routing protocol manipulation |
| Malware Deployment | USB/Flash drive payloads |
| Reverse Engineering | Phân tích và khai thác phần mềm |
| Zero-Day Angle | Khai thác lỗ hổng chưa được công bố |
| Encryption Cracking | Phá mã hóa bằng GPU hoặc các phương pháp khác |
| Traffic Analysis | Giám sát và phân tích lưu lượng mạng |