Vấn đề False Positive trong Bảo mật Ứng dụng Web và Cách giải quyết

Bài viết này giải thích False Optimistic trong Bảo mật Ứng dụng Internet là gì và tác động tiêu cực của chúng đối với các chuyên gia bảo mật internet. Đồng thời, bài viết cũng giải thích tại sao các công cụ bảo mật internet tự động phổ biến lại tạo ra các False Optimistic, mà công cụ Quét Bảo mật Ứng dụng Internet của Netsparker thì hoàn toàn không.

Thuật ngữ “false optimistic” được hiểu như một báo động giả, giống như việc báo động nhà của bạn được kích hoạt mà lại không có một tên trộm nào cả. Trong bảo mật ứng dụng internet, một False Optimistic được dùng khi khi một trình quét bảo mật ứng dụng internet phát hiện một lỗ hổng trên trang internet của bạn, chẳng hạn như SQL Injection, nhưng thực tế không hề có lỗi đó.

Các chuyên gia bảo mật internet và kỹ sư kiểm thử (PenTester) sử dụng trình quét bảo mật ứng dụng internet tự động để dễ dàng thực hiện quá trình kiểm thử thâm nhập (Penetration Testing), như là để đảm bảo tất cả tấn công bề mặt của ứng dụng internet đều được kiểm tra nhanh chóng và đúng cách. Mặc dù vậy, các công cụ tự động cũng có thể gây ra một số vấn đề nhất định, như đã được giải thích ở trên.

Có Thể Bạn Quan Tâm :   Tổng Hợp Từ Vựng Tiếng Anh về Phong Thuỷ

Không đủ chi trả cho Bảo mật Ứng dụng Internet do False Positives

Các trình quét bảo mật ứng dụng internet được biết đến là đưa ra các false optimistic, do đó, quá trình PenTest ứng dụng internet tiêu tốn thời gian đáng kể vì những PenTester phải xác minh tất cả các báo cáo lỗ hổng một cách thủ công bằng cách cố gắng khai thác chúng. Chính vì quá trình dài dòng này, nhiều doanh nghiệp không thể chi trả cho bảo mật ứng dụng internet. Tuy nhiên, chi phí không phải là vấn đề duy nhất mà False Optimistic tạo ra.

Phớt lờ Lỗ hổng Bảo mật Internet thực

Theo lẽ thường, chúng ta thường có xu hướng phớt lờ lỗi xác xác thực khá nhanh. Pentester cũng làm điều tương tự trong một lần thử nghiệm thâm nhập ứng dụng internet. Ví dụ, một trình quét bảo mật ứng dụng internet phát hiện 200 lỗ hổng cross-site scripting (XSS), nếu 20 biến thể đầu tiên là False Optimistic, Pentester sẽ giả định rằng tất cả các biến thể khác cũng là False Optimistic và bỏ qua tất cả các biến thể còn lại. Như vậy, các lỗ hổng ứng dụng internet thực có thể không bị phát hiện.

Pentester thiếu kiến thức, đồng nghĩa với rất nhiều False Optimistic trong Báo cáo Rò quét

Khi một PenTester phải xác minh thủ công các phát hiện của trình quét, kết quả kiểm tra này chỉ tương đương với mức độ kiến thức của người kiểm tra đó, chứ không phụ thuộc vào khả năng của trình quét bảo mật ứng dụng internet. Mức độ kiến thức của người kiểm tra thường được đánh giá dựa trên số năm nghiên cứu chuyên sâu của chính họ. Như chúng ta đã thấy, vì những Pentesters không tin tưởng vào trình quét bảo mật ứng dụng internet, nên họ xác minh mọi lỗ hổng internet được báo cáo mà trình quét internet phát hiện.

Có Thể Bạn Quan Tâm :   [Giải mã] Cá Rồng quá bối là gì? Các loại cá Rồng quá bối

Nếu người dùng sử dụng trình quét bảo mật internet không thể khai thác một lỗ hổng ứng dụng internet cụ thể nào đó do thiếu kiến thức hoặc kinh nghiệm, thì lỗ hổng đó được coi là False Optimistic và sẽ không bao giờ được sửa chữa.

Trình quét Bảo mật Ứng dụng Internet so với Pentester

Các chủ Doanh nghiệp và Giám đốc An ninh có thể đắn đo về lựa chọn tối ưu cho bảo mật ứng dụng internet của họ, cụ thể là nên đầu tư vào một trình quét bảo mật ứng dụng internet có thể được sử dụng bởi chính nhân viên của công ty, hay thuê một chuyên gia Pentester? Và nếu đầu tư vào một trình quét bảo mật ứng dụng internet, liệu họ có nhân viên phù hợp để xác minh các kết quả đã được phát hiện không?

Đầu tiên, phải chỉ ra rằng trình quét bảo mật ứng dụng internet không bao giờ có thể thay thế được chuyên gia Pentester, nhưng Pentester cũng không bao giờ có thể đạt được hiệu quả cao như các trình quét tự động. Trong một thử nghiệm thâm nhập trang internet, cả phần mềm và yếu tố con người đều cần thiết. Thông qua tự động hóa và công nghệ hiện đại, chúng ta có thể tự động hóa nhiều hơn, từ đó con người cũng ít phải can thiệp vào quá trình PenTest hơn rất nhiều.

Có Thể Bạn Quan Tâm :   Bẫy thu nhập trung bình là gì? Vì sao Việt Nam sập bẫy thu nhập trung bình?

Công nghệ Quét dựa trên Bằng chứng (Proof-Based mostly Scanning)

Giải pháp bảo mật ứng dụng internet hiệu quả và tiết kiệm chi phí nhất là trình quét bảo mật ứng dụng internet với công nghệ Proof-Based mostly Scanning; trình quét này có thể tự động xác minh các phát hiện của mình bằng cách khai thác các lỗ hổng đã xác định và cung cấp cho người dùng bằng chứng khai thác. Việc có một trình quét như vậy đem lại lợi ích gấp nhiều lần; kiểm tra bảo mật sẽ tiêu tốn ít thời gian hơn nhiều và nhân viên không cần phải có nhiều năm kinh nghiệm hack để xác minh kết quả.

Netsparker là trình quét bảo mật ứng dụng internet đầu tiên trên thị trường có công cụ khai thác như vậy. Ngoài ra, việc khai thác rất an toàn và ở chế độ chỉ được phép đọc, nên không có khả năng làm hỏng dữ liệu hoặc làm gián đoạn dịch vụ trang internet. Với loại công nghệ tự động và tự khám phá này, các doanh nghiệp có thể dễ dàng giảm chi phí cho chương trình bảo mật internet trong khi cải thiện tình trạng bảo mật của tất cả các tài sản internet của họ.

Để biết thêm thông tin về Netsparker, liên hệ với chúng tôi để được tư vấn trực tiếp tại [email protected] hoặc hotline: 0942686492.

Back to top button