[CEH v12] Module 5 – Phần 2: Một số công cụ đánh giá lỗ hổng

Các giải pháp kiểm thử bảo mật là công cụ đánh giá lỗ hổng quan trọng vì chúng xác định tất cả các điểm yếu bảo mật tiềm ẩn trước khi hacker có thể khai thác. Có nhiều cách tiếp cận và giải pháp khác nhau để thực hiện đánh giá lỗ hổng. Lựa chọn một phương pháp đánh giá phù hợp đóng vai trò chính trong việc giảm thiểu các mối đe dọa mà một tổ chức phải đối mặt. Bài hôm trước [CEH v12] Module 5 – Phần 1: Lỗ hổng bảo mật là gì? chúng ta đã tìm hiểu qua về khái niệm lỗ hổng.

Khái quát về đánh giá lỗ hổng

Các phương pháp tiếp cận để đánh giá lỗ hổng

Có 4 loại giải pháp đánh giá lỗ hổng: giải pháp dựa trên sản phẩm, giải pháp dựa trên dịch vụ, đánh giá dựa trên cây và đánh giá dựa trên suy luận.

• Product-Based Solutions: được cài đặt trong mạng nội bộ, không gian riêng hoặc không thể định tuyến. Nếu chúng được cài đặt trên một mạng riêng (đằng sau tường lửa), không phải lúc nào chúng cũng phát hiện được các tấn công từ bên ngoài.
• Service-Based Solutions: các giải pháp dựa trên dịch vụ được cung cấp bởi bên thứ ba như các công ty tư kiểm toán, … Một nhược điểm của giải pháp này là attacker có thể kiểm tra mạng từ bên ngoài.
• Tree-Based Assessment: trong đánh giá dựa trên cây, đánh giá viên lựa chọn các chiến lược khác nhau cho từng máy hoặc thành phần của hệ thống thông tin. Ví dụ: chọn một công cụ quét cho các máy Windows, cơ sở dữ liệu và web service nhưng sử dụng một công cụ quét khác cho các máy Linux. Cách tiếp cận này dựa vào việc người quản trị cung cấp thông tin ban đầu và sau đó quét liên tục mà không kết hợp bất kỳ thông tin nào được tìm thấy tại thời điểm quét.
• Inference-Based Assessment: trong đánh giá dựa trên suy luận, quá trình quét bắt đầu bằng cách xây dựng kho lưu trữ các giao thức được tìm thấy trên máy. Sau khi tìm thấy giao thức, quá trình quét bắt đầu phát hiện port nào được gắn với dịch vụ nào. Sau khi tìm thấy các dịch vụ, nó sẽ chọn các lỗ hổng trên từng máy và chỉ thực hiện các thử nghiệm có liên quan.

Đặc điểm của một giải pháp đánh giá lỗ hổng tốt

Các tổ chức cần lựa chọn một giải pháp đánh giá lỗ hổng thích hợp và phù hợp để phát hiện, đánh giá và bảo vệ các tài sản CNTT quan trọng của mình khỏi các mối đe dọa bên trong và bên ngoài. Các đặc điểm của một giải pháp đánh giá lỗ hổng tốt gồm:

• Đảm bảo kết quả chính xác bằng cách kiểm tra mạng, tài nguyên mạng, các port, giao thức, …
• Sử dụng phương pháp tiếp cận dựa trên suy luận
• Tự động quét và cơ sở dữ liệu được cập nhật liên tục
• Tạo các báo cáo ngắn gọn, có thể hành động, có thể tùy chỉnh, theo mức độ nghiêm trọng và phân tích xu hướng
• Đề xuất các biện pháp khắc phục và cách giải quyết phù hợp để khắc phục các lỗ hổng
• Bắt chước quan điểm bên ngoài của những kẻ tấn công để đạt được mục tiêu của nó

Cách hoạt động của các giải pháp quét lỗ hổng

Các giải pháp quét lỗ hổng thực hiện kiểm tra thâm nhập lỗ hổng trên mạng của tổ chức theo ba bước:

• Định vị các nút: xác định vị trí các máy chủ trực tiếp trong mạng mục tiêu bằng các kỹ thuật dò quét (xem thêm trong bài viết Module 3 – Phần 2 – Host discovery là gì?)
• Xác định port và dịch vụ đang chạy: ta liệt kê các cổng và dịch vụ mở cùng với hệ điều hành trên hệ thống đích (bài viết Module 3 – Phần 4: Dò quét port và dịch vụ đang chạy và Module 3 – Phần 6: Xác định phiên bản của dịch vụ và hệ điều hành).
• Kiểm tra các dịch vụ và hệ điều hành đó để tìm các lỗ hổng đã biết: sau khi xác định các dịch vụ mở và hệ điều hành đang chạy trên các nút đích, chúng sẽ được kiểm tra các lỗ hổng đã biết.

Các loại công cụ đánh giá lỗ hổng

Sau đây là một số công cụ đánh giá lỗ hổng hiệu quả nhất:

Qualys Vulnerability Management

Qualys VM là một dịch vụ dựa trên đám mây, cung cấp khả năng xác định các mối đe dọa và theo dõi những thay đổi bất ngờ trong mạng. Một số tính năng của dịch vụ này:

• Phát hiện dựa trên tác nhân: cũng hoạt động với Qualys Cloud Agents, mở rộng vùng phủ sóng nó tới các nội dung không thể quét được.
• Giám sát và cảnh báo liên tục: khi Qualys VM được kết hợp với Continuous Monitoring (CM), nhóm InfoSecs sẽ chủ động cảnh báo về các mối đe dọa tiềm ẩn, do đó các vấn đề có thể được giải quyết trước khi chúng biến thành hành vi vi phạm chính sách.
• Bao phủ toàn diện và khả năng hiển thị: liên tục quét và xác định các lỗ hổng để bảo vệ tài sản CNTT cả cục bộ và trên đám mây và tại các endpoint di động. VM tạo các báo cáo đầy đủ, dựa trên vai trò cho nhiều bên liên quan.
• Xác định và ưu tiên rủi ro: Qualys sử dụng phân tích xu hướng, dự đoán tác động của Zero-Day và Patch, có thể xác định rủi ro kinh doanh cao nhất.
• Khắc phục lỗ hổng: Qualys có khả năng theo dõi dữ liệu lỗ hổng trên các server, tạo ra các báo cáo tương tác giúp hiểu rõ hơn về tính bảo mật của mạng.

Nessus Professional

Nessus Professional là một giải pháp đánh giá để xác định các lỗ hổng, sự cố cấu hình và phần mềm độc hại mà hacker sử dụng để xâm nhập. Nó thực hiện đánh giá lỗ hổng, cấu hình và tuân thủ. Nó hỗ trợ các công nghệ khác nhau như các hệ điều hành, thiết bị mạng, trình ảo hóa, cơ sở dữ liệu, …

Nessus là nền tảng quét lỗ hổng dành cho kiểm toán viên và người tích bảo mật. Ta có thể lên lịch quét, tạo chính sách, gửi kết quả qua email rất dễ dàng và nhanh chóng. Những tính năng:

• Đánh giá lỗ hổng
• Phát hiện phần mềm độc hại và Botnet
• Kiểm tra cấu hình và tuân thủ
• Quét và kiểm tra các nền tảng ảo hóa và đám mây

GFI LanGuard

GFI LanGuard quét, phát hiện, đánh giá và khắc phục các lỗ hổng trong mạng và các thiết bị kết nối vào mạng. Nó quét các loại hệ điều hành, môi trường ảo và các ứng dụng đã cài đặt thông nhờ một cơ sở dữ liệu của riêng nó. Nó cho phép phân tích tình trạng an ninh mạng, xác định rủi ro và đưa ra giải pháp trước khi hệ thống bị xâm nhập. Một số tính năng:

• Quản lý bản vá cho hệ điều hành và ứng dụng của bên thứ ba
• Đánh giá lỗ hổng
• Theo dõi các lỗ hổng mới nhất và các bản cập nhật bị thiếu
• Tích hợp với các ứng dụng bảo mật
• Kiểm tra lỗ hổng thiết bị mạng
• Kiểm tra mạng và phần mềm
• Hỗ trợ cho môi trường ảo hóa

OpenVAS

OpenVAS là một framework gồm một số dịch vụ và công cụ cung cấp giải pháp quản lý lỗ hổng và quét lỗ hổng toàn diện và mạnh mẽ. Framework này là một phần của giải pháp quản lý lỗ hổng thương mại của Greenbone Network, những phát triển từ đó đã được đóng góp cho cộng đồng kể từ năm 2009. Nó đi kèm với nguồn cấp dữ liệu Network Vulnerability Tests (NVTs) được cập nhật thường xuyên, tổng cộng hơn 50.000 mẫu.

Nikto

Nikto là Open Source (GPL) web server scanner kiểm tra toàn diện đối với web server, bao gồm hơn 6700 file hoặc chương trình nguy hiểm tiềm tàng, kiểm tra các phiên bản lỗi thời của hơn 1250 server và các sự cố cụ thể. Một số tính năng của công cụ này:

• Hỗ trợ SSL (Unix với OpenSSL hoặc có thể là Windows với ActiveState’s Perl/NetSSL)
• Hỗ trợ HTTP proxy đầy đủ
• Lưu báo cáo ở dạng text, XML, HTML, NBE hoặc CSV
• Dễ dàng tùy chỉnh báo cáo
• Quét nhiều port trên một server hoặc nhiều server thông qua input file.
• Kỹ thuật mã hóa IDS của LibWhisker
• Quét subdomain
• Liệt kê username của Apache và cgiwrap
• Đoán thông tin đăng nhập cho các lĩnh vực ủy quyền

Báo cáo đánh giá các lỗ hổng bảo mật

Vulnerability Assessment Reports là báo cáo đánh giá các lỗ hổng bảo mật được phát hiện trên hệ thống hoặc ứng dụng của một tổ chức, do một chuyên gia hoặc một công cụ phân tích tự động thực hiện. Báo cáo này bao gồm danh sách các lỗ hổng được phát hiện, cấp độ nguy hiểm của từng lỗ hổng, thông tin về cách khai thác lỗ hổng, cũng như đề xuất các biện pháp khắc phục và cải thiện bảo mật hệ thống.

Báo cáo đánh giá về lỗ hổng thường được sử dụng để hỗ trợ cho việc đánh giá và cải thiện bảo mật hệ thống, giúp cho các chuyên gia bảo mật có cái nhìn tổng quan về tình trạng bảo mật của hệ thống và đưa ra các quyết định phù hợp để giảm thiểu rủi ro bảo mật. Ngoài ra, báo cáo này cũng được sử dụng để thực hiện các công tác kiểm tra bảo mật thường xuyên để đảm bảo rằng hệ thống luôn đáp ứng được các yêu cầu về bảo mật của tổ chức và ngăn chặn các mối đe dọa bảo mật tiềm tàng.

Các công cụ như Nessus Professional, GFI LanGuard và Qualys Vulnerability Management được sử dụng để đánh giá các lỗ hổng này và cung cấp báo cáo đầy đủ về đánh giá theo định dạng cụ thể. Báo cáo cung cấp cảnh báo cho tổ chức về các cuộc tấn công tiềm năng và đưa ra các giải pháp đối phó.

Trong báo cáo bắt buộc phải chứa các thông tin sau:

• Tên và mã số CVE của lỗ hổng
• Ngày phát hiện lỗ hổng
• Điểm số dựa trên cơ sở dữ liệu các điểm dễ bị tổn thương và phơi nhiễm thông thường (CVE)
• Mô tả chi tiết về lỗ hổng
• Tác động của lỗ hổng
• Chi tiết về các hệ thống bị ảnh hưởng
• Chi tiết về quy trình cần thiết để khắc phục lỗ hổng, bao gồm các bản vá thông tin, sửa lỗi cấu hình và các port bị chặn.
• Bằng chứng về khái niệm (PoC) của lỗ hổng hệ thống (nếu có thể).

Các báo cáo đánh giá lỗ hổng được phân loại thành hai loại:

• Báo cáo lỗ hổng bảo mật (Security vulnerability reports)
• Tóm tắt lỗ hổng bảo mật (Security vulnerability summaries)