Ô tô, đồ gia dụng, thiết bị đeo được, chiếu sáng, chăm sóc sức khỏe và an ninh gia đình đều chứa các thiết bị cảm biến, chúng có thể nói chuyện với nhau và với các máy khác, đồng thời có khả năng kích hoạt các hành động bổ sung.

Ví dụ như: các thiết bị hướng xe của bạn đến điểm đỗ còn trống trong bãi đậu xe; các thiết bị kiểm soát việc sử dụng năng lượng trong ngôi nhà; hệ thống kiểm soát việc cung cấp nước và năng lượng cho nơi làm việc; và các công cụ khác theo dõi thói quen ăn uống, ngủ nghỉ và tập thể dục của bạn.

Công nghệ này cung cấp một mức độ tiện nghi cho cuộc sống của chúng ta, nhưng nó đòi hỏi chúng ta phải chia sẻ nhiều thông tin cá nhân hơn bao giờ hết. Nhưng tin buồn đó là, tính bảo mật của thông tin này và tính bảo mật của các thiết bị này không phải lúc nào cũng được đảm bảo cả!

2. Vậy các rủi ro xảy ra là gì?

Mặc dù các rủi ro về bảo mật và khả năng phục hồi không phải là câu chuyện gì đó mới mẻ, nhưng quy mô tính liên kết được tạo ra bởi Internet of Things sẽ làm tăng hậu quả của những rủi ro đã biết và tạo ra những rủi ro mới.

Các vấn đề về bảo mật IoT

Kẻ tấn công sẽ tận dụng lợi thế này của quy mô, để lây nhiễm các phân đoạn lớn của thiết bị tại cùng một thời điểm, từ đây chúng có thể truy cập dữ liệu trên các thiết bị đó hoặc, như một phần của botnet, chúng sẽ tấn công các máy tính hoặc các thiết bị khác vì mục đích xấu xa.

3. Làm cách nào bạn có thể tăng tính bảo mật trên các thiết bị hỗ trợ kết nối Internet?

Không còn nghi ngờ gì nữa, Internet of Things khiến cho cuộc sống của chúng ta dễ dàng và tiện nghi hơn; nhưng chúng ta chỉ có thể gặt hái được những lợi ích to lớn này nếu thiết bị hỗ trợ Internet của chúng ta đủ an toàn và đáng tin cậy.

Sau đây là các bước quan trọng giúp cho Internet of Things của bạn an toàn và bảo mật hơn.

Đánh giá các cài đặt bảo mật

Hiện nay hầu hết các thiết bị đều cung cấp khá nhiều tính năng mà bạn có thể dễ dàng chỉnh sửa để đáp ứng cho nhu cầu và yêu cầu của bản thân.

Tuy nhiên, việc bật các tính năng nhất định nhằm tăng tính tiện lợi hoặc tăng chức năng cho chương trình, có thể khiến bạn dễ bị tấn công hơn. Khi này, điều quan trọng nhất là kiểm tra lại các cài đặt, đặc biệt là cài đặt về bảo mật và các tùy chọn vừa đáp ứng được nhu cầu của bạn mà lại không đồng thời làm tăng nguy cơ bị tấn công. Nếu bạn tiến hành cài đặt bản vá hoặc phiên bản phần mềm mới, hoặc cài đặt bất kì chương trình gì gây ảnh hưởng đến thiết bị của mình, hãy ngay lập tức thực hiện đánh giá lại các cài đặt để đảm bảo chúng vẫn phù hợp và an toàn.

Đảm bảo việc cập nhập phần mềm

Tiến hành việc cài đặt các bản vá lỗi phần mềm, bạn sẽ khiến cho tội phạm mạng không thể tận dụng các vấn đề hoặc lỗ hổng đã biết để tiến hành các cuộc tấn công. Tiện lợi và an toàn hơn cả, bạn hãy bật tính năng cập nhật tự động của hệ điều hành nếu tùy chọn này khả dụng.

Cẩn thận với các kết nối

Sau khi thiết bị được kết nối với Internet có nghĩa là thiết bị đó cũng đang kết nối với hàng triệu máy tính khác, chính điều này sẽ cho phép kẻ tấn công truy cập vào thiết bị đó của bạn. Do đó, hãy xem xét và cân nhắc xem liệu kết nối liên tục với Internet có là điều cần thiết không.

Sử dụng mật khẩu mạnh

Mật khẩu là một hình thức xác thực phổ biến và thường là rào cản duy nhất giữa bạn và các thông tin cá nhân. Bên cạnh đó, một số thiết bị hỗ trợ Internet được định cấu hình bằng một mật khẩu mặc định nhằm đơn giản hóa quá trình cài đặt. Tuy nhiên các mật khẩu mặc định này lại có thể tìm kiếm một cách vô cùng dễ dàng trên mạng, vì vậy chúng không hề cung cấp bất kỳ sự bảo mật nào.

Chính vì vậy, việc chọn mật khẩu mạnh là vô cùng quan trọng và cấp thiết giúp bảo mật thiết bị của bạn. [Xem thêm: Tất tật bạn phải biết về "Giải mã mật khẩu"]

4. Thông tin bổ sung

Nếu muốn tìm hiểu thêm về topic này, các bạn có thể tham khảo các bài viết chi tiết của các tổ chức uy tín sau đây:

- Online Trust Alliance: //otalliance.org/smarthome

- Open Web Application Security Project [OWASP]:

//www.owasp.org/index.php/OWASP_Internet_of_Things_Project

//www.owasp.org/index.php/IoT_Security_Guidance

- Atlantic Council: //www.atlanticcouncil.org/publications/issue-briefs/smart-homes-and-the-internet-of-things

- Networks of 'Things' [NIST Special Publication 800-183]: //nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-183.pdf

Hầu hết các ứng dụng hiện nay đều là cloud-base application. Ứng dụng chạy trên Cloud hiện đang rất phổ biến vì những ưu điểm của nó như giảm thiểu chi phí, dễ dàng update, có thể truy cập từ xa, dễ dàng recover...

Tuy nhiên dịch vụ về security cũng cần được cung cấp. Security trên các ứng dụng chạy trên cloud luôn cần được đảm bảo. Tiến hành thực hiện Penetration testing trên các ứng dụng Cloud cần được thực hiện một cách cẩn thận. Cùng Bizfly Cloud tìm hiểu những thông tin về Penetration Testing ngay tại bài viết dưới đây nhé.

Penetration testing là gì?

Penetration testing là gì?

Là hình thức kiểm tra hệ thống của bạn có thể bị tấn công hay không bằng cách giả lập các vụ tấn công thử nghiệm.

Có thể hiểu một cách đơn giản Penetration Testing [Pen test] chính là đánh giá độ an toàn bằng cách tấn công vào hệ thống.

Có 3 phương pháp để kiểm thử Penetration đó là:

1. Hộp đen [Black box]

Tấn công từ ngoài vào [black box Pen Test]: các cuộc tấn công được thực hiện mà không có bất kỳ thông tin nào, pentester sẽ đặt mình vào vị trí của hacker mũ đen và cố gắng bằng mọi cách để thâm nhập vào được mạng nội, ngoại của khách hàng.

2. Hộp trắng [White box]

Tấn công từ trong ra [white box Pen Test]: thực hiện khi có các thông tin về mạng nội bộ và ngoại sẽ được cung cấp bởi khách hàng và Pentester sẽ đánh giá an ninh mạng dựa trên đó.

3. Hộp xám [Gray box]

Kiểm định hộp xám [Gray-box hay Crystal-box]: Giả định như hacker được cung cấp tài khoản một người dùng thông thường và tiến hành tấn công vào hệ thống như một nhân viên của doanh nghiệp.

Các khái niệm của mô hình dịch vụ

1. SaaS [Software as a service]

Trong dịch vụ này, khách hàng có thể truy cập vào dịch vụ cung cấp đã được thiết lập sẵn sàng trên server mà không cần phải quan tâm đến cài đặt, lập trình, đường dẫn. Khách hàng có thể truy cập dịch vụ từ browser mà không cần phải download hay cài đặt. Mọi thứ đều có thể được cung cấp qua Cloud service, chỉ có một điều duy nhất khách hàng cần làm đó là trả phí cho việc sử dụng. Hotmail và gmail là hai ví dụ về SaaS.

2. PaaS [Platform as a service]

Trong dịch vụ này, khách hàng sẽ được cung cấp một nền tảng về phần mềm có thể được phát triển và triển khai một cách dễ dàng. Các nền tảng bao gồm hệ điều hành, cơ sở dữ liệu cài đặt sẵn, máy chủ web, phần cứng và cơ sở hạ tầng mạng được chăm sóc bởi các nhà cung cấp dịch vụ, do đó khách hàng chỉ cần quan tâm về business và phát triển.

Vì vậy, hầu hết các tổ chức thích PaaS để tránh đầu tư vào các tài nguyên phần cứng. Khách hàng chỉ cần trả tiền cho nền tảng và các tài nguyên đã được chọn. Một lần nữa các dịch vụ của Microsoft Azure là phổ biến nhất và được sử dụng rộng rãi.

3. IaaS [Infrastructure as a service]

Trong dịch vụ này, khách hàng sẽ được cung cấp cơ sở hạ tầng cần thiết như máy ảo, WAF, cân bằng tải, VLAN. Nó giống như bản build của riêng bạn với các nguồn được cung cấp bởi các nhà cung cấp dịch vụ Cloud. Điều này hữu ích trong việc giảm chi phí, bảo trì. Khách hàng chỉ cần trả tiền cho các nguồn lực mà họ tận dụng. Các khách hàng IaaS có quyền kiểm soát cơ sở hạ tầng nhiều hơn các khách hàng của PaaS hoặc các dịch vụ SaaS. Nhưng điều này đòi hỏi nhiều kiến thức về kỹ thuật. Có khá nhiều nhà cung cấp IaaS, phổ biến hơn cả là Amazon Web Services, Microsoft Azure, Rackspace.

Ngoài các mô hình này bạn cần phải biết Public, Private Cloud Hosting là gì.

Public cloud hosting, ở đây các nhà cung cấp dịch vụ sử dụng Internet để cung cấp tài nguyên có sẵn nhưng bạn cần phải trả tiền cho việc sử dụng. Đây là những thứ không tốn kém vì phần cứng, chi phí băng thông được bao phủ bởi chính nhà cung cấp. Bất lợi lớn nhất là máy chủ của bạn ở một quốc gia khác được điều chỉnh với các chính sách bảo mật khác nhau.

Với Private cloud hosting các nhà cung cấp dịch vụ đảm bảo security, máy chủ web có thể được bảo vệ bằng tường lửa.

So với Public cloud ,Private cloud được bảo vệ hơn nhưng chi phí cao hơn.

Thực hiện Penestration testing

Bạn có thể tự hỏi có thể thực hiện Penestration testing mà không có sự đồng ý của các nhà cung cấp dịch vụ đám mây. Hơn nữa, họ sẽ coi đây là Hacking. khi bạn đang thử nghiệm, bạn có thể gửi quá nhiều yêu cầu tới máy chủ có thể được coi là tấn công từ chối dịch vụ. Đó là lý do bạn cần một sự thừa nhận từ các nhà cung cấp dịch vụ để bắt đầu pentesting.

Để kiểm tra các ứng dụng trong các mô hình IaaS/ PaaS, bạn nên biết các ứng dụng và công nghệ khác và bạn cũng cần có quyền truy cập vào tất cả các máy chủ, bao gồm cơ sở dữ liệu để thực hiện kiểm tra thâm nhập nội bộ. Sau đó, bạn có thể bắt đầu với chức năng quét xác thực, thẩm định thử nghiệm... Lý do chính đằng sau việc kiểm tra này là, bạn cần biết kẻ đột nhập có thể làm gì khi anh ta đã vào mạng. Đó là cách bạn có thể phân tích mức độ an toàn. Bạn không thể thực hiện kiểm tra thâm nhập bên ngoài [bên ngoài mạng] trừ khi bạn nhận được sự chấp thuận từ các nhà cung cấp. Mặc dù nó không có hiệu quả vì nhiều nhà cung cấp dịch vụ sử dụng tường lửa, WAF, Honeypots, IDS, IPS để ngăn chặn việc quét, từ chối dịch vụ và các cuộc tấn công khác.

Bước 1: Tìm hiểu các chính sách, quy định của nhà cung cấp dịch vụ cloud

Trong nhiều trường hợp, bạn phải thông báo cho nhà cung cấp rằng bạn đang thực hiện kiểm thử, và nó đặt ra những hạn chế về những gì bạn thực sự có thể làm trong quá trình pen testing. Vì vậy, nếu bạn có một ứng dụng chạy trên public cloud và muốn thử nghiệm nó, bạn cần phải thực hiện một số nghiên cứu trước về quy trình mà nhà cung cấp dịch vụ của bạn đề xuất. Tất cả các nhà cung cấp dịch vụ chủ động giám sát cơ sở hạ tầng của họ đối với các dị thường. Trong một số trường hợp, con người có thể cho bạn một cuộc gọi để tìm hiểu những gì đang xảy ra.

Trong hầu hết các trường hợp, các nhà cung cấp dịch vụ có các thủ tục tự động tại chỗ để tắt hệ thống mà không có cảnh báo khi nhận thấy một cuộc tấn công DDoS. Bạn có thể vào văn phòng vào ngày hôm sau và thấy rằng các hệ thống lưu trữ, cơ sở dữ liệu và ứng dụng được cung cấp trên cloud của bạn đang ngoại tuyến và bạn sẽ có một số giải thích để làm cho chúng sao lưu và chạy. Một vấn đề khác là pen testing của bạn có thể mất rất nhiều tài nguyên mà nó ảnh hưởng đến những người khác trên cloud.

Nếu pen testing của bạn làm bão hòa hệ thống, bạn có thể nhận được cuộc gọi giận dữ từ nhà cung cấp dịch vụ của bạn yêu cầu bạn gỡ nó đi, hoặc một lần nữa là tắt tài khoản của bạn. Bạn phải hiểu các yêu cầu pháp lý của việc pen testing, cũng như các chính sách và thủ tục, hoặc nếu không bạn sẽ nhanh chóng tự thấy mình bị kích khỏi hệ thống cloud.

Bước 2: Tạo pen-testing plan

Những người có kế hoạch thực hiện pen testing đầu tiên cần tạo một kế hoạch pen testing. Các hạng mục được đề cập trong kế hoạch bao gồm:

- Application [s]: Xác định và bao gồm các giao diện người dùng và các API.

- Data access: Xác định cách dữ liệu sẽ được pen testing thông qua ứng dụng hoặc trực tiếp vào cơ sở dữ liệu.

- Network access: Xác định mức độ bảo mật của mạng đối với ứng dụng và dữ liệu.

- Virtualization: Xác định hoạt động các máy ảo khi để cô lập

- Compliance: Xác định các luật và quy định bạn cần tuân thủ trong ứng dụng hoặc cơ sở dữ liệu.

- Automation: Xác định các công cụ pen testing tự động [dựa trên cloud hoặc không] sẽ được sử dụng để pen testing.

- Approach: Xác định ứng dụng quản trị viên để bao gồm hoặc loại trừ trong pen testing. Kế hoạch kiểm tra cần phải được các bên liên quan chấp thuận, và mỗi phần của kế hoạch phải được tuân thủ. Bất kỳ trường hợp ngoại lệ nào xảy ra thực sự là một phần của kết quả, chẳng hạn như quản trị viên ứng dụng thấy rằng việc pen testing xảy ra và vô hiệu hóa quyền truy cập của nhóm.

Tạo pen-testing plan

Bước 3: Lựa chọn pen-testing tools

Có rất nhiều công cụ pen testing, các công cụ pen testing dựa trên cloud có thể mang lại hiệu quả về chi phí hơn. Điều quan trọng đối với công cụ này là nó có thể mô phỏng một cuộc tấn công thực sự. Nhiều hacker sử dụng các quy trình tự động để tìm các lỗ hổng, chẳng hạn như đoán mật khẩu liên tục hoặc tìm kiếm các API cung cấp truy cập trực tiếp vào dữ liệu. Có thể là các công cụ pen testing của bạn không thể đáp ứng yêu cầu của bạn. Nếu bạn gặp vấn đề này, bạn có thể tự xây dựng hệ thống của riêng bạn để pen testing. Điều này cần tránh nếu có thể, bởi vì bạn sẽ chịu trách nhiệm duy trì hệ thống đó, sẽ tốn kém nhiều hơn nếu bạn sử dụng công cụ hiện có.

Bước 4: Quan sát phản hồi

Khi thực hiện [các] pen testing, hãy tìm những điều sau:

- Human response: cách mà nhóm quản trị ứng dụng và người dùng ứng dụng phản ứng lại với pen testing. Nếu việc kiểm thử không được tiết lộ, các phản hồi sẽ được phản ánh nhiều hơn. Nhiều người có thể phản ứng bằng cách tắt hệ thống, trong khi những người khác có thể chẩn đoán vấn đề đầu tiên, trước khi xác định và nâng mối đe dọa.

- Automated response: làm thế nào các hệ thống an ninh chính nó có thể phát hiện và đáp ứng các bài pen testing. Phản hồi nên được phân lớp, từ đơn giản là chặn một địa chỉ IP tạo ra pen testing để tắt ứng dụng hoàn toàn. Trong bất kỳ trường hợp nào, quản trị viên an ninh và ứng dụng cũng phải được thông báo, và mô tả nên được gửi về Cả Human response và Automated response nên được ghi lại. Đây là nơi bạn sẽ tìm thấy bất kỳ lỗi hổng nào trong hệ thống và việc con người phản ứng lại mối đe doạ này, và do đó biết được hệ thống được đảm bảo tốt như thế nào.

Bước 5: Tìm và loại bỏ các lỗ hổng

Tìm và loại bỏ các lỗ hổng

Mặc dù đây là một bước rõ ràng, kết quả của toàn bộ quá trình kiểm thử này là một danh sách các lỗ hổng được phát hiện bởi pen testing. Nếu không có gì, việc kiểm thử của bạn có thể không hiệu quả như mong muốn và bạn có thể muốn đánh giá lại và thử lại.

Các lỗ hổng được tìm thấy trong khi các cloud-base application trên máy tính thường là:

- Truy cập dữ liệu ứng dụng cho phép sử dụng API xxxxx.

- Quyền truy cập API được cấp sau 10 lần thử.

- VM không cô lập khối lượng công việc đúng cách.

- Mật khẩu ứng dụng dự đoán bằng cách sử dụng máy phát mật khẩu tự động.

- VPN cho phép truy cập bên ngoài nếu DNS bị tắt.

- Mã hóa không phù hợp với quy định mới.

- Các vấn đề khác. Tất nhiên, các loại sự cố bạn sẽ tìm thấy sẽ khác nhau, tùy thuộc vào loại ứng dụng và loại pen testing bạn chạy. Ngoài ra, hãy ghi nhớ rằng có nhiều lớp khác nhau. Ứng dụng, mạng, cơ sở dữ liệu, hệ thống lưu trữ,... nên được kiểm tra riêng rẽ và các vấn đề nên được báo cáo riêng. Báo cáo những gì xảy ra ở mỗi lớp, một cách toàn diện. Đó là một cách thực hành tốt nhất.

Nguồn:

//techbeacon.com/pen-testing-cloud-based-apps-step-step-guide

//seleniumbycharan.wordpress.com/2016/12/04/cloud-based-applications-penetration-testing/

more-1460