Nghiên cứu xây dựng giải pháp penetration testing as a service cho doanh nghiệp dựa trên mã nguồn mở

Mô hình nổi bật nhờ việc cơ sở hạ tầng được sử dụng một tổ chức, cung cấp khả năng quản lý và bảo mật tốt hơn, truy cập qua mạng riêng hoặc kết nối an toàn, và khả năng tùy chỉnh cao, nh

BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

NGUYỄN GIA BÁCH

NGHIÊN CỨU XÂY DỰNG GIẢI PHÁP

PENETRATION TESTING AS A SERVICE

CHO DOANH NGHIỆP DỰA TRÊN MÃ NGUỒN MỞ

ĐỀ ÁN THẠC SĨ

HÀ NỘI – NĂM 2025

BAN CƠ YẾU CHÍNH PHỦ

HỌC VIỆN KỸ THUẬT MẬT MÃ

NGUYỄN GIA BÁCH

NGHIÊN CỨU XÂY DỰNG GIẢI PHÁP

PENETRATION TESTING AS A SERVICE

CHO DOANH NGHIỆP DỰA TRÊN MÃ NGUỒN MỞ

Chuyên ngành: An toàn thông tin

Mã số: 8480202 Khoá: CHAT10

ĐỀ ÁN THẠC SĨ

NGƯỜI HƯỚNG DẪN KHOA HỌC :

TS NGUYỄN MẠNH THẮNG - HỌC VIỆN KỸ THUẬT MẬT MÃ

HÀ NỘI – NĂM 2025

LỜI CAM ĐOAN

Tôi xin cam đoan đề tài: “Nghiên cứu xây dựng giải pháp Penetration Testing

as a Service cho doanh nghiệp dựa trên mã nguồn mở” là công trình nghiên cứu của riêng tôi, được thực hiện dưới sự hướng dẫn khoa học của TS Nguyễn Mạnh Thắng

Các nội dung, kỹ thuật được sử dụng để phân tích, triển khai và dẫn dắt đề tài này đều được thu thập, tham khảo từ nhiều nguồn tài liệu khác nhau và đã được trích dẫn đầy đủ trong mục Tài liệu tham khảo hoặc được chú thích rõ ràng ngay bên dưới các bảng, biểu, hình vẽ có liên quan

Hà Nội, ngày … tháng … năm 2025

Học viên

MỤC LỤC

LỜI CAM ĐOAN i

MỤC LỤC ii

DANH MỤC CÁC TỪ VIẾT TẮT iv

DANH MỤC HÌNH VẼ vi

DANH MỤC BẢNG BIỂU vii

MỞ ĐẦU 1

CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN ĐIỆN TOÁN ĐÁM MÂY 3

1.1 Môi trường đám mây và an toàn thông tin 3

1.1.1 Định nghĩa về điện toán đám mây 3

1.1.2 Mô hình dịch vụ và mô hình triển khai 5

1.1.3 Các vấn đề an toàn thông tin trên môi trường đám mây 11

1.1.4 Hạn chế của các biện pháp bảo mật truyền thống 14

1.1.5 Các tiêu chuẩn và quy định về bảo mật đám mây 15

1.2 Kiểm thử xâm nhập trên môi trường điện toán đám mây 16

1.2.1 Khái niệm kiểm thử xâm nhập và vai trò trong bảo mật đám mây 16

1.2.2 Phân loại kiểm thử xâm nhập 17

1.3 Đặc điểm và lợi ích của mô hình PTaaS trong môi trường đám mây 18

1.4 So sánh giữa PTaaS và kiểm thử truyền thống 26

Kết luận Chương 1 28

CHƯƠNG 2: PHÂN TÍCH, THIẾT KẾ HỆ THỐNG PTAAS TRÊN NỀN TẢNG ĐÁM MÂY 29

2.1 Phân tích yêu cầu hệ thống 29

2.1.1 Yêu cầu chức năng 29

2.1.2 Yêu cầu phi chức năng 30

2.2 Thiết kế kiến trúc hệ thống PTaaS 33

2.2.1 Kiến trúc tổng thể 33

2.2.2 Tích hợp các công cụ kiểm thử 36

2.2.3 Mô hình triển khai trên điện toán đám mây 38

2.3 Thiết kế bảo mật và tuân thủ 40

2.4 Tích hợp với quy trình phát triển phần mềm 44

Kết luận Chương 2 46

CHƯƠNG 3: TRIỂN KHAI THỰC NGHIỆM VÀ ĐÁNH GIÁ HỆ THỐNG 47

3.1 Triển khai và thử nghiệm hệ thống 47

3.1.1 Đánh giá lựa chọn nền tảng đám mây 47

3.1.2 Mô hình triển khai thực nghiệm 50

3.2 Đánh giá hiệu quả hệ thống 57

3.2.1 Thiết lập kịch bản kiểm thử và môi trường thử nghiệm 57

3.2.2 Thực hiện kiểm thử và thu thập dữ liệu 60

3.2.3 Phân tích kết quả và đánh giá hiệu quả hệ thống 69

3.3 Đề xuất và định hướng phát triển hệ thống 70

3.3.1 Những cải tiến và tối ưu hóa hệ thống 70

3.3.2 Định hướng thương mại hóa và áp dụng trong thực tế 71

Kết luận Chương 3 72

KẾT LUẬN 73

TÀI LIỆU THAM KHẢO 74

PHỤ LỤC I 75

PHỤ LỤC II 80

DANH MỤC CÁC TỪ VIẾT TẮT

Từ Viết Tắt Ý Nghĩa

ĐTĐM Điện toán đám mây

ATTT An toàn thông tin

NCC Nhà cung cấp

CNTT Công nghệ thông tin

CSDL Cơ sở dữ liệu

PTaaS Penetration Testing as a Service

IaaS Infrastructure as a Service

PaaS Platform as a Service

SaaS Software as a Service

AWS Amazon Web Services

EC2 Elastic Compute Cloud

S3 Simple Storage Service

Azure Microsoft Azure

GCP Google Cloud Platform

DDoS Distributed Denial of Service

GDPR General Data Protection Regulation

ISO International Organization for Standardization CSA Cloud Security Alliance

CCM Cloud Controls Matrix

PCI DSS Payment Card Industry Data Security Standard XSS Cross-Site Scripting

CSRF Cross-Site Request Forgery

SQL Structured Query Language

IAM Identity and Access Management

API Application Programming Interface

CVE Common Vulnerabilities and Exposures

Từ Viết Tắt Ý Nghĩa

CVSS Common Vulnerability Scoring System

LLM Large Language Model

CI Continuous Integration

CD Continuous Deployment

DevOps Development and Operations

SIEM Security Information and Event Management SOAR Security Orchestration, Automation, and Response IoT Internet of Things

AI Artificial Intelligence

ML Machine Learning

IDS/IPS Intrusion Detection/Prevention System

WAF Web Application Firewall

MFA Multi-Factor Authentication

SDLC Software Development Life Cycle

DANH MỤC HÌNH VẼ

Hình 1 Doanh thu của thị trường cloud được dự đoán trong tương lai 3

Hình 2 Minh họa AWS Management Console 5

Hình 3 Kiến trúc IaaS 6

Hình 4 Mô hình PaaS 7

Hình 5 Một trong những nền tảng SaaS 7

Hình 6 Trung tâm dữ liệu đám mây công cộng 8

Hình 7 Mạng đám mây riêng với tường lửa và các giao thức bảo mật 9

Hình 8 Đám mây lai với kết nối giữa đám mây riêng và đám mây công cộng 10 Hình 9 AI và ML trong dịch vụ PTaaS 24

Hình 10 PTaaS trong DevOps 25

Hình 11 Sơ đồ kiến trúc 35

Hình 12 Sơ đồ tích hợp công cụ kiểm thử 38

Hình 13 Sơ đồ mô hình triển khai trên điện toán đám mây 39

Hình 14 Sơ đồ mô tả vị trí PTaaS trong pipeline CI/CD 45

Hình 15 Cloud VPS Contabo 50

Hình 16 ReNgine Wiki 51

Hình 17 Tổng hợp các công cụ tích hợp trong ReNgine 54

Hình 18 Mô hình thực nghiệm 56

Hình 19 Ứng dụng mục tiêu tấn công 60

Hình 20 Màn hình thiết lập mục tiêu 61

Hình 21 Hướng dẫn thực hiện Authenticated Scans 62

Hình 22 Màn hình thiết lập Scan Engine 62

Hình 23 Lựa chọn scan engine đã thiết lập 66

Hình 24 Kết quả dò quét lỗ hổng 66

Hình 25 Tính năng đã phát hiện lỗ hổng 67

Hình 26 Thay đổi nội dung ảnh tải lên 68

Hình 27 Thực thi mã từ xa thành công 68

Hình 28 Sơ đồ Quy trình Triển khai cài đặt 78

Hình 29 Ảnh chụp giao diện ReNgine 79

DANH MỤC BẢNG BIỂU

Bảng 1 Bảng so sánh mô hình triển khai 11

Bảng 2 Bảng so sánh PTaaS với kiểm thử thâm nhập truyền thống 27

Bảng 3 So sánh các nền tảng PTaaS 52

Bảng 4 Ưu điểm và nhược điểm của hệ thống PTaaS được triển khai 55

MỞ ĐẦU

Điện toán đám mây mang đến sự đổi mới đối với xu hướng doanh nghiệp triển khai và quản lý hoạt động Với mô hình cung cấp tài nguyên linh hoạt, tối

ưu nguồn lực tài chính và hỗ trợ mở rộng nhanh chóng

Xu thế nâng cấp công nghệ cũng kéo theo những thách thức bảo mật nghiêm trọng Các doanh nghiệp phải đối mặt mối nguy an ninh mạng, các cuộc tấn công,

và việc quản lý truy cập không hiệu quả Một lỗi cấu hình trên Amazon Web Services (AWS) đã khiến hơn 100 triệu hồ sơ khách hàng bị đánh cắp, để lại

hậu quả nặng nề về uy tín cũng như tài chính Những sự cố như vậy cho thấy các biện pháp bảo mật truyền thống như tường lửa (firewall) hay hệ thống phát hiện xâm nhập (IDS/IPS) không còn đủ khả năng đối phó với các mối đe dọa tinh vi trong môi trường Cloud Điều này đòi hỏi các giải pháp bảo mật tiên tiến, phù hợp với đặc thù của công nghệ đám mây

Trong bối cảnh đó, dịch vụ kiểm thử an toàn thông tin thuê ngoài (PTaaS

- Penetration Testing as a Service) được xem như một phương thức mới trong

việc tăng cường phòng vệ cho doanh nghiệp PTaaS cung cấp dịch vụ kiểm thử thâm nhập theo hình thức thuê ngoài, giúp tổ chức phát hiện và khắc phục lỗ hổng bảo mật một cách liên tục mà không cần duy trì đội ngũ chuyên gia nội bộ tốn kém So với kiểm thử thâm nhập truyền thống, PTaaS có nhiều ưu điểm vượt trội: chi phí thấp hơn, khả năng kiểm thử thường xuyên, và tích hợp công nghệ tự động hóa để phát hiện lỗ hổng nhanh chóng Đối với các doanh nghiệp sử dụng Cloud, PTaaS đóng vai trò lớn trong việc chủ động hạn chế rủi ro, bảo vệ dữ liệu nhạy cảm và duy trì sự phù hợp với các tiêu chuẩn an toàn thông tin

Đề án này được xây dựng nhằm nghiên cứu sâu về PTaaS và đề xuất cách thức áp dụng dịch vụ này để tăng cường bảo mật cho doanh nghiệp trên nền tảng Cloud Mục tiêu cụ thể của đề án bao gồm:

• Phân tích các nguy cơ an toàn thông tin chính trên môi trường Cloud và lý

do các biện pháp truyền thống không còn hiệu quả

• Giới thiệu chi tiết về PTaaS, từ khái niệm, quy trình triển khai đến các lợi ích thiết thực

• Đề xuất giải pháp PTaaS phù hợp với doanh nghiệp trên Cloud, kèm theo phương pháp triển khai và đánh giá hiệu quả

Nhằm đạt được các mục tiêu, đề án được tổ chức thành ba chương:

• Chương 1: Tổng quan về An toàn điện toán đám mây

Giới thiệu khái niệm Cloud Computing, các mô hình dịch vụ và triển khai, cùng với những rủi ro bảo mật phổ biến Chương này cũng phân tích hạn chế của các biện pháp bảo mật truyền thống trên môi trường Cloud

• Chương 2: Phân tích, thiết kế hệ thống PTaaS trên nền tảng đám mây Trình bày định nghĩa, đặc điểm và quy trình của PTaaS, đồng thời làm rõ lợi ích của dịch vụ này như tiết kiệm chi phí, kiểm tra liên tục và khả năng phát hiện

lỗ hổng nhanh

• Chương 3: Triển khai thực nghiệm và đánh giá hệ thống

Đưa ra một thiết kế giải pháp PTaaS cụ thể, bao gồm lựa chọn công cụ kiểm thử, kịch bản kiểm thử và phương pháp đánh giá hiệu quả của giải pháp

Qua quá trình nghiên cứu và triển khai đề án, học viên đã nỗ lực tìm hiểu lý thuyết, tiến hành thực nghiệm và đánh giá kết quả nhằm bảo đảm tính ứng dụng của công trình Do giới hạn về thời gian, phạm vi nghiên cứu cũng như kinh nghiệm thực tiễn, đề án khó tránh khỏi những thiếu sót nhất định cả về nội dung Học viên rất mong nhận được sự góp ý, chỉ dẫn tận tình của các thầy cô, cũng như những ý kiến đóng góp quý báu từ bạn đọc để tiếp tục hoàn thiện và nâng cao chất lượng nghiên cứu trong các công trình tiếp theo

CHƯƠNG 1: TỔNG QUAN VỀ AN TOÀN ĐIỆN TOÁN ĐÁM MÂY 1.1 Môi trường đám mây và an toàn thông tin

1.1.1 Định nghĩa về điện toán đám mây

Cloud Computing được hiểu là mô hình mang đến tài nguyên tính toán

thông qua Internet Người dùng có thể khai thác tài nguyên như hệ thống lưu trữ, các ứng dụng phần mềm, hay hạ tầng kỹ thuật mà không cần trực tiếp sở hữu phần cứng Đây là xu hướng công nghệ tiêu biểu của thời kỳ số hóa, mang lại cho tổ khả năng đáp ứng linh hoạt, mở rộng quy mô hiệu quả và tối ưu trong việc sử

dụng nguồn lực Theo Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST), ĐTĐM được mô tả là:

"Mô hình cho phép truy cập theo nhu cầu, qua mạng, đến một nhóm tài nguyên tính toán có thể cấu hình được (như mạng, máy chủ, lưu trữ, ứng dụng và dịch vụ) mà có thể được cấp phát và giải phóng nhanh chóng với nỗ lực quản lý tối thiểu hoặc tương tác với nhà cung cấp dịch vụ [1] "

Hình 1 Doanh thu của thị trường cloud được dự đoán trong tương lai

Giai đoạn khởi đầu (2000–2006) gắn liền với sự ra đời của dịch vụ web và

quá trình số hóa, trong đó Amazon EC2 (2006) đóng vai trò nền tảng cho việc

hình thành mô hình cung cấp tài nguyên theo nhu cầu Giai đoạn bùng nổ (2006– 2010) đánh dấu sự tham gia của nhiều tập đoàn công nghệ lớn, tiêu biểu như

Google (Google Cloud Platform, 2008) và Microsoft (Azure, 2010), góp phần mở

rộng phạm vi ứng dụng và tạo ra môi trường cạnh tranh mạnh mẽ Giai đoạn hiện tại và tương lai chứng kiến tốc độ tăng trưởng nhanh chóng, khi theo báo cáo của

Gartner (2023) [2], quy mô thị trường ĐTĐM toàn cầu dự kiến sẽ vượt 1.500 tỷ

USD vào năm 2030, với mức tăng trưởng bình quân khoảng 15% mỗi năm Những con số này cho thấy vai trò ngày càng khẳng định của công nghệ đám mây ĐTĐM sở hữu năm đặc điểm cốt lõi, được xác định như sau:

• Truy cập theo nhu cầu: Người dùng tự khởi tạo và quản lý tài nguyên (như máy chủ, lưu trữ hay phần mềm) phải trao đổi trực tiếp với nhà cung cấp dịch vụ

• Khả năng truy cập linh hoạt: Dịch vụ đám mây có thể được truy cập thông qua Internet từ các loại thiết bị khác nhau (máy tính, điện thoại, máy tính bảng), bảo đảm tính linh hoạt trong kết nối

• Tài nguyên dùng chung: Các nhà cung cấp gom nhóm tài nguyên để phân

bổ cho nhiều khách hàng, tối ưu hiệu năng và hạn chế tối đa chi phí đầu tư

• Khả năng co giãn linh hoạt: Tài nguyên có thể được mở rộng hoặc thu hẹp tùy theo nhu cầu thực tế, đảm bảo hệ thống có thể đáp ứng mức độ biến động khối lượng công việc

• Dịch vụ đo lường: Tài nguyên được giám sát và ghi nhận, cho phép tối ưu chi phí và tính minh bạch giữa khách hàng với nhà cung cấp

Bên cạnh đó, ĐTĐM mang lại nhiều lợi ích nổi bật so với mô hình CNTT truyền thống Doanh nghiệp không cần đầu tư lớn cho hạ tầng phần cứng hay trung tâm dữ liệu mà chỉ trả phí theo mức sử dụng, từ đó giảm đáng kể chi phí ban đầu Hơn nữa, việc mở rộng hoặc thu hẹp tài nguyên có thể diễn ra tức thời,

hỗ trợ doanh nghiệp thích ứng nhanh với nhu cầu kinh doanh Ngoài ra, việc quản

lý tập trung cũng giúp tăng cường hiệu quả vận hành, đồng thời cho phép nhân viên dễ dàng truy cập dữ liệu và ứng dụng từ nhiều địa điểm khác nhau Về mặt chiến lược, mô hình này giúp doanh nghiệp tập trung nguồn lực cho hoạt động cốt lõi, thay vì phải dàn trải đầu tư cho quản lý hạ tầng CNTT

Một minh chứng rõ ràng cho lợi thế của ĐTĐM là trường hợp Netflix Nền tảng này khai thác hạ tầng AWS để xử lý khối lượng khổng lồ, lên tới hàng tỷ giờ phát trực tuyến mỗi tháng Netflix có thể phục vụ đồng thời hàng trăm triệu người dùng Tương tự, Airbnb đã ứng dụng công nghệ này để nhanh chóng phát triển từ một công ty khởi nghiệp nhỏ thành nền tảng đặt phòng mang tính toàn cầu, mà không phải gánh chịu chi phí đầu tư lớn cho cơ sở hạ tầng vật lý

Hình 2 Minh họa AWS Management Console

Tuy nhiên, Cloud Computing cũng đi kèm với thách thức, đặc biệt là về bảo mật, tuân thủ quy định pháp lý, điều này sẽ được thảo luận chi tiết ở các phần sau

1.1.2 Mô hình dịch vụ và mô hình triển khai

ĐTĐM cung cấp sự linh hoạt chưa từng có cho các tổ chức bằng cách cung cấp nhiều mô hình dịch vụ và triển khai khác nhau Phần này sẽ làm rõ sự khác biệt và trường hợp sử dụng phù hợp của chúng

Các mô hình này không chỉ định nghĩa cách thức cung cấp dịch vụ đám mây

mà còn cách thức doanh nghiệp tận dụng chúng để đáp ứng các nhu cầu kinh cụ thể Sự đa dạng này cho phép các tổ chức tùy chỉnh các giải pháp của họ, tối ưu hóa chi phí, hiệu suất và bảo mật

1.1.2.1 Mô hình dịch vụ

Mô hình dịch vụ Cloud xác định loại tài nguyên mà NCC đám mây cung cấp cho khách hàng Có ba mô hình dịch vụ chính:

IaaS (Cơ sở hạ tầng như một dịch vụ)

IaaS đưa ra quyền truy cập vào các tài nguyên trực tiếp qua mạng Internet Các tài nguyên này bao gồm máy chủ (ảo hoặc vật lý), bộ nhớ, mạng và ảo hóa

IaaS đem lại khả năng linh hoạt và kiểm soát cao nhất đối với hạ tầng CNTT,

cho phép lựa chọn hệ điều hành, phần cứng và phần mềm phù hợp với nhu cầu

Mô hình này hỗ trợ khả năng mở rộng, giúp doanh nghiệp dễ dàng tăng, giảm tài nguyên tùy theo khối lượng công việc, đồng thời thanh toán theo mức sử dụng, nhờ đó giảm chi phí so với việc tự đầu tư và duy trì hạ tầng vật lý IaaS phù hợp với các doanh nghiệp cần xây dựng hạ tầng tùy chỉnh, các công ty khởi nghiệp hoặc tổ chức có khối lượng công việc biến động Một số nền tảng tiêu biểu của

IaaS là Amazon EC2, Google Compute Engine và Microsoft Azure Virtual Machines

Hình 3 Kiến trúc IaaS

PaaS (Nền tảng như một dịch vụ)

PaaS (Platform as a Service) cung cấp cho người dùng một nền tảng đã được chuẩn bị sẵn, bao gồm hạ tầng phần cứng (máy tính chủ, hệ thống lưu trữ, kết nối mạng) cùng với bộ công cụ phát triển, thư viện lập trình và các dịch vụ hỗ trợ Trong mô hình này, nhà cung cấp dịch vụ chịu trách nhiệm quản lý tầng hạ tầng,

hệ điều hành và môi trường chạy ứng dụng, cho phép người dùng tập trung chủ yếu vào việc xây dựng, triển khai và vận hành ứng dụng

Lợi ích của PaaS được đưa ra như sau:

• Năng suất cao hơn: Các nhà phát triển có thể tập trung vào mục tiêu công

vì thay vì quản lý cơ sở hạ tầng

• Thời gian đưa ra thị trường nhanh hơn: PaaS cung cấp các công cụ và dịch vụ có sẵn giúp đơn giản hóa quá trình phát triển

• Hỗ trợ vòng đời phát triển: PaaS cung cấp các công cụ để hỗ trợ toàn bộ

vòng đời phát triển ứng dụng

Các nền tảng hiện đang được áp dụng hiện nay: Heroku, Google App Engine,

Microsoft Azure App Service,…

Hình 4 Mô hình PaaS

SaaS (Phần mềm như một dịch vụ)

SaaS cung cấp các ứng dụng phần mềm trực tuyến theo yêu cầu, cho phép

sử dụng ngay mà không cần thiết lập hay quản lý hạ tầng và phần mềm nền tảng NCC đám mây chịu trách nhiệm toàn bộ về cơ sở hạ tầng, cập nhật, bản vá và bảo trì, trong khi việc khai thác ứng dụng được giải phóng cho người dùng SaaS đem đến nhiều lợi ích như truy cập mọi lúc, mọi nơi có internet, không yêu cầu bảo trì,

và chi phí thấp nhờ mô hình đăng ký linh hoạt SaaS thường sử dụng cho email, CRM, các ứng dụng cộng tác và kinh doanh, với những nền tảng tiêu biểu là

Salesforce, Microsoft Office 365 và Google Workspace

1.1.2.2 Mô hình triển khai

Mô hình triển khai đóng vai trò xác định cách thức một tổ chức hoặc cá nhân

sử dụng tài nguyên đám mây Việc lựa chọn mô hình phù hợp giúp đảm bảo hiệu suất, tính bảo mật, linh hoạt và tối ưu chi phí Các mô hình này chủ yếu xác định

địa điểm lưu trữ cơ sở hạ tầng Cloud (on-premises hay off-premises) và phương thức truy cập (mạng công cộng, mạng riêng hoặc kết hợp)

Dưới đây là bốn mô hình triển khai đám mây phổ biến:

Public Cloud (Đám mây công cộng)

Cơ sở hạ tầng đám mây được cung cấp bởi một nhà cung cấp bên thứ ba NCC sở hữu và quản lý cơ sở hạ tầng, đồng thời cung cấp các dịch vụ cho nhiều khách hàng Hiện nay các mô hình đám mây công cộng đang được đưa ra bởi nhiều đơn vị trên thế giới có thể kể đến:Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP),…

Mô hình này có đặc điểm nổi bật là truy cập qua internet công cộng, và khả năng tự phục vụ, giúp người dùng dễ dàng cấp phát tài nguyên theo nhu cầu Tuy nhiên, mô hình này cũng tồn tại những hạn chế như mức độ kiểm soát thấp, nguy

cơ bảo mật gia tăng do chia sẻ hạ tầng, và khó khăn khi việc đáp ứng các yêu cầu trong các lĩnh vực chặt chẽ về quản lý dữ liệu

Private Cloud (Đám mây riêng)

Cơ sở hạ tầng đám mây được dành riêng cho một tổ chức duy nhất Nó có thể được lưu trữ tại chỗ hoặc ngoài khuôn viên, đồng thời có thể được quản lý bởi

tổ chức hoặc bên thứ ba

Mô hình nổi bật nhờ việc cơ sở hạ tầng được sử dụng một tổ chức, cung cấp khả năng quản lý và bảo mật tốt hơn, truy cập qua mạng riêng hoặc kết nối an toàn, và khả năng tùy chỉnh cao, nhờ đó mang lại mức bảo mật và kiểm soát vượt trội so với đám mây công cộng Nó cũng đi kèm với những hạn chế đáng kể như

chi phí đầu tư và vận hành cao, trách nhiệm quản lý phức tạp hơn, cùng với khả năng mở rộng hạn chế

Hybrid Cloud (Đám mây lai)

Sự kết hợp giữa Public Cloud và Private Cloud, cho phép các ứng dụng và

dữ liệu được chia sẻ giữa chúng Việc pha trộn các đặc điểm của các mô hình trước đó giúp tạo lên sự linh hoạt, các tổ chức có thể lựa chọn mô hình hiệu quả cho từng ứng dụng và dữ liệu nhằm tối ưu hoá chi phí và hiệu suất Nâng cao được bảo mật khi có thể phân loại dữ liệu nhạy cảm trong mô hình Private Cloud nhưng không làm mất đi tính tiện lợi đối với các dự liệu truy cập trên mô hình Public Cloud

Mô hình này không chỉ có các ưu điểm đã nêu, song song với đó, các thách thức được đề ra khi các tổ chức sử dụng có thể được đề ra:

• Độ phức tạp: Quản lý một môi trường kết hợp là thách thức, yêu cầu cao đối với đội ngũ kỹ thuật

• Vấn đề tương thích: Duy trì khả năng tương thích giữa các đám mây có

thể là một thách thức, đòi hỏi lập kế hoạch và tích hợp cẩn thận

• Yêu cầu kỹ năng: Đòi hỏi các chuyên môn cao để quản lý cả đám mây

công cộng và đám mây riêng, làm tăng thêm chi phí lao động

Hình 8 Đám mây lai với kết nối giữa đám mây riêng và đám mây công

cộng

Community Cloud (Đám mây cộng đồng)

Hạ tầng đám mây được chia sẻ bởi một số tổ chức có chung các mối quan tâm (ví dụ: bảo mật, tuân thủ, mục tiêu), được quản lý bởi các tổ chức hoặc bên thứ ba, cho phép các bên cộng tác và chia sẻ tài nguyên Việc quản lý có thể được đảm nhận bởi từng bên hoặc do một bên thứ ba đứng ra đảm nhận, mang lại sự linh hoạt trong cách vận hành Một ưu điểm khác của mô hình này chính là việc chi phí sẽ chia sẻ giữa các tổ chức, giảm tải tài chính cho từng bên Bảo mật cũng như việc kiểm soát sẽ được toàn quyền hơn khi so sánh với mô hình Public Cloud Nhược điểm của mô hình Community Cloud:

• Khả năng mở rộng hạn chế: Bị giới hạn bởi nhu cầu của cộng đồng, gây khó khăn cho khi đối mặt nhu cầu tăng đột biến

• Tính linh hoạt hạn chế: Có thể không linh hoạt như đám mây công cộng, hạn chế các tùy chọn tùy chỉnh

• Yêu cầu quản lý: Cần sự phối hợp giữa các tổ chức, làm tăng thêm sự phức

tạp cho việc quản lý

So sánh đặc điểm các mô hình triển khai được trình bày trong bảng 1

Bảng 1 Bảng so sánh mô hình triển khai

Đặc

điểm

Public Cloud

Private Cloud

Hybrid Cloud

Community Cloud

Đối

tượng sử

dụng

Nhiều tổ chức

Một tổ chức duy nhất

Kết hợp giữa một hay nhiều tổ chức

Nhóm tổ chức

có chung nhu cầu

Quyền

sở hữu

Nhà cung cấp dịch

vụ

Tổ chức

sử dụng

Chia sẻ giữa hai bên

Chia sẻ giữa nhiều tổ chức

Chi phí

Thấp (trả theo mức dùng)

Cao (đầu

tư lớn)

Trung bình đến cao

Thấp Cao Trung bình đến cao Trung bình đến cao

Bảo mật Thấp đến trung bình Cao Phụ thuộc cấu hình

triển khai

Trung bình đến cao

Mô hình dịch vụ và triển khai đám mây phù hợp là yếu tố quan trọng giúp tổ chức tận dụng tối đa lợi ích của ĐTĐM Hiểu rõ các mô hình này giúp tối ưu chi phí và tài nguyên, đảm bảo hiệu quả hoạt động, bảo mật và khả năng mở rộng

1.1.3 Các vấn đề an toàn thông tin trên môi trường đám mây

ĐTĐM mang lại nhiều lợi ích cho doanh nghiệp Bên cạnh ưu điểm, doanh nghiệp cũng gặp phải những nguy cơ bảo mật mà các tổ chức cần giải quyết để bảo vệ dữ liệu và hệ thống quan trọng của mình Dưới đây là những rủi ro bảo mật chính liên quan đến ĐTĐM đối với doanh nghiệp:

• Rò rỉ dữ liệu do cấu hình sai

Cấu hình sai là một trong những rủi ro bảo mật phổ biến nhất trong môi trường đám mây Nó xảy ra khi các cài đặt bảo mật không được thiết lập đúng cách, dẫn đến việc dữ liệu nhạy cảm có thể bị truy cập trái phép Ví dụ: cấu hình

sai phổ biến là để bộ chứa S3 ở chế độ công khai, cho phép bất kỳ ai đều có thể truy cập dữ liệu bên trong

• Tấn công DDoS (Từ chối dịch vụ phân tán)

Kẻ tấn công lợi dụng lưu lượng truy cập giả mạo để làm tê liệt hệ thống, làm dịch vụ hợp pháp không thể truy cập Với đặc điểm tập trung tài nguyên, các nền tảng đám mây đặc biệt dễ trở thành mục tiêu Hậu quả của DDoS không chỉ làm gián đoạn hoạt động, mà còn kéo theo thiệt hại tài chính và uy tín của tổ chức chịu tác động

• Quản lý truy cập không đầy đủ

Quản lý truy cập đề cập đến quá trình kiểm soát ai có quyền truy cập vào tài nguyên và dữ liệu Quản lý truy cập không đầy đủ xảy ra khi các quyền truy cập không được xác định và thực thi đúng cách, dẫn đến việc truy cập trái phép vào

dữ liệu nhạy cảm Các nhà cung cấp xử lý một lượng lớn dữ liệu nhạy cảm Quản

lý truy cập không đầy đủ có thể dẫn đến một số rủi ro, bao gồm:

- Rò rỉ dữ liệu nội bộ: Nhân viên hoặc người dùng có thể lạm dụng quyền truy

cập của họ để đánh cắp hoặc làm rò rỉ dữ liệu khách hàng nhạy cảm, kết quả kiểm tra hoặc thông tin bí mật

- Rò rỉ dữ liệu khách hàng: Những kẻ tấn công có thể khai thác các phương

thức kiểm soát truy cập yếu kém, chẳng hạn như mật khẩu yếu, thiếu xác thực đa yếu tố,… để truy cập trái phép vào dữ liệu khách hàng Sau khi có được quyền, chúng có thể đánh cắp dữ liệu nhạy cảm, sửa đổi kết quả kiểm tra hoặc thậm chí

sử dụng để tấn công vào các hệ thống khác

- Thay đổi trái phép các công cụ và cấu hình kiểm tra: Những kẻ tấn công

xâm nhập vào hệ thống và sửa đổi các công cụ kiểm tra, cấu hình hoặc cài đặt để làm sai lệch kết quả Nó cũng có thể phá hoại tính toàn vẹn của dịch vụ, khiến suy giảm niềm tin vào độ tin cậy của nền tảng

Để hạn chế rủi ro phát sinh, NCC dịch vụ thường triển khai các cơ chế kiểm soát truy cập chặt chẽ Các biện pháp này dựa trên một số nguyên tắc cơ bản, chẳng hạn như “nguyên tắc đặc quyền tối thiểu”, đảm bảo rằng người dùng chỉ có quyền truy cập đúng phạm vi cần thiết để hoàn thành nhiệm vụ Ngoài ra, xác thực đa yếu tố (MFA) cũng được xem là giải pháp then chốt, yêu cầu người dùng phải kết hợp nhiều yếu tố nhận dạng, ví dụ mật khẩu cùng thiết bị di động, nhằm giảm thiểu nguy cơ chiếm quyền truy cập trái phép Kiểm tra truy cập thường xuyên nhằm xác định và thu hồi kịp thời mọi quyền truy cập không cần thiết

• Lỗ hổng ứng dụng

Các ứng dụng web đóng vai trò trung tâm trong nhiều dịch vụ đám mây, bởi đây là cầu nối trực tiếp giữa khách hàng với hệ thống quản lý Tuy nhiên, do tính chất mở và khả năng truy cập từ xa, các ứng dụng này thường trở thành mục tiêu tấn công phổ biến của tin tặc nếu không được triển khai các biện pháp bảo mật phù hợp

Một số lỗ hổng thường gặp có thể kể đến như SQL Injection, Cross-Site Scripting (XSS) hay Cross-Site Request Forgery (CSRF) Những lỗ hổng này,

nếu bị khai thác, có thể gây ra hậu quả nghiêm trọng cho cả NCC dịch vụ lẫn khách hàng.:

- Chiếm quyền truy cập trái phép: SQL Injection là kỹ thuật trong đó kẻ tấn

công chèn các đoạn mã SQL độc hại vào các truy vấn của ứng dụng web để lấy

dữ liệu nhạy cảm từ CSDL của ứng dụng Hậu quả có thể là rò rỉ thông tin nhạy cảm, bao gồm dữ liệu khách hàng hoặc thông tin xác thực của hệ thống cho phép

kẻ tấn công chèn mã độc, thường dưới dạng JavaScript, vào các trang web được người dùng khác truy cập Khi mã này được thực thi trong trình duyệt, tin tặc có thể đánh cắp cookie phiên, chiếm đoạt tài khoản hoặc phát tán phần mềm độc hại

- Thực hiện các hành động thay mặt cho người dùng trái phép: CSRF là một

loại tấn công trong đó, kẻ tấn công lừa người dùng đã xác thực gửi một yêu cầu không chủ định Điều này cho phép kẻ tấn công thực hiện các tác vụ như thay đổi cài đặt tài khoản, thay đổi thông tin trái phép hoặc thậm chí chuyển tiền người dùng Các cuộc tấn công CSRF có thể phá hoại tính toàn vẹn của dịch vụ và dẫn đến các hậu quả nghiêm trọng cho cả NCC và khách hàng của họ

NCC phải ưu tiên bảo mật ứng dụng với các biện pháp như:

- Phát triển lập trình an toàn: bao gồm việc tuân theo các nguyên tắc để viết

mã an toàn, chẳng hạn như xác thực đầu vào, mã hóa đầu ra và sử dụng các thư viện và khuôn khổ an toàn

- Kiểm tra thâm nhập thường xuyên, cả tự động và thủ công, nhằm xác định các lỗ hổng ứng dụng trước khi kẻ tấn công có thể khai thác chúng

- Thiết lập các cơ chế phòng thủ mạnh mẽ, chẳng hạn như tường lửa ứng dụng web (WAF), hệ thống phát hiện xâm nhập (IDS) và hệ thống ngăn chặn xâm nhập (IPS) Các công cụ này hỗ trợ giám sát lưu lượng, phát hiện dấu hiệu tấn công và kịp thời chặn đứng những hành vi bất thường nhằm bảo vệ ứng dụng trong thời gian thực

1.1.4 Hạn chế của các biện pháp bảo mật truyền thống

Các biện pháp truyền thống như tường lửa và hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS) từ lâu đã là nền tảng của cơ sở hạ tầng an ninh mạng Tường lửa kiểm tra lưu lượng mạng đến và đi, chặn mọi thứ không đáp ứng các quy tắc được đặt ra Mặt khác, IDS/IPS giống như hệ thống báo động và camera giám sát, theo dõi mạng để tìm các hoạt động đáng ngờ và có khả năng chặn hoặc báo cáo chúng Tuy nhiên, các giải pháp này được thiết kế chủ yếu để bảo vệ ranh giới mạng - ranh giới rõ ràng giữa mạng bên trong đáng tin cậy của một tổ chức và thế giới bên ngoài không đáng tin cậy

ĐTĐM đã mang lại tính linh hoạt, co giãn chưa từng có, nhưng nó cũng làm

mờ đi ranh giới mạng truyền thống Dữ liệu và ứng dụng không còn nằm cố định trong một mạng nội bộ duy nhất mà thay vào đó được phân tán trên các máy chủ, trung tâm xử lý dữ liệu và cả các NCC đám mây khác nhau Sự phân tán này đưa

ra những thách thức đáng kể cho các biện pháp bảo mật truyền thống, vốn phải phát triển để theo kịp bản chất động và không biên giới của đám mây

Các biện pháp bảo mật truyền thống chủ yếu dựa vào các quy tắc và dấu hiệu được xác định trước để xác định các mối đe dọa đã biết Mặc dù chúng có hiệu quả chặn các cuộc tấn công đơn giản, nhưng chúng thường không thể phát hiện được các cuộc tấn công zero-day - các cuộc tấn công khai thác các lỗ hổng chưa được biết đến đối với phần mềm và cộng đồng bảo mật Trong môi trường đám mây, nơi các hệ thống phức tạp và phát triển, nguy cơ gặp phải các cuộc tấn công zero-day thậm chí còn cao hơn, khiến các biện pháp bảo mật truyền thống trở nên không đủ

Các giải pháp truyền thống thiếu khả năng kiểm tra liên tục Môi trường

đám mây có tính chất rất năng động, với các tài nguyên được thêm vào, xóa và sửa đổi liên tục Các giải pháp bảo mật truyền thống thường dựa vào các cuộc quét và đánh giá định kỳ để xác định các lỗ hổng, nhưng những điều này có thể nhanh chóng trở nên lỗi thời trong môi trường đám mây thay đổi nhanh chóng

Có thể có một khoảng thời gian đáng kể giữa thời điểm một lỗ hổng xuất hiện và thời điểm nó được phát hiện, cho phép những kẻ tấn công có đủ thời gian để khai thác nó Hơn nữa, các giải pháp truyền thống thường thiếu khả năng phản ứng tự động với các sự cố bảo mật trong thời gian thực, đòi hỏi sự can thiệp thủ công có thể chậm và tốn kém

Các doanh nghiệp cần hướng tới việc áp dụng những biện pháp bảo mật hiện đại hơn nhằm đảm bảo an toàn cho hệ thống và dữ liệu được triển khai trên nền tảng Cloud Một trong những giải pháp đầy hứa hẹn như vậy là Kiểm thử xâm nhập như một dịch vụ (PTaaS) PTaaS là mô hình dựa trên đám mây, cung cấp cho các tổ chức khả năng tiến hành kiểm tra xâm nhập theo yêu cầu đối với môi trường đám mây của họ Không giống như kiểm tra xâm nhập truyền thống, thường được thực hiện thủ công và không thường xuyên, PTaaS cung cấp một cách tiếp cận tự động và liên tục phát hiện và khắc phục các lỗ hổng bảo mật

1.1.5 Các tiêu chuẩn và quy định về bảo mật đám mây

ĐTĐM đã tạo điều kiện cho các mô hình dịch vụ mới, cho phép tổ chức truy cập từ xa, linh hoạt và theo nhu cầu Tuy nhiên, việc triển khai trên nền tảng Cloud cũng đặt ra những thách thức nghiêm trọng về bảo mật và tuân thủ pháp lý Bởi

lẽ, quá trình truy cập vào hệ thống, xử lý dữ liệu nhạy cảm và thao tác trên hạ tầng của khách hàng chúng đều là những hoạt động tiềm ẩn nguy cơ vi phạm quyền riêng tư, mất mát dữ liệu hoặc xung đột pháp lý nếu không tuân thủ các chuẩn mực bảo mật

Để đảm bảo vận hành an toàn và đáng tin cậy, nhà cung cấp cần xây dựng

hệ thống tuân thủ các tiêu chuẩn bảo mật quốc tế, khu vực và quốc gia Dưới đây

sẽ đưa ra một số bộ tiêu chuẩn bảo mật nổi tiếng:

- ISO/IEC 27017 [3]

Bộ tiêu chuẩn này được phát triển trên nền nguyên tắc quản lý ATTT chung, nhưng bổ sung thêm những kiểm soát đặc thù cho môi trường đám mây Trọng tâm của ISO/IEC 27017 là đảm bảo sự rõ ràng trong việc phân định trách nhiệm giữa nhà cung cấp dịch vụ và khách hàng, quản lý vòng đời dữ liệu, kiểm soát truy cập cũng như cơ chế quản lý tài nguyên Đây được coi là khung tham chiếu giúp các tổ chức vận hành hạ tầng đám mây an toàn và minh bạch hơn

- CCM [4]

Hiệp hội An ninh Đám mây (Cloud Security Alliance – CSA) cũng phát triển một bộ khung kiểm soát là Cloud Controls Matrix (CCM) Khung này bao quát các biện pháp kỹ thuật và quản lý trải rộng trên nhiều lĩnh vực như: quản lý rủi

ro, kiểm soát truy cập, giám sát vận hành hay bảo mật dữ liệu Điểm đặc biệt của CCM là khả năng đối chiếu linh hoạt với nhiều tiêu chuẩn và quy định khác nhau,

từ các chuẩn quốc tế cho tới quy định chuyên ngành như tài chính hay thanh toán điện tử Điều này giúp doanh nghiệp khi triển khai dịch vụ có thể dễ dàng tích

hợp CCM vào hệ thống quản trị bảo mật trước đó, từ đó giảm thiểu chồng chéo

và tối ưu nguồn lực tuân thủ

- GDPR [5]

Quy định chung về bảo vệ dữ liệu của Liên minh châu Âu (GDPR) ra đời năm 2018 nhằm thiết lập chuẩn mực toàn cầu về quyền riêng tư Quy định này xác định rõ các nguyên tắc nền tảng cho việc thu thập, xử lý và lưu trữ thông tin

cá nhân, nhấn mạnh yếu tố minh bạch, hợp pháp và giới hạn mục đích sử dụng dữ liệu Ngoài ra, GDPR đặt ra yêu cầu nghiêm ngặt về việc thông báo sự cố rò rỉ dữ liệu trong khoảng thời gian ngắn, đồng thời quy định mức phạt tài chính rất cao nhằm đảm bảo tính răn đe Tác động của GDPR không chỉ giới hạn trong phạm

vi châu Âu mà còn lan rộng đến nhiều quốc gia và tổ chức toàn cầu có hoạt động kinh doanh liên quan đến thị trường này

- Luật An ninh mạng Việt Nam (2018) [6]

Tại Việt Nam, Luật An ninh mạng được ban hành năm 2018 và có hiệu lực

từ năm 2019, là khung pháp lý trong việc bảo đảm ATTT quốc gia Trong đó chỉ đạo các hoạt động trên không gian mạng, mà còn quy định rõ trách nhiệm của NCC dịch vụ Internet và dịch vụ trực tuyến Điểm nổi bật là yêu cầu các NCC nước ngoài khi kinh doanh tại Việt Nam phải lưu trữ dữ liệu người dùng trong lãnh thổ và duy trì văn phòng đại diện Ngoài ra, luật cũng nhấn mạnh nghĩa vụ bảo vệ hệ thống thông tin quan trọng, xây dựng quy trình ứng phó sự cố Với những quy định này, Luật An ninh mạng trở thành cơ sở pháp lý trọng yếu, giúp định hình môi trường an toàn cho việc phát triển dịch vụ số tại Việt Nam

Các tiêu chuẩn và quy định nêu trên không chỉ bổ trợ cho nhau mà còn tạo thành một hệ sinh thái khung pháp lý và kỹ thuật, bao quát từ các yêu cầu bảo mật

kỹ thuật thuần túy (như ISO/IEC 27017, CSA) đến bảo vệ quyền riêng tư và dữ liệu cá nhân (như GDPR), và cuối cùng là các quy định pháp lý cấp quốc gia (như Luật An ninh mạng Việt Nam) Việc hiểu rõ nội dung, phạm vi và yêu cầu của từng tiêu chuẩn là bước quan trọng để các tổ chức vận hành hạ tầng đám mây một cách an toàn, tuân thủ và bền vững [3] – [6]

1.2 Kiểm thử xâm nhập trên môi trường điện toán đám mây

1.2.1 Khái niệm kiểm thử xâm nhập và vai trò trong bảo mật đám mây

Kiểm thử xâm nhập (Penetration Testing) là phương pháp đánh giá chủ

động mức độ an toàn của hệ thống đám mây thông qua việc mô phỏng các kịch bản tấn công từ bên ngoài Mục đích cốt lõi của hoạt động này là nhận diện lỗ

hổng, phát hiện những điểm yếu tiềm ẩn trong cấu hình hoặc kiến trúc hệ thống,

từ đó giảm nguy cơ bị kẻ tấn công khai thác gây thiệt hại

Kết quả thu thập từ kiểm thử xâm nhập là cơ sở để các đội ngũ bảo mật và phát triển cải thiện kiến trúc hệ thống, quy trình làm việc và các chính sách an ninh, từ đó nâng cao khả năng phòng thủ chủ động và hiệu quả

Nhiều tiêu chuẩn bảo mật và quy định pháp lý quốc tế (như ISO 27001 [3], GDPR [5]) yêu cầu các tổ chức phải thực hiện các cuộc đánh giá an ninh độc lập Kiểm thử xâm nhập là một yếu tố bắt buộc để chứng minh sự tuân thủ nghiêm ngặt này

Mặc dù mang lại nhiều lợi ích, kiểm thử xâm nhập trên môi trường đám mây cũng đối mặt với một số khó khăn Đầu tiên là sự phức tạp của mô hình cộng đồng, đòi hỏi phải xác định rõ phạm vi kiểm thử để tránh xâm phạm vào cơ sở hạ tầng của NCC dịch vụ đám mây hoặc các bên không nằm trong phạm vi đánh giá của tổ chức Hơn nữa, tính chất động của môi trường đám mây, nơi các tài nguyên được tạo và loại bỏ liên tục, yêu cầu cách tiếp cận linh hoạt và liên tục hơn

1.2.2 Phân loại kiểm thử xâm nhập

Tùy thuộc vào mức độ thông tin được cung cấp cho người kiểm thử, ta có thể phân loại chúng, mỗi loại mô phỏng một kịch bản tấn công khác nhau và mang lại những lợi ích riêng biệt Các loại kiểm thử này được định nghĩa trong OWASP Testing Guide [7] và NIST SP 800-115 [8]

Kiểm thử Hộp đen (Black-box Testing)

Phương pháp kiểm thử hộp đen mô phỏng một cuộc tấn công từ bên ngoài, nơi người kiểm thử không có bất kỳ thông tin nào về nội bộ của hệ thống Họ chỉ biết tên miền hoặc địa chỉ IP của ứng dụng và cố gắng khai thác các lỗ hổng bằng cách sử dụng các kỹ thuật thu thập và quét bề mặt tương tự như một kẻ tấn công thực thụ Ưu điểm của phương pháp này là việc cung cấp một đánh giá khách quan và rõ ràng về độ chống chịu của hệ thống trước một mối đe dọa không có thông tin nội bộ Tuy nhiên, nhược điểm quá trình này là thời gian và công sức để khám phá các lỗ hổng tiềm ẩn lớn, và có khả năng bỏ sót các điểm yếu nằm sâu bên trong cấu trúc hệ thống hoặc trong logic nghiệp vụ phức tạp

Kiểm thử Hộp trắng (White-box Testing)

Ngược lại với hộp đen, kiểm thử hộp trắng đòi hỏi người kiểm thử phải có đầy đủ thông tin chi tiết về hệ thống mục tiêu, bao gồm mã nguồn ứng dụng, sơ

đồ kiến trúc, thông tin cấu hình và thậm chí là thông tin xác thực quản trị Với

mức độ truy cập này, người kiểm thử có thể thực hiện một cuộc đánh giá toàn diện và chi tiết, tập trung vào tìm kiếm lỗ hổng logic lập trình, các lỗi cấu hình sai hoặc các vấn đề bảo mật trong mã nguồn Ưu điểm chính của phương pháp này cho phép phát hiện các lỗ hổng khó phát hiện bằng phương pháp khác và cung cấp các đề xuất khắc phục cụ thể, hiệu quả Tuy nhiên, một điểm hạn chế là phương pháp này không phản ánh chính xác một cuộc tấn công từ bên ngoài, vì

kẻ tấn công thực tế thường không có đầy đủ thông tin này

Kiểm thử Hộp xám (Gray-box Testing)

Kiểm thử hộp xám là sự kết hợp cân bằng giữa hai phương pháp trên Người kiểm thử được cung cấp một số thông tin hạn chế về hệ thống, ví dụ như thông tin xác thực của một tài khoản người dùng thông thường, cấu trúc mạng cơ bản hoặc sơ đồ luồng dữ liệu Cách tiếp cận này giúp mô phỏng cả một cuộc tấn công

từ bên ngoài và nội bộ Bằng cách này, kiểm thử hộp xám cung cấp một đánh giá thực tế và hiệu quả hơn so với kiểm thử hộp đen, đồng thời tiết kiệm thời gian và công sức hơn so với kiểm thử hộp trắng Hiệu quả đạt được cũng phụ thuộc vào lượng thông tin ban đầu được cung cấp Đây cũng là phương pháp được nhiều tổ chức thực hiện

1.3 Đặc điểm và lợi ích của mô hình PTaaS trong môi trường đám mây

PTaaS là mô hình dựa trên đám mây, mang lại cho các tổ chức khả năng tiến hành kiểm thử xâm nhập theo yêu cầu đối với môi trường của họ Không giống như kiểm thử xâm nhập truyền thống, thường được thực hiện không thường xuyên, PTaaS cung cấp một cách tiếp cận tự động và liên tục để phát hiện và khắc phục các lỗ hổng bảo mật

PTaaS là một dịch vụ kiểm thử thâm nhập được triển khai qua mô hình "dịch vụ" (as-a-service), tương tự như các mô hình Cloud Computing (IaaS, PaaS,

SaaS) Theo Cloud Security Alliance (CSA), PTaaS được hiểu là:

"Một dịch vụ kiểm thử bảo mật được cung cấp qua nền tảng đám mây, cho phép doanh nghiệp thực hiện kiểm thử thâm nhập định kỳ hoặc theo thời gian thực để phát hiện lỗ hổng trong hệ thống, ứng dụng và hạ tầng Cloud."

PTaaS thường được triển khai thông qua các nền tảng trực tuyến, nơi doanh nghiệp có thể đăng ký, lựa chọn phạm vi kiểm thử, và nhận báo cáo chi tiết về các

lỗ hổng bảo mật cùng giải pháp khắc phục

Trong mô hình PTaaS, các NCC sử dụng một nền tảng dựa trên đám mây để mang đến các công cụ, cơ sở hạ tầng và chuyên môn cần thiết để tiến hành kiểm

thử xâm nhập Khách hàng có thể truy cập nền tảng thông qua internet và bắt đầu kiểm tra trên các hệ thống và ứng dụng được chỉ định của họ Nền tảng này sau

đó tự động hóa quá trình kiểm tra, thực hiện một loạt các cuộc tấn công mô phỏng

để xác định các điểm yếu có thể bị khai thác

Các nền tảng PTaaS được thiết kế để đơn giản hóa và hợp lý hóa toàn bộ quy trình kiểm tra xâm nhập Thay vì các nhóm bảo mật của tổ chức tự thực hiện kiểm tra xâm nhập hoặc thuê các chuyên gia tư vấn bên ngoài cho từng dự án, PTaaS cung cấp một giải pháp tập trung và nhất quán có thể được truy cập và quản lý từ

xa Điều này không chỉ giúp giảm chi phí và phức tạp liên quan đến kiểm tra xâm nhập truyền thống mà còn cho phép các tổ chức tiến hành kiểm tra thường xuyên hơn và theo cách nhất quán hơn

Theo báo cáo của Gartner (2023), thị trường PTaaS dự kiến sẽ tăng trưởng

20% từ nay đến 2028, nhờ vào sự gia tăng của các mối đe dọa mạng và nhu cầu bảo mật liên tục trong môi trường Cloud

PTaaS vượt trội hơn nhờ tính linh hoạt, khả năng kiểm tra liên tục và chi phí thấp, phù hợp với các doanh nghiệp trên nền tảng Cloud

• Các đặc điểm chính của nền tảng PTaaS bao gồm:

- Tự động hóa: PTaaS tự động hóa quá trình kiểm thử xâm nhập, chẳng hạn

như quét lỗ hổng, khai thác và báo cáo Điều này giúp giảm đáng kể thời gian và công sức cần thiết để tiến hành đánh giá, đồng thời tăng tính nhất quán và hiệu quả Các nền tảng PTaaS sử dụng các công cụ và lệnh tự động để thực hiện nhiều tác vụ khác nhau như khám phá mạng, quét cổng, xác định dịch vụ và ứng dụng, đồng thời tìm kiếm các lỗ hổng đã biết Bằng cách này, PTaaS cho phép các chuyên gia bảo mật tập trung vào các khía cạnh phức tạp và có giá trị hơn của quá trình kiểm tra xâm nhập, chẳng hạn như khai thác các lỗ hổng được tìm thấy và phân tích tác động của chúng

- Tính liên tục: PTaaS cho phép các tổ chức tiến hành kiểm thử xâm nhập

thường xuyên hơn, thậm chí liên tục Điều này là do nền tảng này luôn sẵn sàng

và có thể được lên lịch để chạy kiểm thử tự động theo lịch Kiểm thử liên tục giúp các tổ chức luôn cập nhật các lỗ hổng bảo mật mới nhất và giảm thiểu rủi ro bị tấn công PTaaS cho phép các tổ chức theo kịp những thay đổi này bằng cách cung cấp khả năng đánh giá liên tục, đảm bảo rằng lỗ hổng được xác định và khắc phục kịp thời

- Khả năng mở rộng: Các nền tảng PTaaS có khả năng mở rộng cao, có thể

đáp ứng nhu cầu quy mô khác nhau Từ công ty khởi nghiệp nhỏ hay một doanh nghiệp lớn, PTaaS đều có thể cung cấp khả năng kiểm thử xâm nhập Các nền tảng PTaaS có thể dễ dàng mở rộng hoặc thu nhỏ để phù hợp với thay đổi của một

tổ chức Điều này đặc biệt quan trọng đối với các tổ chức có môi trường đám mây năng động, nơi tài nguyên được thêm vào hoặc xóa đi một cách dễ dàng

- Tiêu chuẩn hóa: PTaaS mang đến một cách tiếp cận tiêu chuẩn hóa để kiểm

thử xâm nhập, đảm bảo tất cả các cuộc kiểm thử được tiến hành theo cùng một phương pháp luận Điều này giúp cải thiện chất lượng và độ tin cậy của kết quả kiểm thử Các nền tảng PTaaS thường tuân theo các khung và tiêu chuẩn kiểm thử xâm nhập đã được thiết lập, chẳng hạn như OWASP Testing Guide, NIST SP 800-115 và PTES Điều này đảm bảo các cuộc kiểm thử được tiến hành một cách nhất quán và toàn diện, đồng thời các kết quả có thể so sánh được giữa các lần kiểm tra khác nhau

- Tính cộng đồng: Các nền tảng PTaaS thường cho phép cộng tác giữa các

nhóm bảo mật khác nhau trong một tổ chức Điều này cho phép chia sẻ thông tin trong các hoạt động bảo mật PTaaS có thể cung cấp một môi trường chung để các nhóm bảo mật chia sẻ thông tin, cộng tác trong các dự án kiểm tra xâm nhập

và phối hợp các nỗ lực khắc phục

PTaaS đưa đến một giải pháp mạnh mẽ và hiệu quả để các tổ chức tiến hành kiểm tra xâm nhập trong môi trường đám mây Bằng cách tự động hóa và liên tục hóa quá trình kiểm tra, PTaaS giúp các tổ chức xác định và khắc phục các lỗ hổng bảo mật trước khi chúng có thể bị khai thác bởi những kẻ tấn công Với khả năng

tự động hóa, liên tục, khả năng mở rộng, tiêu chuẩn hóa, báo cáo và cộng tác, PTaaS cho phép các tổ chức cải thiện đáng kể tư thế bảo mật của họ và giảm thiểu rủi ro tấn công mạng

• Lợi ích của mô hình PTaaS trong môi trường đám mây

PTaaS mang lại một số lợi ích cho các tổ chức muốn tăng cường bảo mật, bao gồm:

- Cải thiện phạm vi bảo mật: PTaaS cung cấp phạm vi bảo mật rộng, nó có thể

dễ dàng mở rộng hướng tới tất cả các tài nguyên và hệ thống của tổ chức PTaaS

có thể cung cấp phạm vi bảo mật trên nhiều loại tài sản và hệ thống Các nền tảng PTaaS có thể kiểm tra các ứng dụng, mạng, máy chủ đám mây và các thành phần

hạ tầng khác Phạm vi bảo mật rộng này cho phép các tổ chức có được cái nhìn

toàn diện về hiện trạng và xác định các lỗ hổng có thể tồn tại trong môi trường đám mây của họ

- Tăng cường hiệu quả: PTaaS tự động hóa các bước quan trọng trong kiểm

thử xâm nhập như thu thập, quét lỗ hổng và tạo báo cáo, nhờ đó tiết kiệm thời gian và giảm sai sót do con người Cách tiếp cận này cho phép tổ chức kiểm thử thường xuyên hơn, nhanh chóng phát hiện và khắc phục lỗ hổng, đồng thời giảm tải công việc cho chuyên gia bảo mật để tập trung vào các nhiệm vụ khác Việc kiểm tra liên tục cũng giúp rút ngắn thời gian tồn tại của điểm yếu trước khi bị khai thác, cải thiện mức độ ATTT tổng thể của hệ thống

- Giảm chi phí: PTaaS có ưu thế về chi phí so với phương pháp kiểm thử xâm

nhập truyền thống Do được cung cấp dưới dạng dịch vụ Cloud, các tổ chức không cần đầu tư vào hạ tầng phần cứng, phần mềm chuyên dụng hay duy trì một đội ngũ kiểm thử nội bộ Thay vào đó, các công cụ và nguồn lực cần thiết được truy cập thông qua hình thức đăng ký dịch vụ Bên cạnh đó, PTaaS thường áp dụng các mô hình định giá linh hoạt, chẳng hạn trả phí theo mức sử dụng, giúp doanh nghiệp dễ dàng tối ưu chi phí và phù hợp với quy mô hoạt động thực tế

- Kiểm tra liên tục: PTaaS cho phép các tổ chức tiến hành kiểm tra xâm nhập

thường xuyên hơn, thậm chí liên tục Điều này là do nền tảng này luôn có sẵn và

có thể được lên lịch để chạy kiểm tra tự động theo các khoảng thời gian đều đặn Kiểm tra liên tục giúp các tổ chức luôn cập nhật các lỗ hổng bảo mật mới nhất và giảm thiểu rủi ro bị tấn công

- Đáp ứng tiêu chuẩn tuân thủ: PTaaS là yếu tố quan trọng trong việc hỗ trợ

doanh nghiệp đáp ứng các tiêu chuẩn và quy định bảo mật quốc tế như GDPR, ISO/IEC 27001 hay PCI DSS Đây đều là những tiêu chuẩn bắt buộc đối với nhiều

tổ chức, đặc biệt là các đơn vị hoạt động trên nền tảng đám mây, nơi dữ liệu người dùng được lưu trữ và xử lý trên hạ tầng phân tán Nhờ cơ chế kiểm thử liên tục và khả năng cung cấp báo cáo chi tiết, PTaaS giúp doanh nghiệp chứng minh mức

độ tuân thủ, đồng thời đáp ứng yêu cầu khắt khe của cơ quan quản lý về bảo mật

và bảo vệ dữ liệu cá nhân

• Yêu cầu đối với nhà cung cấp dịch vụ PTaaS

PTaaS mang đến nhiều lợi thế, để tận dụng tối đa lợi ích của PTaaS, các tổ chức cần lựa chọn NCC dịch vụ phù hợp Việc lựa chọn NCC không chỉ đơn thuần

là tìm kiếm đơn vị thực hiện kiểm thử xâm nhập, mà còn phải xem xét nhiều yếu

tố quan trọng như phạm vi dịch vụ, chuyên môn của đội ngũ kiểm thử, công nghệ

sử dụng, chất lượng báo cáo, mức độ bảo mật dữ liệu, chi phí và mức độ hỗ trợ khách hàng Một lựa chọn sai lầm có thể khiến tổ chức phải đối mặt với những rủi ro như báo cáo không chính xác, kiểm thử không toàn diện, hoặc thậm chí là nguy cơ lộ lọt thông tin nhạy cảm

Chính vì vậy, khi đánh giá và chọn lựa NCC, tổ chức cần một phương pháp tiếp cận, dựa trên các tiêu chí rõ ràng để đảm bảo rằng dịch vụ mà họ chọn thực

sự đáp ứng được nhu cầu bảo mật của doanh nghiệp

Dưới đây là những yếu tố quan trọng mà tổ chức cần xem xét khi lựa chọn nhà cung cấp PTaaS:

- Khả năng của nền tảng: Cần hỗ trợ tự động hóa, kiểm tra liên tục và khả

năng mở rộng để bao phủ toàn bộ hệ thống và ứng dụng

- Chuyên môn của nhà cung cấp: Thể hiện qua chứng chỉ nghề nghiệp, kinh

nghiệm triển khai, chuyên môn lĩnh vực và uy tín trong ngành

- Chi phí dịch vụ: Thường áp dụng các mô hình định giá linh hoạt như đăng

ký định kỳ, theo từng dự án hoặc dựa trên mức sử dụng

- Chất lượng báo cáo: Báo cáo cần toàn diện, rõ ràng, ngắn gọn và có khả

năng thay đổi theo nhu cầu quản trị

- Hỗ trợ kỹ thuật: Phải bảo đảm tính sẵn sàng, thời gian phản hồi nhanh, đội

ngũ am hiểu và có cam kết thông qua SLA

Bằng cách xem xét các yếu tố này, các tổ chức có thể chọn một nhà cung cấp PTaaS đáp ứng nhu cầu của họ và cung cấp cho họ các dịch vụ kiểm tra xâm nhập chất lượng cao

• Xu hướng phát triển của PTaaS trong bối cảnh an ninh mạng hiện đại

Sự gia tăng không ngừng của các mối đe dọa an ninh mạng, nhu cầu về kiểm

thử xâm nhập dưới dạng dịch vụ (Penetration Testing as a Service - PTaaS) đang

ngày càng trở nên phổ biến Các tổ chức không chỉ tìm kiếm một giải pháp kiểm thử hiệu quả mà còn mong muốn một dịch vụ linh hoạt, liên tục cập nhật và tích hợp sâu với hệ thống bảo mật hiện có Điều này đã thúc đẩy sự phát triển mạnh

mẽ của PTaaS, với hàng loạt xu hướng và công nghệ tiên tiến được áp dụng nhằm nâng cao hiệu quả kiểm thử

Dưới đây là một số xu hướng trong sự phát triển của PTaaS mà các tổ chức cần quan tâm để tối phát triển an ninh mạng bên trong tổ chức:

• Trí tuệ nhân tạo (AI) và học máy (ML)

Việc tích hợp trí tuệ nhân tạo (AI) và học máy (ML) vào các nền tảng PTaaS đang mở ra hướng tiếp cận mới nhằm tự động hóa và nâng cao hiệu quả kiểm thử xâm nhập Nhờ khả năng phân tích dữ liệu và nhận diện mẫu, các thuật toán AI/ML có thể phát hiện nhanh chóng các lỗ hổng tiềm ẩn, bao gồm cấu hình sai, phần mềm lỗi thời hoặc các điểm yếu đã biết, qua đó giảm thiểu sự phụ thuộc vào thao tác thủ công vốn tốn nhiều thời gian và dễ phát sinh sai sót

Không chỉ dừng lại ở khâu phát hiện, AI và ML hỗ trợ đánh giá độ ưu tiên các lỗ hổng dựa trên mức độ nghiêm trọng và tác động tiềm ẩn Điều này giúp doanh nghiệp tập trung nguồn lực vào việc xử lý những rủi ro quan trọng nhất thay vì mất thời gian vào các điểm yếu ít nguy hại hơn

Bên cạnh đó, việc áp dụng AI/ML còn góp phần cải thiện độ chính xác kết quả kiểm thử Bằng cách giảm thiểu tình trạng dương tính giả và âm tính giả, từ

đó nền tảng PTaaS có thể đưa ra báo cáo đáng tin cậy hơn giúp tăng hiệu quả sử dụng nguồn lực bảo mật

Hình 9 AI và ML trong dịch vụ PTaaS

AI và ML đang có một tác động sâu sắc đến PTaaS, cho phép tự động hóa, tăng độ chính xác và tiềm năng mở rộng Khi các công nghệ này tiếp tục phát triển, chúng sẽ đóng một vai trò ngày càng quan trọng trong việc giúp các tổ chức đương đầu các mối đe dọa mạng

• PTaaS trong DevOps

Các tổ chức đang áp dụng DevOps trong quá trình phát tiển ứng dụng PTaaS được tích hợp vào các quy trình DevOps sẽ cung cấp khả năng kiểm tra bảo mật liên tục

PTaaS cho DevOps là quá trình tích hợp kiểm tra xâm nhập vào quy trình làm việc DevOps để cung cấp khả năng kiểm tra bảo mật liên tục Nó cho phép các tổ chức tự động hóa các hoạt động kiểm tra bảo mật và tiến hành kiểm tra thường xuyên hơn trong vòng đời phát triển phần mềm (SDLC)

Có một số lợi ích của việc tích hợp PTaaS vào DevOps, bao gồm:

- Bảo mật nhanh hơn: PTaaS cho phép các tổ chức tự động hóa các hoạt động

kiểm tra bảo mật và tiến hành kiểm tra thường xuyên hơn, dẫn đến xác định và giải quyết các lỗ hổng nhanh hơn

- Bảo mật tốt hơn: PTaaS giúp xác định và khắc phục các lỗ hổng ở giai đoạn

đầu của SDLC, cải thiện chất lượng bảo mật tổng thể của các ứng dụng

- Giảm chi phí: Việc khắc phục các lỗ hổng ở giai đoạn đầu của SDLC ít tốn

kém hơn so với việc khắc phục chúng sau này, vì nó đòi hỏi ít nỗ lực và tài nguyên hơn

- Tăng cường cộng tác: PTaaS thúc đẩy sự cộng tác giữa các nhóm Dev, Ops

và Sec, từ đó quy trình phát triển phần mềm hiệu quả hơn

PTaaS có thể được tích hợp vào các giai đoạn khác nhau của quy trình làm việc DevOps, chẳng hạn như:

- Tích hợp liên tục (CI): PTaaS được tích hợp vào quy trình CI để tự động

kiểm tra các thay đổi mã để tìm các nguy cơ trước khi chúng được hợp nhất vào

cơ sở mã chính

- Phân phối liên tục (CD): PTaaS được tích hợp vào quy trình CD để tự động

kiểm tra các ứng dụng để tìm các lỗ hổng bảo mật trước khi chúng được triển khai vào sản xuất

- Giám sát liên tục: PTaaS được sử dụng để liên tục theo dõi các ứng dụng để

tìm các lỗ hổng trong thời gian đưa vào hoạt động

Hình 10 PTaaS trong DevOps

Việc tích hợp PTaaS vào DevOps đòi hỏi sự thay đổi về tư duy Các tổ chức phải ưu tiên bảo mật trong suốt SDLC và thúc đẩy phối hợp giữa các nhóm Dev, Ops và Sec Nó cũng đòi hỏi việc sử dụng các công cụ và nền tảng phù hợp tự động hóa hoạt động kiểm tra bảo mật và tích hợp với các công cụ DevOps khác

• Tương lai của PTaaS

Khi các tổ chức phụ thuộc vào đám mây, nhu cầu về các giải pháp kiểm tra xâm nhập hiệu quả đi kèm tiết kiệm chi phí sẽ tiếp tục phát triển PTaaS được định vị tốt để đáp ứng nhu cầu này nhờ việc cung cấp cách tiếp cận tự động, liên tục và có thể mở rộng để kiểm tra xâm nhập

Trong những năm tới, PTaaS trở nên phổ biến hơn và được tích hợp vào nhiều công cụ và quy trình bảo mật hơn Một số dự đoán cụ thể về tương lai của PTaaS:

- PTaaS sẽ trở thành một thành phần thiết yếu của chiến lược ATTT của mọi

- PTaaS sẽ có giá cả phải chăng hơn và dễ tiếp cận hơn đối với các tổ chức thuộc mọi quy mô

1.4 So sánh giữa PTaaS và kiểm thử truyền thống

Kiểm thử xâm nhập (Penetration Testing) là một hoạt động quan trọng trong lĩnh vực an ninh thông tin, giúp phát hiện và khai thác các lỗ hổng bảo mật trong

hệ thống, đề xuất biện pháp khắc phục Trong nhiều năm qua, phương pháp kiểm thử xâm nhập truyền thống đã được áp dụng rộng rãi, chủ yếu dưới hình thức thuê các nhóm chuyên gia bảo mật tiến hành kiểm thử thủ công hoặc bán tự động trong một khoảng thời gian Tuy nhiên, với sự phát triển của ĐTĐM, nhu cầu bảo mật liên tục và sự gia tăng nhanh chóng của bề mặt tấn công, Pentest as a Service (PTaaS) – đã xuất hiện, đem đến nhiều thay đổi căn bản về cách thức triển khai, quản lý và khai thác kết quả kiểm thử

PTaaS tận dụng nền tảng Cloud để cung cấp một dịch vụ kiểm thử xâm nhập mang tính liên tục, linh hoạt và tích hợp sâu vào SDLC Thay vì chỉ thực hiện kiểm thử tại một thời điểm cố định, PTaaS cho phép các tổ chức tiến hành đánh giá bảo mật bất cứ lúc nào, thậm chí tự động hóa một phần quy trình kiểm thử để phát hiện lỗ hổng gần như theo thời gian thực Một đặc điểm nổi bật của PTaaS

là việc cung cấp bảng điều khiển (dashboard) trực tuyến, cho phép các bên liên quan (bao gồm nhóm phát triển, nhóm bảo mật và quản lý) theo dõi tiến độ kiểm thử, mức độ nghiêm trọng của các lỗ hổng, trạng thái khắc phục và kết quả tái kiểm thử (retest) ngay trên cùng một nền tảng Từ đó rút ngắn thời gian phản hồi, giúp duy trì một bức tranh an ninh tổng thể luôn được cập nhật

PTaaS không hoàn toàn thay thế được kiểm thử truyền thống trong mọi trường hợp Với các hệ thống đặc thù, yêu cầu kiểm thử chuyên sâu hoặc phụ thuộc vào yếu tố vật lý (ví dụ: kiểm thử thiết bị phần cứng, đánh giá an ninh vật lý), phương pháp truyền thống vẫn giữ vai trò quan trọng PTaaS phát huy tối đa hiệu quả khi kết hợp cùng các phương pháp truyền thống trong một chiến lược bảo mật tổng thể, đảm bảo bao quát cả yếu tố thời gian thực và chiều sâu kỹ thuật Dưới đây là bảng tổng hợp chi tiết về các tiêu chí so sánh kiểm thử xâm nhập truyền thống và PtaaS

Bảng 2 Bảng so sánh PTaaS với kiểm thử thâm nhập truyền thống

Tiêu chí so

sánh

Kiểm thử xâm nhập truyền thống Pentest as a Service (PTaaS)

Phương thức

triển khai

Thực hiện thủ công hoặc bán tự động bởi nhóm chuyên gia, thường tại chỗ hoặc qua kết nối VPN

Triển khai qua nền tảng đám mây, kết hợp công cụ tự động, tích hợp CI/CD và có sự tham gia từ xa của chuyên gia

Tần suất thực

hiện

Thường định kỳ (hàng năm hoặc nửa năm) hoặc khi có thay đổi lớn trong hệ thống

Liên tục hoặc theo yêu cầu tức thời, hỗ trợ kiểm thử lặp lại nhanh chóng sau khi vá lỗi

Cung cấp kết quả gần thời gian thực qua dashboard trực tuyến, kèm hướng dẫn khắc phục ngay Chi phí

Chi phí ban đầu cao, phụ thuộc vào quy mô dự án và nhân sự tham gia

Mô hình đăng ký theo gói (subscription) hoặc trả theo lần quét, tối ưu chi phí dài hạn

Tương tác liên tục giữa đội pentest

và nhóm phát triển qua nền tảng,

hỗ trợ quy trình DevSecOps

Tự động hóa

Mức độ tự động hóa thấp, phụ thuộc nhiều vào thao tác thủ công của pentester

Phù hợp với

môi trường

Cloud

Có thể thực hiện nhưng cần chuẩn bị phức tạp, khó theo dõi liên tục

Tối ưu cho môi trường đám mây,

dễ dàng triển khai trên nhiều nền tảng như AWS, Azure, GCP

Tiêu chí so

sánh

Kiểm thử xâm nhập truyền thống Pentest as a Service (PTaaS)

Báo cáo &

theo dõi tiến

độ vá lỗi

Báo cáo dạng tài liệu tĩnh, khó cập nhật trạng thái sửa lỗi

Dashboard động, theo dõi trạng thái khắc phục và cho phép kiểm thử lại ngay sau khi vá lỗi

Tóm lại, sự khác biệt cốt lõi giữa PTaaS và kiểm thử xâm nhập truyền thống nằm ở tính liên tục, mức độ tích hợp, khả năng mở rộng và tốc độ phản hồi Môi trường công nghệ thay đổi nhanh chóng và các mối đe dọa ngày càng tinh vi, PTaaS mang đến một mô hình kiểm thử phù hợp hơn với yêu cầu bảo mật hiện đại, đồng thời vẫn cần được phối hợp với các kỹ thuật truyền thống để đạt hiệu quả tối đa

Kết luận Chương 1

Chương 1 đã trình bày tổng quan nền tảng về ATTT trong môi trường ĐTĐM, từ khái niệm, các mô hình dịch vụ và triển khai, đến những thách thức bảo mật mà doanh nghiệp phải gặp phải Phần này đồng thời nhấn mạnh vai trò của kiểm thử xâm nhập như một biện pháp chủ động nhằm nhận diện sớm các điểm yếu bảo mật, thay vì chỉ dựa vào các cơ chế phòng thủ thụ động

Phân tích đặc điểm, lợi ích và hạn chế của mô hình Penetration Testing as a Service (PTaaS) so với kiểm thử truyền thống, có thể thấy PTaaS nổi bật ở khả năng kiểm tra liên tục, mức độ tích hợp chặt chẽ với quy trình DevSecOps, tính

tự động hóa cao, khả năng mở rộng linh hoạt và chi phí hợp lý hơn Việc kết hợp giữa kiểm thử tự động và thủ công trong PTaaS giúp đảm bảo độ sâu và độ rộng trong đánh giá, đáp ứng hiệu quả hơn nhu cầu bảo mật trong môi trường Cloud năng động và phức tạp Mô hình PTaaS không những góp phần giảm thiểu rủi ro tấn công mạng mà còn hỗ trợ doanh nghiệp nâng cao phòng thủ, đồng thời vẫn cần được phối hợp với các phương pháp kiểm thử truyền thống để đảm bảo tính toàn diện

CHƯƠNG 2: PHÂN TÍCH, THIẾT KẾ HỆ THỐNG PTAAS

TRÊN NỀN TẢNG ĐÁM MÂY 2.1 Phân tích yêu cầu hệ thống

2.1.1 Yêu cầu chức năng

Penetration Testing as a Service (PTaaS) trên được thiết kế nhằm đáp ứng nhu cầu kiểm thử bảo mật toàn diện cho các loại mục tiêu khác nhau của tổ chức, bao gồm: ứng dụng web, ứng dụng di động, và mạng nội bộ Mỗi loại mục tiêu này có đặc thù kỹ thuật, quy trình kiểm thử, và yêu cầu bảo mật riêng biệt, do đó

hệ thống cần cung cấp bộ chức năng phù hợp để đáp ứng

• Chức năng kiểm thử bảo mật ứng dụng web

Các ứng dụng web thường là bề mặt tấn công chính của doanh nghiệp Các chức năng cần có gồm:

- Quét lỗ hổng tự động

Hệ thống cần tích hợp các công cụ quét như OWASP ZAP, Burp Suite, Acunetix hoặc engine tùy chỉnh nhằm phát hiện các lỗ hổng phổ biến: SQL Injection, XSS, CSRF, Command Injection, Path Traversal, IDOR, SSRF, RCE, v.v

Chức năng này phải hỗ trợ OWASP Top 10 và CWE/SANS Top 25 để đảm bảo phạm vi kiểm thử đầy đủ Các công cụ và Testcase cũng có thể cập nhật tự động hoặc thủ công để bắt kịp xu hướng mới của công nghệ

- Quản lý cấu hình kiểm thử

Cho phép người dùng xác định phạm vi kiểm thử (scope), URL mục tiêu, tài khoản test, cookie/session, chuỗi request đặc biệt và điều kiện xác thực (Basic Auth, JWT, OAuth, SSO) Có thể hỗ trợ macro login hoặc script login để quét các khu vực yêu cầu xác thực

- Tích hợp CI/CD

Cho phép kết nối với GitLab, Jenkins hoặc Azure DevOps để chạy kiểm thử bảo mật tự động mỗi khi có thay đổi mã nguồn hoặc triển khai bản build mới

- Báo cáo kết quả chi tiết

Tự động tổng hợp kết quả quét, phân loại lỗ hổng theo mức độ nghiêm trọng (Critical, High, Medium, Low, Info), kèm theo mô tả, bước tái hiện và khuyến nghị khắc phục

Hỗ trợ xuất báo cáo ở nhiều định dạng (PDF, HTML, JSON) và API để tích hợp với hệ thống quản lý lỗi (Jira, Trello)

• Chức năng kiểm thử bảo mật ứng dụng di động

Ứng dụng di động thường triển khai trên các nền tảng như Android và iOS,

dữ liệu nhạy cảm lưu trữ trên thiết bị và giao tiếp với API backend Do đó, PTaaS cần có khả năng:

- Phân tích tĩnh (Static Analysis)

Tự động trích xuất và phân tích mã nguồn hoặc bytecode từ file APK/IPA Phát hiện hardcoded credentials, API keys, URL nhạy cảm, mã hóa yếu, cấu hình không an toàn (AndroidManifest, Info.plist)

- Phân tích động (Dynamic Analysis)

Ứng dụng được chạy trên môi trường giả lập hoặc thiết bị thật, giám sát hành

vi runtime như kết nối mạng, truy cập file hệ thống, sử dụng API hệ thống Kiểm tra các vấn đề như bypass SSL pinning, insecure data storage, debug mode enable, unencrypted traffic

- Báo cáo & gợi ý khắc phục

Tạo báo cáo phân tích toàn diện, phân loại rủi ro và cung cấp hướng dẫn khắc phục cho lập trình viên Trong chức năng báo cáo cần phải có chức năng sửa đổi nhằm phục vụ thay đổi nội dung thủ công của nhân viên kiểm thử

• Chức năng kiểm thử bảo mật mạng nội bộ

Mạng nội bộ là nơi lưu trữ nhiều tài sản quan trọng như CSDL, hệ thống quản trị, máy chủ dịch vụ và thường là mục tiêu của các cuộc tấn công leo thang sau khi xâm nhập ban đầu PTaaS cần có khả năng:

- Quét lỗ hổng hệ thống (Network Vulnerability Scanning): Phát hiện các dịch

vụ mở, bản vá bảo mật chưa được cập nhật, và cấu hình sai trên các máy chủ Windows/Linux, thiết bị mạng (router, switch, firewall)

- Đánh giá cấu hình bảo mật: Kiểm tra quyền của tài khoản, cấu hình Group

Policy, Kerberos, LDAP để phát hiện nguy cơ leo thang đặc quyền

- Mô phỏng tấn công nội bộ: Giả lập kịch bản tấn công khi kẻ xấu đã có quyền

truy cập mạng nội bộ, bao gồm khai thác SMB, RDP, RPC, brute-force tài khoản nội bộ

2.1.2 Yêu cầu phi chức năng

Ngoài các yêu cầu chức năng như khả năng, nền tảng PTaaS cần được thiết

kế với tập hợp các yêu cầu phi chức năng nhằm đảm bảo hiệu suất, độ tin cậy, khả năng mở rộng và an toàn bảo mật

• Hiệu năng và khả năng đáp ứng

- Tốc độ xử lý và phản hồi: Hệ thống PTaaS phải xử lý các tác vụ kiểm thử

bảo mật với độ trễ thấp, đặc biệt khi phân tích số lượng lớn lỗ hổng hoặc xử lý nhiều dự án kiểm thử song song Ví dụ, thời gian phản hồi khi người dùng yêu cầu xem kết quả quét ban đầu không nên vượt quá 2–3 giây, và thời gian khởi tạo một bài kiểm thử mới cần được giới hạn trong vài chục giây

- Khả năng xử lý đồng thời (Concurrency): Nền tảng phải có khả năng phục

vụ đồng thời nhiều người dùng và dự án mà không xảy ra tình trạng nghẽn tài nguyên Kiến trúc microservices hoặc serverless có thể được áp dụng để phân tán tải và tối ưu hiệu năng

- Tối ưu tài nguyên: Sử dụng cơ chế auto-scaling trên môi trường đám mây để

cấp phát hoặc thu hồi tài nguyên tính toán (CPU, RAM, băng thông) tùy theo tải thực tế, giúp tiết kiệm chi phí mà vẫn đảm bảo hiệu suất

- Hỗ trợ đa vùng (Multi-Region): Nhằm cung cấp dịch vụ toàn cầu, nền tảng

cần triển khai hạ tầng trên nhiều vùng địa lý của các NCC đám mây như AWS, Azure, GCP, giúp giảm độ trễ và tăng độ sẵn sàng

- Khả năng tích hợp bên thứ ba: Dễ dàng tích hợp với các công cụ bảo mật,

CI/CD pipelines, hoặc hệ thống quản lý lỗi (Jira, GitLab, Azure DevOps) để đáp ứng nhu cầu mở rộng tính năng mà không ảnh hưởng đến kiến trúc lõi

• Tính sẵn sàng và phục hồi (Availability & Reliability)

- Mục tiêu SLA (Service Level Agreement): Hệ thống cần đảm bảo độ sẵn sàng

tối thiểu để tránh gián đoạn dịch vụ

- Cơ chế sao lưu (Backup & Disaster Recovery): Dữ liệu kết quả kiểm thử,

thông tin khách hàng và cấu hình hệ định kỳ sao lưu (theo giờ/ngày) và lưu trữ ở nhiều vị trí vật lý khác nhau

- Tự động giám sát và cảnh báo (Monitoring & Alerting): Tích hợp hệ thống

giám sát liên tục (Prometheus, Grafana, ELK Stack) để phát hiện sớm các sự cố

về hiệu năng, bảo mật hoặc hạ tầng