Checklist cho doanh nghiệp chuẩn bị cho bài kiểm thử xâm nhập

Để chuẩn bị cho một bài kiểm thử xâm nhập, đội ngũ IT nội bộ cần cung cấp danh sách tài sản mạng (IP, Domain, API), sơ đồ hạ tầng, tài liệu kỹ thuật và quyền truy cập hệ thống cần thiết. Doanh nghiệp cũng phải thiết lập môi trường kiểm thử, xác định khung thời gian triển khai, chỉ định đầu mối hỗ trợ kỹ thuật và xây dựng quy trình xử lý sự cố để đảm bảo hoạt động đánh giá diễn ra an toàn, không gián đoạn kinh doanh.

Doanh nghiệp cần chuẩn bị những gì cho bài kiểm thử xâm nhập?

Doanh nghiệp cần xác định rõ mục tiêu an ninh mạng, kiểm kê toàn bộ tài sản CNTT hiện có và hoàn thiện các thủ tục pháp lý nội bộ. Việc chuẩn bị kỹ lưỡng giúp đơn vị cung cấp dịch vụ hiểu rõ cấu trúc hệ thống, từ đó tối ưu hóa thời gian và nâng cao hiệu quả phát hiện lỗ hổng bảo mật nguy hiểm.

Khi tìm hiểu cách chuẩn bị cho một bài kiểm thử xâm nhập, bước đầu tiên là thiết lập một kế hoạch rõ ràng giữa ban giám đốc và đội ngũ vận hành kỹ thuật. Quá trình này giúp định hình mục đích cốt lõi của dự án: doanh nghiệp muốn kiểm tra khả năng phòng thủ trước các cuộc tấn công có chủ đích, hay muốn hoàn thiện hồ sơ tuân thủ tiêu chuẩn an toàn thông tin? Việc xác định rõ mục tiêu sẽ giúp định hình toàn bộ lộ trình kỹ thuật phía sau.

Bên cạnh đó, xây dựng các yêu cầu tiên quyết cho kiểm thử xâm nhập là bắt buộc để bảo vệ tính toàn vẹn của hệ thống. Đội ngũ IT nội bộ cần phối hợp chặt chẽ với đơn vị cung cấp dịch vụ kiểm thử xâm nhập để ký kết thỏa thuận bảo mật (NDA) và cam kết không gây gián đoạn dịch vụ (Rules of Engagement - RoE). Để hiểu sâu hơn về cấu trúc phòng thủ tổng thể trước khi thực hiện, nhiều doanh nghiệp lớn thường kết hợp triển khai các bước đánh giá lỗ hổng bảo mật tự động nhằm xử lý trước các lỗi cơ bản, giúp bài kiểm thử xâm nhập tập trung vào những kịch bản tấn công phức tạp hơn theo khuyến nghị của NIST.

Những tài sản công nghệ nào nên được đưa vào phạm vi kiểm thử xâm nhập?

Doanh nghiệp nên đưa tất cả tài sản có nguy cơ bị tấn công cao vào phạm vi kiểm thử, bao gồm ứng dụng web, ứng dụng di động, hệ thống mạng nội bộ và bên ngoài, các giao diện API và hạ tầng điện toán đám mây. Việc phân định rõ ràng giúp tối ưu hóa ngân sách và tập trung vào các rủi ro cốt lõi.

Hoạt động xác định phạm vi kiểm toán bảo mật quyết định đến 80% sự thành công của một chiến dịch Penetration Testing. Nếu phạm vi quá hẹp, doanh nghiệp sẽ bỏ sót các điểm mù nguy hiểm mà hacker có thể khai thác. Ngược lại, nếu phạm vi quá rộng nhưng ngân sách hạn chế, chất lượng kiểm thử cho từng phần sẽ bị phân tán, không đạt được độ sâu cần thiết.

Trong phạm vi (In-scope)

• Hệ thống máy chủ công khai: Bao gồm cổng thông tin điện tử, hệ thống Mail Server, VPN Gateway và các dải địa chỉ IP Public có kết nối trực tiếp với Internet.

• Ứng dụng và dịch vụ số: Toàn bộ ứng dụng Web Application, ứng dụng Mobile (iOS/Android) và hệ thống API Security đóng vai trò luân chuyển dữ liệu cốt lõi của doanh nghiệp.

• Hạ tầng mạng nội bộ Các máy chủ Active Directory, cơ sở dữ liệu, hệ thống quản lý nhân sự, tài chính nằm sau lớp tường lửa Firewall.

Ngoài phạm vi (Out-of-scope)

• Hệ thống của bên thứ ba: Các dịch vụ lưu trữ hoặc phần mềm quản lý mà doanh nghiệp không sở hữu mã nguồn hoặc quyền quản trị hạ tầng trực tiếp.

• Các dải IP hoặc Subdomain chưa nghiệm thu: Những hệ thống đang trong giai đoạn phát triển sơ khai, chưa có dữ liệu thật hoặc không liên kết với hạ tầng dùng chung.

• Thiết bị cá nhân của nhân viên: Trừ khi có yêu cầu đặc biệt về kiểm thử kỹ nghệ xã hội, các thiết bị này thường được loại biên để tránh vi phạm quyền riêng tư.

Doanh nghiệp nên chọn phương pháp kiểm thử hộp đen, hộp trắng hay hộp xám?

Lựa chọn phương pháp kiểm thử phụ thuộc vào mục tiêu an ninh, lượng thông tin sẵn có và ngân sách của doanh nghiệp. Kiểm thử hộp đen giả lập cuộc tấn công thực tế từ bên ngoài, hộp trắng đánh giá sâu sắc dựa trên mã nguồn, trong khi hộp xám là sự cân bằng tối ưu cho hầu hết doanh nghiệp.

Sự khác biệt trong bài toán kiểm thử xâm nhập hộp đen so với hộp trắng và hộp xám nằm ở lượng dữ liệu được chia sẻ trước trận đánh. Việc thấu hiểu đặc tính của từng phương pháp giúp người quản lý CNTT tối ưu hóa chi phí và đạt được mục tiêu an ninh mong muốn một cách chính xác nhất.

Doanh nghiệp nên chọn kiểm thử hộp đen khi muốn đánh giá năng lực phản ứng của đội ngũ vận hành trước một cuộc tấn công bất ngờ. Hộp xám là lựa chọn tối ưu cho các dự án kiểm thử bảo mật ứng dụng web hoặc API, nơi chuyên gia cần tài khoản hợp lệ để kiểm tra các lỗ hổng logic phân quyền. Trong khi đó, hộp trắng phù hợp nhất cho các ứng dụng có mức độ trọng yếu cao, đòi hỏi rà soát kỹ lưỡng từ kiến trúc gốc đến từng dòng code nhằm loại bỏ hoàn toàn các rủi ro nghiêm trọng.

Đội ngũ IT nội bộ cần cung cấp những tài liệu và quyền truy cập nào cho đơn vị kiểm thử?

Đội ngũ IT cần cung cấp danh mục tài sản CNTT, sơ đồ kiến trúc mạng, danh sách địa chỉ IP, tên miền, tài khoản kiểm thử và cấu hình VPN/Firewall liên quan. Ngoài ra, việc xác định rõ khung thời gian thực hiện và đầu mối liên hệ kỹ thuật là bắt buộc để phối hợp xử lý sự cố kịp thời.

Để đơn vị triển khai Penetration Testing có thể bắt tay vào công việc mà không gặp chướng ngại hành chính hay kỹ thuật, đội ngũ quản trị hệ thống nội bộ cần hoàn thiện và bàn giao một bộ hồ sơ kỹ thuật đầy đủ:

• Kiểm kê tài sản CNTT: Bản danh mục cập nhật mới nhất về toàn bộ máy chủ, thiết bị mạng, ứng dụng và các dịch vụ đang chạy trên hệ thống.

• Sơ đồ mạng: Bản vẽ kiến trúc thể hiện luồng đi của dữ liệu, vị trí đặt vùng mạng DMZ, mạng nội bộ, mạng quản trị và vị trí các thiết bị Firewall bảo vệ.

• Danh sách IP, Domain và Subdomain: Bản ghi chính xác các địa chỉ IP tĩnh (IPv4/IPv6) và các tên miền đích được phép thực hiện kiểm thử.

• Tài liệu Web Application và API Security: Danh sách các endpoint API kèm tài liệu đặc tả cấu trúc (Postman collection, Swagger file) để hỗ trợ quá trình quét lỗ hổng theo chuẩn OWASP Top 10.

• Cấu hình VPN và cấp quyền Firewall: Đối với kiểm thử mạng nội bộ từ xa hoặc kiểm thử hộp xám, IT cần cấu hình sẵn tài khoản VPN và whitelist IP của pentester trên hệ thống tường lửa.

• Hạ tầng Active directory và Cloud infrastructure: Cung cấp thông tin tổng quan về mô hình quản lý định danh, cấu trúc các vùng tài nguyên trên AWS, Azure hoặc Google Cloud nếu các khu vực này thuộc phạm vi đánh giá.

• Tài khoản phục vụ kiểm thử: Chuẩn bị tối thiểu hai tài khoản cho mỗi cấp bậc phân quyền (ví dụ: 2 tài khoản User, 2 tài khoản Manager) để pentester kiểm tra lỗi leo thang đặc quyền ngang và dọc.

• Khung thời gian được phép kiểm thử: Thống nhất rõ ràng thời gian thực hiện tấn công giả lập (ví dụ: chỉ làm ngoài giờ hành chính từ 22h đến 4h sáng hôm sau để tránh ảnh hưởng đến người dùng cuối).

• Đầu mối hỗ trợ kỹ thuật và quy trình xử lý sự cố: Chỉ định rõ tên, số điện thoại của kỹ sư mạng, kỹ sư hệ thống nội bộ trực chiến để ứng cứu, khởi động lại dịch vụ hoặc cô lập hệ thống ngay lập tức nếu xảy ra sự cố sập mạng ngoài ý muốn.

Những tiêu chuẩn tuân thủ nào doanh nghiệp cần lưu ý khi lập kế hoạch kiểm thử?

Doanh nghiệp cần đối chiếu hoạt động kiểm thử với các tiêu chuẩn quốc tế như ISO 27001, PCI DSS hoặc các quy định pháp lý của ngành như Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Điều này đảm bảo quá trình đánh giá đáp ứng đầy đủ nghĩa vụ pháp lý và tiêu chí kiểm toán an toàn thông tin.

Khi xây dựng danh sách kiểm tra tuân thủ kiểm thử xâm nhập, việc gắn kết kỹ thuật với các khung pháp lý và tiêu chuẩn quốc tế là điều bắt buộc đối với các tổ chức tài chính, ngân hàng, thương mại điện tử hoặc các doanh nghiệp định hướng xuất khẩu dịch vụ toàn cầu.

• Tiêu chuẩn ISO/IEC 27001: Yêu cầu doanh nghiệp thực hiện đánh giá rủi ro định kỳ. Việc kiểm thử xâm nhập cung cấp bằng chứng thực tế cho thấy các biện pháp kiểm soát an ninh thông tin đang hoạt động hiệu quả, hỗ trợ đắc lực cho quá trình tái đánh giá hoặc cấp chứng nhận mới thông qua việc phối hợp với các chuyên gia tư vấn ISO 27001.

• Tiêu chuẩn PCI DSS: Đối với các tổ chức xử lý thẻ thanh toán, PCI DSS yêu cầu bắt buộc phải thực hiện kiểm thử xâm nhập hạ tầng mạng và ứng dụng ít nhất mỗi năm một lần, hoặc sau bất kỳ thay đổi lớn nào về mặt kiến trúc hạ tầng.

• Chính sách bảo mật nội bộ và phê duyệt pháp lý: Trước khi cho phép bên thứ ba thực hiện quét và tấn công giả lập, doanh nghiệp phải hoàn tất thủ tục phê duyệt từ Ban giám đốc, Hội đồng quản trị hoặc bộ phận Pháp chế. Nếu hệ thống đặt trên hạ tầng Cloud của bên thứ ba (như AWS hay Microsoft Azure), doanh nghiệp phải gửi thông báo và nhận được sự chấp thuận từ nhà cung cấp điện toán đám mây theo quy định chung của CISA.

Danh sách kiểm tra cụ thể mà doanh nghiệp cần hoàn thành trước ngày kiểm thử là gì?

Danh sách kiểm tra trước ngày kiểm thử là bảng rà soát cuối cùng bao gồm việc chốt phạm vi, bàn giao IP/Domain, cấp tài khoản test, chỉ định nhân sự trực kỹ thuật và hoàn tất sao lưu dữ liệu. Việc hoàn thiện checklist này đảm bảo dự án bắt đầu đúng tiến độ và kiểm soát tốt mọi rủi ro gián đoạn.

Doanh nghiệp có thể sử dụng danh sách kiểm tra thực tế dưới đây để rà soát trạng thái sẵn sàng trước khi bàn giao hệ thống cho đơn vị pentest:

□ Xác nhận và chốt bằng văn bản phạm vi kiểm thử (In-scope và Out-of-scope). 

□ Cung cấp danh sách địa chỉ IP Public/Private và tên miền chính xác. 

□ Bàn giao Domain/Subdomain cùng tài liệu đặc tả API liên quan. 

□ Khởi tạo và bàn giao đầy đủ tài khoản kiểm thử cho các phân quyền khác nhau. 

□ Chỉ định cụ thể đầu mối liên hệ kỹ thuật (Hotline trực 24/7 của đội IT nội bộ). 

□ Thống nhất chi tiết khung thời gian thực hiện tấn công và thời gian tạm dừng. 

□ Xây dựng phương án và kịch bản phối hợp ứng cứu, xử lý sự cố hệ thống. 

□ Hoàn tất sao lưu (Backup) toàn bộ dữ liệu quan trọng và cấu hình hệ thống máy chủ. □ Thông báo chính thức cho bộ phận Vận hành, Giám sát an ninh mạng (SOC) và các phòng ban liên quan về lịch trình kiểm thử để tránh báo động giả.

Những sai lầm phổ biến nào doanh nghiệp cần tránh trong quá trình chuẩn bị kiểm thử xâm nhập?

Doanh nghiệp thường mắc sai lầm khi xác định phạm vi không rõ ràng, thiếu tài liệu hệ thống, bỏ sót tài sản quan trọng hoặc không chuẩn bị tài khoản kiểm thử phù hợp. Nghiêm trọng hơn, việc thực hiện đánh giá trực tiếp trên môi trường Production mà không có phương án sao lưu dữ liệu dễ dẫn đến gián đoạn dịch vụ.

Trải nghiệm thực tế từ các chuyên gia bảo mật cho thấy nhiều dự án bị kéo dài hoặc không đạt hiệu quả do doanh nghiệp mắc phải những lỗi cơ bản trong khâu chuẩn bị:

• Phạm vi không rõ ràng: Thay đổi mục tiêu liên tục trong quá trình làm việc khiến bên kiểm thử không thể tập trung chuyên sâu, dẫn đến báo cáo kết quả bị dàn trải, thiếu tính thực tế.

• Thiếu tài liệu hệ thống: Che giấu thông tin hoặc cung cấp sơ đồ mạng lỗi thời khiến pentester mất nhiều thời gian dò quét thủ công những thông tin cơ bản thay vì tập trung tìm kiếm các lỗ hổng logic phức tạp.

• Không chuẩn bị tài khoản kiểm thử: Chậm trễ trong khâu cấp quyền truy cập, cấp tài khoản sai hoặc tài khoản bị khóa ngay khi vừa đăng nhập làm gián đoạn tiến độ triển khai dự án.

• Bỏ sót hệ thống quan trọng: Loại bỏ các hệ thống cũ (Legacy systems) ra khỏi phạm vi vì nghĩ chúng không quan trọng, trong khi đây lại thường là "cầu nối" ưa thích của hacker để xâm nhập sâu vào Active Directory nội bộ.

• Không có đầu mối hỗ trợ trực chiến: Khi hệ thống kích hoạt cơ chế tự động chặn IP hoặc xảy ra sự cố nghẽn mạng, việc thiếu nhân sự nội bộ có thẩm quyền xử lý khiến dự án bị đóng băng nhiều giờ liền.

• Không đánh giá rủi ro trước khi kiểm thử trên môi trường Production: Việc thực hiện các payload tấn công mạnh (như SQL Injection cường độ cao hoặc quét Brute Force) trực tiếp trên cơ sở dữ liệu thật mà không có phương án backup có thể làm sập dịch vụ, ảnh hưởng trực tiếp đến khách hàng và doanh nghiệp. Đối với các doanh nghiệp cần một mô hình giả lập phòng thủ toàn diện hơn mà không gây ảnh hưởng đến vận hành thường nhật, họ có thể cân nhắc sử dụng dịch vụ Red Team hoặc kết hợp giám sát chặt chẽ thông qua các dịch vụ SOC chuyên nghiệp.

Làm thế nào để nhận tư vấn và báo giá dịch vụ kiểm thử xâm nhập tại IPSIP Việt Nam?

Để xây dựng một kế hoạch kiểm thử xâm nhập hiệu quả, doanh nghiệp cần bắt đầu từ việc xác định chính xác phạm vi hệ thống cần đánh giá, mức độ chuyên sâu của hoạt động kiểm thử và các yêu cầu tuân thủ liên quan. Việc trao đổi với đơn vị cung cấp dịch vụ ngay từ đầu sẽ giúp tránh tình trạng bỏ sót tài sản quan trọng hoặc phát sinh chi phí ngoài dự kiến trong quá trình triển khai.

Khi tiếp nhận yêu cầu, IPSIP Việt Nam sẽ phối hợp cùng đội ngũ IT nội bộ để thu thập thông tin về hạ tầng, ứng dụng, API, hệ thống mạng và các tài sản nằm trong phạm vi đánh giá. Dựa trên quy mô hệ thống và mục tiêu bảo mật của doanh nghiệp, chuyên gia sẽ đề xuất phương pháp kiểm thử phù hợp, chẳng hạn như kiểm thử hộp đen, hộp trắng hoặc hộp xám, đồng thời tư vấn khung thời gian triển khai nhằm giảm thiểu ảnh hưởng đến hoạt động vận hành.

Sau khi thống nhất phạm vi và phương pháp tiếp cận, doanh nghiệp sẽ nhận được đề xuất triển khai và báo giá tương ứng với mức độ phức tạp của hệ thống. Điều này giúp phòng CNTT và ban lãnh đạo có cơ sở rõ ràng để lập kế hoạch ngân sách, phân bổ nguồn lực và chuẩn bị các điều kiện cần thiết trước khi dự án kiểm thử chính thức bắt đầu.

Nếu doanh nghiệp đang lên kế hoạch đánh giá an toàn thông tin cho ứng dụng, hạ tầng mạng hoặc môi trường cloud, hãy liên hệ IPSIP Việt Nam để được tư vấn phạm vi kiểm thử phù hợp và nhận báo giá dựa trên hiện trạng thực tế của hệ thống.