Theo các phương pháp kiểm thử an toàn hệ thống đã giới thiệu ở chương 2, nhìn chung một quy trình kiểm thử an toàn hệ thống gồm các bước như sau:
- Lên kế hoạch.
- Tìm hiểu và thu thập thông tin về mục tiêu. - Dò tìm các lỗ hổng bảo mật.
- Xác nhận các lỗ hổng bảo mật đã phát hiện. - Lập báo cáo.
Với mục tiêu sử dụng Kali làm bộ công cụ kiểm thử an toàn hệ thống dành cho người không chuyên về bảo mật. Qua các phương pháp, tiêu chuẩn kiểm thử an toàn hệ thống đã tìm hiểu ở chương 2: OWASP, OSSTMM, ISSAF, WASC-TC, NIST SP 800-115. Nhận thấy xây dựng quy trình kiểm thử an toàn hệ thống sử dụng
Kali Linux theo Tài liệu hướng dẫn kiểm tra và đánh giá an toàn thông tin (NIST SP 800-115) phù hợp với mục tiêu đề tài đưa ra vì những lý do sau:
- Áp dụng được cho nhiều loại hệ thống: ứng dụng web, hệ thống mạng LAN, mạng không dây Wifi, máy tính cá nhân. NIST SP 800-115 đưa ra các phương pháp kiểm thử chung cho nhiều loại hệ thống, Kali có các công cụ có chức năng và phân loại phù hợp để thực hiện các phương pháp đó.
- Quy trình đơn giản, dễ hiểu và áp dụng dễ dàng: Kali dễ dàng nâng cấp, thêm ứng dụng và đặc biệt có cộng đồng người sử dụng rộng lớn nên tài liệu hướng dẫn sử dụng nhiều.
- Dữ liệu về lỗ hổng bảo mật và cách khai thác nó được cập nhật thường xuyên, giúp nhanh chóng phát hiện những lỗ hổng mới xuất hiện.
Hình 4.3: Quy trình kiểm thử an toàn hệ thống
Nội dung chi tiết các bước sẽ được nêu ra kèm tên các công cụ tương ứng có trong Kali.