1 Phạm vi áp dụng
5.5.8 Công cụ đánh giá điểm yếu
Đánh giá điểm yếu là một phần của đánh giá rủi ro và một phần có giá trị của việc kiểm tra an toàn đánh giá/tuân thủ và các chiến lược giám sát. Kiểu đánh giá này cho phép tổ chức tìm các điểm yếu và trong hầu hết trường hợp khuyến cáo các hành động khắc phục để giảm cơ hội có một kẻ xâm nhập có thể khai thác chúng. Vì vậy, việc sử dụng công cụ đánh giá điểm yếu có thể làm giảm đáng kể số cuộc tấn công mà IDPS nên tìm kiếm.
Công cụ đánh giá điểm yếu tập trung vào việc đánh giá sự phơi bày của một máy với một điểm yếu nhất định. Quy trình đánh giá này không giống như việc thực hiện một kịch bản tấn công. Kết quả là,
sự thất bại của IDPS trong việc phát hiện hành động dò quét điểm yếu không có nghĩa là IDPS không thể phát hiện tấn công. Ngược lại, việc IDPS phát hiện hành động dò quét điểm yếu không có nghĩa là IDPS có thể phát hiện đúng tấn công.
Công cụ đánh giá điểm yếu được sử dụng để kiểm tra tính nhạy cảm của máy chủ mạng bị lạm dụng. Việc sử dụng các công cụ kiểm tra điểm yếu kết hợp với IDPS cung cấp một phương pháp tốt để đánh giá hiệu quả của IDPS trong việc phát hiện và phản ứng lại tấn công. Công cụ đánh giá điểm yếu được phân loại thành dựa trên máy chủ hoặc dựa trên mạng. Các công cụ dựa trên máy chủ đánh giá tính an toàn của hệ thống thông tin bằng cách truy vấn các tài nguyên dữ liệu như nội dung tập tin, chi tiết cấu hình và các thông tin trạng thái khác. Công cụ dựa trên máy chủ được cấp quyền truy cập tới các máy đích đang chạy thông qua một kết nối từ xa. Công cụ dựa trên mạng được sử dụng để quyét một số máy có điểm yếu kết hợp với các dịch vụ mạng. Để thực hiện đánh giá điểm yếu của máy chủ hoặc mạng, tổ chức phải chấp nhận việc kiểm thử ở một mức độ quản lý phù hợp. Đây là yếu tố quan trọng để nhấn mạnh việc sử dụng các công cụ đánh giá điểm yếu bổ sung cho IDPS nhưng không thể thay thế IDPS.
Ưu điểm và nhược điểm của việc sử dụng công cụ đánh giá điểm yếu:
Ưu điểm:
- Công cụ đánh giá điểm yếu cung cấp phương pháp hiệu quả cho việc viết thành tài liệu trạng thái an toàn của hệ thống thông tin và trong trường hợp tái thiết lập một cơ sở an toàn để quay lại sau khi thay đổi hệ thống;
- Khi sử dụng thường xuyên, công cụ đánh giá điểm yếu có thể xác định các thay đổi trong trạng thái an toàn của hệ thống thông tin một cách tin cậy;
- Ưu điểm lớn nhất của công cụ đánh giá điểm yếu là xác định các điểm yếu;
- Cho phép tổ chức so khớp dữ liệu tấn công với những điểm yếu đã biết để nhận biết nếu cuộc tấn công đã thành công.
Nhược điểm:
- Công cụ đánh giá điểm yếu dựa trên máy chủ có nền tảng và ứng dụng cụ thể và thường tốn kém hơn các công cụ dựa trên mạng trong việc xây dựng, quản lý và duy trì;
- Công cụ đánh giá điểm yếu dựa trên mạng có nền tảng độc lập và ít cụ thể hơn các công cụ dựa trên máy chủ;
- Đánh giá điểm yếu là một hoạt động tiêu thụ tài nguyên và có thể không thực tế hoặc có thể được vận hành chỉ ở mức chi phí làm giảm hiệu năng của mạng/hệ thống hoặc có thể chỉ ở ngày và thời gian hạn chế;
- Trong nhiều trường hợp, đánh giá điểm yếu là một hoạt động định kỳ có thể là hàng tuần, hàng tháng hoặc ngẫu nhiên và kết quả là phát hiện kịp thời vấn đề an toàn ở mức độ cao nhất hoặc đôi khi là không thể phát hiện;
- Giống như IDPS, việc lặp lại các đánh giá điểm yếu có thể làm cho IDPS dựa trên bất thường bỏ qua các tấn công thật sự;
- Cần phải cập nhật các dấu hiệu tấn công;
- Công cụ đánh giá điểm yếu dựa trên máy chủ nên được cấu hình tới hệ thống đích và cần phải chú ý thực hiện bảo vệ sự nhạy cảm của bất kỳ dữ liệu được thu thập trong suốt quy trình này. Dữ liệu được thu thập bởi công cụ đánh giá điểm yếu là thông tin nhạy cảm có thể được sử dụng bởi bất kỳ kẻ xâm nhập nào để khai thác hệ thống của tổ chức và vì vậy nó cần phải được bảo vệ.