KIỂM THỬ XÂM NHẬP
T- Pof?| là một nền tang honeypof| đa chức năng và linh hoạt, giúp mô phỏng
4.1 Xây dựng bộ khung tự động hóa quá trình kiểm
thử xâm nhập
Trong khóa luận này, tác giả giới thiệu Zeus2 - một bộ khung tự động hóa quá
trình kiểm thử xâm nhập kết hợp bảo vệ hệ thống và chia sẻ thông tin tình báo mối đe dọa nhằm giảm thời gian cũng như công sức đầu tư trong quá trình kiểm thử và bảo vệ hệ thống. Zeus2 tập trung vào xác định và khai thác lỗ hổng trên
các ứng dụng web.
Bộ khung Zeus2 bao gồm năm chức năng chính, bao gồm:
© Tìm kiếm thông tin tên miễn con.
° Khám phá hệ thống ở bé mặt bên ngoài (External Information System) là hệ
thống hoặc các thành phần mạng nằm ở khu vực mạng công khai của một
tổ chức.
© Tìm kiếm lỗ hổng bảo mật.
* Bảo vệ hệ thống.
* Chia sẻ thông tin tình báo mối đe dọa.
51
Chương 4. Phương pháp thực hiện
—=————_— NGINX | — — — —
Server
{
TZ domainằ | Subdomain Bề Host ` WEB 3. web vuln Application Honeypot
finding 8 scanning | x scanning Server Network
g § Network
2 83 Ey
Pentester 8 8+
output
Cc) | [Threat sharing| upui output |
Database |
L
Hệ thông bảo vệ kết hợp chia sẻ thông tin tình báo mối đe dọa
4. sent logs
Công cụ kiểm thử xâm nhập.
HÌNH 4.1: Mô hình tổng quan khung kiểm thử xâm nhập tự động
Kiến trúc của Zeus2 được mô tả như Hinh{4.1| được chia thành 2 khối chính, bao
gồm: Công cụ kiểm thử xâm nhập và hệ thống bảo vệ kết hợp chia sẻ thông tin tình báo mối đe dọa.
Khối công cụ kiểm thử xâm nhập được sử dụng để tìm kiếm danh sách tên miễn con, khám phá hệ thống ở bề mặt ngoài và tìm kiếm các lỗ hổng bảo mật trên các ứng dung web. Khối này hoạt động khái quát theo luồng sau:
0. Đưa vào Zeus2 danh sách các tên miền cần kiểm thử xâm nhập.
. Zeus2 tìm kiếm danh sách các tên miền con.
. Zeus2 truy van DNS các tên miễn con, nhận được một danh sách địa chi IP rồi khám phá các cổng và dịch vụ đang mở trên các địa chỉ IP đó.
. Zeus2 lay danh sách các dịch vu ứng dung web đang mở, từ đó tìm các lỗ hổng bảo mật trên các ứng dụng web đó.
. Sau khi tìm ra các lỗ hổng bảo mật, Zeus2 gửi thông tin về các lỗ hổng này cho khối hệ thống bảo vệ kết hợp chia sẻ thông tin tình báo mối đe dọa
thông qua máy chủ API.
52
Chương 4. Phương pháp thực hiện
Khối bảo vệ hệ thống và chia sẻ thông tin tình báo mối đe dọa có nhiệm vụ bảo vệ
hệ thống bằng thông tin nhận được từ khối công cụ kiểm thử xâm nhập và máy chủ chia sẻ thông tin tình báo mối đe dọa. Khối này hoạt động khái quát theo luồng sau:
5. Hệ thống mạng bẫy (honeypot) trích xuất nhật ký và gửi cho hệ thống chia
sẻ tình báo mối đe dọa (threat sharing), giúp hệ thống chia sẻ tình báo mối
đe dọa có thể tạo các sự kiện (event) chia sẻ thông tin về mối đe dọa với các
khu vực hoặc tổ chức khác.
6. Hệ thống chia sẻ tình báo mối đe dọa (threat sharing) trích xuất các địa chỉ
IP nguy hiểm đã được các cá nhân hoặc tổ chức khác cảnh báo để gửi tới
máy chủ API.
7. Tai máy chủ API, dựa trên thông tin về các lỗ hổng bảo mật nhận được từ
khối công cụ kiểm thử xâm nhập và danh sách các địa chỉ IP nguy hiểm được cập nhật từ hệ thống chia sẻ tình báo mối de dọa (threat sharing), máy chủ API cập nhật bộ quy tắc hướng dẫn hoạt động cho máy chủ NGINX giúp nó phân biệt các yêu cầu HTTP bình thường và các yêu cầu HTTP có
vẻ nguy hiểm.
8. Với bộ quy tắc được cập nhật từ máy chủ API, máy chủ NGINX có thể phân
biệt các yêu cầu HTTP bình thường và các yêu cầu HTTP có vẻ nguy hiểm. Khi nhận được yêu cầu HTTP bình thường, máy chủ NGINX sẽ chuyển chúng đến mạng máy chủ web để xử lý như thông thường. Tuy nhiên, đối với các yêu cầu HTTP có khả năng nguy hiểm, máy chủ sẽ chuyển chúng đến mạng bẫy được thiết lập sẵn, nơi mà mối đe dọa được theo đõi và phân
tích.
Mô hình này cho phép hệ thống có khả năng phát hiện và phản ứng nhanh chóng đối với các cuộc tân công đồng thời cung cấp một lớp bảo vệ bổ sung để bảo vệ ứng dụng web khỏi các lỗ hổng bảo mật trước khi chúng được sửa chữa hoặc giảm thiểu.
53
Chương 4. Phương pháp thực hiện