Giới thiệu
Cuộc chiến về tính hợp pháp và đạo đức trong an ninh mạng, chưa nói đến việc kiểm tra khả năng thâm nhập luôn gây tranh cãi. Các nhãn như “hacking” và “hacker” thường mang hàm ý tiêu cực, đặc biệt là trong văn hóa đại chúng, nhờ một vài quả táo xấu. Ý tưởng về việc có được quyền truy cập hợp pháp vào hệ thống máy tính là một khái niệm đầy thách thức để nắm bắt – rốt cuộc, điều gì làm cho nó hợp pháp chính xác?
Nhớ lại rằng kiểm tra thâm nhập là kiểm tra ủy quyền đối với tính bảo mật và khả năng phòng vệ của hệ thống máy tính theo thỏa thuận của chủ sở hữu hệ thống. Tính hợp pháp của việc thâm nhập khá rõ ràng theo nghĩa này; bất cứ điều gì nằm ngoài thỏa thuận này được coi là trái phép.
Đạo đức Hacking
Trước khi bắt đầu kiểm tra thâm nhập, một cuộc thảo luận chính thức xảy ra giữa người kiểm tra thâm nhập và chủ sở hữu hệ thống. Các công cụ, kỹ thuật và hệ thống khác nhau sẽ được kiểm tra đã được thống nhất. Cuộc thảo luận này tạo thành phạm vi của thỏa thuận thử nghiệm thâm nhập và sẽ xác định quá trình mà thử nghiệm thâm nhập thực hiện.
Các công ty cung cấp dịch vụ thử nghiệm thâm nhập được tổ chức dựa trên các khuôn khổ pháp lý và sự công nhận của ngành. Ví dụ: Trung tâm An ninh mạng Quốc gia (NCSC) có chương trình công nhận CHECK ở Vương quốc Anh. Việc kiểm tra này có nghĩa là chỉ “[CHECK] các công ty được phê duyệt mới có thể tiến hành các thử nghiệm thâm nhập được ủy quyền của các hệ thống và mạng khu vực công và CNI.” (NCSC).
Đạo đức là cuộc tranh luận luân lý giữa đúng và sai; khi một hành động có thể là hợp pháp, nó có thể đi ngược lại hệ thống niềm tin của một cá nhân về đúng và sai.
Người kiểm tra thâm nhập thường sẽ phải đối mặt với các quyết định có khả năng nghi ngờ về mặt đạo đức trong quá trình kiểm tra thâm nhập. Ví dụ, họ đang có quyền truy cập vào cơ sở dữ liệu và được hiển thị với dữ liệu nhạy cảm tiềm ẩn. Hoặc có lẽ họ đang thực hiện một cuộc tấn công lừa đảo nhằm vào một nhân viên để kiểm tra khả năng bảo mật con người của một tổ chức. Nếu hành động đó đã được đồng ý trong giai đoạn đầu, thì hành động đó là hợp pháp – tuy nhiên về mặt đạo đức vẫn còn nghi vấn.
Phân loại Hacker
Tin tặc được sắp xếp thành ba loại mũ, nơi đạo đức và động cơ đằng sau hành động của họ quyết định loại mũ mà họ được xếp vào. Hãy trình bày ba điều này trong bảng dưới đây:
| Hacker | Mô tả | Ví dụ |
| Mũ trắng | Những người này được coi là “người tốt”. Họ tuân thủ luật pháp và sử dụng các kỹ năng của mình để mang lại lợi ích cho người khác. | Ví dụ: một người kiểm tra thâm nhập thực hiện một cam kết được ủy quyền đối với một công ty. |
| Mũ xám | Những người này sử dụng kỹ năng của họ để mang lại lợi ích cho người khác thường xuyên; tuy nhiên, họ không luôn tôn trọng/tuân theo luật pháp hoặc các tiêu chuẩn đạo đức. | Ví dụ, một người nào đó gỡ xuống một trang web lừa đảo. |
| Mũ đen | Những người này là tội phạm và thường tìm cách gây thiệt hại cho các tổ chức hoặc đạt được một số hình thức lợi ích tài chính bằng cái giá của những người khác. | Ví dụ, các tác giả ransomware lây nhiễm mã độc cho thiết bị và giữ dữ liệu để đòi tiền chuộc. |
Rules of Engagement (ROE)
Luật cam kết (ROE) là một tài liệu được tạo ở các giai đoạn đầu của quá trình tham gia thử nghiệm thâm nhập . Tài liệu này bao gồm ba phần chính (được giải thích trong bảng dưới đây), chịu trách nhiệm cuối cùng trong việc quyết định cách thức thực hiện hợp đồng. Viện SANS có một ví dụ tuyệt vời về tài liệu này mà bạn có thể xem trực tuyến tại đây .
| Phần | Mô tả |
| Sự cho phép | Phần này của tài liệu cho phép rõ ràng việc thực hiện hợp đồng. Sự cho phép này là cần thiết để bảo vệ hợp pháp các cá nhân và tổ chức cho các hoạt động mà họ thực hiện. |
| Phạm vi kiểm tra | Phần này của tài liệu sẽ chú thích các mục tiêu cụ thể mà hợp đồng nên áp dụng. Ví dụ: kiểm tra thâm nhập có thể chỉ áp dụng cho một số máy chủ hoặc ứng dụng nhất định nhưng không áp dụng cho toàn bộ mạng. |
| Quy tắc | Phần quy tắc sẽ xác định chính xác các kỹ thuật được phép trong quá trình tham gia. Ví dụ: các quy tắc có thể quy định cụ thể rằng các kỹ thuật như tấn công phishing bị cấm, nhưng các cuộc tấn công MITM (Man-in-the-Middle) thì được. |
