Một CEO công ty công nghệ tại TP.HCM vừa tức giận gọi điện cho nhà cung cấp dịch vụ pen test: "Các anh nói hệ thống an toàn, sao tuần sau bị hacker Trung Quốc đánh sập website?". Câu chuyện này không phải hiếm gặp trong giới an ninh mạng Việt Nam. Nguyên nhân chính không phải do kỹ thuật pen test kém, mà bắt nguồn từ cách lãnh đạo doanh nghiệp tiếp cận và quản lý quy trình kiểm tra xâm nhập. Chúng tôi cho rằng, sự thiếu hiểu biết của ban lãnh đạo về pen test đang khiến 80% các bài kiểm tra không đạt hiệu quả mong muốn.

Pen Test: Không phải "làm cho có" để qua mặt audit

Penetration Test (pen test) - hay kiểm tra xâm nhập - là quy trình mô phỏng tấn công có kiểm soát nhằm phát hiện lỗ hổng bảo mật trước khi hacker thực sự khai thác. Tuy nhiên, nhiều lãnh đạo doanh nghiệp Việt hiểu sai pen test chỉ là "giấy tờ để qua mặt đối tác" hoặc "yêu cầu bắt buộc của audit". Tư duy này dẫn đến việc chọn nhà cung cấp rẻ nhất, thời gian ngắn nhất, phạm vi hẹp nhất.

Theo khảo sát của Hiệp hội An ninh mạng Việt Nam (VNISA) năm 2023, có tới 73% doanh nghiệp thực hiện pen test chỉ để "đánh dấu" hoàn thành yêu cầu tuân thủ, thay vì thực sự muốn cải thiện tình trạng bảo mật. Kết quả là các báo cáo pen test dày đặc thuật ngữ kỹ thuật nhưng không ai hiểu, không ai theo dõi khắc phục. Chúng tôi từng chứng kiến nhiều công ty có báo cáo pen test "sạch sẽ" nhưng vẫn bị ransomware tấn công chỉ sau vài tháng.

Ba yếu tố "sinh tử" mà lãnh đạo thường bỏ qua

Yếu tố đầu tiên là định nghĩa phạm vi (scope) kiểm tra. Nhiều lãnh đạo nghĩ pen test chỉ cần kiểm tra website chính, bỏ qua hệ thống nội bộ, email server, hoặc các ứng dụng di động. Điều này giống như khám sức khỏe chỉ đo huyết áp mà bỏ qua tim mạch. Hacker không chỉ tấn công từ một hướng, họ tìm điểm yếu nhất để xâm nhập.

Yếu tố thứ hai là cấp quyền truy cập (access) cho đội pen test. Một số lãnh đạo lo ngại bảo mật nên hạn chế quyền của pen tester, khiến họ không thể kiểm tra sâu các lớp bảo mật bên trong. Kết quả là báo cáo chỉ phát hiện lỗ hổng "nông", bỏ sót những rủi ro nghiêm trọng ở tầng deeper. Yếu tố cuối cùng và quan trọng nhất là theo dõi khắc phục (follow-through) sau pen test. Theo thống kê của chúng tôi, 60% doanh nghiệp Việt Nam nhận báo cáo pen test xong là... cất vào tủ, không có kế hoạch xử lý cụ thể.

Cái giá đắt của việc "tiết kiệm" sai chỗ

Tháng 8/2023, một ngân hàng thương mại tại Hà Nội bị tấn công APT (Advanced Persistent Threat) khiến dữ liệu 50.000 khách hàng bị lộ. Điều đáng nói, ngân hàng này vừa thực hiện pen test 3 tháng trước đó với kết quả "an toàn". Tuy nhiên, quy trình pen test chỉ kiểm tra website công khai, bỏ qua hệ thống email và mạng nội bộ - chính là điểm xâm nhập của hacker.

Chi phí khắc phục sự cố lên tới 15 tỷ đồng, gấp 50 lần so với việc thực hiện pen test toàn diện từ đầu. Chúng tôi nhận định, nhiều doanh nghiệp Việt vẫn mắc tư duy "rẻ là tốt" khi chọn dịch vụ pen test, không hiểu rằng an ninh mạng là khoản đầu tư bảo hiểm, không phải khoản chi phí cần cắt giảm. Một pen test chất lượng có thể tốn 200-500 triệu đồng, nhưng nếu ngăn chặn được một vụ tấn công ransomware, doanh nghiệp tiết kiệm được hàng chục tỷ đồng.

Lộ trình 4 bước để pen test thực sự hiệu quả

Bước 1: Xác định mục tiêu rõ ràng trước khi bắt đầu. Lãnh đạo cần trả lời câu hỏi "Pen test này để làm gì?" - bảo vệ dữ liệu khách hàng, tuân thủ quy định, hay chuẩn bị IPO? Mục tiêu khác nhau sẽ có phạm vi và phương pháp pen test khác nhau. Bước 2: Chọn đội pen test có kinh nghiệm thực tế tại Việt Nam, hiểu rõ quy định pháp lý trong nước, không chỉ dựa vào chứng chỉ quốc tế.

Bước 3: Thiết lập quy trình theo dõi và khắc phục rõ ràng. Chỉ định người chịu trách nhiệm theo dõi từng lỗ hổng, thời hạn khắc phục, và tái kiểm tra. Bước 4: Thực hiện pen test định kỳ 6-12 tháng một lần thay vì "làm một lần cho cả đời". Hệ thống thay đổi liên tục, lỗ hổng mới xuất hiện hàng ngày, pen test một lần không thể bảo vệ dài hạn. Chúng tôi khuyến nghị các doanh nghiệp Việt Nam nên coi pen test như khám sức khỏe định kỳ - đầu tư đúng cách từ đầu sẽ tiết kiệm được chi phí khổng lồ sau này.